MODELO DE PREVENCIÓN DE DELITOS:
NUEVA LEY DE DELITOS ECONÓMICOS
Dentro del sistema de prevención y persecución de los delitos, los expertos identifican cuatro etapas significativas: la prevención de los delitos, su detección, la investigación y persecución penal, y, finalmente, la sanción penal.
El Modelo de Prevención de Delitos (“MPD”) viene a abarcar las primeras dos etapas de este sistema al interior de las empresas, es decir, la prevención y detección de conductas punibles. Este modelo, en la práctica, consiste en un sistema de organización, administración y supervisión interna que va más allá del mero documento que lo contiene, y que debe garantizar, mediante protocolos y procedimientos internos, su aplicación eficaz dentro de la empresa.
- La necesidad de un MPD antes y después de la reciente modificación legal
Bajo el paradigma de la Ley Núm. 20.393, en forma previa a su modificación sustancial del año 2023, se atribuía responsabilidad penal a la persona jurídica cuando el autor del ilícito lo hubiere cometido en interés de aquella (directo o indirecto) o para su provecho, y siempre que la comisión del delito fuese una consecuencia del incumplimiento por parte de la empresa de su deber de dirección y supervisión, el que se entendía cumplido si se había adoptado un MPD. Además, el catálogo de delitos por los que podía responder la persona jurídica era bastante limitado.
Las modificaciones introducidas a dicha ley por la nueva Ley Núm. 21.595 (“Ley de Delitos Económicos”) eliminan la necesidad de que el delito cometido haya ido en directo beneficio de la empresa, bastando con que el ilícito haya sido ejecutado en el marco de su actividad y se hubiese visto favorecido o facilitado por la falta de implementación efectiva de un modelo adecuado de prevención de delitos. Asimismo, la nueva ley amplía significativamente el número de delitos por los que puede imputarse responsabilidad penal a las empresas.
Así, vemos dos cambios significativos al sistema de imputación de responsabilidad penal a la persona jurídica: ya no es necesario que la comisión del delito le provea de un beneficio, y tampoco basta con la mera implementación de un MPD “en el papel”; en cambio, su implementación debe ser efectiva y adecuada a la persona jurídica en concreto. A falta de un MPD, a la empresa se le podrá hacer penalmente responsable por un amplio espectro de conductas. Por el contrario, un MPD efectivamente implementado permite a la empresa eximirse de responsabilidad penal.
En otras palabras, la sola existencia de un MPD no alcanza para resguardar a la empresa; no es suficiente una simple declaración de intenciones. Se exige a las empresas, en cambio, un análisis acucioso de sus distintas áreas de negocio y una aplicación ad hoc de protocolos y procedimientos que, en la práctica, logren esta prevención y detección de conductas punibles. El legislador establece un estándar elevado de exigencia a las personas jurídicas, porque las considera, de alguna manera, responsables de los actos que se cometan en su seno, y les impone así un deber de vigilancia y detección, so pena de ser sancionadas en conjunto con los autores.
- Elementos esenciales de un MPD eficaz
1. Identificación de riesgos delictivos (y otros)
Para que un MPD pueda ser considerado eficaz es indispensable contar con un entendimiento profundo de los riesgos a los que se encuentra expuesta la compañía. El actual catálogo de delitos económicos es extenso, y es esperable que la probabilidad de ocurrencia de cada uno de ellos dentro de una empresa no sea igual; por tanto, conocer las actividades o procesos en que la persona jurídica es más vulnerables a la ocurrencia de un incumplimiento normativo permitirá enfocar sus esfuerzos de manera correcta.
Respecto del análisis anterior, dos apreciaciones son necesarias. Primero, es recomendable no limitar el examen de los riesgos exclusivamente a aquellos comprendidos por la Ley de Delitos Económicos: la responsabilidad penal de la persona jurídica es evidentemente algo central para el buen compliance, pero no es la única preocupación de una empresa diligente; en efecto, existen otros riesgos a tener en consideración al momento de hacer este análisis, pudiendo la compañía incurrir en incumplimientos normativos que no son fuente de responsabilidad penal, pero sí generan responsabilidad civil o administrativa, o daño reputacional, por ejemplo. Por tanto, si bien el MPD debe abordar la prevención y detección de delitos, es sano que la empresa cuente con un programa de cumplimiento que vaya más allá de esto.
En segundo lugar, para medir el riesgo y calcular correctamente la afectación en la empresa, es necesario conjugar el impacto que un incumplimiento pueda tener en la compañía, el que se verá desde distintas ópticas, y la probabilidad de ocurrencia de la infracción misma, es decir, el nivel de exposición.
A modo de ejemplo, una empresa que venda suministros de oficina tiene una probabilidad de ocurrencia del delito de financiamiento al terrorismo pequeña, pero el impacto de su materialización, por muy improbable que esta sea, es considerablemente alto en todos los niveles de análisis.
Finalmente, esta revisión de los riesgos en la empresa no es inamovible; como veremos a continuación, dentro de los elementos esenciales de un MPD, la ley impone la necesidad de una constante revisión y actualización del modelo, lo que es extensivo a este examen de riesgos.
