Compliance Corporativo: Marco Legal, Estándares y Responsabilidad Penal

Posted on por

Marco Histórico y Evolución del Compliance

El Compliance surge en Estados Unidos en el siglo XX como mecanismo empresarial para combatir la corrupción y el blanqueo de capitales.

Legislación Pionera en Estados Unidos

  • Pure Food and Drug Act (1906): Regula el etiquetado y la composición de alimentos.
  • Federal Reserve Act (1913): Establece la primera regulación bancaria.
  • Clayton Antitrust Law (1914): Ley contra los monopolios.
  • Banking Act (1933): Regula el sistema bancario.
  • Securities Acts (1933): Control del mercado bursátil tras el crack del 29.

En 1977 se aprueba la Foreign Corrupt Practices Act (FCPA), clave en la lucha contra el soborno internacional, aplicable globalmente a empresas estadounidenses y, desde 1998, también a extranjeras si actúan en EE. UU.

Impacto de Escándalos Corporativos y la Ley Sarbanes-Oxley

Los escándalos de Enron, Tyco o WorldCom provocan la promulgación de la Sarbanes-Oxley Act (SOX) de 2002, que:

  • Refuerza la supervisión contable.
  • Prohíbe préstamos a ejecutivos.
  • Protege a denunciantes (whistleblowers).
  • Responsabiliza a CEOs por fallos en auditorías.

Desarrollo del Compliance en Reino Unido y España

  • En Reino Unido, el UK Bribery Act (2010) se considera la regulación anticorrupción más estricta.
  • En España, la reforma del Código Penal de 2010 introduce la responsabilidad penal de la persona jurídica.
  • En 2015 se permite eximir esta responsabilidad si existen planes de prevención penal eficaces.

Evolución de la Responsabilidad Penal de la Persona Jurídica en España

Hasta el 24 de diciembre de 2010, las personas jurídicas no podían ser penalmente responsables. Solo respondían como responsables civiles subsidiarias, en virtud del aforismo latino societas delinquere non potest. Se consideraba que las personas jurídicas actuaban a través de personas físicas que respondían penalmente de manera individual.

Reformas Clave del Código Penal Español

Reforma del Código Penal de 2003

Se introdujo el artículo 129 CP, que permite la imposición de medidas contra personas jurídicas (como clausura, disolución o intervención), sin atribuirles responsabilidad penal directa.

Reforma del Código Penal de 2010

Primera regulación integral de la responsabilidad penal de la persona jurídica. Introduce:

  • El concepto de doble autoría (directivos y empleados).
  • La noción de buen ciudadano corporativo.
  • Programas de prevención del delito como atenuantes, pero no como causa de exención.
  • No se regula el contenido de estos programas.

Reforma del Código Penal de 2015

Supone un avance definitivo:

  • Define claramente el contenido del debido control.
  • Amplía los supuestos de responsabilidad penal.
  • Establece los requisitos para la exención de responsabilidad penal.
  • Regula de forma detallada los programas de cumplimiento normativo (compliance).

Hitos Jurisprudenciales y Normativos Post-2015

El 22 de enero de 2016, la Fiscalía General del Estado publicó la Circular 1/2016, relativa a la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal introducida por la Ley Orgánica 1/2015. Esta Circular establece las pautas de referencia para valorar la eficacia de los programas de Compliance a los que se refiere el artículo 31 bis del Código Penal.

El 29 de febrero de 2016, el Tribunal Supremo dictó la Sentencia 154/2016, que analiza, por primera vez, aspectos fundamentales de la responsabilidad penal de las personas jurídicas tras la reforma de la Ley Orgánica 1/2015.

Marcos de Normalización y Directrices en Compliance

Marcos de Normalización Internacionales

  • ISO 19600:2014

    Compliance Management Systems – Guidelines. Proporciona directrices sobre la implementación, mantenimiento y mejora de sistemas de gestión de Compliance.

  • ISO 37001:2016

    Anti-Bribery Management Systems – Requirements with guidance for use. Norma internacional que establece requisitos para sistemas de gestión antisoborno.

