Como recordarán, a partir de enero de 2018 entró en vigencia la Ley N° 30424 que regula la responsabilidad administrativa de las personas jurídicas (en adelante la Ley). A los que nos interesa este tema, estuvimos esperando que se publicara su Reglamento y es así que, un año después, lo tenemos entre nosotros.
El 9 de enero de 2019 se publicó el D.S. 002-2019-JUS que aprueba el Reglamento de la Ley, a través del cual, se establece y desarrolla los componentes, estándares y requisitos mínimos de los modelos de prevención que las personas jurídicas pueden implementar en su organización, con la finalidad de prevenir, identificar y mitigar los riesgos de comisión de delitos (así lo establece los considerandos del Reglamento).
Cuando nos preguntaban que debía tener un modelo de prevención (también conocido como Programa de Compliance) y revisábamos la Ley, indicábamos que la misma era muy escueta y que debíamos esperar al Reglamento o aplicar instrumentos internacionales como guía, por ejemplo, la Guía Práctica de UNODC (Oficina de las Naciones Unidas contra la Droga y el Delito) sobre Programa Anticorrupción de Ética y Cumplimiento para empresas, el Manual para Empresas sobre Ética, Anticorrupción y Elementos de Cumplimiento de la OCDE, UNODC y Banco Mundial, las Reglas de la ICC para combatir la corrupción, etc.
Si revisamos la Primera Disposición Complementaria Final del Reglamento, esta señala que las personas jurídicas que implementen un modelo de prevención pueden optar por construir dicho modelo, según las disposiciones del referido Reglamento o también pueden optar por utilizar cualquier instrumento internacional como guía, con lo cual, quedará a criterio de las personas jurídicas y de sus asesores definir qué disposiciones/instrumentos usar.
Cabe preguntarnos qué tiene en común el Reglamento con los instrumentos internacionales antes mencionados y la respuesta que encontramos es que estos recomiendan que antes de establecer un modelo de prevención, la persona jurídica debe identificar, evaluar y mitigar los riesgos a los que está expuesto mediante la implementación de controles y medidas de prevención, detección o corrección. Es así que, el modelo de prevención debe responder de verdad a las necesidades de la organización según su tamaño, sector, riesgos, cultura etc.; por lo tanto, no necesitamos que las organizaciones adquieran programas enlatados, ya que solo estaremos creando modelos de prevención de papel destinados al fracaso.
Un tema que me llama poderosamente la atención es el art. 30° del Reglamento que establece que el modelo de prevención se orienta prioritariamente al fomento de una cultura de confianza, ética, integridad y de cumplimiento normativo, en todos los niveles de la persona jurídica, sobre un enfoque represivo y de excesivo control. Esto, para mí, es la clave que toda organización debe entender e interiorizar cuando decide implementar un modelo de prevención, porque más allá de eximirse total o parcialmente de la responsabilidad penal que obviamente es importante, cuando una organización entiende y vive una cultura de compliance con ética e integridad, podemos decir entonces que dicha organización será sostenible en el tiempo y podrá afrontar exitosamente los retos que aparezcan en el camino.
Es verdad que el Reglamento está enfocado en cómo identificar, evaluar y mitigar los riesgos de la materialización de delitos y así lo encontramos, por ejemplo, en los considerandos y en sus arts. 21, 23, 32, 41, etc. Sin embargo, si una organización decide implementar un modelo de prevención, es mi recomendación que no solo lo enfoque en temas penales sino que vaya un poco más allá, obviamente de acuerdo a sus propias necesidades, ya que dicha organización podría tener otros riesgos que si bien no serán de índole penal, podrían tener impacto a nivel legal, operativo, económico y/o reputacional; un claro ejemplo de esto son los casos relacionados a la libre competencia.