1.
Introducción
Podemos comenzar afirmando que hoy en día, todos los operadores jurídicos —y no jurídicos, que son muchos— que se mueven en el ámbito del compliance, hemos comprendido perfectamente que el compliance no se agota en el compliance penal, sino que este segundo no deja de ser un área de obligaciones normativas entre muchas otras (compliance en el ámbito de la privacidad, de la competencia, tributario, medioambiental, laboral, etc.). En este sentido, no es objeto de este artículo dar una visión especialmente jurídico-técnica del compliance, que sin duda ya ha sido analizado por voces más autorizadas (2) , sino dar una visión práctica del entorno estandarizador que rodea este ámbito del cumplimiento (3) .
Lo cierto es que, quizá por pura coincidencia, de forma paralela a las reformas legislativas-penales en España que pusieron y mantienen de actualidad el compliance penal en nuestro país, en el ámbito internacional se ha vivido un importante avance de la autorregulación en relación con los sistemas de gestión de compliance (no sólo el de naturaleza penal). Esto son, metodologías que ayudan a las organizaciones a generar estructuras que les permitan conocer sus obligaciones y, a su vez, introducir en sus procesos operativos y organizativos medidas de control destinadas a minimizar los riesgos de incumplimiento de esas obligaciones a las que se encuentran expuestas (4) .
Promotor de todo lo que acontecería en los años siguientes, es bien conocido el estándar ISO 19600 sobre sistemas de gestión de compliance, publicado a finales del año 2014, siendo su versión en castellano de abril de 2015, y que establece una estructura para implementar sistemas de compliance siguiendo un ciclo PDCA (5) desde una organización internacional reconocida como es ISO.
A este estándar le seguirían el estándar internacional ISO 37001:2016 sobre sistemas de gestión —de compliance— antisoborno, el mucho menos conocido estándar internacional ISO 31022:2020 sobre gestión del riesgo legal y los estándares españoles de compliance penal UNE 19601:2017 y compliance tributario UNE 19602:2019, estando a fecha de redactar estas líneas barajándose en el seno de la Asociación Española de Normalización (UNE) la elaboración de un nuevo estándar español de compliance en materia de competencia. También se encuentra prevista la publicación de dos nuevos estándares internacionales, uno sobre sistemas de gestión de canales de alerta (futura ISO 37002) y otro de gobernanza en las organizaciones (futura ISO 37000).
Como vemos, si bien la producción de estándares ha sido una constante, cabe ahora detenerse un momento situando el marco de la autorregulación nacional e internacional como punto de partida del que nacerá el estándar ISO 37301:2021. Ello resulta necesario en la medida de que, si bien es sabido que un estándar no es una ley o norma en sentido estricto, su reconocimiento se basa a su vez en el reconocimiento de las organizaciones que promueven y participan en su elaboración y que en un momento posterior le dan validez en el mercado.
Así, muy sintéticamente cabe recordar que la Organización Internacional de Estandarización (ISO por sus siglas en inglés) es una organización internacional independiente y no gubernamental, con sede en Ginebra (Suiza) y que en la actualidad cuenta con 165 organismos nacionales de normalización (España se encuentra representada por UNE).
ISO reúne a expertos de todo el mundo con el objeto de compartir conocimientos y desarrollar estándares internacionales voluntarios, basados en el consenso y que resulten relevantes para el mercado, que apoyen la innovación y que proporcionen soluciones a los retos globales. Como su propia página web indica, ISO ha publicado hasta el momento alrededor de 22.000 normas técnicas internacionales y documentos relacionados, que abarcan casi la totalidad de las industrias existentes en el mundo, desde la tecnología hasta la seguridad alimentaria, la agricultura y la sanidad y recientemente también aspectos relativos al gobierno corporativo y el compliance. Es, seguramente, y junto con sus miembros nacionales, la organización más conocida y reconocida en el ámbito de la autorregulación (6) .
En este sentido también cabe mencionar que, en España, es la Asociación Española de Normalización (UNE) el único organismo de normalización en nuestro país y como tal ha sido designado por las autoridades españolas ante la Comisión Europea. De la misma forma, es el representante español en los organismos internacionales ISO/IEC y en los europeos CEN/CENELEC siendo, asimismo, el organismo nacional de normalización de ETSI (7) .
