En aquel 2010 tuvo la oportunidad en el Ministerio de Justicia con su equipo de colaboradores de impulsar la responsabilidad penal de las personas jurídicas en nuestro ordenamiento penal por vez primera. Luego vendría otra reforma en el 2015 “Cuando, en nuestras sesiones de trabajo, la idea de incorporar al Código Penal la responsabilidad de las personas jurídicas dejó de ser una posibilidad teórica para convertirse en una propuesta seria a considerar, sentí una especie de vértigo interior”, comenta Francisco Caamaño
Para este jurista esa sensación “era, como si de repente, estuviésemos traicionando un dogma jurídico que había sobrevivido entre nosotros desde el derecho romano: societas delinquere non potest. Nadie podía adelantar la reacción y las consecuencias que podía provocar en la opinión pública nuestra osadía. Asumimos el riesgo. Creo, a pesar de aquel temor, que acertamos. Ha promovido la cultura del compliance pero, sobre todo, ha permitido levantar el velo de la persona jurídica, mejorar la defensa de los derechos de las minorías y aportar mayor transparencia al proceso penal.”
¿Qué balance hace de estos casi nueve años de compliance en España?
Son años muy positivos pare el compliance. Después de las dos reformas legislativas, la del año 2010 que puse en marcha con mi equipo, introduciendo en el Código Penal la responsabilidad de la personas jurídicas y, la llevada a cabo, posteriormente, en el 2015, han permitido consolidar y dar continuidad a una regulación que era absolutamente novedosa en nuestro ordenamiento jurídico.
¿Qué papel está realizando la Sala Penal del Supremo en materia de persona jurídica?
Un papel muy relevante. Las sentencias de la Sala Segunda del Tribunal Supremo están marcando el camino, sobre todo porque ha sabido huir de la tentación objetivizadora que originariamente había propuesto en su Circular la Fiscalía General del Estado, garantizando a las personas jurídicas sus derechos constitucionales a la presunción de inocencia y a la prueba en el proceso.
Además, es de advertir que la Sala Segunda ha tenido muy presente la trascendencia, a efectos penales, de contar con un adecuado programa de cumplimiento normativo, cuya eficacia real pueda ser probada en el proceso. En este sentido, ha subrayado su trascendencia como instrumento para forjar una cultura de respeto a la ley y de prevención de riesgos que evite no solo la comisión de ilícitos sino también prácticas contrarias a los derechos fundamentales de los trabajadores, a los buenos usos del mercado o a los derechos de los consumidores.
Dotarse de un programa de compliance adecuado a la realidad de la organización no solo sirve para atenuar o eximir la responsabilidad penal de la persona jurídica, sino también para crear un ambiente de responsabilidad y respeto, tanto en el interior de la organización como en sus relaciones con terceros.
Para ello ha de poder acreditarse que el programa de cumplimiento es el presupuesto formal y organizativo de una actividad continua y viva, que se adapta en cada momento a las necesidades cambiantes de la organización. El compliance no puede “industrializarse” -se hace uno y éste ya sirve para todos- ni ser concebido como un conjunto de guías y pautas éticas que se guardan en un cajón por si algún día se abriese una investigación penal.
Antes bien, ha de ser una tarea del día a día, que exige conocimiento de la organización y de sus riesgos y que es capaz de generar políticas internas de prevención, adecuadas a los fines perseguidos y cuya realidad ha de poder ser probada. Por eso, tanto la doctrina como la Sala Segunda del Tribunal Supremo ya han tenido la oportunidad de advertir sobre los peligros del make-up compliance o programas “pantalla” de cumplimiento normativo mediante los que se pretende aparentar una realidad inexistente con el pretexto de evadir la responsabilidad penal de la persona jurídica.
Tras nueve años de responsabilidad penal de las personas jurídicas, ¿Es el momento de hacer algún cambio normativo?
Creo, sinceramente, que, en este momento, la implantación de programas de cumplimiento se nueve en la dirección adecuada, en el sentido de que las organizaciones y, de modo particular, el mundo de la empresa es cada vez más consciente de sus ventajas, por lo que no estimo necesaria más reformas legales, al menos en el Código Penal. Algo tan nuevo como los programas de compliance necesita un periodo de estabilidad y asentamiento normativo antes de introducir nuevos cambios relevantes. Eso podría desorientar a aquellos que tienen que cumplir con dicha norma.
El legislador español optó por una opción fuerte: incluir en el Código Penal la responsabilidad de las personas jurídicas y no tratarla únicamente desde la óptica del derecho administrativo sancionador. Debemos dejar transcurrir un tiempo razonable para que esta institución se adapte a nuestro ordenamiento jurídico.
