Compliance Programs y su incorporación en la legislación penal ecuatoriana

Criminal Compliance Programs and their Incorporation in the Ecuadorian Criminal Law

 

 

 

Mariana Toalí Bayancela Delgado[1]

Universidad de Valencia, Valencia, España

 

Recibido: 15/12/2021

Aceptado: 13/06/2022

 

DOI: http://dx.doi.org/10.18272/iu.v29i29.2532

 

 

                                              

Resumen

La responsabilidad penal de la persona jurídica se estableció en Ecuador en el año 2014 con la entrada en vigor del Código Orgánico Integral Penal; sin embargo, la normativa sobre los programas de cumplimiento recién fue incorporada en febrero de 2021, con la llamada “Ley Anticorrupción”, el legislador reforma los artículos 45 y 49 del COIP e inserta a los compliance programs como circunstancia atenuante de la responsabilidad penal de la persona jurídica. La atenuante está basada en la existencia de sistemas de integridad, normas, programas y las respectivas políticas de cumplimiento. En este contexto, la normativa reciente precisa de análisis, por tanto, en el presente texto se tiene como fin hacer un breve estudio del modelo ecuatoriano de responsabilidad penal de la persona jurídica y de los compliance programs, sus requisitos y los desafíos que la reforma plantea a la materia.

                                   

Palabras clave

Programas de cumplimiento normativo, Reforma COIP, Responsabilidad penal de las personas jurídicas, Derecho penal ecuatoriano, ISO 37301: 2021.

 

Abstract

Ecuador corporate criminal liability was introduced into the legal system in 2014 and is regulated in article 49 of the Ecuadorian Criminal Code. This article was reformed with the "Anti-corruption Law" in February 2021, in which the legislator designed the compliance regulations not as an exemption system, as is the case of Spain legislation, but as a mitigating measure of the penalty for the legal person. The mitigation is based on the existence of integrity systems, standards, programs, and compliance policies, as the legislator calls them. Recent regulations require an exhaustive study, however, this article is a short study of corporate criminal liability and an overview of the requirements listed in the recent reform and the challenges that due reform represent.

 

Keywords

Compliance, Ecuadorian Criminal Code, Corporate Criminal Liability, Ecuadorian Criminal Law, ISO 37301: 2021.

 

 

1. Introducción

En Ecuador, estuvo vigente por décadas el principio societas delinquere nec punire potest [una sociedad no puede delinquir]. En el año 2014, con la llegada del Código Orgánico Integral Penal (en adelante COIP), la legislación ecuatoriana reconoció el principio de que las personas jurídicas son responsables penalmente, por lo que cambia el silogismo a societas delinquere potest, una sociedad puede delinquir; esto, como respuesta a múltiples recomendaciones de los organismos internacionales de esta materia. La responsabildiad penal de la persona jurídica (en adelante RPPJ) fue incorporada en el COIP para cumplir con las obligaciones que se adquirieron tras la firma y ratificación de diferentes convenios internacionales. Ecuador, hasta el año 2015, estuvo en la lista de países que tenían deficiencias estratégicas según los informes del 2007[2] y del 2011 presentados por el Grupo de Acción Financiera GAFI (Bayancela, 2014, p. 46). El Ecuador, por alrededor de 5 años, estaba incluido en la lista de ICRG (International Country Risk Guide), el GAFI los clasificaban como de alto riesgo y esto implicaba altos costos para negociar entre países. El GAFI emitió recomendaciones a Ecuador en los informes de los años 2007 y 2011 y, las mismas ayudaron para que se establezca la RPPJ en el COIP.

La RPPJ se encuentra vigente desde el año 2014; sin embargo, aún estamos incipientes en la aplicación práctica, pues no se han conocido grandes casos resueltos. Existen avances teóricos, pero en cuanto a resultados pragmáticos y de beneficio para el país no hay, siendo evidente los casos de corrupción. Por ello es necesario no solo crear y asentar una norma, sino, para que sea verdaderamente efectiva, se debe implementar mecanismos para que se pase de esa vigencia formal y en desuso a una vigencia material.

Hasta febrero de 2021 no se contemplaba a los compliance programs (en adelante CP) como atenuante de la RPPJ. La falta de regulación sobre los CP dificultaba que se cumpla el objetivo por el cual se implementó la RPPJ en Ecuador, que fue precisamente endurecer las normas correspondientes para que las personas jurídicas no sean un foco en el cual se desarrollen con amplitud las actividades ilícitas al utilizarlas como pantalla para el cometimiento de delitos. 

Por tanto, el presente texto tiene como objetivo principal demostar la importancia de los CP, en especial cuando ya se prevé en el derecho penal la RPPJ. Por ello, se presenta una investigación teórica interpretativa y un breve estudio del actual modelo de RPPJ contemplada en el COIP, así como un análisis de la situación del CP en Ecuador; y los requisitos del CP que plantea la reforma para que se pueda considerar como atenuante. Finalmente, se exponen conclusiones.