Resulta relevante mencionar, ya que es un aspecto quizá no del todo conocido todavía, que desde el año 2017, la antigua Asociación Española de Normalización y Certificación (AENOR), se desdobló en dos entidades jurídicas diferentes. Por un lado, se creó la Asociación Española de Normalización (UNE), que es la sucesora de AENOR en cuanto a las funciones de normalización que ésta tenía encomendadas por el Real Decreto 2200/1995, de 28 de diciembre (LA LEY 496/1996) y por tanto ejerce como representante de la normalización española en el ámbito de la normalización internacional; y, por otro lado, se creó la compañía Aenor Internacional S.A.U, sociedad mercantil con ánimo de lucro cuyo objeto social fundamental es la verificación, inspección y certificación, no ejerciendo por tanto en la actualidad potestad pública alguna y siendo un prestador más de servicios de evaluación de la conformidad.
Aunque no profundizaremos ahora sobre ello, si cabe al menos referir que este cambio pretendía dar cumplimiento efectivo al Real Decreto 1072/2015, de 27 de noviembre (LA LEY 18946/2015) el cual exigía «separar jurídica, funcional y contablemente las actividades de normalización de cualquier actividad de evaluación de la conformidad» (8) . En realidad, este desenlace ya se venía previendo desde el informe de la antigua Comisión Nacional de Competencia, de julio de 2010, sobre la certificación de calidad y de seguridad (9) , en el que se mostraba crítica con el efecto que podía tener sobre la libre competencia aunar en una misma entidad una labor exclusiva derivada de una potestad pública como es la normalización, con actividades puramente privadas como son las de certificación. Esta estructura clásica de normalizadores-certificadores, en todo caso, no era una particularidad española, sino una práctica habitual y razonablemente justificada en nuestro entorno cuando se originó, pero que, sin embargo, poco a poco va dejando lugar a dos ámbitos diferenciados como ha ocurrido en España.
En definitiva, y tras este breve inciso, esta introducción no pretende sino justificar el hecho, de que, en la actualidad, si bien es cada vez más frecuente que la legislación imponga a las organizaciones el cumplimiento de determinadas normas de prevención de incumplimientos, no se establezcan vía legislativa metodologías o las estructuras de cumplimiento bajo las cuales organizar esas obligaciones (10) ; habiendo quedado esta tarea por definir y jugando un papel clave en todo ello la autorregulación empresarial que, no cabe duda, puede convertirse en una herramienta perfectamente útil, en la medida de que parte del consenso y de prácticas nacionales e internacionales generalmente aceptadas (11) .
En resumen, si bien los estándares no son leyes o normas en el sentido jurídico de la palabra y su cumplimiento, al menos en el ámbito del compliance, es voluntario, su concepción no es totalmente ajena a la regulación y, hasta ahora, son las mejores (¿las únicas?) herramientas de las disponen las organizaciones para generar estructuras de control y cumplimiento con cierta homogeneidad.
2.
La estandarización del compliance 2014 y 2021
Como señalábamos en las líneas anteriores, desde mediados de la década pasada se ha vivido tanto a nivel internacional como específicamente a nivel nacional en España un fenómeno normalizador en el mundo del compliance.
Al ya mencionado estándar internacional ISO 19600, predecesor del actual estándar ISO 37301, que establecía directrices para la implementación de sistemas de compliance, sin especificar ámbitos concretos de cumplimiento, le siguió a nivel internacional el estándar ISO 37001, de octubre de 2016 —con su versión en castellano de abril de 2017— que, siguiendo las directrices de la anterior, centraba el alcance indeterminado de la ISO 19600 y establecía los requisitos para implementar un sistema de gestión de compliance antisoborno en las organizaciones; es decir, mecanismos para prevenir, detectar y, en su caso, reaccionar ante situaciones de soborno; un ámbito especialmente particular del compliance, pero de gran interés en el ámbito internacional (12) .
Este estándar ISO 37001 incorporaba dos novedades relevantes: por un lado, hacía una suerte de determinación del alcance material del estándar ISO 19600, pues señalaba que su estructura y metodología se adaptaba para la implementación de sistemas de gestión de compliance para prevención del soborno (13) . Por otro lado, no menos relevante, se construía como el primer estándar certificable en el ámbito del compliance, es decir, que cuyo efectivo cumplimiento puede someterse a una evaluación por una tercera parte independiente, imparcial y técnicamente competente, según unas reglas propias también determinadas en la autorregulación empresarial. Esta posibilidad, cabe señalarse ya, es precisamente uno de los grandes cambios entre ISO 19600 e ISO 37301; esto es, la posibilidad de someter el sistema de gestión a procesos de evaluación de la conformidad.
