Senior Manager KPMG

Partiendo de la base de que no es sino hasta la reforma del Código Penal del 2015 cuando se regula por primera vez –si bien de manera indirecta- la figura del Compliance Officer, debemos atender, en primer lugar, a la literalidad del artículo 31 bis a partir de esta reforma, para poder construir esta figura, así sea de manera tangencial.

La primera referencia a este órgano se encuentra en el artículo 31 bis número 2 condición segunda del Código Penal, que manifiesta simplemente que: “Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: […] 2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica”.

En segundo lugar, el Código Penal hace una nueva referencia al Compliance Officer en la condición cuarta del artículo 31 bis número 2, al tratar las funciones que esta figura debe desarrollar, por cuanto afirma que la persona jurídica quedará exenta de responsabilidad penal siempre que no se haya producido por parte del órgano al que se refería la condición 2ª, “una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control”.

Finalmente, el requisito número 5 del apartado 4 del artículo 31 bis establece que es obligatorio que los modelos de prevención de delitos impongan informar de los riesgos e incumplimientos al órgano “encargado de supervisar, vigilar el funcionamiento y observancia del modelo de prevención”. La norma establece un requisito dual para que una persona jurídica se pueda beneficiar de una eximente completa, de un lado la creación de un modelo adecuado y eficaz de prevención de riesgos penales y, de otro, la creación de un órgano que sea independiente y que tenga como función la de vigilar, supervisar y controlar el modelo de prevención implantado.

Aunque la propia Circular 1/2016 de la Fiscalía General del Estado manifiesta que el Código Penal no establece de forma clara y directa el contenido de las funciones de supervisión del oficial de cumplimiento o Compliance Officer, sí nos adelanta lo que consideramos representa un válido primer acercamiento sobre cómo deberían desarrollarse estas funciones, al manifestar que el Compliance Officer: “deberá participar en la elaboración de los modelos de organización y gestión de riesgos y asegurar su buen funcionamiento, estableciendo sistemas apropiados de auditoría, vigilancia y control […]. Para ello, deberá contar con personal con los conocimientos y experiencia profesional suficientes, disponer de los medios técnicos adecuados y tener acceso a los procesos internos, información necesaria y actividades de las entidades para garantizar una amplia cobertura de la función que se les encomienda”.

De igual manera, la Fiscalía señala que, según su criterio, el Compliance Officer debe necesariamente ser un órgano de la persona jurídica, ya que ello va a ser clave para garantizar el contacto diario con el propio funcionamiento de la organización. No obstante, también señala que lo anterior no implica que este órgano deba desempeñar por sí todas las tareas que configuran la función de cumplimiento normativo, que pueden ser realizadas por otros órganos o unidades distintos al específico de cumplimiento normativo, haciendo referencia a los departamentos de riesgos o de control interno, al servicio de prevención de riesgos laborales o al de prevención de blanqueo de capitales.

Adicionalmente, la Fiscalía señala con buen criterio que, “lo esencial es que haya un órgano supervisor del funcionamiento general del modelo, que deberá establecer claramente el responsable de las distintas funciones o tareas”.

Para finalizar, debemos realizar una reflexión acerca de si, a día de hoy, la jurisprudencia española puede ayudarnos en la definición de la regulación aplicable al Compliance Officer, por haber tratado esta cuestión en las resoluciones hasta el momento dictadas. En este sentido, encontrándonos ante una novedad normativa que inició su andadura en diciembre de 2010, si bien no son pocas las resoluciones que se han dictado en torno a la responsabilidad penal de las personas jurídicas (a día de hoy, en torno a 200 resoluciones), ninguna de ellas trata de forma directa la figura del Compliance Officer.

Además de la evidente novedad de la norma, cierto sector de la doctrina atribuye con acierto la falta de mención en las resoluciones al Compliance Officer al desconocimiento generalizado y confuso que existe sobre la responsabilidad penal de las personas jurídicas, que hace que las empresas no tengan asumida aún una cultura de cumplimiento ético, normativo o preventivo, lo cual provoca en última instancia la imposibilidad de los juzgados de pronunciarse sobre lo que aún no existe (protocolos penales preventivos y órganos de cumplimiento de estos en las empresas). Así, esta jurisprudencia, a día de hoy, se encuentra en fase calificable de “embrionaria”, por lo que se ha centrado hasta ahora en resolver aspectos más procesales que materiales de la institución, debiendo esperar al desarrollo jurisprudencial de esta figura que a buen seguro está por venir.