Importancia de la integración de los modelos de prevención de delitos en México bajo la norma ISO 37301:2021 de los Sistemas de Gestión de Cumplimiento

Expansión de la responsabilidad penal de la persona jurídica

México es la tercera economía más grande del continente americano y cuenta con la mayor población de habla hispana a nivel global; por ello, en México hacen vida -directa o indirecta- buena parte de las grandes empresas del mundo, principales destinatarias de las vigentes regulaciones y buenas prácticas sobre cumplimiento normativo (compliance).

Además, México, como integrante de la Organización de las Naciones Unidas (ONU) y la Organización para la Cooperación y el Desarrollo Económicos (OCDE), asumió distintas obligaciones convencionales² para la incorporación en su ordenamiento de sanciones eficaces contra las personas jurídicas, bien a nivel administrativo, penal y/o civil, por delitos de soborno transnacional, delincuencia organizada y corrupción. Luego, esa expansión ha traspasado de aquellos delitos tradicionalmente vinculados a la responsabilidad penal de la persona jurídica (RPPJ) a una categoría extensa de tipos penales capaces de alcanzar todo ámbito de actividades de las empresas, lo cual, sin la debida contextualización y gestión de control organizacional con visión sistemática, conlleva que un sinnúmero de riesgos no sean conocidos, evaluados o atendidos por las empresas y ya de entrada, no cuenten con un debido control organizacional.

Por ello, el contexto mexicano, local y regulatorio, trae grandes retos de articulación y gestión para ser atendidos a través o por medio de los sistemas de gestión de cumplimiento, a los fines de no hacerlos letra muerta en el seno de las organizaciones. Un modelo de prevención de delitos debe propender a ser eficaz, no perfecto, ya que no existe el riesgo cero, pero sí suficiente y adecuado para el tamaño, riesgos y ambiente regulatorio que impacte a una organización. Conjugando un modelo de prevención de delitos bajo un sistema de gestión de cumplimiento, se aumentan los escenarios de éxito en el cumplimiento penal.

Recepción en México de la responsabilidad penal de la persona jurídica (RPPJ)

En el año 2014 se incorpora la RPPJ dentro del contenido del nuevo Código Nacional de Procedimientos Penales (CNPP) en su artículo 421 y siguientes, en donde se dice que las personas jurídicas serán responsables de los delitos cometidos:

1. En su nombre;
2. Por su cuenta;
3. En su beneficio; o, 
4. A través de los medios que ellas proporcionen.

Debido control de la organización como mecanismo de prevención del defecto organizacional

Además de la presencia de alguno de los criterios de imputación mencionados, si además ha existido la “inobservancia del debido control” en la organización, estaremos en presencia de un alto riesgo de sanción para las empresas. Entre tanto, el “debido control” que se le pide articular a las organizaciones, establece un elemento pivote y trascendental en la materia, relacionado con la prevención del defecto de la organización³, como criterio de atribución de la responsabilidad penal de la persona jurídica por un hecho que le es propio. Si una empresa no contó con un debido control es altamente probable que el defecto en la organización haya concurrido a la materialización de un hecho lesivo y desaprobado normativamente como delito y, por tanto, cabría la posibilidad de exigir la RPPJ.

La idea detrás del defecto de la organización es que las empresas, como entidades jurídicas, cuenten con la capacidad y los medios para prevenir -identificar, evaluar, controlar, es decir, gestionar- los riesgos de ocurrencia de ciertos delitos potencialmente materializables a través de las actividades que ejecutan en el mundo jurídico, y esto se prevendrá, impedirá o controlará con la implementación de medidas de cumplimiento y supervisión adecuadas. Si una empresa no toma estas medidas o no las implementa de manera efectiva, podría ser considerada responsable penalmente por los delitos cometidos por sus empleados o agentes en el curso de sus actividades -en su nombre, por su cuenta, en su beneficio o a través de los medios que proporcione- por defecto en la organización.

Atenuación o exención de RPPJ

El contar con un modelo de prevención de delitos de las empresas que acredite el debido control de la organización, puede conllevar a la atenuación de las sanciones hasta en una “cuarta parte” -a nivel federal- o incluso a la exención de éstas, a nivel local, dependiendo de la específica regulación de la entidad federativa que se trate.

Sanciones de alto impacto para las empresas

Entre las sanciones a las personas jurídicas se prevén sanciones económicas, decomisos de instrumentos y hasta su disolución como más extrema sanción, lo que no es otra cosa más que la extinción de la personalidad jurídica y su consecuente liquidación.

Catálogo de delitos de RPPJ

Como desarrollo a lo anterior, el Código Penal Federal ha previsto en su artículo 11 bis, literales a) y b) los delitos expresamente previstos en el mismo texto penal como su catálogo de delitos RPPJ a nivel federal y que podemos dividir entre delitos previstos en ese Código Penal Federal que pueden también ser cometidos por personas jurídicas -literal a- y los delitos previstos en otras leyes federales que alcanzan igualmente a las personas jurídicas -literal b-. A nivel de entidades federativas, cada una de éstas goza con autonomía para la emisión de sus propias leyes penales, así como definir la regulación y alcance de la RPPJ en su ámbito espacial y existen entidades federativas como Ciudad de México, Estado de México, Jalisco, Puebla, Quintana Roo, Yucatán y Veracruz que ya han previsto un catálogo de delitos. En síntesis, el escenario es que, en México, los tipos penales que pueden alcanzar actividades de las personas jurídicas pasan por mucho las tres cifras en cantidad.

