COMPLIANCE TECNICO

Autor: Gian-Lluís Ribechini

  • Directivas pendientes de transposición (I): DIRECTIVA 2016/943 de 8 de junio de 2016

    Directivas pendientes de transposición (I): DIRECTIVA 2016/943 de 8 de junio de 2016

    El próximo 9 de junio de 2018 deberá haberse transpuesto a la legislación de cada país de la Unión Europea la Directiva 2016/943, que es un texto pertinente a efectos del Espacio Económico Europeo, y cuya descripción es significativa ya que es una directiva “relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas”.

    Es una directiva que tiene importancia en lo que se refiere al compliance porque tiene como objeto establecer “normas en materia de protección frente a la obtención, utilización y revelación ilícitas de secretos comerciales”.

    Debemos considerar que esta directiva entra dentro de uno de los delitos que se definen en el catálogo de “compliance penal”, a saber, los que se citan en la “Sección 3.ª De los delitos relativos al mercado y a los consumidores”. En concreto en el artículo 278 del Código Penal se dice:

    1. El que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, o empleare alguno de los medios o instrumentos señalados en el apartado 1 del artículo 197, será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses.”

    Como ya he explicado anteriormente una directiva debe transponerse a la legislación nacional, en este caso se ha desarrollado el denominado “Anteproyecto de Ley de Secretos Empresariales” que se complementa con la correspondiente “Memoria del Análisis de Impacto Normativo”.  Este anteproyecto tiene abierto el trámite de audiencia e información pública en el que se pueden presentar aportaciones tanto para enmiendas como para modificaciones. Este trámite finaliza el miércoles 7 de marzo de 2018. Y las aportaciones pueden enviarse al correo electrónico: infopublica.secretosempresariales@mjusticia.es

    Tras este trámite se consideraran las aportaciones recibidas y se formalizará el proyecto de Ley que deberá ser aprobado por el Gobierno, para enviarse a las Cortes donde iniciara su tramitación parlamentaria, en la que también puede realizarse enmiendas y modificaciones.

    Una vez esté aprobada la Ley de Secretos Empresariales, deberemos incorporar al sistema de Compliance de nuestra empresa lo que en esta se legisle.

  • Los programas de compliance según el articulo 31 bis

    Los programas de compliance según el articulo 31 bis

    En la reforma del Código Penal de 2015 se expone en el artículo 31 bis que una de las condiciones para la exención de la responsabilidad de las personas jurídicas es que se “si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión”.

    Asimismo se definen los requisitos que deberán cumplir los modelos de organización y gestión que son:

    1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

    2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

    3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

    4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

    5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

    6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

    Como complemento a lo expuesto en el Código Penal en enero de 2016 la Fiscalía General del Estado publicó la “Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015” un documento con el que se “imparten instrucciones a los fiscales para valorar la eficacia de los planes de compliance en las empresas que tras la reforma se configuran como una eximente de la responsabilidad penal”.

    En esta circular cuando se trata el tema de los modelos de organización y gestión realiza diversos comentarios que considero muy relevantes en este tema como los siguientes:

    • Los programas deben ser claros, precisos y eficaces y, desde luego, redactados por escrito. No basta la existencia de un programa, por completo que sea, sino que deberá acreditarse su adecuación para prevenir el concreto delito que se ha cometido, debiendo realizarse a tal fin un juicio de idoneidad entre el contenido del programa y la infracción. Por ello, los modelos de organización y gestión deben estar perfectamente adaptados a la empresa y a sus concretos riesgos.”

    Este comentario establece muy claramente que los programas de Compliance deberán ser específicos para cada empresa. Pero además se debe interpretar que dado que se habla de “sus concretos riesgos” pueden existir diferencias en los programas de Compliance para cada una de las ubicaciones que formen parte de la empresa. Así nos podemos encontrar que en una sociedad en la que exista una sede central sin actividad industrial los riesgos sean unos, mientras que en las ubicaciones de carácter productivo existirán otros riesgos que no se dan en la sede central como p.ej. los relacionados con el medio ambiente.

    • No es infrecuente en la práctica de otros países que, para reducir costes y evitar que el programa se aleje de los estándares de la industria de los compliance, las compañías se limiten a copiar los programas elaborados por otras, incluso pertenecientes a sectores industriales o comerciales diferentes. Esta práctica suscita serias reservas sobre la propia idoneidad del modelo adoptado y el verdadero compromiso de la empresa en la prevención de conductas delictivas.”

