Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Los mayores riesgos de comisión de delitos en las empresas proceden de los terceros con los que se relacionan

España - 
Helena Prieto, socia del área Penal de Garrigues

Una sentencia del Tribunal Supremo ha hecho hincapié en la relevancia de implantar programas de prevención de delitos eficaces y adaptados a la realidad de cada empresa. La cultura preventiva basada en el cumplimiento normativo y la ética empresarial se ha convertido en los últimos tiempos en uno de los factores esenciales a tener en cuenta en las relaciones comerciales con terceros a nivel nacional e internacional. La práctica demuestra que los mayores problemas penales a los que se expone una compañía tienen su origen en la relación con terceros. Por ello, el ‘third parties compliance’ es fundamental a la hora de prevenir esos riesgos.

El pasado 28 de junio, el Tribunal Supremo ha dictado una nueva sentencia (la número 316/2018) en la que se alude a la importancia de los programas de cumplimiento normativo en el ámbito empresarial, como herramientas idóneas y eficaces para prevenir la comisión de delitos en su seno, con independencia de que generen o no responsabilidad penal para la persona jurídica. Lo novedoso de esta sentencia radica en que se apunta la posibilidad de que las pólizas de seguro suscritas para cubrir la eventual responsabilidad civil que para la empresa podría derivarse de la comisión de algún delito por parte de sus administradores, exijan como requisito que la compañía en cuestión cuente con un programa de cumplimiento normativo o compliance programe, en particular, para la prevención de delitos. La implantación de estos programas, siempre y cuando sean eficaces y, por tanto, adaptados a la realidad de cada empresa, contribuiría decisivamente a prevenir el riesgo de comisión de delitos y, en consecuencia, las aseguradoras verían reducido el riesgo de afrontar el pago de las responsabilidades civiles derivadas. El Tribunal Supremo constata así la influencia que los programas de prevención de delitos ejercen, también, en el ámbito de los seguros.

Y decimos “también” porque las compañías de seguros son una tercera parte más de entre las muchas que tienen relación con una empresa, de tal modo que su referencia en la aludida Sentencia no constituye sino otro ejemplo de una práctica cada vez más generalizada en el tráfico económico en general, tanto a nivel nacional como internacional: la prevención de riesgos penales en las relaciones con terceros, también denominada, third parties compliance; terceras partes a las que, necesariamente, se debe asignar, y deben asumir, un papel en materia de compliance dentro del sistema de gestión de riesgos penales de las empresas.

El artículo 31 bis.1 del Código Penal (CP) establece que la persona jurídica responderá penalmente por determinados delitos cometidos: i) en nombre o por cuenta de la misma por sus representantes legales, personas autorizadas para decidir o que ostentan facultades de organización y control, así como ii) en el ejercicio de actividades sociales y por cuenta de la empresa por quienes, estando sometidos a la autoridad de las personas físicas anteriores, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad. En ambos casos, siempre que el delito en cuestión se cometa en beneficio directo o indirecto de la empresa.

De lo anterior se extrae fácilmente que el riesgo de que la empresa se enfrente a una responsabilidad penal pasa por que uno de sus dirigentes –entendiendo por éstos, sus administradores, representantes legales o directivos– o uno de sus subordinados –entre ellos, claro está, sus empleados–, cometa un determinado delito en determinadas circunstancias. Mas si el Código Penal hubiera querido limitar a los trabajadores o empleados el segundo título de imputación, habría aludido directamente a ellos o se habría referido expresamente a quienes tienen una relación laboral con la empresa. Y no lo ha hecho. La propia Fiscalía General del Estado, en su Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015 indica que “no es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidos autónomos o trabajadores subcontratados, siempre que se hallen integrados en el perímetro de su dominio social”.

Todo lo cual quiere decir que el perímetro de actividad en la que se deben identificar –y, en consecuencia, prevenir– riesgos penales se extiende, asimismo, a la que desarrollan terceras partes con las que las empresas mantienen relación en sentido amplio, esto es, proveedores, subcontratas, agentes comerciales, distribuidores, socios de negocio y otros colaboradores.

Por tanto, a la hora de identificar los riesgos penales a los que está expuesta una organización en función de su actividad –tal y como dispone el primero de los requisitos que, de acuerdo con el Código Penal, debe cumplir un modelo de organización y gestión para la prevención de delitos (artículo 31 bis. 5.1º del CP) – no se puede olvidar la desarrollada conjuntamente o a través de un tercero pues esta constituye una fuente de riesgo penal por contaminación, incluso mayor, que la desarrollada por un miembro de la propia empresa. De hecho, en las principales tramas de corrupción objeto de investigación en los últimos años, las conductas delictivas se han materializado, en muchos casos, a través de terceras partes relacionadas con la empresa investigada.

Así las cosas, la cultura preventiva basada en el cumplimiento normativo y la ética empresarial se ha convertido en los últimos tiempos en uno de los factores esenciales a tener en cuenta en el ámbito de la contratación de servicios y, en general, en las relaciones comerciales o de negocio con terceros, tanto a nivel nacional como internacional, en todos los sectores de la economía (incluido el sector público). De tal modo que, sin necesidad de imperativo legal –recordemos que el Proyecto de Ley Orgánica para la reforma del CP que entró en vigor el 1 de julio de 2015 contemplaba, en su texto inicial finalmente rectificado, el delito de omisión del deber de control que pretendía castigar a los administradores que no habían implementado en su organización un modelo de prevención de delitos–, son los propios operadores intervinientes en el tráfico mercantil los que, a través de requerimientos en materia de compliance, impulsan la expansión de la cultura preventiva y los programas de cumplimiento entre las empresas, reforzando con ello su propia imagen y reputación en el mercado.

