El compliance se populariza por su mención en normas de amplio alcance subjetivo. Por eso, su aparición en la esfera penal estimula esa rápida difusión, aun siendo una noción ya presente en los marcos normativos de los mercados regulados. Su nexo con grandes casos mediáticos por aplicación de la US Foreign Corrupt Practices Act (FCPA) o con el régimen de responsabilidad penal de las personas jurídicas, favorece su conocimiento general.
Al repasar el volumen de estos expedientes comprobamos que son estadísticamente escasos en comparación con la cantidad de organizaciones existentes: en el 2023 FCPA Year Review de la Standord Law School figura el número de casos iniciados cada año durante la última década, arrojando una media de 36. La cifra es todavía menor, si tenemos en cuenta que algunos de ellos computan por duplicado, al haber involucrado tanto al Department of Justice (DoJ) como a la Securities and Exchange Commission (SEC), produciendo dos expedientes administrativos para una misma investigación. En el año 2023 se contaron 21 casos en total, sin filtrar esa redundancia. Además, el 77% del importe de las sanciones las acapararon sólo tres de las compañías investigadas. Es un panorama muy modesto, considerando el carácter extraterritorial de la FCPA y lo que ello supone en términos de potenciales afectados. Lo mismo ocurre en la esfera nacional, pues en la primera década de aplicación del régimen de responsabilidad penal de las personas jurídicas en España, sólo se contabilizaban sentenciados por el Tribunal Supremo una cuarentena de casos relevantes, lo cual nuevamente ilustra un volumen reducido de organizaciones afectadas.
No debe interpretarse como un fracaso la cifra relativamente modesta de persecuciones criminales de las organizaciones. El principio de última ratio o de intervención mínima del derecho penal significa aplicarlo cuando no existen otros modos de protección menos lesivos o invasivos.
La criminalización de las actividades empresariales es un fenómeno que aparenta contravenir este racional. La ampliación del catálogo de delitos aplicables a la persona jurídica, que se observa tanto en España como en otros países (Chile y Perú, por ejemplo), obedece a que determinadas malas praxis no remiten por otros cauces legales. Obviamente, tal extensión incrementará inevitablemente el número de persecuciones criminales a las organizaciones, aunque debieran circunscribirse a supuestos de gravedad donde el marco civil o administrativo se haya demostrado inútil.
Aun siendo aparentemente bajo el número de procedimientos penales, nadie quiere verse involucrado en ellos. Aunque los motivos merecerían un estudio sociológico, suelen guardar relación con que: (i) el resultado de estos procedimientos puede ocasionar penas de privación de libertad; y, además, (ii) su impacto mediático y daños en la reputación son elevados. Siguiendo una aproximación probabilística clásica, aunque el riesgo de concluir en la arena criminal es escaso, sus consecuencias son graves o catastróficas en bastantes ocasiones. Por ello, aun conociendo la ratio relativamente baja entre organizaciones potencialmente afectadas y casos reales de persecución penal, nadie desea esa experiencia traumática.
Dicho lo anterior, cuando los máximos gestores de las organizaciones ya han dispuesto medidas para la prevención, detección y gestión temprana de irregularidades penales, visualizan su utilidad para prevenir infracciones civiles o administrativas, mucho más frecuentes y con consecuencias nada despreciables: los regímenes sancionadores en los ámbitos administrativos de la defensa de la competencia, de la privacidad o del medio ambiente, por ejemplo, son especialmente gravosos. Esta expansión del compliance es un hito muy natural en la curva de madurez de las organizaciones.
Algunas normas sobre la responsabilidad penal de las personas jurídicas, como el Código Penal español, prevén la pena de disolución. Sin embargo, la extinción de las organizaciones puede producirse –de facto- por la vía civil. Puesto que algunos incidentes de compliance afectan a una pluralidad de damnificados, la responsabilidad civil hacia ellos fácilmente alcanza cifras astronómicas que abocan a la quiebra. Esto ya se ha vivido en algunos procesos penales, donde la cuantificación de la responsabilidad civil es susceptible de rematar a la organización.
El primer paso para extender el alcance de un modelo de compliance inicialmente diseñado para la prevención penal, es identificar los riegos a sumar en su perímetro técnico. Cuando se elaboró el estándar ISO 37301:2021 sobre Sistemas de Gestión de Compliance [Link 6] se debatió si debían ser todos o solamente los principales. Puesto que el volumen normativo que afrontan las organizaciones es elevado, se entendió razonable que un modelo cubriese los principales focos de riesgos, a partir de un enfoque basado en el riesgo. Es un ejercicio para realizar y documentar cuidadosamente, especialmente cuando se pretende obtener una certificación de la conformidad por un tercero independiente. A partir de ahí, procederá desarrollar el ejercicio de evaluación de riesgos para cada uno de esos focos de riesgo y aplicarles las medidas razonables para su prevención, detección y gestión.
Trato los modelos transversales de compliance en el video número 28 de la Serie dedicada a Reflexiones sobre Compliance, comentando aquellos aspectos clave que deben tenerse presentes a la hora de convertir un modelo de compliance especifico –por ejemplo, de prevención penal- en otro de alcance transversal.
