En otros artículos del blog hemos hablado del compliance y su importancia para las empresas de cualquier tamaño y actividad; en las siguientes líneas veremos ejemplos de compliance aplicados en una empresa y algunos casos reales en los el que compliance ha sido o habría sido determinante para las empresas y su responsabilidad penal por delitos cometidos por algunos de sus miembros, cuyo resultado les habría favorecido directa o indirectamente.

Ejemplos de compliance en una empresa

Si bien, la reforma del Código Penal en 2015 ya introdujo la figura de los programas de prevención de delitos penales para que las personas jurídicas pudieran atenuar o eximir su responsabilidad penal en la comisión de ciertos delitos por parte de sus miembros, la importancia de tener un programa de compliance en una empresa no ha cobrado relevancia hasta años más recientes, en parte, por los diversos casos e investigaciones penales, algunas muy notorias, en las que se han visto envueltas conocidas empresas españolas.

Como ya hemos dicho en otros de nuestros artículos sobre cumplimiento normativo, aunque la ley no obliga a tener implementado un plan de prevención de delitos penales en las empresas, lo cierto es que el compliance aporta varios beneficios a las empresas, siendo el más importante la posibilidad de atenuar o eximir a la empresa de su responsabilidad penal. Por ese motivo, en no pocos de nuestros artículos, hemos dicho que el compliance es obligatorio para toda empresa que quiera mejorar su seguridad jurídica, entre otras ventajas del compliance.

Además, no solo se trata de evitar o atenuar una posible responsabilidad penal para la empresa, el compliance también ayuda a evitar la comisión de infracciones administrativas que pueden acarrear diferentes costes económicos para la empresa.

Por ello, actualmente no es difícil encontrar algún ejemplo de compliance de una empresa, ya que cada vez son más las compañías que se preocupan de llevar al día su cumplimiento normativo. Así, algunos ejemplos de compliance en una empresa serían:

  • Diseño e implantación de medidas proactivas para proteger y salvaguardar los datos personales de clientes, empleados y socios, como pueden ser la implantación de políticas de protección de datos y protocolos de ciberseguridad, plan de respuesta ante desastres (DRP) o el uso de un software de protección de datos para controlar el cumplimiento de las obligaciones en esta materia.
  • Designar un compliance officer para supervisar la aplicación de las medidas de cumplimiento implementadas en la empresa, así como supervisar aquellas acciones u operaciones que pueden suponer un riesgo de incumplimiento.
  • Implementar políticas antisoborno.
  • Implementar un plan de prevención de delitos penales.
  • Implementar un canal de denuncias interno (que además es obligatorio para empresas de 50 o más empleados).
  • Tener un protocolo de prevención de riesgos laborales y un plan de vigilancia de la salud.
  • Implementación de medidas para la detección y la prevención del blanqueo de capitales.
  • Elaborar y aplicar un código ético o normativa interna.
  • Dar formación a los empleados sobre compliance y los riesgos de incumplimiento relativos a la empresa y su actividad.

Casos reales en los que se demuestra la importancia del compliance

Más allá de los ejemplos de compliance del punto anterior, para comprender mejor su importancia vamos a ver varios casos de compliance reales en los que las empresas sí contaban con un plan de compliance, aunque algunos de ellos no se trataban más que de lo que se ha denominado compliance de maquillaje o fake compliance y las consecuencias que esto tuvo para la empresa.

tarifas compliance

– Repsol, CaixaBank, Iberdrola, BBVA y el caso Villarejo

Si hay una historia real sobre el compliance y su importancia en España, sin duda, el caso Villarejo y la imputación en esta macrocausa de las empresas Repsol, CaixaBank, Iberdrola Renovables y BBVA es una de ellas.

Para ponernos un poco en antecedentes, estas cuatro empresas están imputadas en el caso Villarejo (macrocausa ‘Tándem’) como piezas separadas, para aclarar una serie de contratos y pagos que se hicieron a la empresa Cenyt (perteneciente al ex-comisario) para que esta llevará a cabo diferentes trabajos, algunos de los cuales consistían en espionaje e investigación y obstaculización de competidores, entre otros. Estas cuatro empresas, a través de sus jefes de Seguridad Corporativa, contrataron estos servicios a Cenyt, incurriendo en delitos de cohecho, descubrimiento y revelación de secretos y corrupción en los negocios.

Por todos estos delitos, Repsol, CaixaBank, Iberdrola Renovables y BBVA podrían enfrentar como empresas penas que, aparte de elevadas multas, también podrían implicar desde la suspensión de su actividad, pasando por la inhabilitación para obtener ayudas públicas o contratar con el sector público, hasta la disolución de la compañía. Y es aquí donde sus programas de compliance cobran especial relevancia, puesto que pueden suponer su exoneración o, en el peor escenario, atenuar las posibles penas que pudieran imponérseles, si finalmente deben «sentarse» en el banquillo.

