Jornada sobre Compliance en el Consejo General de la Abogacía Española

En fecha 22 de junio se celebró en la sede del Consejo General de la Abogacía Española una jornada destinada al análisis de la figura del Compliance Officer y de los modelos de prevención de riesgos penales que las empresas han de implementar en sus procesos internos para poder introducir una verdadera cultura de cumplimiento y respeto a la legalidad vigente.

La jornada resultó especialmente interesante para aquellos letrados que ya asumen entre sus funciones la de responsable de cumplimiento normativo o Compliance Officer y para aquellos otros profesionales que deseen incluirla entre sus servicios.

El Compliance Officer

Así, tanto Dª Helena Prieto, abogada en Garrigues Abogados y fiscal en excedencia, como D.Bernardo del Rosal, catedrático de Derecho Penal, expresaron su opinión acerca de la posición que debe adoptar el Compliance Officer dentro de la estructura de la empresa, entendiendo ambos que ha de tratarse de una persona interna de la empresa o designada especialmente con la suficiente autonomía y capacidad de decisión, de forma que no estemos ante un “controlador controlado” .

Se debe evitar la existencia por parte de la dirección de la empresa de interferencias para la aplicación del modelo de organización y gestión de prevención de delitos que el Compliance Officer ha de implementar. Si los propios directivos de la empresa interfieren en la labor del responsable de cumplimiento normativo la exención prevista en el art.31 bis Cp nunca resultará de aplicación por entender el tribunal que la empresa en realidad no estaba realmente concienciada de la importancia de prevenir las conductas delictivas en su seno ni en promover una verdadera cultura de cumplimiento.

Entre las ponencias destacaba la idea de que el responsable de cumplimiento normativo no es una especie de policía interna dentro de la empresa ni un auditor externo sino que debe entenderse como un elemento más dentro de su organigrama, de forma que el personal de la empresa pueda encontrar en él un canal de apoyo para solventar los problemas que encuentren en la empresa, una ayuda para el cumplimiento de la legalidad en su actividad profesional.

Modelos de prevención

En cuanto al modelo de prevención coincidieron ambos en la dificultad que para el Compliance Officer supone la valoración de los riesgos de la empresa para elaborar el mapa de riesgos que necesariamente ha de incluirse en el modelo y es de una importancia vital.  Y es que el mapa de riesgos de una empresa ha de ser el reflejo de la realidad de la misma.

La finalidad es poner de manifiesto aquellos delitos que, por la actividad que la misma desempeña en el tráfico mercantil, son susceptibles de ser cometidos por su personal directivo o dependiente.

Dª. Helena Prieto se refirió a que la matriz de riesgos ha de ser sencilla y sobre todo “adaptada y aplicable al área geográfica en la que la empresa se mueva”, evitándose de esta manera que puedan copiarse modelos de prevención exitosos en otros países pero que son inaplicables en España e incompatibles con nuestro sistema procesal.

Destacó también que, precisamente por el amplio catálogo de delitos que pueden cometer las personas jurídicas dentro de nuestro país, los modelos de Compliance que manejan otros países resultarían incompletos para su aplicación a nuestras empresas.

Seguridad tecnológica

La tercera ponencia de la jornada Titulada “Medidas de prevención y seguridad tecnológica” estuvo a cargo de D. Francisco Pérez Bes, abogado y Secretario General del Instituto Nacional de Ciberseguridad de España (INCIBE), del Ministerio de Industria.

Los asistentes a la jornada pudieron comprobar la importancia que tienen los sistemas de seguridad tecnológica dentro del seno de la empresa, en especial en cuanto al acceso, gestión y tratamiento de la información documental se refiere.

El ponente informó también sobre diferentes sistemas de gestión y evaluación de riesgos de seguridad de la información de las empresas, desglosando las posibles amenazas o fallos contra las que las empresas deben luchar día a día (amenazas de origen natural, fallos de infraestructura, fallos informáticos y de comunicaciones, errores humanos…) y aportando métodos para garantizar el respeto a la confidencialidad, integridad y disponibilidad de la información de la empresa.