Avances en la gestión del compliance penal: la publicación de la norma une 19601

Oscar González Barnadas. Abogado. Gratacós Abogado

Los sistemas de compliance penal devienen las mayores herramientas de gestión de riesgos penales en el seno de las personas jurídicas. A raíz de esta afirmación, ha crecido en los últimos tiempos la necesidad de una proliferación y estandarización de dichos sistemas de gestión en aras a garantizar la posibilidad de una eficiente autoprotección de las entidades jurídicas frente a la comisión de ilícitos penales en su seno que les repercuten de forma fulminante. Por este motivo se han adoptado en los últimos años las Normas ISO y UNE. La última de ellas, la UNE 19601, de 18 de mayo de 2017, ha producido grandes avances en materia de corporate compliance a nivel estatal.

SUMARIO

1. Introducción
2. El objeto de la norma une 19601
3. El contenido de la nueva norma une

3.1. Los requisitos y directrices que impone la norma

3.2. Ventajas de la adopción de la UNE 19601

1. INTRODUCCIÓN

La Asociación Española de Normalización y Certificación (UNE) publicó el pasado 18 de mayo la nueva Norma UNE 19601, que se encarga de establecer los requisitos para la mejora del sistema de compliance penal en empresas. Esta Norma ha sido elaborada dentro del subcomité técnico de Normalización de UNE, el CTN 307/SC1 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, en el que han participado 36 vocales, expertos representativos de los diferentes grupos de interés del ámbito del compliance penal^[1]. La publicación de esta nueva Norma es desconcertante, y su implementación novedosa para todos sus futuros receptores. Es por ello que se celebrarán -el 15 de junio de 2017 una de ellas- jornadas integrales a nivel nacional para la comprensión teórica y práctica de la UNE 19601 para todos los expertos en compliance, con motivo de conocer el desarrollo del futuro del corporate compliance en España.

La reforma del Código penal del año 2010 introdujo por primera vez la responsabilidad penal de las personas jurídicas en el ordenamiento jurídico español, y con la reforma de 2015 se ratificó la imperiosa necesidad de su regulación en el marco jurídico-penal, indicando también que las personas jurídicas que hayan implantado modelos de prevención de delitos y cumplan una serie de requisitos pueden llegar a ser eximidas de responsabilidad penal. Así, el artículo 31 bis CP contempla esta novedosa conducta, además de prever, a sensu contrario, los supuestos en que dicha responsabilidad penal quedará extinguida.

De este modo, la normativa penal estatal ampara la exención de responsabilidad penal de las personas jurídicas en el supuesto en que aquélla hubiese implementado modelos de prevención de riesgos penales, cumpliendo asimismo una serie de requisitos. No obstante, la legislación penal adolece de une pormenorizada explicación de los requisitos necesarios para implementar un sistema de gestión de compliance penal con el objetivo de prevenir la comisión de delitos en el seno de las personas jurídicas. Nace de aquí la Norma UNE 19601.

La UNE 19601 deviene la primera norma específica en materia de prevención de delitos que se implanta en el Estado español tras la compleja actividad legislativa tendente a confeccionar el artículo 31 bis CP, en que se contempla la exención de responsabilidad penal de las personas jurídicas aludida supra. Su predecesora en la normalización internacional, ISO 19600 de 2014 (y posterior UNE-ISO 19600 de 2015), se limitaba a establecer meras recomendaciones, mientras que la nueva Norma da un paso más, constituyendo verdaderos requisitos y directrices a seguir para la implementación de un adecuado programa de corporate compliance. Así, la UNE 19601 es la regulación complementaria del artículo 31 bis CP, que desarrolla la correcta constitución de los modelos de compliance penal como medida extintiva de responsabilidad penal, supliendo la indeterminación del legislador español sobre estos extremos.

