Por Anna Núñez Miró
Abogada. Directora de Compliance en Molins Defensa Penal
A. Núñez:En primer lugar, nos gustaría conocer tu trayectoria profesional y, especialmente, lo relativo a tu aproximación al compliance.
D. Espigado: Hasta mi etapa reciente en MEDSIR, siempre había trabajado en grandes despachos, siempre en departamentos dedicados al derecho penal de empresa, compliance y, más recientemente, investigaciones internas, salvo una corta etapa inicial en la que me dediqué a la litigación civil y al arbitraje. Mi aproximación al compliance diría que fue igual de progresiva que la aproximación de los grandes despachos al compliance. En la mayoría de los despachos, los profesionales dedicados al compliance eran casi todos penalistas que se habían encontrado con la necesidad de dar un nuevo asesoramiento especializado a raíz de la reforma del Código Penal de 2010. Antes, era difícil oír hablar de compliance en España, salvo en filiales de multinacionales con matrices en países donde la disciplina era ya tradicional. Tuve muy buenos profesionales de los que aprender, pero también grandes dosis de autodidactismo, como los profesionales de los que aprendí.
A. Núñez:Nos gustaría saber asimismo qué es MEDSIR, cuál es su actividad empresarial y dónde opera.
D. Espigado: MEDSIR es una empresa internacional de más de 90 empleados con sedes en Barcelona (España) y Nueva Jersey (Estados Unidos), dedicada a la creación y gestión de ensayos clínicos innovadores en oncología. Convertimos las ideas clínicas de los oncólogos en estudios reales y los ayudamos desde la concepción de la idea hasta la publicación de resultados en revistas científicas de primer nivel. Se podría decir que conectamos el talento de los investigadores con los recursos de la industria biotecnológica de fármacos innovadores para crear sinergias estratégicas que aceleren el avance de la ciencia. Nuestro modelo es el siguiente: un oncólogo nos trae su idea de un potencial ensayo clínico con un determinado fármaco en investigación. Desde MEDSIR desarrollamos esa idea convirtiéndola en una propuesta real que se defenderá a posteriori ante la industria farmacéutica y biotecnológica para obtener su financiación con el fin de llevar a cabo el estudio. Hecho esto, desde MEDSIR ponemos en marcha todo el proceso operativo contactando con distintos hospitales para abrir el ensayo y perseguir que se puedan beneficiar pacientes de diversas regiones. Cuando termina el estudio, se recogen los datos obtenidos y se analizan. Posteriormente, estos resultados se publicarán en revistas científicas o también se presentarán en congresos internacionales de oncología. Nuestra misión es transformar la investigación clínica independiente en una estrategia científica eficiente y eficaz para mejorar la vida de los pacientes con cáncer.
A. Núñez:Si tuvieras que definir cómo es el sistema de compliance de MEDSIR, ¿cómo sería?
D. Espigado: Ambicioso. Desde que llegué a MEDSIR, he intentado transmitir a la plantilla cómo entiendo el compliance, que es una concepción que considero que comparte la dirección y el consejo de administración. No basta con cumplir. Nuestro objetivo tiene que ser tener un comportamiento ético; dentro de la ley, por supuesto, pero con la ética como objetivo. En un mundo como el actual, donde una mala noticia puede minar tu reputación y, con ello, tu capacidad para hacer negocios, no nos podemos conformar con cumplir. En gran medida, es sencillo: hablar de ética y compliance a profesionales que trabajan en investigación con medicamentos en seres humanos es como leerles un cuento que ya conocen. Es un sector donde la ética tiene un rol central en la toma de decisiones, como no podía ser de otra manera, al estar en juego la salud de los pacientes.
A. Núñez:En tu opinión como profesional, ¿es posible diferenciar entre, por un lado, el cumplimiento normativo y, por otro, la ética empresarial?; ¿Qué deberían hacer las empresas para poder afirmar que disponen de una verdadera cultura de compliance?
