En México es posible sancionar a las empresas por no contar con un programa de cumplimiento

Anteriormente, la práctica legal era sancionar a las personas físicas que incurrían en determinado delito, pero, con el tiempo, las legislaciones nacionales han ido evolucionando para incluir la responsabilidad de la persona moral en sus estatutos. En el presente artículo hablaremos sobre la responsabilidad penal de las personas jurídicas por actos cometidos en su nombre, para su beneficio o mediante sus recursos, y, con especial atención, por no contar con un debido sistema de control.

Marco Normativo Internacional

En los últimos años se ha observado un incremento en el fortalecimiento de las disposiciones normativas en torno a la responsabilidad penal de las personas jurídicas, es decir, de una sociedad o empresa, como muestra la existencia de instrumentos legales internacionales que han determinado el deber de los Estados de tomar medidas al respecto. A continuación, algunos ejemplos de dichos instrumentos:

a) La Convención para Combatir el Cohecho de Servidores Públicos Extranjeros en Transacciones Comerciales Internacionales de la OCDE (1997), Artículo 2: 

“Cada Parte tomará las medidas que sean necesarias, de conformidad con sus principios jurídicos, para establecer la responsabilidad de las personas morales por el cohecho de un servidor público extranjero.”

b) La Convención de las Naciones Unidas contra la Corrupción (2003), Artículo 26: 

“Cada Estado Parte adoptará las medidas que sean necesarias, en consonancia con sus principios jurídicos, a fin de establecer la responsabilidad de personas jurídicas por su participación en delitos tipificados con arreglo a la presente Convención. Con sujeción a los principios jurídicos del Estado Parte, la responsabilidad de las personas jurídicas podrá ser de índole penal, civil o administrativa.”

c) La Convención de las Naciones Unidas contra la Delincuencia Organizada Trasnacional (2010), Artículo 10:  

“Cada Estado Parte adoptará las medidas que sean necesarias, de conformidad con sus principios jurídicos, a fin de establecer la responsabilidad de personas jurídicas por participación en delitos graves en que esté involucrado un grupo delictivo organizado […]”

En las citadas convenciones internacionales, se establece, independientemente de la responsabilidad de las personas físicas (individuo que lleva a cabo el acto ilícito miembro o no de una organización), la existencia de la responsabilidad de las personas jurídicas, esto, como bien menciona Cabeza de Vaca Hernández, con el fin de “proteger el bien jurídico social que la persona jurídica puede lesionar con motivo de su actividad corporativa, la que se ha expandido notablemente con motivo de la globalización comercial.” (2018, Responsabilidad Penal de la Persona Jurídica. Instituto de Investigaciones Jurídicas, UNAM).

Legislaciones Nacionales

A su vez, podemos encontrar disposiciones que abordan la responsabilidad de las personas jurídicas en legislaciones nacionales. Mencionaremos aquí sólo tres ejemplos de instrumentos normativos en otros países.

1) España. En junio del 2010, “por primera vez el Código Penal establece la responsabilidad penal de las personas jurídicas por delitos cometidos en su nombre por sus representantes, administradores, empleados y trabajadores contratados” (Juan Pablo Cavada Herrera, 2017. Biblioteca del Congreso Nacional de Chile). Por otro lado, en julio del 2015, España impulsa el desarrollo de programas de cumplimiento, de los cuales hablaremos más adelante, mediante la reforma de su Código Penal, al describir las características que dichos programas deben tener con el fin de eximir de la responsabilidad penal a las personas jurídicas ver nota

2) Chile. En 2009, entra en vigor la Ley sobre Responsabilidad de la Persona Jurídica (N° 20.393), en cuyo artículo número tres se determina la atribución de la responsabilidad penal de las personas jurídicas por delitos cometidos “directa e inmediatamente para su interés o para su provecho por sus dueños, controladores, responsables, ejecutivos principales, representantes o quienes realicen actividades de administración y supervisión  siempre que la comisión del delito fuere consecuencia del incumplimiento, por parte de ésta, de los deberes de dirección y supervisión. ” enlace a Ley 20.393

Posteriormente, en noviembre de 2018, y como muestra del compromiso anticorrupción de este país, se aumentan las penas por actos de cohecho y soborno y se incorporan cuatro delitos económicos al catálogo por el cual responde penalmente la persona jurídica al modificar la Ley  N°20.393, mediante la Ley N° 21.121: cohecho entre privados, administración desleal, negociación incompatible y apropiación indebida ver nota. Nótese que, por primera vez, se incluye la corrupción entre privados como delito. En este sentido, Chile se encuentra a la vanguardia en el alcance y carácter punitivo de la legislación sobre las prácticas indebidas y anticorrupción en Latinoamérica, tendencia hacia la cual el resto de la región parece estar siendo impelida, como ya lo han hecho con anterioridad países como Estados Unidos, Francia y Reino Unido.