2. Establecimiento de protocolos y procedimientos de prevención y detección de conductas delictivas
El siguiente paso de la elaboración de un MPD conforme a la reciente Ley de Delitos Económicos es la continuación lógica del primero, esto es, hacerse cargo de aquellos riesgos detectados en las distintas actividades o procesos de la empresa. En la práctica, esto se materializa en protocolos y procedimientos que apuntan a prevenir y detectar las potenciales conductas ilícitas, los que deberán incorporarse expresamente en los contratos de trabajo y de prestación de servicios de los empleados, incluidos los máximos ejecutivos de la empresa.
La norma entrega algunas luces de qué entiende como mínimos necesarios en este aspecto, especificando que se deberá considerar un canal de denuncias seguro y sanciones internas para casos de incumplimiento, similar a lo que indicaba la Ley Núm. 20.393, antes de su modificación. Pero la observación de este requisito no se ve satisfecho únicamente cumpliendo estos parámetros: para poder hablar de un MPD efectivamente implementado, es necesario contar con una normativa interna robusta que aborde los potenciales riesgos para la compañía, con vías adecuadas para su difusión y capacitación de los trabajadores en este sentido.
(i) Protocolos y procedimientos preventivos en general
Como adelantamos, es necesario entender este requisito de los MPD como algo que va más allá de una mera declaración de intenciones: se deben implementar procedimientos y protocolos efectivos y enfocados especialmente en la prevención de irregularidades.
Esto claramente excede el proceso de investigar y sancionar, pues ambos son parte de la detección y gestión de irregularidades, pero no buscan directamente prevenirlas, independientemente de que sirvan como un medio de disuasión de las conductas sancionadas.
Para implementar un sistema que prevenga la ocurrencia de conductas cuestionables y que minimice efectivamente el riesgo al que se expone la empresa, es necesario contar con una estructura interna que sirva de guía para los trabajadores respecto de actividades que puedan exponer a la empresa. Esta estructura deberá contemplar normativa específica, conocida por los trabajadores; procesos de comunicación, difusión y capacitación para el equipo de trabajo; levantamiento periódico de información relevante, y evaluaciones a los trabajadores, especialmente aquellos que ocupan cargos de mayor exposición.
Por ejemplo, una empresa que mantiene frecuentes relaciones con funcionarios públicos deberá tener un protocolo estricto de relacionamiento con ellos, o si tenemos un gran número de proveedores, el proceso de debida diligencia respecto de estos deberá ser regulado con mayor celo.
A esto nos referimos al indicar que el MPD debe adecuarse a cada empresa y sus particularidades; si bien hay mínimos que deben seguir todas las personas jurídicas, un buen sistema de prevención de delitos debe enfocarse en los riesgos específicos de quien lo implementa.
(ii) Canal seguro de denuncias
La necesidad de tener un canal seguro de denuncias como parte integrante del MPD es una de las innovaciones de la Ley de Delitos Económicos. La redacción de la norma anterior se refería a mantener un procedimiento de denuncia o persecución de responsabilidades pecuniarias contra quienes incumplan el sistema de prevención de delitos, pero no mencionaba específicamente un canal para denunciar y dar inicio al procedimiento interno de investigación y sanción.
Estos canales de denuncia han demostrado ser efectivos no solo en la detección de potenciales conductas delictivas, sino que también para otros tipos de conductas que afectan a las empresas en materia de cumplimiento.
La recientemente dictada norma ISO [International Organization for Standarization] 37008/2023 recoge los principios básicos de un canal de denuncias, a saber, independencia, confidencialidad, competencia y profesionalismo, objetividad e imparcialidad, y legalidad, los cuales deben ser tomados en cuenta al momento de establecer la vía de denuncias interna.
Adicionalmente, la existencia de un canal de denuncias conocido, respaldado por la compañía y con garantías para los partícipes, funciona también como medio disuasor de potenciales conductas reñidas con la legalidad; o, planteándolo de otro modo, la inexistencia de un sistema seguro para denunciar facilita que colaboradores puedan actuar de manera ilícita o que estas mismas conductas prosperen en el tiempo por falta de supervigilancia.
De poco sirve un esquema estricto de sanciones si no es posible denunciar los incumplimientos de manera segura. Esto es especialmente evidente en las empresas grandes, en que la vigilancia a los colaboradores es más difícil, aunque no es menos cierto para las empresas medianas, que se ven beneficiadas por este tipo de conductos regulares que permiten a los mismos trabajadores denunciar conductas sospechosas.
(iii) Esquema de sanciones
Un sistema de prevención de delitos o, en general, cualquier normativa interna tendiente a resguardar a los trabajadores y la empresa, y que busque el cumplimiento de parámetros internos, valores y protocolos, no podría considerarse completo sin un esquema sancionatorio para aquellos que incumplen estas disposiciones.
Aquí no estamos hablando de incumplimientos a la Ley de Delitos Económicos, pues esos son ilícitos penales y deberán ser sancionados por los tribunales competentes; en este caso, hablamos de incumplimiento a las normas internas que la misma empresa impone para prevenir y detectar la ocurrencia de conductas de riesgo.