2.        Aspectos esenciales de la RPPJ y modelo de imputación ecuatoriano

Sobre la RPPJ se ha debatido mucho, especialmente, por la delincuencia económica que traspasa los límites fronterizos. Igualmente, resulta protagónico el papel de las empresas en negocios y actividades económicas en general; y, si bien no faltan voces y estudiosos que se oponen a la premisa, diariamente se utilizan a las empresas para el cometimiento de delitos.

Hay ordenamientos en contra y a favor de la RPPJ, y dentro de estos últimos están los sistemas legales español y ecuatoriano.

 

La RPPJ ha generado una importante discusión en la doctrina[3] tanto internacional como nacional y, desde hace varios años, existen posiciones a favor y en contra [4]. En la doctrina nacional se ha analizado el modelo de la RPPJ que se establece en el artículo 49 del COIP, y la discusión existente se manifiesta entre dos principales modelos: el vicarial, y el de auto responsabilidad. El primero, el vicarial o de heterorresponsabilidad, basa su postulado en una transferencia de responsabilidad por parte de la persona física hacia la persona jurídica (Díaz Gómez, 2011). El segundo modelo es el de auto responsabilidad o responsabilidad directa de la persona jurídica, que deviene por la falta del debido control de la persona jurídica sobre la conducta de un trabajador subalterno” que haya cometido el delito en provecho de la persona jurídica (Molina Fernández, 2010, p. 19); es decir, la persona jurídica, es responsable por no tener normas que controlen a sus empleados.

Entre los autores ecuatorianos que han analizado el tema de la RPPJ se encuentra García Falconí. El autor indica que el modelo vicarial no se adapta a la legislación penal ecuatoriana y sugiere que existe la necesidad de construir una dogmática específica para la persona jurídica que vaya en paralelo a la de la persona individual; y se inclina más por el modelo de responsabilidad directa porque considera que la persona jurídica tiene una independencia de sus órganos o directivos y, por tanto, no requiere ninguna transferencia para que se le impute la responsabilidad penal. Basa su teoría en que la legislación señala que se puede juzgar a la persona jurídica, aún si sus directivos procesados no comparecen en juicio (García Falconí, Zurita, 2017, p. 375).

Por su parte, Araujo Granda, sostiene que la normativa de RPPJ que contiene el COIP responde al principio de responsabilidad dual:

 

[…] quiere decir que en todas las circunstancias descritas, la responsabilidad penal que, en inicio, recaería sobre una persona natural perfectamente individualizada se aplicará también la pena correspondiente a las personas jurídicas de Derecho Privado, siempre y cuando se determine que de la conducta del individuo, se deriva un beneficio a la empresa o a sus socios […] (Araujo Granda, 2014, p. 76).

 

Araujo Granda se inclina a considerar que en la realidad estamos expuestos a acciones empresariales que atentan contra los bienes jurídicos y la persona jurídica por igual, si es que no toma las medidas necesarias para desarrollar sus actividades de manera correcta, e inobserva normativa, dado que constituye una fuente de peligro (2014, p. 76).

Por otra parte, Espinosa Andrade, considera que en la práctica los dos sistemas no son mutuamente excluyentes y pueden ser utilizados como subsidiarios el uno del otro para sancionar a la persona jurídica y la culpabilidad de esta. La legislación ecuatorianase apalanca en el sistema cumulativo de responsabilidad autónoma de las acciones de las personas jurídicas. Sin embargo, mantiene también rasgos característicos del sistema vicarial (Espinosa Andrade, 2021, p. 784), es decir, para el autor, el modelo ecuatoriano es mixto, aunque más apegado a la auto responsabilidad.

El modelo de RPPJ previsto en el COIP, desde mi punto de vista, es un modelo mixto de responsabilidad, pero con mayor tendencia a la auto responsabilidad, y considero que se hace más evidente con la nueva reforma del art. 49 del COIP en la que se estipula:

 

La responsabilidad penal de la persona jurídica es independiente de la responsabilidad penal de las personas naturales que intervengan con sus acciones u omisiones en la comisión del delito. La responsabilidad penal de la persona jurídica subsistirá aun cuando no haya sido posible identificar a la persona natural infractora. (Artículo 49, COIP).

 

Dos palabras son claves para fundamentar la auto responsabilidad de la persona jurídica: cuando el COIP señala “independiente” y “subsistirá”, es decir, la persona jurídica puede ser responsable, aunque no sea posible determinar la actuación de una persona natural. De ahí, la importancia del compliance, porque se podría señalar que la persona jurídica no realizó el control suficiente sobre sus empleados si, por ejemplo, no incorporó medidas de compliance para prevenir delitos dentro de la organización.    

 

En Estados Unidos existe una “filosofía llamada ‘del plazo y la zanahoria’ carrot and stick philosophy” que se traduce en premiar con penas más leves a aquellas personas jurídicas que, al cometer el delito, se hubieran dotado de uno de estos programas y castigar con penas más graves a aquellas que no lo hubieran hecho (Villegas García, 2016, p.112).

 

Precisamente es lo que actualmente se trata de hacer con la reforma del COIP; si las empresas mantienen un CP, podrían beneficiarse de la reducción de la pena.