Para muestra, ya en junio de 2022, el juez instructor de la causa archivó la investigación sobre Repsol y CaixaBank, porque estas habían aportado durante la investigación su «modelo de organización y gestión para la prevención de delitos», que en el momento de los hechos investigados, cumplía con los requisitos que exige el artículo 31.2 bis del Código Penal para estos planes. Es decir, que para el juez, el programa de compliance de Repsol y CaixaBank era suficiente para exonerarlas y no enviarlas a juicio.

Finalmente, la causa abierta contra estas empresas ha sido archivada mediante auto de la Audiencia Nacional, que entiende como válidos y suficientes los programas de compliance de ambas y sienta un precedente admitiendo que, aun siendo eficaces y capaces de crear una auténtica cultura del cumplimiento en la organización, los modelos de compliance pueden no ser «infalibles» y que la mitigación del riesgo no siempre significa riesgo cero.

Lo ocurrido con BBVA e Iberdrola Renovables es similar, si bien la causa abierta contra el banco es algo más compleja, tanto este como la eléctrica han aportado sus programas de compliance para evitar que las compañías acaben yendo a juicio.

En este caso, queda patente la importancia para las empresas de que su programa de compliance estuviera no solo ya implementado en el momento en que ocurrieron los hechos, sino en demostrar que contaba con controles y medidas efectivas y que estaba a cargo de un compliance officer con la autonomía e independencia suficiente para cumplir con sus funciones de supervisión y prevención, y que los delitos cometidos por sus jefes de Seguridad, se hicieron saltándose dichos controles.

La causa abierta contra BBVA e Iberdrola Renovables aún no ha sido archivada (pero es posible que siga la misma senda que las de Repsol y CaixaBank) y en caso de que alguna de las dos llegue a juicio, dependerá de probar la eficacia y validez de su programa de compliance el que sea eximida de responsabilidad penal o vea reducida su pena.

compliance casos reales

– El Barçagate

Nuestro siguiente caso real de compliance nos lleva no a una empresa, sino a un club de fútbol, pero que en la práctica es una persona jurídica, que está sometida a las mismas exigencias del CP, por no mencionar los estatutos de la Liga, dónde se recoge, desde 2015, que como requisito de afiliación, los clubes o sociedades deportivas deben contar con un programa de cumplimiento.

Hablamos del conocido como el caso Barçagate, en el que se imputó a varios directivos de la cúpula del club, entre ellos el entonces presidente, Josep María Bartomeu, por los delitos de administración desleal y corrupción entre particulares. Aquí no vamos a analizar los pormenores del caso, sino que nos vamos a centrar en si el FC Barcelona puede o no ser imputado como persona jurídica en el delito de corrupción entre particulares.

En el momento en que se cometieron los hechos que se investigan, el club tenía ya implementado un programa de cumplimiento normativo, además de contar, tal y como requiere el CP, con un compliance officer, por aquel entonces, Noelia Romero, especialista en compliance, quien, cumpliendo con sus funciones de control, llevó a cabo una investigación de las aparentes irregularidades que se estaban cometiendo dentro del club (en resumen, la contratación de una agencia para llevar a cabo una campaña de desprestigio contra directivos y jugadores contrarios a la directiva del club en ese momento).

Estos dos elementos, tener implementado un programa de compliance y el hecho de que su compliance officer cumpliera con las funciones que tiene atribuidas, no haciendo caso, además, de las presiones que le llegaban desde la cúpula del club (Bartomeu exigió en varias ocasiones conocer el alcance y extensión de la investigación), algo que le costaría poco después el puesto de trabajo (despido que impugnó y que finalmente la justicia ha reconocido como improcedente), han sido determinantes para que el FC Barcelona no vaya a ser procesado cuando finalmente comience el juicio.

Además, a diferencia de los casos de las empresas en la causa Tándem, en este caso el FC Barcelona no habría sido beneficiado por los hechos delictivos cometidos por sus directivos, sino perjudicado por ellos.

El Barçagate es un claro ejemplo de la importancia de tener no solo un programa de compliance, sino que este debe ser efectivo y promover la cultura del cumplimiento dentro de la empresa, algo que implica a los propios directivos, que son quienes deben implementar el denominado ‘tone at the top’. Además de la importancia de que el compliance officer sea independiente y cuente con completa autonomía y capacidad de control, para poder desempeñar las funciones que tiene encomendadas, sin miedo a que se tomen represalias contra él.