D. Espigado: Precisamente a esta dicotomía me refería antes. Diferenciar entre cumplimiento y ética empresarial es un error, al menos pensando en términos de lege lata. El cumplimiento regular de las leyes es la forma más sencilla de manifestar externamente una ética empresarial. Pero no hay que perder el foco, en nuestro Derecho (y en muchos otros), lo que evitará que las empresas sean penalmente castigadas es tener un sistema de compliance que, según la jurisprudencia y la Fiscalía General del Estado, sea reflejo de una cultura de cumplimiento; no basta con el sistema. Por tanto, para poder demostrar que existe una verdadera cultura de compliance, las empresas tienen que poder acreditar, con decisiones materiales de la alta dirección y el órgano de gobierno (en aquellas en las que este no coincida con aquella), que la ética empresarial está en el eje de la toma de decisiones empresariales. Aportar al juzgado instructor un sistema de compliance «desnudo» de decisiones materiales en las que se manifiesta la ética empresarial, en mi opinión, no librará a la empresa del juicio oral, porque la empresa no estará demostrando que los autores han eludido el sistema de control o que el sistema es eficaz, pues esto solo se demuestra acreditando la vigencia o vida real del sistema.
A. Núñez:Vamos ahora con la profesión del compliance officer. ¿Qué aptitudes crees que deben definir a un profesional del cumplimiento normativo?; ¿Cuál crees que es la formación idónea para poder ejercer las funciones de cumplimiento en una empresa?
D. Espigado: Empatía, visión de negocio, atención al detalle y cercanía —debe ser capaz de generar confianza—. En cuanto a la formación, no soy de los que considera que ser abogado sea esencial, pero tiene ventajas y prerrogativas, al menos en España, que son indudables. Hay que recordar que los abogados disfrutamos y estamos obligados por el secreto profesional en cualquier modalidad de actuación profesional. Desde el último Estatuto de la Abogacía, me resulta indudable que el abogado de empresa y, por tanto, también el compliance officer que reúne a su vez la condición de abogado disfrutan del secreto profesional. Ahora bien, ¿disfruta del secreto el compliance officer que no es abogado? ¿Puede un órgano instructor citar como testigo al compliance officer de una persona jurídica investigada si quien ha declarado como representante especialmente designado ha sido, por ejemplo, un administrador o el director del departamento legal? Creo que es un debate que se dará a gran escala con motivo de los esfuerzos por obtener la atenuante por colaboración del art. 31 quater CP. (LA LEY 3996/1995) Entiendo que la respuesta es dudosa hoy en día. Solo por este hecho, querría que el compliance officer de mi empresa fuera abogado.
A. Núñez:Tras más de diez años de la introducción del régimen de responsabilidad de las personas jurídicas en España, ¿qué crees que aporta una sanción penal en la prevención de la criminalidad empresarial? ¿Es más eficaz la sanción penal a las personas jurídicas que la sanción administrativa?
D. Espigado: Mucho. No cuento con datos para avalarlo, pero a los hechos me remito. La cultura de compliance se ha institucionalizado en gran medida desde el 2010 y, sobre todo, tras el 2015, con las dos grandes reformas del Código Penal en materia de responsabilidad penal corporativa. Antes no era tan normal ver estructuras de compliance en las empresas. Ahora, lo raro es no verlas, salvo en aquellas a las que el Código permite que la función de compliance la ejerza el órgano de administración. A riesgo de ser pesado, en una sociedad como la actual, donde la imagen de una empresa importa tanto, una sanción penal tiene un efecto preventivo muy fuerte.
Dicho esto, no creo que necesariamente la pena tenga mayor eficacia preventiva que la sanción administrativa, al menos hablando desde un punto de vista general y de lege lata. De lege ferenda, debería serlo; pero de lege lata no lo es necesariamente, y ello se debe a la falta de unidad de nuestro derecho sancionador. La sanción administrativa, en muchos casos, es mucho más agresiva que la pena. En materia medioambiental, por ejemplo, pensemos en una distracción ilícita de aguas de uso público que no genera un daño o riesgo para el medio ambiente. El Código Penal castiga este comportamiento como un delito de usurpación del art. 247 CP (LA LEY 3996/1995) con una pena de multa de tres a seis meses para el autor, pero no es un delito imputable a las personas jurídicas. El administrador o directivo de una empresa que idea una distracción ilícita de aguas, por ejemplo, para su aprovechamiento en una industria con uso intensivo de aguas, se vería castigado individualmente, con una pena que variaría, en función de su capacidad adquisitiva, entre los 360 y los 72.000 euros si tomamos como referencia los seis meses de multa, que es el máximo. En cambio, la Ley de Aguas castiga ese mismo comportamiento con una multa de hasta 10.000 euros si se considera una infracción leve, de 50.000 a 500.000 euros si lo considera una infracción grave y de 500.001 a 1.000.000 de euros si lo considera una infracción muy grave y aquí responden solidariamente el titular del terreno, el promotor de la captación, el empresario que ejecuta la obra y el técnico director de la misma, sean personas físicas o jurídicas en todos los casos. En un caso así, es evidente que la sanción penal no es más disuasoria que la administrativa. Y como este caso, hay muchos más.