La RPPJ se da solamente en los delitos que prevé el COIP, es decir, es un sistema numerus clausus entre los que se pueden encontrar diversos delitos contra el derecho a la propiedad, delitos contra los derechos de los consumidores, usuarios y otros agentes del mercado, delitos contra el derecho a la cultura, delitos contra el derecho al trabajo y la seguridad social, delitos contra el medio ambiente y la naturaleza, delitos contra los recursos naturales, delitos contra la gestión ambientales, delitos económicos, delitos contra el sistema financiero, delitos contra el terrorismo; y, se agrega con la reforma 2021, el delito de actos de corrupción en el sector privado. Por lo tanto, no cabe entonces inferir responsabilidad penal sino solo en aquellos delitos en los que expresamente se prevé en la norma. En el listado anterior no se contemplan algunos delitos que sí existen en otros países, por ejemplo, la corrupción en transacciones comerciales internacionales, delitos urbanísticos de construcción ilegal, y delitos de financiación ilegal de los partidos políticos.

3.        Consideraciones generales acerca de compliance y criminal compliance

El concepto de compliance tiene su origen en el derecho anglosajón y significa, en su estricto sentido, “cumplimiento”.  La norma ISO 37301: 2021 define al compliance como “el cumplimiento de todas las obligaciones de compliance de la organización”; y la misma norma define a las obligaciones del compliance como “requisitos que una organización tiene obligatoriamente que cumplir, así como aquellos que una organización elige voluntariamente”.

El compliance tiene su origen a finales del siglo XX en Estados Unidos, que con el objetivo de proteger al mercado comienza a establecer leyes para responsabilizar a las personas jurídicas, siendo pionera la Ley de Prácticas Corruptas en el extranjero (FCPA) en 1977. Tiempo después, producto del escándalo del caso Enron, expide la Ley Sarbanes Oxley (2002), en la que incorpora penas sumamente altas para las personas jurídicas, si no se demuestra que estableció medidas de control. En el Reino Unido se cuenta con la ley antisoborno Bribery Act (2010).

En ese contexto nacen los CP, con mayor aplicación en el sistema anglosajón, sin embargo, actualmente adoptado por diferentes países, entre ellos España y ahora Ecuador. Los CP se utilizan como medida para evitar prácticas no adecuadas como corrupción, fraude, lavado de dinero, soborno, etc. Es así que el CP establece “una serie de modelos, planes o sistemas documentados tendentes a evitar que se cometan delitos en la empresa o se puedan mitigar significativamente” (Alarcón Garrido , 2016, p. 63). Cabe recalcar que cada programa de cumplimiento debe ser individualizado, detallado y preciso, pues depende de la actividad que realiza cada tipo de empresa. Se lo define también como “el plan de ejecución cuyo norte es satisfacer los requisitos legales internos y externos relacionados a las regulaciones contravencionales y penales de cumplir con la normativa nacional o internacional, previniendo incurrir en la comisión de delitos” (Balcarce, 2016, p. 160).

 

3.1. Compliance penal o criminal compliance

En el ámbito penal, el compliance se puede conceptualizar como la materialización del riesgo que, en caso de cumplirse, puede provocar responsabilidad. Se entiende a su vez, como criminal compliance, alSistema de Gestión de riesgos cuyas consecuencias están tipificadas como penales” (Ayala, 2016, p. 46) y también a “aquellas cuestiones que resultan precisamente de la especial necesidad de anticipación de la responsabilidad penal por los riesgos y la pretendida aminoración preventiva de los mismos” (Rotsch, 2012, p. 9). Por tanto, un buen programa de compliance debe establecer la prevención de riesgo de incumplimiento penal que, de materializarse, implicaría la RPPJ.

4. Implementación del compliance program en el modelo de RPPJ de Ecuador

4.1. Análisis situacional del compliance en Ecuador

En materia de Lavado de Activos y Financiamiento de Delitos (en adelante LAFD) se encuentra normativa compliance, pero es aplicable solamente a los sujetos obligados. La primera normativa de prevención del delito de lavado de activos se promulgó en el año 2005; sin embargo, establecía escasos requerimientos y no cumplía con el objetivo final. La segunda ley acerca de LAFD se promulgó en el 2016; los legisladores la denominaron Ley de Prevención de Lavado de activos y de Financiamiento de Delitos; en el artículo 4 de la mencionada ley se señala que las instituciones del sistema financiero y de seguros (IFIS), y las consideradas dentro de lo estipulado en el artículo 5, deben reportar frente la Unidad de Análisis Financiero (en adelante UAFE) toda operación inusual e injustificada que superen la cuantía de diez mil dólares de los Estados Unidos de América (Ley de LAFD, 2016).

Los sujetos obligados según la ley deben contar con un Código de Registro, el cual les permitirá entrar a la plataforma de la UAFE llamada Sistema de Anti Lavado de Activos y Financiamiento del Terrorismo (SISLAFT). En esta plataforma los sujetos obligados deben cargar: “Reporte de Operaciones y Transacciones que igualen o superen el umbral (RESU), Reporte de Operaciones y transacciones inusuales (ROII), Operaciones propias, nacionales o internacionales que igualen o superen el umbral (REPO)” (Ley de LAFD, 2016).