2. EL OBJETO DE LA NORMA UNE 19601

La Norma UNE 19601 constituye un avance exponencial en la lucha contra la comisión de ilícitos penales en el seno de las personas jurídicas. El contenido de la Norma pretende facilitar el diseño y evaluación de los sistemas de organización y gestión para la prevención de riesgos penales, más conocidos como sistemas de compliance penal, a todo tipo de entidades, independientemente de su tamaño, tipo, naturaleza o actividad.

La nueva Norma se encarga de estandarizar unas directrices y requisitos mínimos a la hora de adoptar, implementar, mantener y mejorar las políticas y los sistemas de compliance que permiten a la entidad jurídica que los acoge reducir el riesgo de perpetración de delitos en su seno, favoreciendo una cultura ética y de cumplimiento.

La UNE 19601 trata de hacer acopio de los estándares propios para dar debido cumplimiento a las condiciones que emanan del artículo 31 bis CP, aportando una mayor seguridad jurídica en la elaboración de los sistemas de gestión.

Cabe destacar que la novedad más trascendente que se desprende de la nueva Norma es la habilitación de terceros, como entidad independiente, para certificar su cumplimiento. Este hecho guarda interconexión con lo que dispone la Circular 1/2016 de la Fiscalía General del Estado, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, que establece que la certificación emitida por la entidad independiente podrá ser apreciado como un elemento más de la eficacia del modelo, constituyendo una herramienta acreditativa de que la persona jurídica ha llevado a cabo las buenas prácticas en materia de prevención delictiva, pero que “en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial”.

La Norma dispone una última novedad de especial relevancia consistente en la necesitad que establece de desarrollar unos “indicadores de actividad” sobre la efectividad del sistema de gestión, medidas que ayudarán a cuantificar la idoneidad y la conveniencia del sistema de compliance penal implementado en cada entidad. Por ello, “se publicará una Guía práctica de autodiagnóstico y reporting en compliance, buen gobierno corporativo y reporting país por país, que incluirá una serie de indicadores mensurables y actualizados en materia de compliance y buen gobierno corporativo que serán clave para evaluar el logro de los objetivos de los programas, políticas y procesos de compliance en las empresas”^[2].

3. EL CONTENIDO DE LA NUEVA NORMA UNE

La Norma UNE 19601 incorpora en su haber un conjunto de Anexos complementarios a la norma que facilitan su aplicación práctica^[3]:

1.- “Anexo A: contiene una correspondencia entre los apartados del Artículo 31 Bis 5 del Código Penal y los  capítulos de la UNE 19601 que permite verificar y acreditar cómo el cumplimiento de los requerimientos de la Norma habilita la justificación y acreditación del Sistema ante los Tribunales.

2.- Anexo B: se ofrecen detalles y aclaraciones sobre los procedimientos de Diligencia referidos al personal y socios del negocio, en el Anexo D, aparecen indicaciones de implementación del modelo de prevención penal en las filiales y socios. Las cláusulas contractuales están en el Anexo E y en el F, las recomendaciones  en el caso de fusiones.

3.- En el Anexo C, se recogen las 21 evidencias documentadas mínimas que deben contener nuestro Sistema de Gestión de Compliance (SGC) y que debe completarse con otros documentos que la organización considere necesarios”.

La certificación de actuación conforme a la Norma tiene una duración de tres años, pese a que el debido cumplimiento de la misma se debe auditar anualmente. Para superar la certificación deben cumplirse todos los elementos que la misma impone. La auditoría debe realizarse por un tercero independiente o por un propio miembro de la organización, siempre y cuando no audite su propio trabajo.

La dirección de la entidad deberá crear un órgano de compliance «con poderes autónomos de iniciativa y control”, que deberá supervisar el funcionamiento y la correcta aplicación del sistema de gestión.

3.1. LOS REQUISITOS Y DIRECTRICES QUE IMPONE LA NORMA

La referida Norma establece los requisitos básicos y estandarizados para implantar, mantener y mejorar los SGC en las diferentes entidades jurídicas con el objetivo principal de adoptar las medidas necesarias para la diligente prevención de la comisión de ilícitos penales en su seno, reduciendo así el riesgo penal existente y, como hemos aludido supra, impulsando una cultura ética y de cumplimiento.