3) Colombia. La Ley 1474 del 2011, en el artículo 34, especifica las Medidas contra Personas Jurídicas que hayan buscado beneficiarse de la comisión de delitos contra la Administración Pública, “o cualquier conducta punible relacionada con el patrimonio público, realizados por su representante legal o sus administradores, directa o indirectamente ” enlace a Ley 1474. Más adelante, en 2018, se presentan los Proyectos de Ley 117 y 127, los cuales prevén adiciones al Código Penal, estableciendo, de manera respectiva, la función atenuante de la responsabilidad penal de la organización por la existencia de un modelo de Compliance y las características que éstos deben tener para poder ser considerados como un elemento mitigante ver nota.

Legislación Mexicana

En México, en el Código Penal Federal, en su artículo 11, se estipula que “cuando algún miembro o representante de una persona jurídica, o de una sociedad, corporación o empresa de cualquiera clase, con excepción de las instituciones del Estado, cometa un delito con los medios que para tal objeto las mismas entidades le proporcionen, de modo que resulte cometido a nombre o bajo el amparo de la representación social o en beneficio de ella, el juez podrá, en los casos exclusivamente especificados por la ley, decretar en la sentencia la suspensión de la agrupación o su disolución, cuando lo estime necesario para la seguridad pública.” enlace al CPF

A su vez, en el Código Nacional de Procedimientos Penales (CNPP), que entró en vigor en 2016 se determina, en el artículo 421, que “las personas jurídicas serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización. Lo anterior con independencia de la responsabilidad penal en que puedan incurrir sus representantes o administradores de hecho o de derecho.”

De acuerdo a la normativa mexicana, esto quiere decir, en primer lugar, que aquellos actos indebidos o ilícitos que son cometidos ya sea por un actor interno o externo de la organización, realizados en su beneficio o a través de medios proporcionados por la empresa y, sin que haya sido necesariamente a su nombre, pueden conducir al enjuiciamiento de la empresa.Y, en segundo lugar, que la persona jurídica podrá ser sancionada por no contar con un sistema implementado que asegurase la prevención del acto ilícito (“un debido control”).

Medidas de Mitigación

Por otro lado, en el mismo Código Penal, en el artículo 11 Bis, se establecen las medidas de mitigación de sanciones donde estas “podrán atenuarse hasta en una cuarta parte, si con anterioridad al hecho que se les imputa, las personas jurídicas contaban con un órgano de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables para darle seguimiento a las políticas internas de prevención delictiva y que hayan realizado antes o después del hecho que se les imputa, la disminución del daño provocado por el hecho típico.”

Pero ¿qué quiere decir debido control en este contexto?

Estas disposiciones legales advierten la importancia de un debido control en la organización, al ser considerado uno de los elementos para determinar la imputación de un delito a la persona jurídica. Esta función se refiere a la metodología y líneas de acción que se implementan para asegurar la observancia de las obligaciones legales que atañen a una empresa, lo que se conoce como sistema de cumplimiento (término adoptado del anglicismo “compliance”).

Para lograrlo, es necesario, primero que nada, identificar el marco normativo al cual la empresa está sujeta, es decir, las leyes y reglamentos que debe cumplir debido a su ubicación geográfica o al sector al que pertenece; así mismo se deben considerar las aspiraciones de la propia empresa y de las terceras partes a satisfacer con el fin de operar exitosamente y lograr sus metas organizacionales. Posteriormente, la organización debe asegurarse de implementar las medidas de monitoreo, vigilancia, evaluación y mejora continua, que garanticen la sostenibilidad y adecuación constante del sistema de cumplimiento en su conjunto.