La dificultad a veces no consiste tanto en identificar los riesgos penales, en ocasiones muy evidentes, a los que se expone una compañía por razón de la actividad que desarrolla conjuntamente o a través de terceros, sino en la prevención de dichos riesgos. Es decir, una vez detectados los riesgos penales, es necesario diseñar e implantar las medidas adecuadas para su prevención teniendo en cuenta que su ámbito de aplicación debe extenderse más allá del perímetro social de la organización.

Estas medidas se suelen articular a través de procesos de diligencia debida que tienen por objeto valorar la idoneidad de los terceros para relacionarse o contratar con la empresa. En términos de la Norma Española UNE 19601:2017 sobre Sistemas de gestión de compliance penal, un proceso de diligencia debida es “un proceso operativo que pretender obtener y evaluar la información para contribuir a la evaluación del riesgo penal”. Así, en las transacciones comerciales que llevan a cabo organizaciones de todo el mundo (adquisición o venta de bienes, prestación de servicios, o procesos de fusión y adquisición de sociedades) es ya habitual que las partes contratantes soliciten, en aplicación de estos procesos, determinados requerimientos en materia compliance que proporcionen a la contraparte las garantías suficientes de que se dispone de medidas eficaces para prevenir, o reducir significativamente, el riesgo de comisión de delitos –fundamentalmente relacionados con la corrupción y el fraude– por los que pudieran verse afectadas.

Los requerimientos en materia de compliance que se solicitan en el seno de los referidos procesos de diligencia debida pueden ser de muy diversa índole y dependerán de determinados factores como, por ejemplo, de si la tercera parte es una empresa que opera en un sector regulado –en cuyo caso los requerimientos serán mucho menos exigentes y gran parte de la información a tener en cuenta será pública– o no. No obstante, con carácter general, un proceso de diligencia debida puede estructurarse en las siguientes tres fases: selección, formalización y seguimiento.

  • Selección. Para la selección de un tercero, puede, bien solicitarse directamente, bien consultarse en determinadas listas o bases de datos, información sobre los siguientes aspectos:
    • Información básica, esto es, la relativa a la legitimidad de la empresa en cuestión (constitución, registros, socios, cuentas anuales, número de identificación fiscal), al sector en el que actúa, a los países en los que opera, etc.
    • Información relativa al historial ético, es decir, antecedentes sobre investigaciones internas o externas o procesos judiciales relacionados con prácticas delictivas que pudieran haber afectado a la sociedad o a algunos de sus miembros durante los últimos años, así como las medidas correctoras que se adoptaron.
    • Información sobre el estado en materia de compliance. En este caso el objeto del requerimiento podría ir desde lo más amplio (solicitando el programa de cumplimiento general: mapa de riesgos y controles, medidas, modelo organizativo, manual del sistema de gestión, reglamento del canal ético, régimen disciplinario, plan de acción y formación, certificación, etc.), a lo más específico (solicitando determinadas medidas implantadas para prevenir la materialización de riesgos penales concretos: código ético o de conducta, política de cumplimiento, política anticorrupción, procedimiento de compras, etc.).
  • Formalización. La formalización de la relación con el tercero dependerá del resultado de la fase anterior y, señaladamente, del estado o evolución de la tercera parte en materia de compliance. Podría consistir, bien en implantar determinadas medidas (como, por ejemplo, aceptar la realización de una auditoría de cuentas o impartir formación al respecto de un concreto riesgo); bien en firmar una cláusula ética en virtud de la cual se asuma un compromiso en materia de cumplimiento; bien en adherirse formalmente a determinada normativa interna.
  • Seguimiento. Por un lado, la información obtenida y analizada en la fase de selección, deberá ser actualizada con carácter periódico. Y, por otro lado, las medidas acordadas para la formalización de la relación con el tercero deberán ser objeto de un seguimiento periódico que permita verificar su efectiva implantación y aplicación en el tiempo.

Entre los requerimientos de información a recabar o solicitar se han mencionado las certificaciones. Y es que, las dificultades que, desde el punto de vista organizativo, funcional, de política corporativa o incluso burocrático, podría plantear la formalización de la relación con terceras partes podría en la práctica tender a simplificarse mediante la solicitud de un modelo de prevención de delitos certificado conforme a un estándar oficial y reconocido en la materia. En mayo de 2017, la Asociación Española de Normalización (UNE) publicó la antes referida Norma UNE 19601 que establece los requisitos para los sistemas de gestión de compliance penal. Se trata de una norma certificable si bien, hasta la fecha, ninguna de las entidades certificadoras –AENOR, EQA y ACIE, entre otras– haya sido acreditada todavía por la Entidad Nacional de Acreditación (ENAC).

En definitiva, y como no podía ser de otra manera, la sentencia 316/2018 del Tribunal Supremo refleja, una vez más, el fenómeno expansivo del compliance, en este caso penal, en el ámbito empresarial. De ahí la conveniencia, casi necesidad, de que las empresas, tanto del sector privado, como del sector público, tanto en el ámbito nacional, como en el internacional, se doten de programas de cumplimiento eficaces que conjuguen las exigencias, tanto legales, como de soft law y, entre sus posibles riesgos, contemplen y prevengan con especial atención, aquellos que se derivan de la relación con terceras partes, dando lugar a una verdadera cultura ética empresarial que permita desarrollar su actividad en todos los campos.