La UNE 19601 se impone en la actualidad jurídica dando un tratamiento privilegiado al nuevo interés por el corporate compliance que ha surgido tras las reformas del Código penal de 2010 y 2015. Así, la Norma desarrolla requisitos que responden a lo tipificado en el CP, en relación a los modelos de prevención de delitos, pero hace acopio, además, del conjunto de buenas prácticas en materia de compliance penal, aceptadas a escala mundial.

La UNE 19601 contiene un amplio conjunto de requisitos y directrices dirigidos a las entidades públicas destinatarias. Ahora bien, entre los requisitos de la Norma hay algunos que “suponen un desarrollo de las propias condiciones que exige el Código Penal para los modelos de organización y gestión”^[4]:

• Identificar, analizar y evaluar los riesgos penales.
• Disponer de recursos financieros, adecuados y suficientes para conseguir los objetivos del modelo.
• Usar procedimientos para la puesta en conocimiento de las conductas potencialmente delictivas.
• Adoptar acciones disciplinarias si se producen incumplimientos de los elementos del sistema de gestión.
• Supervisar el sistema por parte del órgano de compliance penal.Además, la Norma incorpora numerosos requisitos que exceden de lo que exige el propio CP, requisitos que hallan su origen en las buenas prácticas aceptadas internacionalmente. Es el caso de^[5]:
• Crear una cultura en la que se integren la política y el sistema de gestión de compliance.
• La concienciación y formación adecuadas, eficaces y proporcionadas de los miembros de la organización respecto de los riesgos penales.
• El control y la protección de to- da aquella información documentada que se determine como necesaria para demostrar la eficacia del sistema.La simple implementación de la Norma UNE no supondrá la exoneración o atenuación automática de la responsabilidad penal de la persona jurídica, pero constituye un elemento acreditativo de vital importancia para apreciar indiciariamente el buen hacer y la diligencia tomada por la entidad, al haber empleado las mejores medidas prácticas. Esta norma puede ser utilizada, en tanto en cuanto materializa el conjunto de buenas prácticas aceptado internacionalmente, por entidades no españolas, y en jurisdicciones distintas a la española. La novedosa norma sirve, según ella misma expone: “de referencia para los tribunales de justicia y demás operadores jurídicos a la hora de facilitarles el establecimiento de criterios para valorar el cumplimiento por parte de las personas jurídicas u otras organizaciones de las exigencias previstas en la legislación penal”.3.2. VENTAJAS DE LA ADOPCIÓN DE LA UNE 19601Las ventajas que la nueva Norma proporciona a la organización que la adopta son evidentes. Cuando la persona jurídica aplica los requisitos que la UNE 19601 recoge, le permite disponer de una herramienta idónea para prevenir los riesgos penales a los que se puede enfrentar. Habiendo actuado así de forma manifiestamente diligente, la propia entidad podrá quedar exonerada de todo tipo de responsabilidad penal al demostrarse que ésta ha ejercido el debido control y gestión.El cumplimiento de la Norma hace posible un poderoso despliegue de un sistema que facilita detectar supuestos de mala praxis por parte del personal técnico o ejecutivo de la propia persona jurídica, que integrará ahora fuertes políticas de comportamiento ético.La entidad logra así mostrarse de puertas a fuera como una organización responsable, que cumple la legalidad y actúa con cautela al tomar toda la diligencia posible para tratar de evitar las consecuencias que tanto para la empresa como para terceros pudieren derivarse de un eventual incidente de tipo penal cometido por quienes resultan reseñados en el artículo 31 bis CP. En este sentido se entiende que la empresa protege a sus socios y accionistas.La adopción de estas medidas supone también una ventajosa actividad para sus clientes, que se ven atraídos por una empresa que aplica criterios éticos y suprime aquellas prácticas ocultas y dañinas que atentan contra el buen gobierno corporativo. CONCLUSIONESLa confección y posterior reforma del precepto 31 bis CP ha sido unos de los mayores avances en materia penal que nuestro ordenamiento ha acusado en los últimos años. La inclusión de las personas jurídicas como sujetos obligados por el derecho penal supone una modernización de nuestros antiguos sistemas de imputación subjetiva.El artículo 31 bis prevé, además de la imputabilidad de responsabilidad penal a los entes jurídicos, las concretas situaciones en que dicha imputabilidad perderá sus efectos, quedando exonerada de responsabilidad la entidad que haya adoptado los correspondientes modelos de organización y de gestión para la prevención de la comisión de ilícitos penales en su seno. La problemática surge en cuanto pretendemos desarrollar estos innovadores sistemas de gestión, pues carecemos de experiencia al respecto.El sistema penal español adolecía hasta ahora de una normativa que desarrollase la correcta implementación de estos modelos de organización y gestión. La UNE 19601 se ha postulado como el nuevo referente español en materia de corporate compliance, completando el vacío normativo existente y regulando explícitamente a modo de guía cómo debe desarrollarse una adecuada cultura de cumplimiento, aportando seguridad jurídica a quienes están interesados en los modelos de compliance penal y quieren asegurar su correcta implementación, y aportando los debidos elementos informadores acerca de los sistemas de gestión.Es por ello que la obtención de la certificación de la Norma UNE 19601 deberá ser valorado de cara al futuro por los Tribunales como elemento garante del buen funcionamiento de la entidad y del cumplimiento de la normativa de prevención más consolidada, como prueba de cargo a tener en cuenta a la hora de apreciar la posible exoneración de responsabilidad penal de la PJ, pues acredita la toma en consideración de las adecuadas medidas de protección para el ejercicio de un buen gobierno corporativo, actuando en el marco de la legalidad y demostrando de forma clara y contundente la honradez y responsabilidad social de la organización.La UNE 19601 proporciona garantías de adecuación, pues se posiciona como el complemento necesario a la indeterminación del legislador y el marco de referencia nacional para los sistemas de compliance penal. Por este motivo, el cumplimiento de los requisitos y directrices que emanan de la Norma y la consiguiente certificación de la UNE 19601 deberá considerarse de ahora en adelante como un principio de prueba de que el sistema adoptado por una determinada organización es presumiblemente eficaz, correspondiendo la carga de la prueba sobre la ineficacia del sistema de compliance a la acusación (STS 154/2016, de 29 de febrero).