Qué áreas abarca un Sistema de Cumplimiento

Las áreas a controlar en una organización son muchas, pero, entre algunas de ellas podemos mencionar el lavado de dinero, el tráfico de influencias, el acoso sexual, la discriminación laboral, el conflicto de intereses, la privacidad de los datos personales y el soborno.

Existen diversos casos recientes de enjuiciamiento de grandes compañías por haber fallado en la implementación adecuada de los controles de alguna de estas áreas o por la ausencia de un sistema de cumplimiento, y que les ha costado a las empresas la pérdida de reputación y sumas millonarias en sanciones, sin mencionar las consecuencias penales para los encargados del cumplimiento y directores. Entre ellos podemos citar los casos de Ford por denuncias de acoso sexual, Starbucks por discriminación por parte de su personal, HSBC por lavado de dinero y evasión fiscal, la Alianza Nissan, Renault y Mitsubishi por evasión fiscal y corrupción de su ex CEO, y los bien conocidos casos de corrupción de Odebrecht, Walmart de México y recientemente BBVA Bancomer, entre muchos otros más.

Como podemos observar, el alcance de un sistema de cumplimiento, así como de las sanciones por no implementarlo adecuadamente, es amplio. Cada día son más los asuntos que deben estar en regla y en concordancia con la legislación y las responsabilidades a las que está circunscrita una empresa. Y no hablamos solamente de leyes, también nos referimos a las cada vez mayores exigencias y demandas de diversos actores como los son la sociedad civil, los medios de comunicación y las organizaciones internacionales. Por ello, es indispensable contar con un sistema de cumplimiento bien establecido y basado en las mejores prácticas internacionales, que asegure no sólo la implementación sino también la integración de una cultura de un correcto actuar a lo largo de la organización, de tal manera que la dinámica que genere al interior se vuelva sostenible y parte de la identidad misma de la empresa.

Cómo asegurar un debido control

Una vez que se comprende la necesidad de contar con un debido control al interior de la organización, el primer paso es decidir implementar un sistema de cumplimiento, o bien, hacer los ajustes para  su adecuado funcionamiento. Es verdad que hoy en día son muchas, si no es que la mayoría de las empresas que ya cuentan con un sistema de cumplimiento administrado por el área de control interno, auditoría, contabilidad o el departamento jurídico; el problema es que una buena parte de éstos se encuentran, por decirlo de alguna manera “mancos”. Algunos de estos programas sólo existen plasmados en los instrumentos normativos de la compañía, otros abordan uno o dos temas que consideran los más riesgosos pero ignorando que afuera las leyes y las exigencias se están volviendo cada vez más estrictas y que, actualmente, conductas que eran consideradas como “normales” o propias de la cultura de los negocios están siendo cada vez menos toleradas, más señaladas y más perseguidas, tal es el caso de los actos de soborno y de corrupción, cuyos ejemplos de enjuiciamiento se han mencionado anteriormente.

Por ello, el requisito primario a la hora de implementar eficazmente un programa de cumplimiento es el compromiso de los líderes, del consejo de administración con un sistema genuino de cumplimiento.  Es verdad que debe existir una persona o un departamento encargado de administrar el sistema (un compliance officer, o el área de compliance) pero, de no contar con la voluntad y decisión de los que están a la cabeza el emprendimiento está condenado al fracaso desde un inicio.

Vale la pena, por lo tanto, conocer sobre las mejores prácticas internacionales en esta materia, dirigir la mirada hacia aquellos estándares reconocidos y validados a lo largo del mundo y los cuales ya están mostrando su efectividad a la hora de ayudar a las empresas a establecer y mejorar continuamente un sistema que permita cumplir con las obligaciones y las responsabilidades en temas como la integridad corporativa, la transparencia y la anticorrupción. Entre estas mejores prácticas se encuentran las normas ISO (International Organization of Standarization), tal es el caso de la ISO 19600:2014 Sistema de Gestión para el Cumplimiento y la ISO 37001:2016 Sistema de Gestión Anticorrupción, cuya creación responde a la guía emitida previamente por convenciones y organizaciones internacionales, así como por legislaciones nacionales existentes, de tal forma que se pudieran homologar dichos principios y recomendaciones en un sólo instrumento reconocido internacionalmente.

Tahere Amador Vázquez

CCRC Auditoría y Control Interno, SC. (2019)