– El Caso Neymar

El siguiente de estos casos de compliance y ejemplos de situaciones reales, nos lleva, una vez más, al FC Barcelona, sin embargo, en esta ocasión, el resultado fue bastante distinto al del Barçagate. Nos referimos al denominado caso Neymar, por el que el club, como persona jurídica, fue condenado en 2017 por la comisión de fraude fiscal a pagar una multa de 5,5 millones de euros.

Este delito lo cometió Neymar, pero la Audiencia Provincial de Barcelona entendió que el plan de prevención de delitos del club falló y resultó ineficaz para evitar la comisión del mismo (de lo que, además, el club se vio beneficiado).

Lo «curioso» de este caso y que lo relaciona con el que hemos visto antes, es que fue el detonante para que el FC Barcelona se «tomara en serio» el compliance y la importancia no solo de tener hecho un programa de cumplimiento normativo, sino dotarlo de los recursos suficientes para llevar un adecuado control y supervisión sobre las operaciones del club e implementar esa cultura ética y de cumplimiento.

De hecho, la Audiencia Provincial de Barcelona atenuó la pena impuesta al club tanto por su voluntad para resolver el conflicto (acabó declarándose culpable) como la implementación de su programa de compliance tras el fallo del juicio.

compliance casos reales

– El fake compliance de Volkswagen

El último de nuestros casos reales de compliance nos lleva fuera de España (aunque también nos afectó), nos referimos al caso Volkswagen, también conocido como ‘Dieselgate’. En este caso, lo que tenemos es un claro ejemplo de fake compliance o compliance de maquillaje, es decir, que existe un programa de compliance, pero este o solo está para cumplir en apariencia con este requisito o fue completamente ignorado por la dirección y el órgano de control.

El caso Volkswagen saltó en 2015, cuando la EPA (Agencia de Protección Medioambiental de Estados Unidos) descubrió que los coches del fabricante alemán tenían implementado en el ordenador de abordo un programa que permitía trucar las pruebas de emisiones, de manera que durante las mismas emitía menos contaminantes que cuando se conducía en condiciones normales. De hecho, las mediciones reales decían que las emisiones eran 40 veces superiores al resultado de las pruebas.

El escándalo salpicó a directivos y al chief compliance officer (jefe de cumplimiento) de la compañía (que además fue detenido y finalmente declarado culpable). Sin embargo, Volkswagen tenía implementado un sistema de compliance y un código ético. ¿Qué falló entonces?

Lo que ocurrió es que la directiva decidió ignorar su propio sistema de compliance y aceptar el riesgo que suponía trucar las pruebas. Incluso llegó a indicar a sus ingenieros que debían ocultar toda la información relativa a ello. Todo ello en eras de ser más competitivos, poniendo por delante los beneficios económicos de la empresa.

Evidentemente, la jugada terminó por salir mal, porque se descubrió la trampa y el sistema de compliance de Volkswagen quedó tachado de fake compliance, puesto que no había resultado ser eficaz, porque quienes deberían haberse sometido a ello, decidieron no hacerlo.

El compliance se ha convertido en fundamental para las empresas

Como hemos podido ver a lo largo de los casos de compliance y ejemplos descritos en el punto anterior, y a modo de conclusión, el compliance es una pieza clave para cualquier compañía, no solo para las grandes empresas, sino también en lo que respecta al compliance para pymes, dado que algunas de las consecuencias que pueden derivarse de su responsabilidad penal, pueden ser desastrosas para ellas (multas elevadas que significarían la quiebra de la empresa, la suspensión, la pérdida de ayudas o la disolución, entre otras).

Pero el compliance no solo debe verse como una forma de eximir a la empresa de su responsabilidad penal; tanto si se lleva a cabo de manera interna como externa, a través de la contratación de un servicio de compliance o de un abogado especialista en compliance para que asuma la posición del compliance officer, el compliance debe promover en la empresa una auténtica cultura del cumplimiento, desde la propia dirección hasta todos y cada uno de sus empleados.

Porque el compliance también es prevenir la comisión de delitos, tener un mayor control sobre las operaciones de la empresa y los riesgos de incumplimiento a los que pueden enfrentarse sus miembros en su desempeño. El compliance no debe verse como un obstáculo para la obtención de mayores beneficios económicos, sino como una medida que ayudará a evitar incurrir en costes derivados de sanciones, tanto administrativas como penales, así como reputacionales y lo que implica la pérdida de confianza de inversores, socios y clientes.

Y lo más importante, el plan de compliance debe ser efectivo, implementarse y supervisarse, y no limitarse a un documento que tenemos en un cajón solo para cumplir un requisito, porque, cómo hemos visto, entonces resultará inútil tanto para prevenir la comisión de delitos como para atenuar o eximir a la empresa de su responsabilidad penal.