    Esto es algo que se produjo en los años 90 del siglo pasado cuando se pusieron de moda las diversas versiones de la ISO9000 (9001, 9002 o 9003) y se daban casos que para “reducir el coste” de la implantación se adaptaran manuales de calidad de otras empresas sustituyendo el nombre de una por la otra. Ahora bien hemos de tener en cuenta que no es lo mismo hacer un “copia y pega” en un manual de calidad que en un manual de compliance penal porque las consecuencias de una evaluación incorrecta de un riesgo o su ausencia no son desdeñables.

    • A la necesidad de que la persona jurídica identifique y gestione adecuadamente los riesgos, estableciendo las medidas para neutralizarlos, alude el primer requisito del apartado 5. La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos. Para ello el análisis identificará y evaluará el riesgo por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc., tomando en consideración variables como el propósito de la relación de negocio, su duración o el volumen de las operaciones.”

    Aquí hace referencia a la identificación y evaluación de riesgos que es un tema que en el ámbito de la ingeniería hace muchos años que se tiene en cuenta, y para el que se han desarrollado diferentes metodologías que han ido evolucionando con la experiencia obtenida en su aplicación. Es este un campo en el que desde la ingeniería se puede dotar a los sistemas de compliance de herramientas que permitan la identificación, gestión, control y comunicación de los riesgos reales y potenciales.

     

  • Conceptos de Compliance Tecnico (II): El Nuevo Marco Legislativo

    Conceptos de Compliance Tecnico (II): El Nuevo Marco Legislativo

    La seguridad y la conformidad de los productos industriales en la Unión Europea (y en el Espacio Económico Europeo) se regulan bajo el denominado Nuevo Marco Legislativo (NML). Con este marco se pretende proteger diversos intereses públicos y asegurar un funcionamiento adecuado del mercado único.

    Para dotar a este marco de instrumentos legislativos en julio de 2008 se publicaron el “Reglamento (CE) 765/2008” y la “Decisión 768/2008/CE”, en los que se reunían todos los elementos requeridos para que pudiera haber un marco normativo integral que funcionara orientado a asegurar la seguridad y la conformidad de los productos industriales.

    Quiero recordar, tal como explicaba en un anterior post, que en el marco de la Unión Europea un Reglamento es un acto jurídico vinculante, que debe aplicarse en su integridad en todos los países de la Unión Europea de forma automática desde su entrada en vigor, sin necesidad de incorporarlo al Derecho nacional. Y que una Decisión es un acto jurídico vinculante que puede tener un ámbito de aplicación general, que es obligatoria en todos sus elementos.

    El “Reglamento (CE) 765/2008, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos” entre otros objetivos tiene el de garantizar que los productos que circulan libremente por la Unión Europea cumplan con los “requisitos que proporcionan un elevado nivel de protección de interés público” en ámbitos como:

    • la salud y seguridad en general,
    • la salud y seguridad en el trabajo,
    • la protección de los consumidores,
    • la protección del medio ambiente y la seguridad.

    Se puede observar que estos ámbitos también se citan entre los delitos atribuibles a las personas jurídicas, por lo que este reglamento deberíamos tenerlo en cuenta dentro del Compliance Técnico.

    En este reglamento también se citan los “principios generales del marcado CE”. El “marcado CE” indica que un producto es conforme a los requisitos aplicables relativos a la salud, la seguridad y el medio ambiente y que ha sido sometido a un procedimiento de evaluación de la conformidad. Para una empresa el marcado CE significa que su producto puede circular libremente por todo el Espacio Económico Europeo, y para los consumidores indica que el artículo que adquieren se ajusta a la legislación europea sobre el producto. Al colocar el marcado CE en un producto el fabricante declara que el producto cumple todos los requisitos aplicables y que asume la plena responsabilidad al respecto.

    Por su parte en la “Decisión 768/2008/CE de 9 de julio de 2008 sobre un marco común para la comercialización de los productos”:

    • Establece los principios y procedimientos comunes que la legislación de la Unión Europea debe seguir al armonizar las condiciones de comercialización de los productos en la UE y el Espacio Económico Europeo (EEE).
    • Incluye los requisitos de referencia que deberán incorporarse siempre que se revise la legislación sobre productos.
    • Establece las normas para el marcado CE.

    Entre otros elementos se establecen las definiciones de los agentes económicos que intervienen en la cadena de suministro y distribución. También establece un reparto claro y proporcionado de las obligaciones que corresponden respectivamente a cada agente en el proceso de suministro y distribución, es decir, delimita claramente el reparto de las responsabilidades entre los fabricantes, los importadores y los distribuidores a lo largo de la cadena del producto, así como de sus obligaciones.

    Además se establecen los procedimientos comunes de evaluación de la conformidad, y en función del riesgo que presente cada producto se legislará para establecer el más adecuado. La “evaluación de la conformidad” se entiende como el proceso que confirma si un producto satisface los requisitos necesarios en relación con un proceso, un servicio, un sistema, una persona o un organismo.