La Ley también establece las funciones de la UAFE, que es el organismo de control ecuatoriano, cuya responsabilidad consiste en recopilar información concerniente a los reportes y ejecutar políticas en materia de PLAFD. En el artículo 12 se señalan las funciones de la UAFE, entre las cuales consta el imponer sanciones por el incumplimiento de obligaciones (LAFD, 2016).

La Superintendencia de Bancos nacional establece a su vez Normas de Prevención de Lavado de Activos y Financiamiento del Terrorismo (PLAFT) y otros delitos, en las que se indica puntualmente las “Políticas Compliance” y las cuales incluyen: contar con un Oficial de Cumplimiento, un Comité de Cumplimiento, tener  Manual de Prevención de Lavado de Activos y Financiamiento de Delitos que contiene las Políticas: Conozca a su cliente, Conozca a su corresponsal, Conozca a su empleado, Conozca a su proveedor, Conozca a su mercado, entre otros requisitos, que deben cumplir los sujetos obligados.                                                                                                                                                                                                                                                                                                                                             

4.2 Nueva normativa compliance en Ecuador

La reforma del COIP agrega en el artículo 45.7 letras de la a) hasta la d) las circunstancias atenuantes, siendo estas las siguientes:

 

a) De forma espontánea haber denunciado o confesado la comisión del delito antes de la formulación de cargos con la que inicie la instrucción fiscal, o durante su desarrollo, siempre que no haya conocido formalmente sobre su inicio. b) Colaborar con la investigación aportando elementos y pruebas, nuevas y decisivas, antes de su inicio, durante su desarrollo o inclusive durante la etapa de juicio. c) Reparar integralmente los daños producidos por la comisión del delito, antes de la etapa de juicio. d) Haber implementado, antes de la comisión del delito, sistemas de integridad, normas, programas y/o políticas de cumplimiento, prevención, dirección y/o supervisión, a cargo de un departamento u órgano autónomo en personas jurídicas de mayor dimensión, o una persona responsable en el caso de pequeñas y medianas empresas, cuyo funcionamiento se incorpore en todos los niveles directivos, gerenciales, asesores, administrativos, representativos y operativos de la organización. (Artículo 45 COIP).

 

En el Ecuador la normativa compliance ya no será solamente para cumplimiento de los sujetos obligados, sino para todas las personas jurídicas de derecho privado. Dentro de la interpretación del artículo 45, número 7, letra d), en relación al compliance program, se indica que dicho programa se estableció con anterioridad y se lo hizo con el objetivo de prevenir el cometimiento de delitos. Además, que la empresa ha implantado las medidas necesarias para evitar que se produzcan esos delitos, es decir, es un compliance ex ante.

El CP debe contener una serie de requisitos que se estudian más adelante. Así mismo, señala que, dependiendo del tamaño de la empresa, será requerimiento colocar un departamento u órgano autónomo que podría ser el Departamento de Cumplimiento, que deberá contar con un Oficial de Cumplimiento, el mismo que tendrá independencia y a quien se le ha de proporcionar todos los recursos necesarios para que pueda prevenir la comisión de delitos y “pueda desarrollar de forma efectiva las funciones de supervisión, vigilancia y control que tenga encomendadas” (Bajo Albarracín, 2017, p. 118). O, en el caso de la PYMES, una persona responsable que cumpla las funciones de vigilancia y control.

 

4.3 ¿Compliance atenuante o eximente?

En el COIP no se contempla ninguna causa para la exención de la pena para las personas jurídicas, cuestión que sí se encuentra establecida en otros países que, de igual forma estipulan la RPPJ, como lo es España. Si bien, la nueva reforma al COIP incorpora la atenuante para la persona jurídica, persiste la necesidad de que se agreguen en el modelo de RPPJ de Ecuador los CP como eximente. La existencia de este compliance, en palabras de Aguilera Gordillo (2017),

 

[…] debería suponer que la empresa quede exonerada de responsabilidad penal o, al menos, la misma resulte atenuada. Además, y esta es una cuestión que no se suele destacar, constituyen herramientas que protegen también a los propios directivos y trabajadores de una posible atribución de responsabilidad penal a título individual en cuanto previenen la comisión de hechos delictivos y ayudan a resolver los problemas de imputación individual de los delitos que eventualmente pudieran llegar a cometerse (p. 45).

 

Esto se observa en otros países. Por ejemplo, en España, un cambio significativo que se dio con la reforma a la LO 1/2015 fue precisamente la introducción de la eximente de responsabilidad penal, entre la que se incluye el compliance program, que se encuentra en el artículo 31 bis. 5. 

Al respecto, Silva Sánchez estudia al modelo de prevención de delitos como una eximente y considera que “el modelo de prevención adecuado tendería a la sustitución del estado de organización defectuosa (estructura de injusto o inicua: favorecedora o incapaz de evitar hechos de personas físicas), por una organización lo más correcta posible […]” (2016, p. 393). Además, las circulares[5] de la Fiscalía General del Estado Española (en adelante FGE) de los años 2011 y 2016 establecen, de manera más amplia, lo que deben contener los programas de cumplimiento normativo para que le sirva a la persona jurídica como eximente de responsabilidad penal. En ellos indican que “para que se configure la eximente, es necesario que se identifiquen las actividades, protocolos o procedimientos, modelos de gestión de los recursos financieros, informes de posibles riesgos e incumplimientos al organismo, sistema disciplinario que sancione el incumplimiento, verificación periódica del modelo” (FGE, 2011 y 2016).