Si nuestro legislador se pusiera manos a la obra y ordenara de manera coherente nuestro derecho sancionador (penal y administrativo), lo natural sería que la pena disuadiera más que la sanción administrativa. Cuestión distinta es que se requieran penas para disuadir todos los comportamientos que pueden ser imputables hoy a las personas jurídicas. En mi opinión, hay delitos que deberían ser sancionados sólo en vía administrativa y, de hecho, su persecución y su castigo serían más sencillos, por no requerir enervar la fuerza de la presunción de inocencia en sede penal. Justicia más sencilla, más rápida, menos costosa para el erario y, por tanto, para los contribuyentes.
A. Núñez:En muchas ocasiones se hace referencia a que el compliance debe integrarse en el negocio. ¿Cómo se hace esto? ¿Cómo se puede convertir la función de compliance en algo imbricado en el negocio?
D. Espigado: Para empezar, la función de compliance tiene que dejar de ser vista como un obstáculo y en eso tienen un importante rol tanto la cultura de compliance como las propias personas que ejercen aquella función. Aquí entran en juego las características que comentaba antes de empatía, visión de negocio y cercanía, también en el lenguaje. Tenemos que poder transmitir los riesgos de manera que quienes hablan idiomas distintos a los profesionales del campo legal nos vean como colaboradores.
En segundo lugar, la función de compliance tiene que dedicarse y proyectarse como asesores del negocio. Hay que ayudar a gestionar riesgos y que las personas que toman decisiones en las empresas conozcan verdaderamente los riesgos y las consecuencias. El apetito al riesgo no lo marca la función de compliance, sino los responsables del negocio a distintos niveles. Ser un ayudante del negocio y ser visto como tal es crucial para estar integrado.
En tercer lugar, relacionado con los dos anteriores, el compliance debe venderse como algo positivo. No vendernos como que somos evitadores de males, sino que hacemos empresa. Ahora que la cultura de compliance está tan en boga, que cada vez más se emplean cláusulas de compliance en los contratos, que las empresas miran con mimo con quién hacen negocios, donde se han hecho hueco los criterios ESG, resulta bastante sencillo posicionar la función de compliance como un valor que ensalzar, más que como un peso que me veo obligado a llevar.
A. Núñez:¿Crees que la formación es un elemento fundamental de compliance? ¿Crees que reduce el riesgo penal de incumplimiento? y, atendiendo a tu propia experiencia, ¿cómo se debería organizar la formación en una empresa?
D. Espigado: Indudablemente. Los trabajadores no deben cumplir por inercia, sino porque saben qué se puede hacer y qué no se puede hacer. La formación naturalmente reduce el riesgo de incumplimiento. Hay pocos delitos imputables a las personas jurídicas que se pueden cometer por imprudencia, pero los hay; y la frontera entre la imprudencia, la ignorancia deliberada y el dolo eventual están tan difusas que no vale la pena correr el riesgo de dar un paso en falso.
La organización de la formación es una de las materias más complicadas. Debe guiarse por tres principios:
Primero, a cada uno según sus necesidades. Vomitar la misma formación para toda la plantilla cuando no toda la plantilla es propietaria de los riesgos que pretendes evitar con la formación resulta un sinsentido. La sensación de oír algo que no va con el trabajo de uno mina la credibilidad de la función de compliance.
En segundo lugar, hay que facilitar la eficacia de la formación, en el más amplio sentido de la palabra. En el formato (si es online o presencial o ambos, si está grabada para poder volver a repasarla, si hay materiales que puedan permitir tal repaso), en el número de sesiones, en la hora a la que se programa, en la posibilidad de preguntar, etc.