Con todo, alguna puntual reforma normativa resultaba necesaria. Así, la doctrina de la Agencia Española de Protección de Datos, al requerir siempre la identificación del denunciante, impedía la existencia de canales de denuncia anonimizados, lo que, en la práctica, privaba de eficacia a tan importante instrumento de prevención y conocimiento de la realidad de la empresa.
Afortunadamente, tras el RGPD, la nueva Ley de Protección de Datos Personales consiente la completa anonimización del canal, por lo que es previsible que el uso de esta herramienta de compliance sea cada vez mayor.
¿Sigue marcando la pauta en materia de compliance el modelo anglosajón?
Sin duda, sobre todo en el ámbito de las relaciones internacionales y en el comercio exterior. En España se tiende equivocadamente a pensar que el concepto de responsabilidad penal de las personas jurídicas y el de compliance reflejan una misma realidad. Nada más incierto. El hecho de que en nuestro país lo primero haya operado como un motor que ha impulsado lo segundo no significa que antes del año 2010 no existiesen empresas españolas con programas de cumplimiento o que el compliance sea algo constreñido al derecho penal o reservado a abogados especialistas en derecho penal.
Esa nefasta confusión, más común de lo que sería deseable, está distorsionando el concepto de compliance, hasta el punto de que un estándard internacional como la ISO 19600 (norma no certificable) ha dado lugar a una suerte de secuela española (la ISO 196001) mediante la que se pretende pautar una suerte de compliance penal “hispano” que, además, sería certificable. Pues bien, frente a esta distorsión conceptual es importante señalar que en muchos países, como por ejemplo Alemania, existe una fuerte cultura de compliance y, sin embargo, no contemplan en sus ordenamientos jurídicos la responsabilidad penal de las personas jurídicas.
Por tanto, un programa de cumplimiento normativo bien diseñado es mucho más que un plan de prevención de delitos. Ha de ser, sobre todo, la vertebración de un conjunto de políticas transversales que confieran fiabilidad a la organización, orientándola hacia determinados valores y objetivos, de respecto a la ley pero también de potenciación de la responsabilidad individual, corporativa y social, tanto en el interior de la persona jurídica como en sus relaciones con los demás.
¿Cómo se convence al entorno de esa necesidad?
Poco a poco los responsables de entidades y empresas se están percatando de las ventajas y utilidades de contar con un programa de cumplimiento normativo. Primero, porque se convierte en una excelente carta de presentación. En segundo lugar, porque confiere seriedad y rigor a la organización, haciéndola más responsable y fiable en sus relaciones. Y tercero, especialmente, en el ámbito empresarial porque es un refuerzo fundamental de la “marca”, un sello de su “buen hacer” y una garantía de que la empresa no son solo sus dirigentes, sino también todos sus accionistas, todos los empleados y quienes (subcontratistas, proveedores…) resultan imprescindibles para el desarrollo de su actividad. Cada uno tiene su papel y cada uno de ellos tiene su responsabilidad. Por tanto, un buen programa de compliance no es un gasto más, o una nueva traba de tipo burocrático. Antes bien, es una inversión en valor, en continuidad y en futuro.
¿Qué aportan las nuevas tecnologías de la comunicación y los sistema criptográficos y de metadatos como blockchain al mundo del compliance?
Aportan seguridad, capacidad probatoria, eficiencia y un claro abaratamiento de costes. El seguimiento continuado de un buen programa de cumplimiento en una organización de cierto tamaño sería prácticamente imposible sin las capacidades que nos suministran la informática y las nuevas técnicas de salvaguarda de la información.
El uso de la firma digital en el interior de una empresa y la posibilidad de recoger y ordenar en repositorios seguros los documentos que testimonian quien y por qué se tomaron determinadas decisiones en áreas previamente calificadas como de riesgo, permite conocer la trazabilidad de cada proceso, la autoría de los intervinientes, custodiar de forma segura esa información y además cotejarla con la legalidad y con el programa de cumplimiento vigente en la empresa.
Ese contraste de información segura, facilita la labor de control, ayuda a prevenir errores y a mejorar los procedimientos internos, pero, fundamentalmente, permite a la organización aportar a una investigación penal materiales probatorios indubitados con determinación de sujetos, estampación de tiempo, direcciones electrónicas y un conjunto de evidencias contextuales mediante las que la persona jurídica puede acreditar con facilidad no sólo que contaba con un programa de cumplimiento normativo sino que, además, este se aplicaba, que está dispuesta a demostrarlo y a colaborar con las autoridades públicas (tribunales de justicia, Agencia tributaria…). En el ámbito del compliance la colaboración entre juristas, personas conocedoras de la organización y especialistas en informática es, hoy en día, algo imprescindible.
¿Podemos decir que hay un modelo de cumplimiento normativo español?