     

  • Conceptos de Compliance Técnico (I): Los actos jurídicos de la Unión Europea

    Conceptos de Compliance Técnico (I): Los actos jurídicos de la Unión Europea

    En la actividad de Compliance Técnico se han de tener en cuenta los diversos actos jurídicos que se adoptan por parte de las instituciones europeas.

    Los actos legislativos en la Unión Europea son: los Reglamentos, las Directivas, las Decisiones, las Recomendaciones y los Dictámenes.

    Los Reglamentos.

    Son actos jurídicos vinculantes, que deben aplicarse en su integridad en todos los países de la Unión Europea de forma automática desde su entrada en vigor, sin necesidad de incorporarlo al Derecho nacional. Esto significa que no requiere transposición a la legislación nacional, siendo obligatorios en todos sus elementos.

    Un ejemplo de reglamento vinculado al Compliance Técnico es el “Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”. Como se puede leer en su Artículo 99: “2.   Será aplicable a partir del 25 de mayo de 2018.”, es decir, desde esta fecha será de aplicación en toda la UE, independiente de la legislación propia existente hasta ese momento en cada país.

     

    Las Directivas.

    Son actos jurídicos vinculantes en los que se establecen objetivos que todos los países de la Unión Europea deben cumplir. La Directiva es un acto legislativo que debe transponerse a la legislación de cada país, es decir, debe desarrollar sus propias leyes, o adaptar las existentes, de forma que se exponga como se deben alcanzar los objetivos establecidos en dicha Directiva.

    Un ejemplo de Directiva vinculada al Compliance Técnico es la “Directiva 2014/30/UE, de 26 de febrero de 2014 , sobre la armonización de las legislaciones de los Estados miembros en materia de compatibilidad electromagnética (refundición) Texto pertinente a efectos del EEE”.

    El artículo en que se explica la transposición es el artículo 44 que expone:

    1. Los Estados miembros adoptarán y publicarán, a más tardar el 19 de abril de 2016, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en el artículo 2, apartado 2, el artículo 3, apartado 1, puntos 9 a 25, el artículo 4, el artículo 5, apartado 1, los artículos 7 a 12, los artículos 15, 16 y 17, el artículo 19, apartado 1, párrafo primero, los artículos 20 a 43 y los anexos II, III y IV. Comunicarán inmediatamente a la Comisión el texto de dichas medidas.

    Aplicarán dichas medidas a partir del 20 de abril de 2016.

    Cuando los Estados miembros adopten dichas medidas, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Incluirán igualmente una mención en la que se precise que las referencias hechas, en las disposiciones legales, reglamentarias y administrativas vigentes, a la Directiva derogada por la presente Directiva se entenderán hechas a la presente Directiva. Los Estados miembros establecerán las modalidades de la mencionada referencia y el modo en que se formule la mención.

    1. Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

    En España la transposición se hizo mediante dos Reales Decretos:

    Una curiosidad es que ambos Reales Decretos fueron publicados en el BOE el 10 de mayo de 2016, entrando en vigor al día siguiente; es decir, con retraso respecto a la fecha límite de transposición.

     

    Las Decisiones.

    Las decisiones son actos jurídicos vinculantes que pueden tener un ámbito de aplicación general o estar dirigidos a un destinatario concreto (uno o varios países de la UE, una o varias empresas o persones). Son actos obligatorios en todos sus elementos; lo que significa que no pueden aplicarse de forma incompleta, selectiva o parcial. Pueden ser tanto actos legislativos como no legislativos. Si la decisión especifica a quién va dirigida, debe notificarse a la parte interesada y surte efecto en el momento de la notificación.

    Un ejemplo de decisión vinculada al Compliance Técnico es la “Decisión nº 768/2008/CE: un marco común para la comercialización de los productos en la UE

     

    Las Recomendaciones.

    Las recomendaciones son actos jurídicos no vinculantes. Se integran en el marco de un proceso decisorio, expresando un juicio o valoración por parte de una institución. Las recomendaciones son sugerencias dirigidas hacia los destinatarios respecto a un comportamiento determinado; permiten a las instituciones europeas dar a conocer sus puntos de vista y sugerir una línea de actuación sin imponer obligaciones legales a quienes se dirigen.

    Un ejemplo de recomendación vinculada al Compliance Técnico es la “1999/519/CE: Recomendación del Consejo, de 12 de julio de 1999, relativa a la exposición del público en general a campos electromagnéticos (0 Hz a 300 GHz)

     

    Los Dictámenes.

