Premium
ITTIControl del empleado y Responsabilidad penal de la empresa: ¿convergentes o divergentes?
Control del empleado y Responsabilidad penal de la empresa: ¿convergentes o divergentes?
(Imagen: E&J)
Por Francisco Javier Carbayo. Asociado Senior del Departamento de Governance, Risk & Compliance. ECIJA.
EN BREVE: «¿Cómo buscar el punto de equilibrio entre los límites que el Supremo fija al control de la actividad de los empleados en el uso de los medios electrónicos y las necesidades de «debido control» que fija el Código Penal? La respuesta no puede ser una solución simplista, y así lo ponen de manifiesto hechos como la reciente Circular 1/2011 de la Fiscalía General del Estado. Haremos una aproximación clara y concisa a esta materia tan interesante como importante para todo tipo de Entidades.»
El pasado 23 de diciembre, como es de todos sabido, entró en vigor la modificación del Código Penal que atribuye responsabilidad penal a las personas jurídicas. También de todos es sabido que esta modificación vino acompañada de una serie de incertidumbres que el paso del tiempo y la experiencia van solventando de manera progresiva. En todo caso, uno de los aprendizajes fundamentales que han resultado ya es (casi) dogma: acotar el enfoque de cumplimiento del nuevo Código Penal considerándolo de manera aislada, aunque parezca sorprendente, es un error (más habitual de lo que parece); los problemas que se plantean y las soluciones que están en marcha (a través de metodologías y herramientas contrastadas) necesitan una visión mucho más amplia.
Prueba de ello son dos realidades recientes que, en mayor o menor medida, inciden en la estrategia de Corporate Compliance (expresión referida a la materia penal antedicha) de cualquier Entidad. ¿Cuáles son? Las siguientes:
Primero tenemos la Sentencia de la Sección 1ª de la Sala de lo Social del Tribunal Supremo, de 8 de marzo de 2011. Este pronunciamiento profundiza en una línea interpretativa iniciada por la Sentencia, también del Supremo, de 26 de septiembre de 2007: necesidad de «reglas de uso» de los medios informáticos por los trabajadores, como un previo a su monitorización. La diferencia de supuesto de hecho (la de 2007 se refería a monitorización de un solo equipo, en la de 2011 «la auditoría se ha dirigido a averiguar la utilización por parte de todos los empleados de la empresa de los ordenadores de la misma»), no cambia las conclusiones.
¿Cómo casar tales conclusiones con la necesidad de «debido control sobre sus empleados» a la que deben responder las empresas para modular o eliminar su responsabilidad penal? La clave en la solución es sencilla en la teoría pero específica y particular en cada empresa en su puesta en práctica: encontrar el punto de equilibrio entre los controles debidos y el respeto a la intimidad y demás derechos implicados de los trabajadores.
Segundo, a esta «ecuación» ha de añadirse como factor a tener en cuenta lo dispuesto en la reciente «Circular 1/2011 de la Fiscalía General del Estado. Relativa a la Responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica número 5/2010». Esta Circular introduce una prescripción más que importante sobre las actuaciones de las empresas encuadrables bajo expresiones como «código de autorregulación, corporate defense, compliance guide, plan de prevención del delito o como quiera llamársele». Tales actuaciones (aunque importantes), vienen a indicar que se integran en un conjunto más amplio, que incluye todas las actuaciones (jurídicas, técnicas y organizativas) en materia de Corporate Compliance que deben realizar las entidades. Y ello para hacer constancia y prueba de que «los gestores o los órganos de gobierno de la persona jurídica han ejercido por sí o por delegación en otras personas todas las medidas exigibles para la prevención, detección y reacción ante posibles delitos».
Cambiando de materia pero no de problemática, tenemos el Anteproyecto de Ley de Contrato de Seguro, que en su último borrador, dice que serán nulas las cláusulas contractuales cuyo objeto sea la cobertura de las sanciones penales o administrativas. En este sentido, debemos tener en cuenta lo que indican los apartados 3 y 4 del artículo 50 del Código Penal «3. (…) Las penas de multa imponibles a personas jurídicas tendrán una extensión máxima de cinco años. 4. (…) excepto en el caso de las multas imponibles a las personas jurídicas, en las que la cuota diaria tendrá un mínimo de 30 y un máximo de 5.000 euros.»
Como es más que conocido, una de las formas de gestionar el riesgo, también el riesgo relativo a cumplimiento normativo, es el traslado del mismo a un tercero (aseguradora) mediante un contrato al efecto (póliza de seguro). Si la redacción indicada se mantiene en el proceso legislativo, nos vamos a encontrar frente a un gran obstáculo para esta opción, y además frente a la necesidad de replantear ciertas pólizas de seguros actuales.
Aún más que lo anterior, podemos aprovechar este momento para extender el análisis del Anteproyecto a otro ámbito al que también las entidades dan (o deberían dar, en todo caso), mucha importancia: las sanciones derivadas de la acción de la Agencia Española de Protección de Datos. Varios, aunque no muchos, son los seguros que se comercializan actualmente para dar «respuesta» a actuaciones de dicha Agencia. Aunque varían en sus coberturas y condicionados, habremos también de esperar a ver cómo les afecta la futura Ley de Contrato de Seguro (y también, ciertamente, esperar al texto definitivo de la misma).
En conclusión, la aproximación hacia la responsabilidad penal de las personas jurídicas no puede ser sólo penal. Existen otros ámbitos normativos en constante evolución y que impactan de manera más que directa en la estrategia y táctica de respuesta a este nuevo área de cumplimiento normativo.
La fortaleza de los protocolos y metodologías de cada Entidad en este sentido darán la medida de su capacidad de resistencia cuando hayan de «sentarse en el banquillo». Pero en todo caso, junto a tales protocolos y a partir de los mismos, se han de establecer los medios para acreditar y hacer prueba de que la estrategia de Corporate compliance de una determinada Entidad no se reduce sólo a emitir documentos, sino también a desarrollar el demandando «debido control» de manera controlada, eficaz y demostrable.
Si desea leer el Artículo en Formato PDF puede hacerlo abriendo el documento adjunto.
...
CONTENIDO EXCLUSIVO PARA SUSCRIPTORES