No. Ni español ni de ningún otro país. Del mismo modo que existen aproximaciones a la cultura de la integridad en las Administraciones públicas, contamos, en el ámbito de las organizaciones empresariales, con ciertos estándares que operan como guías, pautas o catálogos de buenas prácticas útiles para conocer los procedimientos y las técnicas que facilitan una buena gestión de la materia. Pero cada organización tiene su propia realidad y, en consecuencia, presenta sus particulares áreas de riesgo.
Así en el sector de la salud no presenta los mismos riesgos un centro que asiste a pacientes y, por tanto, requiere de sus datos personales, que un laboratorio farmacéutico o un centro de distribución que ha de estar atento a las indicaciones dispuesta por la Agencia Española del Medicamento y a un conjunto de normas internacionales propias del sector. Asimismo, no es lo mismo si esa entidad tiene o no actividad exportadora, pues su política en prevención de blanqueo de capitales será, obviamente, distinta.
También será diferente su impacto medioambiental, la forma societaria -no es lo mismo una sociedad anónima que una cooperativa- el tipo de contratación, los procedimientos de control contable y financiero… En fin, cada persona jurídica tiene su propia “vida” del mismo modo, salvando las distancias, que se dice no hay enfermedad sino enfermos.
En definitiva, no hay un modelo de cumplimiento normativo. Hay técnicas y formas comunes de organización. Pero cada programa, si está correctamente realizado, debe responder al particular mapa de riesgos de cada entidad.
¿Qué le ha hecho integrarse en ASCOM e impulsar el proyecto en Galicia?
Mi antigua curiosidad por el compliance se ha ido acrecentando con el paso del tiempo hasta el punto de que no solo intento abordarla en mi faceta de Catedrático de Universidad sino que también colaboro con alguna empresa del sector que era socio fundador de ASCOM.
Fue, así, como tuve un conocimiento muy temprano de esa asociación y como pude comprobar el papel muy activo que estaba desempeñando tanto en la promoción del compliance como una actividad transversal -y no solo jurídica- vinculada a la prevención de riesgos, como en lo relativo a la formación de quienes se dedican o quieren dedicarse a esa actividad.
Siendo, para muchos, la palabra “compliance” un concepto nuevo y hasta, en muchos casos difícil de pronunciar, esa labor de difusión del conocimiento, de intercambio de experiencias y consolidación de buenas prácticas, me parecía fundamental. Y, además, y esto también es importante, pude comprobar que era una organización abierta, que contaba con todos y que hacía las cosas fáciles, algo no muy común en los tiempos que corren.
Y en Galicia. Sí. Porque es el lugar en el que vivo y porque creo que el empresariado gallego debe tener soluciones, también de compliance, adaptadas a su particular realidad. En Galicia hay muchas empresas de pequeño o mediano tamaño que, sin embargo, tiene una importante proyección en el mercado exterior.
El sector del vino, el de la transformación de productos del mar, el textil y sus empresas auxiliares, el de las energías alternativas, el del granito y los materiales de construcción, el vinculado a las nuevas tecnologías…
Mi idea es poder acompañarlas para que mejoren sus capacidades organizativas y, al tiempo, protegerlas de los muchos riesgos que pueden rodear su actividad en tiempo difíciles. Fomentar el compliance, crear redes para el intercambio de experiencias en el interior de nuestra comunidad autónoma y hacerlo, además, de la mano de ASCOM creo que es un modo eficaz de emprender esa tarea.
¿Que opina de la certificación CESCOM que emite la propia ASCOM?
Me parece una forma seria y responsable de aportar certeza a un sector profesional que, en cierto modo, está indefinido. Personalmente, soy amigo de la competencia profesional y por ello nunca fui partidario de las llamadas reservas de actividad que, en nuestro país son, sin embargo, especialmente defendidas por algunos.
Cuando se ha tenido la oportunidad de contemplar como se delimitan las actividades profesionales en otros países de nuestro entorno es fácil comprobar como las contornos son mucho más indefinidos y abiertos; cómo lo que importa es la sana competencia entre profesionales y no la exclusión de unos u otros en función de títulos oficiales habilitantes. Eso es, precisamente, lo que me gusta de la certificación CESCOM, que se respalda por la auctoritas de quien la otorga y no por su potestas.
No es algo fácil de obtener. Requiere estudio y horas de dedicación y trabajo. Pero quien la obtiene sabe que ha superado una prueba mediante la que personas que hacen compliance y saben de compliance avalan que el poseedor del certificado está a la altura de la tarea que debe desempeñar. Estamos pues, ante un sistema muy serio de capacitación y aprendizaje voluntario en el que la recompensa al esfuerzo es el reconocimiento por los profesionales de un sector. Me parece, en consecuencia, una fórmula muy acertada.