Creo que vale la pena hablar de esto, de como será la aplicación, en su caso, de la nueva ley que desarrolla la Directiva europea entre aquellas empresas que, sin llegar a los 50 empleados que hasta ahora marcan la línea de lo obligatorio, tengan la necesidad, el interés o sientan una cierta obligación de cumplir con la norma, a pesar de no cumplir (aún) con los criterios que la hacen obligatoria.

Así las cosas, son muchos los casos de empresas de entre 9 y 49 empleados (156.094, según datos de este año del Ministerio de industria, comercio y turismo) que se preguntan hasta que punto deben o no meterse en este lío y si va a valer la pena. Y no estaría de más hablar un poco sobre esto, dado que, como suele suceder, lo que empieza por arriba tarde o temprano acaba por llegar abajo.
La necesidad de crear un Departamento de Compliance en mi microPYME

Hay una cuestión no menor que vale la pena señalar de partida. Una subvención que proceda de fondos de la UE es una subvención de la Unión Europea, aunque su gestor último y adjudicador sea el estado español. Esto viene al caso de los tan manidos Fondos Next generation pero también de cualesquiera otros programas que cuenten con el apoyo, total o parcial, de la UE.

En este contexto, si una empresa, de menos de 50 empleados pretende acceder a esos fondos, en algún momento de la solicitud de dichas ayudas se le cuestionará sobre si cumple o va a cumplir con la legislación europea en materia de empleo, empresa e inversión. Y aquí entra de lleno la Directiva 2019/1937, que se transpone a la legislación española mediante al anteproyecto de ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Por tanto, no es para nada descabellado pensar que, llegado un momento en el tiempo, no contar con un Departamento de Compliance integrado en la empresa podría penalizar a la hora de acudir a estos u otros fondos. A fin de cuentas, en su documento marco, la propia Comisión advierte de que todas las ayudas “deberán gestionarse de un modo transparente”.

La posibilidad de contar con un servicio de Compliance externo a la empresa… pero en la empresa
Existen una parte del anteproyecto de ley especialmente interesante si pensamos en los costes que para una pequeña empresa podría implicar la constitución de un departamento de Compliance con su Canal de Denuncias y sus investigaciones.

En su artículo 6. 1. La ley habla de la “Gestión del sistema por tercero externo”. Este articulo abre a empresas externas a aquella que desea implantar un canal de denuncias y departamento de Compliance a que lo dirija y gestione una empresa ajena a su estructura. La ley afirma que “La gestión de los sistemas internos de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, en los términos previstos en esta ley.” (“Texto íntegro del Anteproyecto de Ley reguladora de la protección de las …”)
En su segundo apartado la ley afirma que “La gestión del sistema por un tercero externo exigirá en todo caso que éste ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto”. (“Guía para empresas: la figura del ‘whistleblowing’ | E&J”)
Es muy posible que, al calor de los próximos tiempos, empresas de todo tipo, clase y ralea se anticipen a ofrecer estos servicios sin contar con las habilitaciones precisas para ello. Por ejemplo, toda empresa que ofrezca este servicio sin contar con un Detective Privado debidamente homologado entre sus recursos faltará a uno de los perceptos de la ley, a saber; “que éste ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto”

Debe quedar claro, además que, al igual que ocurriría con un canal de denuncias interno en la propia empresa o una gestión integral de la facultad de compliance, la responsabilidad última de cuanto suceda es de la empresa y no del tercero que se encarga de gestionar el canal de denuncias, en su caso. Está en el apartado tercero del artículo “La gestión del sistema interno de información por un tercero no podrá suponer un menoscabo de las garantías y requisitos que para dicho sistema establece la presente ley ni una atribución de la responsabilidad sobre el mismo en persona distinta del responsable del Sistema”.

