Tras las reuniones mantenidas en Londres, Madrid, Miami, París y Kuala Lumpur, a finales del pasado mes de mayo se celebraron en México DF las sesiones de trabajo destinadas a ultimar la próxima norma ISO 37001 sobre Anti-Bribery Management Systems (ABMS), es decir, sobre sistemas de gestión contra el soborno. Como Head of the Spanish Delegation, tuve el privilegio de participar en estas jornadas, donde surgieron aspectos que pueden ser de utilidad para interpretar el régimen español de la responsabilidad penal de las personas jurídicas según el estado del arte en materia de Compliance.

La norma ISO 37001 sigue la estructura de alto nivel de los modelos de gestión ISO (High Level Structure – HLS). Por este motivo, comparte índice con la norma ISO 19600 sobre Compliance Management Systems (CMS), como igualmente lo hará la próxima norma UNE 307101 sobre sistemas de gestión de Compliance Penal . Utilizar la HLS permite integrar fácilmente modelos de gestión específicos (como el anti-soborno) en otros modelos de mayor alcance, simplemente añadiendo aquellas materias propias de estos últimos. Por ejemplo: si una organización ya dispone de una Política general de Compliance en el contexto de su CMS, sólo deberá cuidarse de que contemple también las exigencias anti-bribery propias de su ABMS, sin necesidad de reiterar aspectos generales ya tratados en aquella. La fácil integración de diferentes ámbitos de Compliance permite optimizar su gestión, evitando redundancias innecesarias y lagunas en materia de políticas, procedimientos y controles. Recurrir a la HLS también simplifica la migración de modelos específicos a superestructuras de Compliance, e incluso la fusión de modelos de Compliance en las reorganizaciones internacionales.

A pesar de estas ventajas, hay que considerar que el ámbito de proyección de los sistemas de gestión anti-bribery es menor que el de los sistemas de gestión de Compliance penal, puesto que el soborno es tan sólo una de las conductas por las que se puede castigar a la persona jurídica en algunos países, como es el caso de España. Por ello, y puesto que la norma ISO 37001 será certificable, el juicio de conformidad respecto de un ABMS no implicará su razonabilidad en el ámbito de la prevención penal en general.

Sin perjuicio de lo anterior, es cierto que la norma ISO 37001 nos brinda algunas lecciones útiles para el diseño de modelos de prevención penal en España. Posiblemente, uno de los aspectos más controvertidos es la idoneidad de órganos de Compliance penal en grupos de sociedades: ¿es razonable fijar un órgano de prevención penal para el conjunto, o se precisa un órgano para cada una de las personas jurídicas que lo componen? Puesto que la norma ISO 37001 sigue una aproximación basada en el riesgo, es claro que la respuesta dependerá de la cobertura del riesgo penal que brinde una u otra opción. Dicho de otra manera, para la norma ISO 37001 la anti-bribery compliance function tendrá una estructura y ubicación razonables en la medida que sean idóneas para gestionar (prevención, detección y respuesta) los riesgos que le incumben, lo que puede derivar en modelos con diversos grados de centralización o descentralización, según explico en el Kit de despliegue de Compliance publicado este mes. Replicar tantas anti-bribery compliance functions como personas jurídicas concurren en un grupo, no es per se un argumento de peso que justifique tal multiplicidad, especialmente si ello perjudica la eficacia del conjunto en comparación con otras estructuras más racionales. Por este motivo,  la anti-bribery compliance function va referida al concepto de “organization”, que es deliberadamente amplio en la norma ISO 37001 para poder acoger tanto a varias personas jurídicas, como a una sola de ellas o incluso parte de la misma –lo que sea preciso en aras a la mayor eficacia del modelo -. Hay que reconocer que el literal del Código Penal español, que se refiere al régimen de responsabilidad penal de las “personas jurídicas”, no es especialmente acertado para avalar esta tesis que, sin embargo,  es la seguida por los expertos internacionales para procurar modelos eficaces contra el soborno, y la que también cabría esperar en el ámbito de la prevención penal.

Es igualmente interesante destacar que la norma ISO 37001 permitirá externalizar todos o parte de los cometidos de la anti-bribery compliance function, cuando, recordemos, la Circular 1/2016 de la Fiscalía General del Estado no considera adecuada la completa externalización del órgano de prevención penal. El estándar ISO parte de la base de que las responsabilidades de Compliance son siempre internas, afectando, en última instancia, a la máxima dirección de la organización. A partir de ahí, pueden asignarse total o parcialmente a personas externas de la misma, sin que ello le reste un ápice de responsabilidad. Es una opción que no se ha querido cercenar pensando, principalmente, en las SME (Small and Medium Enterprises), donde la posibilidad de externalización será posiblemente más eficaz que forzar la gestión interna de sus cometidos en ausencia de los conocimientos y/o los recursos necesarios para ello. Para cerrar esta cuestión, y con independencia de lo señalado por la Circular antes indicada, no olvidemos que el Código Penal español no veta tal opción.

Un aspecto innovador en la norma ISO 37001 es que el concepto de funcionario público incluye también el perfil de candidatos.  En algunas ocasiones, el acceso inminente a la función pública puede propiciar comportamientos inapropiados para conculcar la independencia del futuro funcionario. A tales efectos, ese tipo de conductas se equiparan a soborno con funcionario público a todos los efectos.

Está previsto que la norma ISO 37001 se publique el próximo mes de septiembre, con lo cual antes de terminar este año la comunidad internacional dispondrá del primer estándar global que recoge buenas prácticas para la prevención, detección y respuesta ante el soborno, tanto en el sector público como en el privado que, sin duda, se convertirá en un referente interpretativo obligado.