Marcos de Normalización Nacionales (España)

  • UNE-ISO 19600:2015

    Sistemas de Gestión de Compliance. Directrices. Traducción y adaptación nacional de la ISO 19600 al contexto español.

  • UNE 19601

    Sistemas de gestión de Compliance penal. Requisitos con orientación para su uso. Norma española específica para prevenir delitos en el marco empresarial conforme al Código Penal.

  • UNE-ISO 37001

    Sistemas de gestión antisoborno. Requisitos con orientación para su uso. Versión nacional de la norma ISO 37001 adaptada por la Asociación Española de Normalización.

  • BS 10500:2011 (British Standards Institution – Reino Unido)

    Specification for an Anti-Bribery Management System (ABMS). Precursor de la ISO 37001, centrado en la prevención del soborno.

  • AS 3806-2006 (Standards Australia)

    Compliance Programs.

Documentos y Directrices de Organismos Públicos Nacionales

  • Código Penal español – Art. 31 bis (Ley Orgánica 1/2015)

    Introduce la responsabilidad penal de las personas jurídicas y establece los requisitos para eximirla.

  • Fiscalía General del Estado – Circular 1/2016

    Criterios interpretativos sobre la responsabilidad penal corporativa y la eficacia de los modelos de prevención.

  • CNMV – Circular 1/2014

    Requisitos de organización interna y funciones de control para entidades que prestan servicios de inversión.

  • Ministerio de Justicia (Reino Unido) – The Bribery Act 2010 Guidance

    Guía práctica para ayudar a las organizaciones a prevenir el soborno conforme a la Bribery Act.

  • U.S. Department of Justice & SEC – FCPA Resource Guide (2012)

    Guía sobre la Foreign Corrupt Practices Act (FCPA), referente internacional en materia de anticorrupción.

  • U.S. Sentencing Commission – Guidelines Manual, Chapter Eight (2015)

    Criterios para la determinación de penas a organizaciones con base en sus programas de cumplimiento.

Documentos y Directrices Supranacionales

  • ESMA – Directrices sobre la función de cumplimiento en MiFID (ESMA/2012/388)

    Directrices europeas para asegurar la adecuada supervisión y control en empresas de inversión.

Marcos en Desuso o de Uso Decreciente pero Históricamente Relevantes

  • Directrices de la OCDE (desde 1961)

    Principios orientados al buen gobierno corporativo, como ética empresarial, lucha contra la corrupción y canales de denuncia interna. Aunque no específicas de Compliance, sentaron las bases de conceptos clave actuales.

  • COSO (I, II y III)

    Modelos de control interno y gestión de riesgos ampliamente adoptados:

    • COSO I (1992): Define el control interno como un proceso para garantizar la eficacia operativa, fiabilidad financiera y cumplimiento normativo.
    • COSO II (2004): Integra la gestión de riesgos empresariales (ERM), incorporando componentes como ambiente de control, establecimiento de objetivos, identificación de eventos, evaluación y respuesta a riesgos, controles, comunicación y supervisión.
    • COSO III (2013): Introduce mejoras en agilidad, confianza en la gestión de riesgos y calidad de la información.

  • IDW Assurance Standard 980 (Alemania, 2011)

    Norma técnica del Instituto Alemán de Auditores Públicos que establece criterios de aseguramiento para auditar sistemas de cumplimiento. Incluye principios como el apoyo institucional, estructuras organizativas, controles y seguimiento del Compliance.

La Organización Internacional de Normalización (ISO) y sus Estándares Clave

ISO es el acrónimo de International Organization for Standardization. La ISO es una organización no gubernamental que opera desde 1947, integrada por organismos nacionales de estandarización. Dado que es de naturaleza privada, carece de capacidad legislativa o ejecutiva, por lo que sus normas no son de obligado cumplimiento, sino recomendaciones o buenas prácticas. No obstante, muchas de estas normas se convierten en esenciales en la práctica empresarial, especialmente en materia de cumplimiento normativo (compliance).