A diferencia de Ecuador, en España sí se encuentran Sentencias que versan sobre la RPPJ. La STS 154/2016, de 29 de febrero[6], resulta de especial relevancia, puesto que el Tribunal Español evalúa sobre la eximente y la importancia de contar con un compliance program. Asimismo, señala que la existencia de modelos de organización, que además deben cumplir con las exigencias son herramientas de control y eficacia, pueden ayudar a la eximente de responsabilidad de la persona jurídica, mientras que la inexistencia de esa herramienta de control podría configurar la RPPJ, es decir castiga a la PJ por no tener una cultura de cumplimiento. Se podría inferir entonces que si en la empresa no existen herramientas de control idóneas, la ausencia daría el núcleo típico de la RPPJ.

En Ecuador, los CP no tienen función eximente y se los agrega como circunstancia atenuante de la infracción penal. En la práctica se van a evidenciar ciertos problemas tales como: la posible creación de compliance de papel a manera de una lista de supermercado colocando el check en cada uno de los requisitos. En España, cuya normativa de RPPJ es bastante similar a la ecuatoriana, la FGE ya ha discutido este particular. La Circular 1/2016 de la FGE:

 

Exige la apreciación de la atenuante que se aporte al procedimiento material probatorio inédito que además sea concreta y particularmente eficaz. La simple prueba de carácter accesorio o que tan solo sirva para apuntalar hechos suficientemente acreditados por otros medios, no integra el sustrato fáctico de la atenuante, que está orientada más hacia los resultados de la colaboración que hacia los esfuerzos por la misma (FGE 2016).

 

Es decir, no cualquier prueba puede ayudar a la aplicación de la atenuante sino que debe ser una pieza clave en la investigación.

Es importante resaltar que en la reforma también se incluyó una circunstancia agravante para la persona jurídica, la misma que se encuentra en el Art. 47 numeral 21 haber sido sentenciada previamente por el mismo delito en el caso de las personas jurídicas nacionales o extranjeras para el cometimiento del delito, o valerse de la normativa vigente para evadir la responsabilidad en el cometimiento de los ilícitos.” (COIP, Artículo 47). En la aplicación práctica, los abogados, jueces y fiscales deberán tener mucha precaución cuando las empresas por tratar de atenuar su responsabilidad penal presenten un compliance de papel para descargar su defensa, y más bien deben aplicar todo el peso de la ley. Es necesario recalcar que para que la persona jurídica pueda atenuar la infracción penal tal como lo señala el art. 44 del COIP deberán existir al menos dos atenuantes y ninguna agravante.

4.4 Requisitos del compliance program en Ecuador

Los requisitos que deberá contener el programa de compliance se establecen en la reforma del artículo 49 del COIP que estipula:

 

Los sistemas de integridad, normas, programas y/o políticas de cumplimiento, prevención, dirección y/o supervisión, deberán incorporar los siguientes requisitos mínimos, sin perjuicio de las disposiciones del Reglamento[7] que se dicte para el efecto, y de otras normas específicas” (Reforma COIP, 2021, Artículo 49).

 

El primer requisito es la “identificación, detección y administración de actividades en las que se presente riesgo” (Art. 49.1); a lo que se le puede titular, matriz de riesgos. Para poder hablar de riesgo de compliance es preciso acotar que se entiende por “riesgo”; la norma ISO 31000 lo define como “Efecto de la incertidumbre sobre la consecución de objetivos” (ISO 31000 2018). Por lo tanto, el riesgo en compliance es una condición incierta que se puede dar por el potencial incumplimiento de la normativa legal que, en caso de ocurrir, puede ocasionarle a la empresa pérdidas, y, en materia penal, la RPPJ.  La evaluación de riesgos es uno de los pilares fundamentales del compliance y, para identificarlos,  en principio se necesita hacer un diagnóstico que establezca cuáles son los potenciales riesgos de incumplimiento a los que se pueda ver expuesta la empresa. Para elaborarla, es necesario recopilar toda la información a través de un ciclo de entrevistas, previo a las cuales se deberá implantar la metodología para evaluación del nivel de riesgo de la empresa. Tras esta recopilación se planteará la matriz de riesgos correspondiente.

El segundo requisito comprende “los controles internos con responsables para procesos que representen riesgo” (Art. 49.2). El incumplimiento penal es un riesgo muy alto para la empresa; por tanto, después de la creación de la matriz de riesgos y una vez identificados los mismos, las fuentes de la que provienen esos potenciales riesgos, las consecuencias que podría generar su incumplimiento y la probabilidad con la que se pueden dar, se procederá al tratamiento y control de los riesgos con el fin de mitigarlos.

