Cada vez con mayor frecuencia observamos que la inquietud de las organizaciones en materia de cumplimiento normativo ha variado (o evolucionado): mientras que hace pocos años se centraba en diseñar un Modelo de Compliance “desde cero”, ahora su preocupación suele pivotar en torno a la revisión “de lo ya implementado”. 

Por desgracia, la Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas (en lo sucesivo “la Circular”), parte del principio de desconfianza, lo que exige a las organizaciones extremar la atención en el diseño, implantación y revisión de los Modelos de Compliance, con el propósito de que éstos resulten “eficaces” (palabra que se repite hasta en 42 ocasiones en la referida Circular).

O, dicho de otro modo, más allá de que las compañías dispongan de una Política de Compliance “de la que se sientan tremendamente orgullosas”, lo verdaderamente importante es que el Modelo tenga la capacidad de adaptarse y de mantener su utilidad práctica frente a las cambiantes circunstancias de la organización y de su entorno. 

En este sentido, dado que las compañías no son entes estáticos, como tampoco lo son los riesgos a los que se enfrentan, es importante que el Modelo sea revisado periódicamente, de conformidad con el artículo 31 bis 5.6º del Código Penal (en lo sucesivo, “C.P.”).

Según la Real Academia Española, el adjetivo “periódico” significa “que guarda período determinado” o “que se repite con frecuencia a intervalos determinados”. Pero ¿qué entendemos por “revisión periódica” a efectos de cumplimiento normativo? ¿una revisión trimestral del Modelo de Compliance? ¿una anual? ¿una cada 5 años?  

Es curioso que, pese a que la responsabilidad penal corporativa lleva con nosotros una docena de años, sigue sin haber consenso (si no, más bien, ambigüedad), respecto de la periodicidad o tipología de esas revisiones del Modelo de Cumplimiento Normativo. De hecho, ni el C.P., ni la Circular, ni la UNE 19601:2017, sobre Sistemas de gestión de compliance penal (en adelante, “UNE 19601”)[1], son claros al respecto.Veámoslo.

En primer lugar, el C.P. establece en el ya citado art. 31 bis 5º.6 que “se realizará una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”.

Si nos paramos a analizar detenidamente el referido precepto, parece que no habría obligación de verificar los Modelos de Compliance sólidos donde no haya ocurrido tales circunstancias (“infracciones relevantes o cambios que los hagan necesarios”), aunque ello supondría alejarse de las buenas prácticas que recomiendan los estándares internacionales y una conducta temeraria en organizaciones de determinada dimensión.

En segundo lugar, la Circular parece que arroja un mínimo de luz (aunque muy tímidamente) respecto de la literalidad del C.P., al sostener en su folio 23 que “aunque el C.P. no establece plazo ni procedimiento alguno de revisión, un adecuado modelo de organización debe contemplarlos expresamente (…) y deberá ser revisado inmediatamente si concurren determinadas circunstancias que puedan influir en el análisis de riesgo (…)”. 

Por último, la UNE 19601, sí que abordó por vez primera la periodicidad de las revisiones de los Modelos de Compliance (aunque lo hiciese en una nota al pie de página), al afirmar que “se recomienda que el Sistema de Compliance se revise de manera anual”.

Por tanto, los tres Documentos parecen dejar en un segundo plano la “discusión” sobre la periodicidad en la supervisión de los Modelos de Cumplimiento Normativo, centrándose (en parte, con razón) en una fase anterior a la revisión, esto es, en el diseño de los Modelos de Compliance que, a la fecha de publicación de los citados Textos, era muy residual e incipiente. 

Expuesto lo anterior, a mi modo de ver, para que un Modelo de Cumplimiento Normativo sea idóneo, debe contemplar un doble sistema de revisión, y ello, independientemente del tamaño de la organización.  

De un lado, debe incluir una actualización anual u ordinaria que englobe aspectos más genéricos[2], como por ejemplo: (i) reformas legislativas que afecten a la función de Compliance; (ii) eficacia (o no) de los controles, medidas y procedimientos implantados; (iii) análisis del compromiso interno (empleados y directivos) y externo (socios de negocio) con la “cultura de cumplimiento” en la organización; o (iv) existencia (o inexistencia) de denuncias a través del canal de comunicación especialmente habilitado. 

De hecho, una situación muy generalizada al realizar estas revisiones ordinarias es la relativa a la ausencia de denuncias, quejas o dudas en el Canal de Denuncias. Por mucho que desde la organización se defienda que “eso se debe a que en la empresa somos todos muy éticos”, quizá también se deba a que los empleados de la compañía no saben dónde acudir ante la observancia de una eventual irregularidad en materia de Compliance. En ese caso, por ejemplo, sería interesante impartir una formación específica en la organización para que sus integrantes entiendan cómo, cuándo y para qué utilizar la referida herramienta (o, dicho sea de paso, para que el referido Canal no se convierta en una línea recurrente y genérica de atención al empleado).

De otro lado e independientemente de lo anterior, es necesario realizar una actualización extraordinaria o sobrevenida cuando, entre otras cuestiones, (i) se haya producido un incumplimiento grave del Modelo de Compliance (por ejemplo, la comisión de un delito por un integrante o socio de negocio en beneficio de la organización); o (ii) surja una variación en el organigrama funcional de la compañía que conlleve un cambio de actividades, productos o servicios, dentro de la persona jurídica.

Compliquémoslo un poco más. Imagínense que una compañía, en septiembre de 2022, realiza una revisión anual y ordinaria de su Modelo de Compliance, con tan mala suerte de que, 4 días más tarde, surge una reforma del C.P. que incluye dos nuevos delitos en el sistema de numerus clausus. ¿Debe la organización esperar 361 días (hasta la siguiente revisión ordinaria) o, por el contrario, debe actualizar su Modelo de manera extraordinaria para que no quede obsoleto hasta que se efectúe la siguiente revisión (“los modelos de organización y gestión deben estar perfectamente adaptados a la empresa y a sus concretos riesgos[3]”)?

Desde mi punto de vista, ese desafortunado supuesto de hecho sigue incluyéndose dentro de la revisión ordinaria del Modelo de cumplimiento normativo. El Compliance Officer debería dejar constancia escrita de que está al tanto de esa reforma del C.P. y de la necesidad de incluir esos nuevos delitos y controles, pero no en ese momento, sino en la próxima revisión ordinaria del Modelo, junto con las que demás actualizaciones genéricas que procedan.

Y es que, recordemos que el propósito de los Modelos de Cumplimiento Normativo gira en torno a su idoneidad, por lo que los mismos deben insertarse de manera dinámica en las organizaciones, so pena de incurrir en un exceso de información que, nunca mejor dicho, los haga ineficaces.  

[1] Ni tan siquiera las resoluciones de nuestros órganos judiciales sobre responsabilidad penal corporativa.

[2] Dependiendo de las necesidades, dimensiones e idiosincrasia de la persona jurídica, esa revisión anual podría ser más o menos exhaustiva. Por ejemplo, una actualización de la matriz de riesgos por departamentos, formaciones en materia de cumplimiento normativo sobre determinadas áreas, etc.

[3] Folio 22 de la Circular.