Elementos del modelo de prevención de delitos en México

¿Cómo se integran / artículos los elementos de un debido control de la organización?

Las leyes penales no dan una respuesta expresa, pero sí algunas guías, así encontramos que a nivel federal se ha de contar con:

1. Un órgano de control permanente con competencias para verificar el cumplimiento de las disposiciones jurídicas aplicables; 
2. Políticas internas de prevención delictiva; y,
3. Que las personas jurídicas disminuyan el daño ocasionado (antes, a nivel preventivo o después del hecho típico, a nivel reactivo).

Por su lado, con una mayor extensión, a nivel de las entidades federativas antes mencionadas, encontramos que este modelo deberá:

1. Identificar las actividades en cuyo ámbito puede ser cometido el delito (evaluación de riesgos);
2. Establecer políticas y procedimientos;
3. Gestionar apropiada de recursos financieros;
4. Prever canales de denuncias;
5. Definir sistemas disciplinarios; y,
6. Verificar el modelo.

Todo lo anterior, rodeado de una cultura de cumplimiento como elemento de valor organizacional aplicable desde lo más alto de la organización y a todos sus integrantes.

La ayuda de los Sistemas de Gestión de Cumplimiento ISO 37301:2021 o Antisoborno ISO 37001:2016 a la articulación de los modelos de prevención de delitos en México

Sin que se trate de una panacea, las normas ISO 37301:2021 e ISO 37001:2016, pueden contribuir en la identificación, articulación y gestión apropiada de las necesidades de prevención de delitos de las organizaciones en México, con la integración de los requisitos de dichos estándares, que podemos resumir en:

1. Determinar su contexto organizacional: territorio, actividades, partes interesadas, obligaciones y riesgos de cumplimiento, alcance y estructura, entre otros.
2. Diseñar una Política de Cumplimiento Penal;
3. Determinar quiénes serán los sujetos principales de la dirección y gestión cumplimiento penal de la organización: Órgano de Gobierno, Alta Dirección, responsable del sistema de gestión de cumplimiento penal o encargado de prevención de delitos;
4. Planificar los objetivos de cumplimiento Penal y las acciones para tratar riesgos y oportunidades;
5. Contar con recursos: financieros, humanos, materiales;
6. Comunicar la existencia del sistema de cumplimiento penal;
7. Capacitar y sensibilizar a las partes interesadas;
8. Definir sus controles operacionales, tales como debida diligencia, canal de denuncias e investigaciones internas, entre otros;
9. Evaluar y revisar el sistema; y,
10. La Mejora continua.

Estos requisitos, debidamente diseñados y comprendiendo la complejidad regulatoria local, permiten integrar y poner en marcha un modelo de prevención de delitos bajo la estructura de un sistema de gestión de cumplimiento penal, al amparo de una norma de autorregulación internacional, capaz de satisfacer los requisitos regulatorios internos brevemente reseñados, generando efectividad y evidencias; incluso ante la necesidad de acreditar, en sede jurisdiccional, la existencia del debido control con el pertinente dictamen pericial de debido control organizacional.

La historia se escribe un día a la vez y en México la historia de la gestión de cumplimiento penal se encuentra en curso. Así que manos a la obra. Vamos a gestionar esta historia al amparo de los sistemas de gestión de cumplimiento o antisoborno. Elevemos la vara de la medición.

Francisco Santana, F&C Consulting Group, Socio Manager Latam. Consultor en compliance corporativo, criminal compliance y derecho penal económico y de la empresa. Experto certificado en el diseño, implementación y auditoría de Sistemas de Gestión de Cumplimiento Normativo (ISO 37301:2021), Antisoborno (ISO 37001:2016), Modelos de Prevención de Delitos, Protección de Datos y Enfoques Basados en Riesgos PLD-FT. Contacto [email protected].

²Convención de la OCDE contra el Soborno Transnacional (1997); Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional (2000) y Convención de las Naciones Unidas contra la Corrupción (2003)

³“En el contexto descrito, la responsabilidad penal de las personas jurídicas tiene como presupuesto fundamental el defecto de organización de la entidad. Este concepto se revela como un requisito de imputación y funda la responsabilidad penal en un fallo organizativo de la persona jurídica. Así, la responsabilidad se irroga por un hecho propio de la persona jurídica, consistente en que se ha organizado internamente de modo defectuoso”. EDECARRATZ SCHOLZ, Francisco Javier. Defecto de organización y reglas de comportamiento en la imputación de las personas jurídicas. Polít. crim. [online]. 2020, vol.15, n.30 [citado  2023-02-08], pp.694-728. Disponible en: <http://www.scielo.cl/scielo.php?script=sci_arttext&pid=S0718-33992020000200694&lng=es&nrm=iso>. ISSN 0718-3399.  http://dx.doi.org/10.4067/S0718-33992020000200694.

Las opiniones contenidas en las publicaciones de esta columna son responsabilidad exclusiva del autor y no representan necesariamente la opinión de LEC o sus socios.

Imagen: Pexels