Este esquema de sanciones debe ser conocido por los trabajadores. La ley indica que la normativa interna debe ser incorporada expresamente en los contratos de trabajo, incluidos los máximos ejecutivos de la empresa.
3. Sujetos responsables
Otra innovación de la modificación a la Ley N°20.393 es el reemplazar la figura del encargado de prevención de delitos por la necesidad de designar uno o más sujetos responsables de aplicar los protocolos internos que vimos en el acápite anterior.
El legislador busca que las empresas no solo dicten normativa interna tendiente a imponer los parámetros esperados de conducta de sus trabajadores, sino que monitoreen activamente su cumplimiento y perfeccionamiento mediante uno o más encargados que, para esto, deben contar con la adecuada independencia y facultades efectivas de dirección y supervisión.
Pero ¿qué entendemos como adecuada independencia? Este aspecto, así como muchos otros de esta nueva actualización, sigue siendo debatido por expertos; sin embargo, el consenso apunta a que mínimamente la persona o personas encargadas deberán actuar de manera autónoma sin fiscalización de otros ejecutivos relevantes de la compañía, rindiendo cuentas al directorio o a la administración directamente. Esto se desprende de la literalidad de la ley que, además de hablar de la necesidad de independencia, también indica que debe contar con acceso directo a la administración, y también se puede inferir de la obligación de estar supeditados a los protocolos y procedimientos, que no excluye a los ejecutivos relevantes; por tanto, mal podría el supervisor de esta normativa rendir cuenta a uno o más de estos ejecutivos.
4. Evaluación periódica realizada por terceros y mecanismos de perfeccionamiento o actualización
Antes de los cambios introducidos por la Ley Núm. 21.595, el sistema contemplaba las denominadas Entidades Certificadoras de MPD, las que, conforme a la Norma de Carácter General N° 302 de la Comisión para el Mercado Financiero (“CMF”), deben inscribirse en el “Registro de Entidades Certificadoras de Modelos de Prevención de Delitos” que lleva dicha autoridad.
El sistema de revisión de MPD cambia diametralmente con esta modificación, pues, a contar de la entrada en vigor de los cambios a la Ley Núm. 20.393, la evaluación periódica de estos modelos deberá hacerse por terceros independientes, que no tendrán el carácter de Entidades Certificadoras. La CMF se ha pronunciado recientemente al respecto en su Oficio Ordinario N°119.066 de fecha 15 de diciembre de 2023. indicando que, completado el plazo para la entrada en vigor de la norma, cesará su competencia para fiscalizar a estas entidades y que, respecto de estos “terceros independientes” que tomarán su lugar, la CMF no tendrá facultades para su registro o fiscalización.
La norma únicamente requiere que sean terceros independientes; por lo anterior, y sin un pronunciamiento específico de la autoridad en esta materia, es posible entender que cualquier tercero con las competencias y conocimientos necesarios para revisar un MPD podrá cumplir esta labor.
No obstante, la falta de determinación por el legislador no debe entenderse como una flexibilización de la revisión de los modelos; por el contrario, el peso de acreditar la implementación eficaz del MPD está puesto, ahora más que nunca, en la propia persona jurídica. Precisamente, la motivación del legislador al eliminar la figura de las Empresas Certificadoras fue evitar que las empresas tuvieren una suerte de “as formal” mediante la certificación de sus MPD, y, en cambio, dejar la valoración de la seriedad y efectividad del modelo únicamente en manos del juez. Así, si la empresa no logra demostrar que las evaluaciones por terceros independientes se han realizado con el celo necesario, ello afectará la credibilidad y seriedad del MPD, perjudicando la posibilidad de la empresa de obtener la respectiva eximente de responsabilidad penal.
Finalmente, la norma exige a la empresa el contemplar también modelos de perfeccionamiento o actualización de su MPD a partir de las evaluaciones recibidas por estos terceros. No basta ahora con una certificación que acredite la existencia de un modelo que cumpla con los mínimos legales, sino que es necesario una evaluación profunda que deberá contemplar en su análisis la efectividad de que esta normativa interna se encuentra aplicada en la práctica, y será deber de la compañía corregir, perfeccionar y actualizar las deficiencias que pudiera presentar el sistema implementado para prevenir ilícitos.
5. Más allá de la Ley Núm. 21.595
Como podemos ver, este 2024 será un año de desafíos para las empresas. Las modificaciones en las exigencias en materia de responsabilidad penal de la persona jurídica son muy relevantes, y la necesidad de adecuar no solo la normativa interna, sino también la forma de concebir la exposición de la empresa a los numerosos riesgos delictivos previstos por la ley, plantea un reto hasta para las compañías más preparadas y autoexigentes.
Es innegable que el foco de interés y preocupación de todos se encuentra puesto en la Ley Núm. 21.595, pero debemos ser conscientes de que, para ser una empresa integral, sostenible y que perdure en el tiempo, no basta con preocuparse únicamente de lo urgente, sino que también es necesario aprovechar esta oportunidad para expandir el compromiso empresarial con el compliance y adelantarse a los futuros cambios que, sin lugar a duda, están por venir.
Autor: Valentina Chinni