Dino CarlosCaro Coria
Compliance 3.0 Por Carlos Caro
  1. El esperado Reglamento de la Ley N° 30424 de Responsabilidad Administrativa (Penal) de la Persona Jurídica, aprobado mediante el Decreto Supremo N° 002-2019-JUS, vigente desde el 10 de enero de 2019, adopta los lineamientos del último Proyecto de febrero de 2018, difundido mediante la Resolución Ministerial N° 61-2018-MINJUS. Desde ese punto de vista, su contenido, además de tardío, no es nuevo ni sorpresivo.
  1. No se trata de un Reglamento de toda la Ley N° 30424. La Ley entró en vigor el 1 de enero de 2018, y su contenido, por su alcance punitivo/penal, no puede ser desarrollado por un Reglamento. El principio de legalidad impide que una norma de rango inferior a una Ley desarrolle los elementos del tipo penal o las sanciones, éstas deben establecerse en una Ley en sentido estricto (Ley o Decreto Legislativo). En ese sentido, el art. 17.2 in fine y la Segunda Disposición Complementaria Final de la Ley, derivaron al Reglamento únicamente el desarrollo del “contenido del modelo de prevención, atendiendo a las características de la persona jurídica”, considerando que la preexistencia de un programa de cumplimiento efectivo (art. 17.1), o de uno defectuoso (art. 12.e) o incluso posterior al hecho punible (art. 12.d), pueden justificar la exclusión o reducción, respectivamente, de la sanción a la persona jurídica.
  1. De ese modo, la principal función del Reglamento es otorgar seguridad jurídica sobre los parámetros que aplicará la Superintendencia del Mercado de Valores (SMV) para validar un programa de cumplimiento. Conforme al art. 18 de la Ley N° 30424, si la SMV considera que el programa es efectivo, el Fiscal debiera archivar el caso penal, regla que ha sido muy criticada por su dudosa constitucionalidad, la Fiscalía es autónoma en la persecución del delito, no se le puede obligar a cerrar un caso en base a un informe administrativo vinculante. Crítica a la que se suma la nula experiencia y competencia material de la SMV para intervenir, opinar o tener injerencia en materia de cumplimiento normativo, frente a fenómenos delictivos tan complejos como la corrupción, el lavado de activos, la financiación ilegal de organizaciones políticas o el crimen organizado.
  1. Pero el Reglamento no satisface los fines de seguridad jurídica por varios motivos. En primer término porque el compliance al que se refiere la Ley no es obligatorio sino voluntario, no está previsto para los llamados Sujetos Obligados a reportar operaciones sospechosas ante la Unidad de Inteligencia Financiera en el marco del llamado Sistema de Prevención de Lavado de Activos y del Financiamiento del Terrorismo (SPLAFT), para los cuales ya existe una amplia regulación de la Superintendencia de Banca y Seguros que estandariza los modelos de prevención según el grado de exigencia impuesto a cada sujeto obligado, en concordancia con su exposición al riesgo de lavado de activos, como puede apreciarse particularmente en la Resolución de la SBS N° 789-2018 de 28 de febrero. En esa línea de ideas, se esperaba que el Reglamento de la Ley N° 30424 traiga consigo un modelo mucho más flexible, menos exigente, más acotado, pero el resultado es el contrario. Se mantiene la crítica del proyecto, el Reglamento es excesivamente regulatorio, especialmente en la parte final, el art. 48 establece un check list de hasta 43 parámetros para validar un compliance program, cuando este análisis debe ser más complejo, se trata de evaluar si en el caso concreto el programa era idóneo o no para prevenir el delito imputado, la idoneidad no equivale a cumplir con un check list, el llamado test de idoneidad o de debido control (Adán Nieto Martín) no implica una evaluación de auditoría sino jurídica, en el que se ponderen criterios de proporcionalidad y exigibilidad, ante los cuales cumplir o no con un check list es algo secundario, auxiliar o referencial[1].
  1. El segundo problema estriba en que la Ley encargó al Reglamento, dado el alto costo que puede significar implementar un programa de cumplimiento, a ser incluso menos exigente según el tamaño de la empresa. El art. 17.2 in fine de la Ley señala que “En caso de la micro, pequeña y mediana empresa, el modelo de prevención será acotado a su naturaleza y características y solo debe contar con alguno de los elementos mínimos antes señalados”. Pero el Reglamento tampoco se hace cargo de este asunto, el art. 44 indica tímidamente que para esta banda de empresas el programa de cumplimiento debe implementarse conforme al principio de “adaptabilidad”, lo que es poco decir, dada la genérica definición de dicho principio (art. 4.2) y por qué, a fin de cuentas, el art. 45 y la Cuarta Disposición Complementaria Final señalan que será el Ministerio de la Producción quien, mediante una simple Resolución Ministerial, aprobará los formatos del modelo de prevención aplicables a las llamadas mipymes. Con esto, lo que en esencia encargó la Ley al Reglamento (Decreto Supremo), finalmente es derivado a una norma de rango menor (Resolución Ministerial), para resolver uno de los aspectos más cruciales como controversiales del compliance: ¿cuánto del compliance debe exigirse a las empresas con menos dinero y menos cultura corporativa?, o incluso la cuestión sobre si acaso el cumplimiento normativo ya no es exigible a aquellas empresas que no han alcanzado el grado de maduración suficiente que permita identificar una cultura corporativa, una diferencia entre el socio o accionistas y la empresa, como es el caso de la EIRL por ejemplo, y en las que solo habría lugar para la responsabilidad penal individual, de la persona física, y no para una empresa sin culpabilidad, dada la identidad entre socio y empresa (“la empresa soy yo”).
  2. Con todo, tenemos un Reglamento para la grandes empresas, aquéllas que en su mayoría ya cuentan con programas de cumplimiento, bien porque son sujetos obligados, porque la regulación transnacional se los exige (FCPA, UKBA de 2010, UKCFA de 2017, etc.) o acaso porque el mercado de las buenas prácticas corporativas se los demanda. Sin embargo, quedan aún en la penumbra los grupos empresariales más necesitados del compliance, es decir las medianas, pequeñas y micro empresas, menos sujetas a los códigos y buenas prácticas corporativas, generalmente por la estrecha relación entre propiedad y dirección que conlleva a que la inversión en compliance no aparezca como una necesidad prioritaria en la larga lista de costos de formalización que deben asumir. Estas empresas aún podrán o deberán esperar los formatos del Ministerio de la Producción para hacer el cálculo coste/beneficio en torno a un modelo de prevención “tailor made” o a la medida. Sin incentivos legales, el compliance para esta franja empresarial queda entonces postergado, una desregulación que nos devuelve al terreno del soft law, las recomendaciones, las guías y aplicativos[2], una vuelta a la autoregulación pero aún desregulada.

[1] Nieto Martín, Adán y otros. Manual de cumplimiento penal en la empresa. Valencia, Tirant lo Blanch 2015, pp. 79 ss.

[2] Vid. por ejemplo la reciente “Guía de implementación de compliance para pymes. Manual práctico de implementación”, de la World Compliance Association (WCA) de mayo de 2019, http://www.worldcomplianceassociation.com/guia-de-implementacion-de-compliance-para-pymes.php

LinkedIn