El tercer requisito es la “supervisión y monitoreo continuo, tanto interna, como evaluaciones independientes de los sistemas, programas y políticas, protocolos o procedimientos para la adopción y ejecución de decisiones sociales” (Art. 49.3). Para cumplir este requisito se deberá realizar el monitoreo del CP de la empresa, para lo cual será necesario que la organización cuente con auditores internos y, cada cierto tiempo, se realicen auditorías externas. Las auditorías son fundamentales, y las mismas se deben realizar de forma periódica. Esto dado que el sistema de compliance debe supervisarse y someterse a una evaluación constante, e incluso podrían optar por certificarse voluntariamente con la Norma ISO 37301:2021. Existen normas no obligatorias como la nueva Norma ISO 37301:2021, con la que las empresas a nivel mundial podrán certificar su sistema de gestión de Compliance, y podrán someterse voluntariamente a un examen y evaluación de sus programas de cumplimiento para así obtener esta certificación. Sin embargo, en países como España la Fiscalía General del Estado ha indicado que la certificación per se, no es prueba de la eficacia del CP.

El cuarto requisito son “los modelos de gestión financiera” (Art. 49.4 COIP). En otros países, que de igual manera tienen regulado el compliance, también se encuentra una referencia específica a los modelos de gestión financiera; por ejemplo, el número 3 del artículo 31 bis del Código Penal Español que indica que se “Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos” (Código Penal Español, reforma 2015, Art. 31 bis).

Ahora, es fundamental comprender el quinto requisito, que son los canales de denuncia o whistleblowing. Este sistema consiste en establecer y dar a conocer un canal de comunicación directo para que los empleados, clientes o proveedores puedan denunciar el incumplimiento tanto de normas internas como de otras regulaciones que rigen la actividad de la empresa” (Puyol, 2017, p.14). Estos canales de denuncia ayudarán a que se pueda facilitar la denuncia ante un incumplimiento de compliance. El desafío que se viene con ello es precisamente la implementación de normas para la adecuada protección del denunciante.

Por su lado, el sexto requisito habla del código de ética, que representa uno de los documentos principales y otro de los pilares del compliance. En principio debe tener

 

un código de ética o conducta y hacerlo cumplir por todas las personas vinculadas a la empresa, donde se normalice y armonice la relación entre compañeros, clientes, proveedores, Administraciones Públicas, autoridades, la competencia, etc., para conseguir que todas las actuaciones empresariales sean guiadas por la ética y la moral. (Alarcón Garrido, 2016, p.75).

 

En complemento a lo expuesto por este autor, Moscoso et al., indican que dicho texto se basa “en valores, mejora la reputación de la entidad, otorga unidad y coherencia al sistema de autorregulación de la empresa, fortalece en los empleados el sentido de pertenencia a un grupo y señala a terceros la cultura corporativa de la empresa” (2017).

En concordancia con lo anterior, el séptimo requisito son los “Programas de capacitación del personal” (Artículo 49.7). Las empresas deberán brindar capacitación continua para que su personal cuente con la información necesaria; para conseguirlo, la mejor opción para establecer dichas capacitaciones sería el realizararlas de acuerdo a los niveles de la organización. De esta manera, a la Alta Dirección corresponde una capacitación más profunda, puesto que son los que deben estar realmente comprometidos con el programa de compliance; a los mandos medios, se debería canalizar otro tipo de capacitación y al nivel operativo, una capacitación más básica.

A continuación, se encuentran como octavo requisito los mecanismos de investigación interna, definido como “el protocolo implantado, por un lado, para evaluar el correcto funcionamiento y eficacia del plan de compliance y poder así detectar posibles riesgos de comisión de delitos o mala praxis” (Ramírez, 2021). Algunos de los mecanismos de investigación interna que se podrían implementar son proactivas, reactivas, previas a la investigación judicial, paralelas (Ramírez, 2021). Se debe aclarar que las investigaciones internas buscan determinar los hechos relevantes asociados a conductas impropias de sus integrantes (Saccani, 2018, pp. 313-341).

El noveno requisito es el de informar al encargado de cumplimiento, sobre posibles riesgos o incumplimientos. Esto también lo vemos en el artículo 31 bis del Código Penal Español al señalar que: “Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.” (LO 1/2015, art.31 bis). Toda actividad implica un riesgo, por lo que este numeral se refiere a los posibles incumplimientos que se pueden dar y a la obligación de reportar que tienen los empleados o algún externo a la organización.  En Ecuador, por ejemplo, el Oficial de Cumplimiento de un Banco tiene la obligación de reportar mensualmente al organismo de Control, que es la Superintendencia de Bancos, y en el informe establece cada una de las actividades que ha realizado en relación con las Políticas de Conozca a su cliente, a su empleado, a su proveedor, entre otras.

Si el Oficial de Cumplimiento encontrara una inusualidad dentro de la revisión de listas de observados o cualquier otra inconsistencia, deberá reportarlo; caso contrario, el COIP prevé en el Artículo 39 lo siguiente:

 

Omisión de control de lavado de activos.- La persona que, siendo trabajadora de un sujeto obligado a reportar a la entidad competente y estando encargada de funciones de prevención, detección y control de lavado de activos, omita el cumplimiento de sus obligaciones de control previstas por la Ley, será sancionada con pena privativa de libertad de seis meses a un año.

 

En la legislación ecuatoriana el Oficial de Cumplimiento tiene responsabilidad penal si omite el cumplimiento de control del delito de lavado de activos, por ello es importante que todas las actuaciones deberán estar debidamente documentadas.