Por tanto, contar con un servicio como este puede facilitar y mucho a empresas con un volumen de facturación no excesivamente alto el poner en marcha ese canal de denuncias y, de paso, afirmar que se tiene, algo que puede marcar la diferencia en caso de desastre en un proceso penal, porque…
Una empresa sin Compliance y canal de denuncias lo tiene mal en un proceso penal
Bueno, tal vez con ellos en marcha tampoco lo tenga muy bien, pero siempre se puede ir a peor.
Existen sentencias, mas de una y de dos, que dejan claro hasta que punto puede tener que asumir una responsabilidad penal una empresa a instancias de hechos y acciones de sus empleados. En la STS 183/2021, de 3-III la sentencia de instancia había condenado a un sujeto a tres años y medio de prisión y a una empresa como autora de un delito de estafa inmobiliaria a una multa de 3’1 millones de euros, disolución de la personalidad jurídica y responsabilidad civil de poco más de un millón de euros a favor del SAREB y respondiendo civilmente también la citada empresa. El recurso fue íntegramente desestimado por el Tribunal Supremo.

Pero en esta misma sentencia, el Tribunal Supremo recuerda que “en la sentencia del Tribunal Supremo, Sala Segunda, de lo Penal, Sentencia 737/2018 de 5 Feb. 2019, Rec. 334/2018A se recuerda que, a partir de la introducción de un sistema de responsabilidad penal de personas jurídicas, esos Corporate Compliance, en la terminología anglosajona, pueden operar como causas exoneradoras de la responsabilidad penal de la persona jurídica”
Blanco y en botella…. El TS recuerda también que la responsabilidad penal de las personas físicas es harina de otro costal y que no hay compliance que lo remedie, pero la empresa podría ver realmente reducida su condena por hechos más que cotidianos en el día a día de cualquier gestión.
En otra sentencia, de 2016, considerada como el principal pilar jurisprudencial en España sobre sentencias contra empresas por hechos de tipo penal, la sala de lo penal del TS dictó la primera resolución en la que se condenaba, además de a las personas físicas que ostentaban el cargo de administradores de esta, a una empresa española por servir de instrumento a aquellos para la comisión de un delito contra la salud pública.

El Supremo argumentaba, en cuanto a la responsabilidad de las personas jurídicas, que ésta se basaba, además de en la comisión de un delito por una persona física integrante de la organización y de que ese delito sea susceptible de ser cometido por una persona jurídica, en la exigencia del establecimiento y correcta aplicación de medidas de control eficaces “que prevengan e intenten evitar la comisión de infracciones delictivas por quienes integran la organización”.
La empresa no tenía implantado en la organización ningún tipo de programa de cumplimiento normativo y sus directivos no se preocuparon lo más mínimo por inculcar la llamada “cultura de cumplimiento” a todos los miembros de la empresa, lo que llevó a afirmar al Tribunal Supremo que: “la acreditada ausencia absoluta de instrumentos para la prevención de delitos en las empresas hace que, como consecuencia de la infracción contra la salud pública cometida por sus representantes, surja la responsabilidad penal para estas personas jurídicas”.
La sanción impuesta fue de las más altas jamás dictadas. La sociedad fue condenada al pago de una multa de 775 millones de €.

La relevancia de esta Sentencia radica no solo en cómo califica de “elemento esencial en toda organización” un programa de cumplimiento normativo, sino que, además, “determina la obligación del empresario de establecer una cultura de cumplimiento efectiva en su propia organización y a todos los niveles”, por lo que sólo si se cumplen estos requisitos, será posible la exoneración o atenuación de la responsabilidad penal de la empresa.

José L. Louzán
Director de Seguridad privada
Perito informática forense
Perito en tasación inmobiliaria, perito en incendios
Detective privado 

 

FUENTES:
– Datos PYME enero 2022. M. de industria, turismo y comercio
– «Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.» (“España – Anteproyecto de Ley reguladora de la protección de las …”)
– http://www.cisscompliancefiscal.com/documento.php?id=DT0000305054_20200120.html
– https://prodasvaconsultoria.com/primera-sentencia-del-tribunal-supremo-en-que-se-determina-la-responsabilidad-penal-de-una-empresa-por-no-tener-un-programa-de-cumplimiento-normativo/
– https://ec.europa.eu/info/strategy/recovery-plan-europe_es