El Código Penal Español hace referencia de forma expresa a 6 requisitos que deben contener los Programas de Compliance Penal o Programas de Prevención de Riesgos Penales para ser efectivos
La eficacia es uno de los requisitos más importantes que exige la jurisprudencia para que la empresa juzgada pueda beneficiarse de las eximentes de responsabilidad penal.
Esto nos lleva, como primera fase de elaboración del Plan, a la necesidad de realizar un correcto análisis de riesgo dentro de la empresa, es decir, de los diferentes tipos penales (infracciones penales) que puede cometer una persona jurídica, cuáles son los que la empresa en cuestión son más probables que cometa, atendiendo a su sector de actividad, tamaño, actividades de riesgo, etc.
Ese análisis de riesgo debe de poder identificar y valorar el nivel de comisión del delito respecto a cada uno de los delitos analizados, atendiendo a los antecedentes históricos de la empresa, a su potencial comisión en función de sus actividades y tomando en consideración igualmente los medios de detección y control de los riesgos existentes en el momento de realizar tal análisis.
Este análisis nos ayudará a hacer hincapié en las labores de prevención y control de los riesgos que sean más probables que se produzcan en el seno de la organización.
Una vez identificadas las áreas de riesgo, corresponde a la empresa aplicar los protocolos y procedimientos necesarios para mitigar tales riesgos. Esto se lleva a cabo de dos maneras distintas, por un lado estableciendo los estándares de conducta y políticas necesarias para orientar a su personal y fijar los procedimientos que deben cumplir; y por otro, adoptando las medidas preventivas y correctivas concretas que garanticen una actividad de la empresa acorde a la normativa. Todo ello se reflejará adecuadamente en el código ético o de conducta de la empresa, en su manual de compliance y en las distintas políticas sectoriales que se aprueben, lo que luego implicará una importante actividad de formación y didáctica dentro de la empresa.
Debe de haber un compromiso total con el Plan de Prevención de delitos por parte de la alta dirección de la empresa, incluso también en lo económico, lo que debe permitir al comité de cumplimiento o al compliance officer contar con los recursos necesarios para llevar a cabo sus tareas, así como gozar de la autonomía necesaria que precisa.
Esto nos lleva a hablar de dos cuestiones:
En primer lugar de la formación: el personal de la empresa ha de estar debidamente formado en la materia, pues difícilmente se puede informar y denunciar acerca de aquello que se desconoce, es decir, un trabajador mal va a poder denunciar una revelación de secretos si no sabe lo que es.
En segundo lugar, la empresa tiene el deber de implantar un canal de denuncias que permita hacer llegar de forma eficaz las denuncias al comité de cumplimiento o al compliance officer. La obligatoriedad del canal de denuncias para empresas de más de cincuenta trabajadores es una realidad ya aprobada en 2019 por la Directiva de Protección al Denunciante de Corrupción (whistleblower), que debe ser transpuesta a nuestro ordenamiento interno a lo largo del año 2021.
La aplicación de las medidas oportunas una vez se detecte el incumplimiento del Programa de Compliance Penal o de Prevención de Riesgos Penales es un requisito esencial dirigido a garantizar la efectividad del sistema (en este sentido, si un trabajador o directivo presencia la comisión de un delito debe de utilizar inmediatamente el canal de denuncias interno) debiendo la empresa adoptar medidas contra aquellos que no cumplan con las normas. Esos incumplimientos y sanciones deben ser reflejados en el sistema disciplinario propio de la empresa.
El seguimiento y la mejora continua es esencial, pues el programa debe continuar adaptándose progresivamente a los factores internos (nuevas actividades y riesgos derivados de la operación de la empresa) como externos (cambios legislativos, nuevas regulaciones, etc.). Además nuestra jurisprudencia viene exigiendo que los planes sean eficaces, es decir, personalizados, controlados y auditados.