El décimo requisito es establecer normas para sancionar disciplinariamente las vulneraciones del sistema, las cuales deben estar claramente establecidas en el CP. Este texto debe señalar cuáles son las sanciones y con qué medidas se sancionan el incumplimiento de la norma, lo que se puede coordinar con la Dirección de Talento Humano y, además, deberá incluir de forma necesaria “un plan reactivo o protocolo de actuación ante la comisión de un delito y su régimen sancionador” (Bajo Albarracín, 2017).                  

Por último, el décimo primer requisito habla de las Políticas de Compliance, que son los “Programas conozca a su cliente o debida diligencia” (Artículo. 49.10 COIP).  Este tipo de políticas ya estaban establecidas para los sujetos obligados según la normativa de PLAF; sin embargo, no se limita solamente a la política conozca a su cliente, sino que incluye: política conozca a su empleado, política conozca a su accionista, política conozca a su proveedor, política conozca a su mercado, política conozca a su corresponsal (LAFD, 2016). Lo mismo ocurre con la debida diligencia en la que se indica que se debe recopilar, verificar y actualizar la información del cliente, establecer perfiles transaccionales y de comportamiento, así como los procesos de monitoreo y la generación de reportes internos y externos. Cuándo la investigación lo amerite se podría realizar también una debida diligencia ampliada, como lo establece la normativa de PLAFD. Desde mi punto de vista, sería óptimo si esta última se la utiliza como referente para una mejor comprensión de este requisito que ha colocado el legislador.

5.        Conclusiones

La RPPJ se encuentra en nuestro ordenamiento desde el año 2014. En Derecho Comparado, España nos lleva ventaja con respecto a la aplicación de los CP, pues en Ecuador la actual normativa es escueta con respecto al tema de RPPJ y los CP, y seguramente requerirá más reformas en la que se incluya al CP como eximente o incluso para aclarar conceptos que se dejaron a un lado en la reforma 2021.  

El reto con la nueva reforma es grande; tras analizar el artículo 49 del COIP he llegado a la conclusión que el legislador ha realizado cambios en la normativa penal por la presión de cumplir con lo requerido por el FMI, similar situación que en el 2014 cuando se introdujo la RPPJ con el fin de salir de la lista del GAFI y de las jurisdicciones con deficiencias estratégicas. Lo vuelve a hacer con la reforma introduciendo los CP, por lo que este fin no permite que se cree una norma adecuada a nuestro sistema en algo tan importante como lo es el CP.  

A pesar de esta gran problemática, se ha tratado de resaltar la importancia de los CP, pues es necesario comenzar a fomentar una cultura de cumplimiento; de esa manera se conseguirá un efecto positivo para el país, pues todas las empresas van a tener que someterse a más controles y será más fácil eliminar las empresas pantalla. Los CP son de gran ventaja no solo para el sector privado sino para el mismo Estado, en otros países ya estamos viendo frutos de incorporar el public compliance. Lastimosamente, desde que se introdujo la RPPJ no se han visto resultados pragmáticos y de beneficio para el país. En la práctica se avecinan varios problemas, entre ellos que se utilice el CP de papel, por lo tanto, fiscales como jueces deberán tener cuidado en la detección de estas malas prácticas. El modelo de compliance que se introdujo con la reforma 2021 es un avance, sin embargo, falta mucho por hacer, y se espera que se pase de esa vigencia formal y en desuso a una vigencia material de la norma. 

 

 

Referencias bibliográficas

 

Aguilera Gordillo, R. (2016). Compliance y responsabilidad penal corporativa. Navarra: Thomson Reuters.

Araujo Granda, M.P. (2014). La nueva teoría del delito económico y empresarial en Ecuador: La responsabilidad penal de las personas jurídicas y el Código Orgánico Integral Penal. Quito: Corporación de Estudios y Publicaciones.

Ayala de la Torre, J.M (2016). Claves prácticas Compliance. Madrid: Lefebvre.

Bacigalupo Sagesse, S. (1998). “La Responsabilidad penal de las personas jurídicas”. Barcelona: Editorial Bosch.

Bajo Albarracín, J.C. (2017). Sistemas de Gestión Compliance: Guía Práctica. Madrid: Centro de Estudios Financieros.

Balcarce F., Berruezo, R. (2016). Criminal Compliance y Personas jurídicas. Buenos Aires: Editorial BdeF.

Bayancela Delgado, M.T. (2014). La responsabilidad penal de las personas jurídicas. Quito: http://repositorio.usfq.edu.ec/bitstream/23000/3457/1/111624.pdf

Díaz Gómez, A. (2011). El modelo de responsabilidad Criminal de las Personas Jurídicas tras la LO 5/2010. En: Revista Electrónica de Ciencia Penal y Criminología.

García  Falconí,  R.  J.  y  Alba  Zurita,  E.  (2017).  La  responsabilidad  penal  de  las  personas  jurídicas, especial enfoque al caso ecuatoriano. En Pérez-Cruz Martín, A-J. (dir.) y Neira Pena, A. (coord.). Proceso penal y responsabilidad penal de las personas jurídicas(375-399). Navarra: Aranzadi.

