Compliance en Múltiples Jurisdicciones
Confluyen una serie de factores a tener en cuenta. Por un lado, la aplicación de diversas normativas penales que pueden llegar a incidir en la esfera de actuación de la persona jurídica y, por otro lado, la manera en la que dicha persona jurídica actúa en tales ámbitos geográficos. Esto último resulta de suma relevancia puesto que la persona jurídica podrá actuar tanto a través de entidades dependientes con personalidad jurídica propia (filiales) como a través de otras fórmulas que no conllevan dicha individualización de la personalidad jurídica (sucursales/establecimientos permanentes y también Uniones Temporales de Empresas o UTEs).
Desde un punto de vista subjetivo y organizativo no resultará inocuo que la sociedad opere a través de otra sociedad filial que a través de una sucursal. Ello se debe a que las sucursales, tal y como se ha expresado, carecen de personalidad jurídica propia, no son un ente independiente de la principal, por lo que aquellas actuaciones que pudieran llevarse a cabo en el seno o en relación con dicha sucursal y que pudieran ser calificadas como ilícitos penales, conllevarán una responsabilidad directa de la matriz de la cual dependen.
Por otro lado, sobre el régimen de las filiales se ha pronunciado la UNE 19601:2017 «Sistemas de gestión de Compliance penal. Requisitos con orientación para su uso» que establece en su Anexo D «Implementación del modelo de prevención penal en las filiales de la organización y en socios de negocio» que la organización deberá considerar y, evaluar la conveniencia de hacer extensiva la implementación del sistema de gestión de Compliance en sus filiales sobre las que ejerza el control.
Por ello, es necesario abordar una posible transferencia de responsabilidad desde la filial a la matriz, siempre y cuando ésta ejerza un control o influencia sobre aquella y el ilícito que ha tenido lugar en la filial, debido a un defecto del deber de supervisión y control, ha beneficiado directa o indirectamente a la matriz. En alusión a este control, la UNE 19601 establece que una organización tiene el control sobre otra cuando directa o indirectamente controla su gestión y posee la mayoría de sus participaciones o derechos de votos, recomendando que el control no debe ser valorado exclusivamente en función del volumen de negocio.
La UNE 19601 va más allá y establece que en el caso de sociedades no controladas, si el análisis de riesgos llevado a cabo por la matriz concluye que existe riesgo, deberá evaluarse, igualmente, la conveniencia de implementar controles de prevención. Y el tipo de controles a aplicar deberán ser razonables y proporcionales al riesgo. Así, en caso de valoración alta, deberán aplicarse los controles contemplados en la UNE; en caso de riesgo medio, los controles mínimos, tal como una política de prevención de delitos, formación y la designación de un órgano de supervisión y, en caso de riesgo bajo, formación y controles sobre transacciones claves y concretas.
Pero, ¿el análisis de riesgos, se podría llevar a cabo desde la matriz, en ocasiones desconocedora de la realidad jurídica de las filiales? O ¿es necesario que cada entidad implemente un modelo de prevención de riesgos? La cuestión ha dado lugar a modelos centralizados y descentralizados, y para no hablar de blancos ni negros, también existe un modelo híbrido.
La centralización absoluta, supone unificar la función de Compliance en la jurisdicción donde radica la matriz, ejerciendo desde allí sus cometidos de vigilancia y control. Ello puede suponer una pérdida de percepción local en el ámbito de la prevención penal y dificultades para su gestión debido a la ausencia de soporte local así como poner en riesgo el acceso a la exención de responsabilidad criminal de la persona jurídica en cuyo seno se haya producido el ilícito por no disponer de modelo de prevención penal propio.
En segundo lugar, un modelo descentralizado pretende una gestión independiente de Compliance en cada jurisdicción, por lo que cada una deberá llevar a cabo un análisis de riesgos teniendo en cuenta los delitos locales, así como contar con un Compliance Officer en cada una de las entidades con personalidad jurídica propia. La idea es romper la percepción de grupo con el fin de evitar la contaminación de responsabilidades.
Finalmente, el modelo híbrido es un sistema mixto en el que la función de Compliance disfruta de una visión de conjunto favoreciendo las estructuras locales y atendiendo y respondiendo a su problemática particular pero centralizadas desde la matriz. La idea es evitar la excesiva onerosidad que eventualmente supone replicar órganos de prevención penal a lo largo de todo un grupo. Es un método implementado en multinacionales extranjeras de tamaño medio, en las cuales el órgano central de prevención penal presta soporte y ayuda a coordinar modelos simplificados a nivel de jurisdicciones.
Excelente artículo Jime!!!
Agrego una observación personal, si me permites.
He observado que las empresas multinacionales de gran volumen, si bien desarrollan en su mayoría programas de compliance híbridos bastante robustos, no siempre logran su cometido a nivel local.
Por ejemplo, en pequeñas jurisdicciones, las empresas de telecomunicaciones son monopolio, con lo cual, al efectuarse la denuncia por los canales correspondientes, se hace difícil que el denunciado no descubra quién es el denunciante, y en otros casos, las personas no denuncian para no quedarse sin servicio.
Otro problema de las pequeñas jurisdicciones, es que existen usos y costumbres que se aplican en contra de las normas legales o voluntarias, y pasan desapercibidas por los responsables de las empresas, pero pueden ocasionar serios problemas de cumplimiento en el mediano y largo plazo.