^[1] “Publicada la norma UNE 19601 que establece los requisitos para sistemas de gestión de compliance penal”, en Abogacía Española, [18 de mayo de 2017]. Disponible en: http://www.abogacia.es/2017/05/18/publicada-la-norma-une-19601-que-establece-los-requisitos-para-sistemas-de-gestion-de-compliance-penal/

^[2] TRANSPARENCIA INTERNACIONAL ESPAÑA: Novedad Sector Privado: Publicada la norma UNE 1960. Un paso más hacia la cultura empresarial de la prevención y el cumplimiento normativo [18 de mayo de 2017]. Disponible en: http://transparencia.org.es/wp-content/uploads/2017/05/novedad_sector_privado_norma_une-19601.pdf

^[3] “Implementación y certificación de Sistemas de Compliance Penal conforme a la norma UNE 19601: 2017”, en ElDerecho, [7 de junio de 2017]. Disponible en: http://www.elderecho.com/actualidad/Sistemas-Compliance-Penal-norma-UNE-ebook_0_1098000005.html

^[4] ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN (UNE): UNE 19601: ayudará a prevenir delitos en las organizaciones, en AENOR [febrero de 2017], p. 16. Disponible en: http://www.aenor.com/revista/pdf/feb17/14feb17.pdf

^[5] Ibídem, p. 16.