En tercer lugar, hay que establecer incentivos. El Departamento de Justicia de EE. UU. habla de los incentivos al cumplimiento en su reciente guía para evaluar programas de compliance de marzo de 2023 e incluye la estructura de remuneración. Yo creo que es muy útil establecer pequeñas vinculaciones a la remuneración para las obligaciones de compliance que competen a cada integrante de la plantilla y la formación es una de ellas. Por ejemplo, que la consecución de la parte variable del sueldo dependa en un porcentaje de que uno realice su formación de manera puntual, de la puntuación que uno obtenga en sus evaluaciones de las formaciones de compliance o incluso de otros aspectos vinculados al compliance y no necesariamente a la formación. La estructura de estos incentivos necesariamente tendrá que afectar y ser coherente con cómo se organice la formación.
A. Núñez:Para ir acabando, nos gustaría referirnos a la LO 10/2022, de 6 de septiembre, de garantía integral de la libertad sexual (LA LEY 19383/2022). Como sabes, a propósito de esta ley, los delitos de acoso sexual y de trato degradante se incorporan en la listanumerus clausus del régimen de responsabilidad penal de las personas jurídicas. ¿Crees que tiene sentido hablar aquí de beneficio para una persona jurídica como uno de los requisitos que fundamentan la atribución de responsabilidad en estos casos o se tendrá que hacer otra interpretación para hacer encajar estos hechos delictivos en el régimen del 31 bis CP?
D. Espigado: Me parece difícil hacer otra interpretación. Ya ha habido algún intento de considerar que el beneficio directo o indirecto para la persona jurídica consistía en el ahorro por no haber implantado el sistema de compliance y la Justicia lo ha rechazado. Creo que, en esta materia, las empresas seguirán debiendo responder, en su caso, en el ámbito de la prevención de riesgos laborales, en el de la responsabilidad civil. Veo difícil que un acoso se cometa en beneficio de la empresa, a no ser que estemos hablando de estructuras empresariales en las cuales esto se produce de manera sistemática y en determinados sectores empresariales muy concretos. Con carácter general, no creo que veamos a muchas personas jurídicas sentarse en el banquillo al lado del presunto acosador.
En cuanto al delito de trato degradante del art. 173.1 del Código Penal (LA LEY 3996/1995), aunque sé que hay mucho debate, yo soy de los que considera que la letra de la ley es clara. Para mí, a raíz de la LO 14/2022, de 22 de diciembre (LA LEY 26573/2022), el legislador ha eliminado una parte del delito de trato degradante atribuible a la persona jurídica. Al haber introducido en un nuevo párrafo segundo el delito de ocultación del paradero de un cadáver y no haber modificado la referencia a «los tres párrafos anteriores» que hace el ahora párrafo quinto del art. 173.1, la primera modalidad de trato degradante especificada en el primer párrafo del art. 173.1 CP (LA LEY 3996/1995) ya no es atribuible a la persona jurídica y sí lo es la ocultación del paradero de un cadáver (que sí es más fácil que pueda cometerse en beneficio de la persona jurídica —pensemos, por ejemplo, en casos de siniestralidad laboral con resultado de deceso—), como las otras dos modalidades.
A. Núñez:Por último, ¿qué opinión te merece la recién aprobada Ley reguladora de la protección de las personas que informen sobre infracciones normativas (LA LEY 1840/2023) y de lucha contra la corrupción? ¿Consideras que es un avance importante? ¿Qué impacto va a tener en las organizaciones españolas?
D. Espigado: Es muy positivo. Con todos los peros que se le puedan poner a la ley, es un avance y dota de más seguridad jurídica a los alertadores. El impacto va a ser muy grande, dado que el período para constituir estos canales para las personas jurídicas privadas de 50 a 249 trabajadores es corto (hasta diciembre de 2023). Además, creo que se afrontarán problemas prácticos importantes. Por ejemplo, la discutida obligación de autodenuncia que impone el art. 9.2.j, que parece contradictoria a todas luces con el derecho de defensa de la persona jurídica; la limitación de acceso a los datos personales contenidos en el sistema interno de información a un grupo muy reducido de personas y cómo acompasarlo en el caso de canales internos de grupo; los conflictos entre la Ley de protección de alertadores y la exigua, pero no siempre idéntica, regulación que el art. 24 de la Ley Orgánica de Protección de Datos contiene sobre estos canales (recordemos que es una ley orgánica), etc. Creo que veremos —y ya los estamos viendo— debates doctrinales muy bonitos y problemas prácticos que no lo serán tanto para quienes los deban afrontar.
A. Núñez: Muchas gracias por tu colaboración.