El Consejo General de la Abogacía Española (CGAE) aboga por que sean siempre abogados los que asuman el rol de responsable de cumplimiento normativo o compliance officer, pero desaconseja que este cargo lo ocupe el abogado interno de las compañías. Así lo señala en un informe que ha preparado la Comisión Jurídica de la institución sobre la intervención de los letrados como responsables de cumplimiento normativo.

Concretamente, el documento considera que el abogado de empresa no puede asumir el cargo de compliance officer sin que, al hacerlo, se produzca una colisión con el secreto profesional o suponga un peligro de conflicto de intereses.

En este sentido, el documento afirma que “no sería recomendable precisamente por razón de la función que se realiza (ser abogado interno de la empresa con anterioridad)”, ya que el compliance officer debe ser “un profesional (abogado) que ejerce una función de control y de verificación objetiva del cumplimiento del ordenamiento por esa misma empresa”.

Modelos de prevención

La Comisión Jurídica hace un análisis sobre los modelos de prevención de riesgos penales que deben implantar las empresas, las funciones que debe asumir el profesional que ejerce como compliance officer y las razones por las que considera que debe ser un abogado, y no otro profesional, quien asuma la labor de velar por el cumplimiento normativo en el seno de la empresa. Eso sí, un abogado externo e independiente, no vinculado a la compañía, según se desprende del informe.

Analizando las razones por las cuales considera que el abogado es el profesional más indicado para ejercer como responsable de cumplimiento, la Comisión argumenta que entre los principios éticos y deontológicos de la profesión está la “independencia frente a presiones, exigencias o complacencias que la limiten, ya sea respecto de los poderes públicos, económicos o fácticos, los tribunales, su cliente mismo o incluso sus propios compañeros o colaboradores” (artículo 2.4 del Código Deontológico de la Abogacía).

En este sentido, la Comisión ahonda en el hecho de que su independencia le permite “rechazar las instrucciones que, en contra de sus propios criterios profesionales, pretendan imponerle su cliente, sus compañeros de despacho, los otros profesionales con los que colabore o cualquier otra persona, entidad o corriente de opinión, cesando en el asesoramiento o defensa del asunto de que se trate cuando considere que no pueda actuar con total independencia” (artículo 2.5).

Funciones del responsable de cumplimiento

El informe considera que “asesorar y evaluar en derecho una conducta sólo puede hacerlo adecuadamente un abogado”. Y argumenta que este profesional es el que mejor sabe qué requisitos debe tener un plan de prevención de riesgos penales de cara a hacerlo valer y demostrar su eficacia ante los tribunales. En este sentido, subraya que “la notoria diferencia de los programas de prevención de riesgos penales respecto a los demás ordenamientos exigibles a la empresa es que la comprobación de si funcionan o no se va a medir por profesionales externos del mundo del derecho (jueces y fiscales) que van a utilizar reglas de carácter jurídico que solo existen en el mundo del derecho, concretamente en el Código Penal”.

Algunas cuestiones relativas al alcance de la responsabilidad del Compliance Officer en relación al solapamiento de sus propias funciones y las del órgano de administración de la empresa.

Sin duda, una de las cuestiones más discutidas y que más polémica genera, es el alcance de la responsabilidad de los órganos de supervisión y control del programa de prevención de delitos en la empresa o persona jurídica, y por supuesto, el mayor condicionante a la aceptación del cargo de “oficial de cumplimiento” o “Compliance Officer”.

La incertidumbre parece que va a continuar hasta que no aparezcan más resoluciones judiciales o, al menos, hasta que la cultura del compliance no se instaure de manera definitiva en nuestro país, pues todavía es demasiado novedoso como para asimilar el societas delinquere potest.

En cualquier caso, podemos afirmar que dicha responsabilidad no viene determinada tanto por la etiqueta que le demos al órgano de control, sino por las atribuciones que tiene y las funciones que ejerce, ya que lo importante es que cuente con los requisitos de independencia, integridad, autoridad, acceso a todos los niveles y recursos de la persona jurídica o empresa, y con una retribución específica que implique una dotación de presupuesto para desempeñar su labor.

Si carece de alguno de estos requisitos, no podremos decir que sea un verdadero garante, pues inevitablemente la ausencia de uno afectará al resto, y su capacidad de supervisar y controlar se volverá ineficaz.

Si por otro lado, cumple con todos los requisitos, habrá que estar al caso concreto, pero parece más lógico pensar que la función de garante principal la debiera ostentar la Alta Dirección, y el propio Compliance Officer ser un vigilante, o un garante secundario (a no ser que sea quien cometa el delito, o éste se haya cometido en ausencia del debido control, claro está).

No debemos olvidar tampoco que cuenta con un mecanismo como es el canal de denuncias, para trasladar a la Alta Dirección una posible conducta delictiva, y si su responsabilidad se ve comprometida, puede ponerlo incluso en conocimiento del Fiscal o Juez, pero registrando todo debidamente, pues la trazabilidad es fundamental para dejar constancia de cómo se reacciona ante una posible comisión delictiva y consecuentemente, verse exonerado de responsabilidad penal.

La Fiscalía General del Estado, en su Circular 1/2016, advierte que la omisión de un delito o su denuncia por parte del órgano de control, le puede llevar a ser responsable al formar parte de la organización y control de la empresa;pero también advierte que “su exposición personal no será superior a la de otros directivos de la persona jurídica”.

La doctrina se inclina por designar al Administrador de la persona jurídica como el verdadero garante, tal y como se recoge en el artículo 11 CP, y en la Ley de Sociedades, artículo 236 y siguientes, no quedando exonerados por el mero hecho de delegar funciones de supervisión y control en la figura del Compliance Officer.

Será fundamental por tanto, delimitar las funciones del Compliance Officer en su contrato o en el propio Estatuto regulador de esta figura, conocer su rol de supervisión y control del programa de compliance, actuar diligentemente. Asimismo, hacer uso de los todos los recursos de los que debería disponer, realizar una trazabilidad de todo aquello que sea relevante para la responsabilidad penal tanto de la persona jurídica como la suya propia, y evidentemente, no asumir como propias funciones indelegables que deben corresponder al Órgano de Administración.