ISO 19600 – Sistema de Gestión de Compliance

  • Situación actual de tramitación: Norma ISO
  • Norma de partida: AS 3806:2006
  • Tipo de norma: De Guidelines (no certificable)
  • Fecha de publicación: Publicada
  • Contenido esencial: Directrices para implantar un Sistema de Gestión de Cumplimiento (CMS), que permita cumplir con normas legales, estándares voluntarios y códigos éticos.

ISO 37001 – Sistema de Gestión Antisoborno

  • Situación actual de tramitación: Norma ISO
  • Norma de partida: BS 10500:2010
  • Tipo de norma: De Requirements (certificable)
  • Fecha de publicación: Publicada
  • Contenido esencial: Establece requisitos obligatorios para implantar un Sistema de Gestión Antisoborno, orientado a la prevención, detección y tratamiento del soborno.

Aspectos Clave de la Norma ISO 37001

  • Aplicable a cualquier organización (pública, privada, ONG).
  • No requiere un CMS general previo (como ISO 19600).
  • Adaptación al marco legal local (definición de soborno por país).
  • Enfoque de “requirements”: cumplimiento obligatorio para certificación.
  • Principio de proporcionalidad: medidas adaptadas al tamaño y riesgo de la organización.
  • Enfoque basado en el riesgo (Risk Based Approach – RBA).

La norma UNE 19601 establece los requisitos específicos que deben cumplir tanto el órgano de gobierno como la alta dirección en relación con el liderazgo y el compromiso en Compliance penal.

Canales de Denuncia y Protección de Denunciantes (Whistleblowing)

  • Ley Sarbanes-Oxley (EE. UU.): Obliga a las organizaciones bajo la SEC a tener vías para que el personal denuncie conductas delictivas sin temor a represalias.
  • Código de Buen Gobierno de Sociedades Cotizadas (España): El Artículo 50 establece la obligación de un mecanismo confidencial y, si es adecuado, anónimo para comunicar irregularidades relevantes.
  • Código Penal (España): El Artículo 31.bis 5 impone la obligación de informar posibles riesgos e incumplimientos al organismo de supervisión del modelo de prevención.
  • Directiva Europea: Exige la protección efectiva de denunciantes y que las entidades con más de 50 empleados establezcan canales seguros de denuncia.

Derecho de la Competencia: Normativa y Autoridades

El Derecho de la Competencia busca garantizar una competencia efectiva en beneficio de consumidores y usuarios. Es una normativa con gran incidencia tanto en pymes como en empresas no reguladas, con 21 expedientes sancionadores por un valor de 215 millones de euros.

La competencia tiene normativa nacional e internacional:

Normativa Europea de Competencia

  • TFUE (Tratado de Funcionamiento de la Unión Europea): Regula las restricciones verticales, aplicándose solo si afectan al ámbito europeo.
  • Reglamento (CE) n.º 139/2004: Permite la realización de un análisis pormenorizado de las actuaciones de las empresas en el mercado desde el punto de vista de la normativa.

Normativa Nacional de Competencia (España)

Ambas aplican restricciones verticales y horizontales, y se aplican si afectan a España.

  • Ley 15/2007, de Defensa de la Competencia (LDC)
  • Real Decreto 261/2008, por el que se aprueba el Reglamento de Defensa de la Competencia (RDC)

Autoridades de Competencia

  • Europa: Comisión Europea

    Tiene jurisdicción para analizar y aplicar la normativa europea.

  • España:

    • Comisión Nacional de los Mercados y la Competencia (CNMC): Garantiza, preserva y promueve el funcionamiento, la transparencia y la competencia efectiva. Aplica también la norma europea.
    • Juzgados de lo Mercantil y Civil: Tutelan los intereses económicos que han sido perjudicados por conductas prohibidas por la normativa de competencia.

  • Cataluña:

    • Autoridades autonómicas de la competencia.
    • Autoritat Catalana de la Competència (ACCO).