Molina Fernández, F.(2010). Memento práctico penal 2010. Madrid: Editorial Francis Lefebvre.

Moscoso del Prado, J., Carzola Prieto L.M y Bercovitz, A. (2017). Compliance: Guía práctica de identificación, análisis y evaluación de riesgos. Madrid: Thomson Reuters.

Ramírez, H. (2021). La investigación interna en las empresas. https://protecciondatos-lopd.com/empresas/investigacion-interna/

Rotsch, T. (2012). “Criminal Compliance”, en: www.indret.com

Silva Sánchez, J.M, Montaner Fernández R. y Vareala L.(2016). Fundamentos del Derecho penal de la empresa. Segunda Edición ampliada y actualizada. Madrid: Editorial Edisofer.

Puyol, J. (2017). “El funcionamiento práctico del canal de compliance  Whistleblowing. Valencia: Tirant lo Blanch. 

Villegas García, M. (2016). La responsabilidad criminal de las personas jurídicas: la experiencia de Estados Unidos. Pamplona: Aranzadi.

 

Sentencias

Tribunal Supremo de España (2016). STS 154/2016, Sentencia del 29 de febrero de 2016.

 

Legislación

Código Orgánico Integral Penal (2014). Registro Oficial Suplemento No. 180 de 10 de febrero de 2014.

Ley Orgánica de Prevención, Detección y Erradicación de Delito de Lavado de Activos y Financiamiento de Delitos (2016). Registro Oficial Suplemento 802, de 21 de julio de 2016.

Ley orgánica reformatoria del Código Orgánico Integral Penal en materia anticorrupción (2021). Registro Oficial del Ecuador n. 392, de 17 de febrero de 2021.

Congreso de Diputados de España (2015). Ley Orgánica 10/1995, de 23 de noviembre, del Código penal, reformas LO 5/2010, LO 1/2015, de 30 de marzo de 2015.

Norma IS0 37301:2021: Sistemas de Gestión de Compliance.

Norma ISO 31000:2018. Gestión de Riesgos.

Superintendencia de Bancos (2018). Normas de Prevención de Lavado de Activos, Financiamiento del Terrorismo y Otros Delitos. RO No. 319, de 04 de septiembre de 2018.

 

Convenciones, informes y comunicados

GAFISUD  (2007).   Informe  de  evaluación  mutua  sobre lavado  de  activos  y  financiamiento  del  terrorismo,  de  06  de  diciembre  2007.  https://www.gafilat.org/index.php/es/biblioteca-virtual/miembros/ecuador/evaluaciones-mutuas-7/130-ecuador-2nda-ronda-2007/file

GAFISUD  (2011).   Informe  de  evaluación  mutua  sobre lucha contra el lavado  de  activos  y el financiamiento del terrorismo, de 15 de diciembre 2011.  https://www.gafilat.org/index.php/es/biblioteca-virtual/miembros/ecuador/evaluaciones-mutuas-7/131-ecuador-3era-ronda-2011/file



[1] Abogada por la Universidad San Francisco de Quito. Máster en Administración de Empresas por la Pontificia Universidad Católica del Ecuador. Máster en Derecho, Empresa y Justicia y Doctoranda en Derecho, Ciencia Política y Criminología por la Universidad de Valencia (España). Correo electrónico: toabayancela@gmail.com ;ORCID: https://orcid.org/0000-0003-4292-4343.

[2] El principal problema se encontraba en la escasa regulación a los delitos de lavado de activos y financiamiento del terrorismo, especialmente en el caso de las personas jurídicas.

[3] En contra: Edgardo Donna, Terán Lomas, Eugenio Raúl Zaffaroni; A favor: Klaus Tiedemann, Zugaldía Espinar, Silvina Bacigalupo. 

[4] Debate que no se ha tomado en cuenta en este artículo pues en la actualidad ya se encuentra incorporada  la norma sobre la RPPJ, tanto en el ordenamiento jurídico español como en el ecuatoriano.

[5] Es pertinente aclarar que las Circulares de la Fiscalía Española no son vinculantes, sin embargo ayudan en la interpretación de la norma.

[6] Como antecedentes de hecho tenemos que se trata de tractores que saliendo originalmente de España a Venezuela, retornaron de este país con cocaína, implicados principalmente Avelino Javier y Remigio Gumersindo. Respecto a las personas físicas autoras del delito contra la salud pública objeto de condena la prueba es considerada bastante por las diligencias practicadas en el mismo juicio oral, valoradas por la Audiencia constatándose que la gestión de la recurrente tenían los autores del ilícito, lo que deriva en responsabilidad de TRANSPINELO S.L., y se cumplen los dos primeros requisitos del artículo 31 bis del Código Penal, tanto en su redacción original y en la vigente, así, la comisión de uno de los delitos catalogados de aquellas infracciones susceptibles de generar responsabilidad penal para la persona jurídica en cuyo seno se comete, en el caso, el delito contra la salud pública; y, que las personas físicas autoras del delito  son integrantes de la persona jurídica, como administradores de derecho y de hecho.

 

[7] Al mencionar este Reglamento no se determina bien los requisitos y es necesario que el legislador aclare esta situación.