    Son actos jurídicos que tienen un carácter no vinculante. Se utilizan para hacer declaraciones que, al no ser vinculantes, no imponen obligaciones legales a quién se dirigen. Se emiten dictámenes por parte de las principales instituciones de la Unión Europea (Comisión, Consejo y Parlamento) o de los comités (Comité de las Regiones y Comité Económico y Social Europeo), por ejemplo cuando se está elaborando legislación para dar un punto de vista desde la perspectiva de la institución emisora.

    Un ejemplo de dictamen vinculado al Compliance Técnico es el “Dictamen del Comité Económico y Social Europeo sobre: «Combatir la corrupción en la UE: afrontar las preocupaciones de las empresas y la sociedad civil»”.

     

     

  • Los delitos de caracter técnico en el Compliance Penal

    Los delitos de caracter técnico en el Compliance Penal

    En el Compliance Penal deberíamos considerar que se incluye el ámbito relativo a la “responsabilidad penal de las personas jurídicas” que se describe en los artículos 31 bis, 31 ter, 31 quater y 31 quinquies del Codigo Penal. En lo que se refiere a los delitos atribuibles a las personas jurídicas estos se describen en la Parte Especial del Código Penal, dónde la responsabilidad penal se circunscribe a un catálogo concreto de delitos.

    Entre estos delitos se puede considerar que algunos de ellos tienen una elevada componente técnica o tecnológica por lo que los incluiríamos dentro del Compliance Técnico. De acuerdo a lo que se indica en la “Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por ley orgánica 1/2015” emitido por la Fiscalía General del Estado los delitos con componente técnica o tecnológica son los siguientes:

    Además en la Circular 1/2016 se citan también los siguientes delitos como relativos a la “responsabilidad penal de las personas jurídicas”:

    • Tráfico ilegal de órganos humanos.
    • Trata de seres humanos.
    • Prostitución/ explotación sexual/ corrupción de menores.
    • Estafas.
    • Frustración de la ejecución.
    • Insolvencias punibles.
    • Blanqueo de capitales.
    • Financiación ilegal de los partidos políticos.
    • Contra la Hacienda Pública y contra la Seguridad Social.
    • Contra los derechos de los ciudadanos extranjeros.
    • Urbanización, construcción o edificación no autorizables.
    • Contra la salud pública (tráfico de drogas).
    • Falsificación de moneda.
    • Falsificación de tarjetas de crédito y débito y cheques de viaje.
    • Cohecho.
    • Tráfico de influencias.
    • Delitos de odio y enaltecimiento.
    • Financiación del terrorismo.
    • Delito de contrabando.
    • Relativos a la manipulación genética.
    • Alteración de precios en concursos y subastas públicas.
    • Negativa a actuaciones inspectoras.
    • Delitos contra los derechos de los trabajadores.
    • Asociación ilícita.
    • Organización y grupos criminales y organizaciones y grupos terroristas.
  • ¿Por qué creo que es importante el Compliance Técnico?

    ¿Por qué creo que es importante el Compliance Técnico?

    El Compliance se ha introducido como tema a tener en cuenta en la gestión empresarial a raíz de la introducción en el Código Penal español de la “responsabilidad penal de las personas jurídicas”. El desarrollo de esta responsabilidad se localiza en una relación de delitos dentro del Código Penal. Entre estos delitos hay varios que podemos considerar que son de carácter técnico o tecnológico.

    Tal como se expone en el artículo 31 bis del Código Penal se puede obtener la exención de responsabilidad si se cumplen una serie de condiciones. Entre esas condiciones está la “adopción y ejecución con eficacia de modelos de organización y gestión”. Entre los requisitos que deben tener estos modelos se citan la identificación de las actividades susceptibles de que se cometan esos delitos y de los protocolos para prevenirlo.

    Dado que como he dicho algunos delitos tienen carácter técnico o tecnológico creo que es necesaria una visión desde el lado de la técnica, especialmente desde la ingeniería, porque son los profesionales técnicos los que mejor pueden dar respuesta a los requisitos que se deben cumplir en los sistemas de Compliance.

    Además la ingeniería ha desarrollado metodologías para el análisis, la gestión y la prevención de riesgos; de entre las que puedo citar: la gestión de riesgos como parte integral de la gestión de proyectos, o las metodologías de análisis de riesgos en la seguridad de plantas industriales, o las metodologías para los sistemas de prevención de riesgos laborales. Todo ello supone una biblioteca de conocimiento aplicado que debería ser tenida en cuenta cuando se desarrolle el modelo de Compliance de una organización, especialmente, si tienen actividades de carácter industrial o tecnológico.

    Por ello creo que es importante desarrollar el Compliance Técnico, y definirlo como la rama del Compliance que hace referencia a los temas vinculados a la técnica y las tecnologías. Y que también propone metodologías para el desarrollo de la función de Compliance en las organizaciones, utilizando y adaptando las ya existentes en el ámbito de la ingeniería.