Publicados ya estos estándares internacionales, y con acertado criterio, la anterior Asociación Española de Normalización y Certificación (AENOR), entonces en ejercicio de sus potestades normalizadores (como hemos señalado, ahora ejercidas por la Asociación Española de Normalización UNE) reunió en su seno a un comité de expertos, presidido por el entonces Magistrado del Tribunal Supremo, Excmo. Sr. D. Jose Manuel Maza Martín, que realizó los trabajos que dieron lugar al estándar nacional UNE 19601:2017 sobre sistemas de gestión de compliance penal, publicado en mayo del año 2017. El estándar recoge esencialmente la metodología y buenas prácticas reconocidas en los estándares internacionales en materia de compliance general y especialmente de compliance antisoborno, y lo adapta a la realidad penal española.
Este estándar voluntario y ciertamente completo y exigente, desarrolla a lo largo de sus más de 50 páginas requisitos, directrices y recomendaciones (14) para establecer los modelos de organización y gestión a los que se refiere el artículo 31 bis del Código penal (LA LEY 3996/1995), siguiendo una metodología basada en la estructura de alto nivel ISO (a la que dedicaremos unas líneas más adelante) que parte de la necesidad de que las organizaciones sean conscientes del contexto en el que operan y las partes interesadas con las que se relacionan, para a partir de ahí construir una evaluación de riesgos penales —esto es, de situaciones en las que podría cometerse un delito en su seno o su entorno— y construir todo un sistema de roles y responsabilidades a distintos niveles, medidas de control, incluidas acciones de formación y concienciación y, por supuesto, todo un sistema de informes, auditorías y revisiones del sistema en general para procurar su mejora continua.
En este sentido, el comité de UNE que desarrolló la norma, siguiendo el criterio del comité ISO que desarrolló el estándar internacional antisoborno, estableció un estándar de requisitos, y no meramente directrices. Como señalábamos, en el ámbito de los sistemas de gestión, ello significa, entre otras cosas, que a la implementación de estos sistemas de gestión de compliance penal y/o antisoborno en las organizaciones (ahora también para el estándar ISO 37301), puede seguirle una auditoría de tercera parte que evalúe la conformidad del sistema implementado en relación precisamente con lo contenido en el texto del estándar. Es decir, permiten el aseguramiento de que las organizaciones realmente han implementado sus sistemas conforme a los estándares, y que no nos encontramos ante meros modelos cosméticos o de copia-pega (15) . Ciertamente, y coincidiendo con lo señalado en la Circular 1/2016 de la Fiscalía General del Estado, si el modelo acaba viéndose abocado a un proceso judicial (penal o no penal), serán los jueces y tribunales los que finalmente determinen si ese modelo era idóneo y eficaz, y si cumplía con los requisitos exigidos, si bien ello no resta importancia a que el mero hecho de que una organización haya adaptado sus modelos a estos estándares, y además los someta a evaluación externa periódica, seguramente tenga consecuencias positivas en la valoración judicial (16) . En todo caso, yendo más allá del eventual beneficio jurídico-procesal, no parece que el escenario judicializado sea la vía lógica de una organización de cara a averiguar la conformidad de su sistema. Por tanto, y aunque los tribunales tendrán siempre la última palabra respecto de la validez de un modelo cuando éste se vea judicializado, una compañía podrá verse en la necesidad de evidenciar (certificar) a un tercero que su modelo cumple con unos mínimos mucho antes de que ese modelo acabe, si es que acaba, frente a un tribunal. Y es que, precisamente, poder asegurar de alguna manera que la organización tiene un modelo que cumple con las leyes y otros estándares se ha convertido en un requisito habitual para la contratación tanto pública como privada, en la que la solicitud de certificados de calidad o gestión ambiental (las muy conocidas ISO 9001 o ISO 14001) se ha convertido para las empresas en una necesidad para acceder a gran parte de los mercados más interesantes.
Finalmente, puede resultar interesante señalar que en los próximos meses veremos publicado el estándar ISO 37002 sobre canales de alerta (está por ver qué traducción se le da finalmente, ya que el término de canal de «denuncia» puede suscitar problemas con nuestra legislación) y que va ayudar a establecer conforme a buenas prácticas internacionales los canales de delación que establece la Directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, y que está pendiente de trasposición en muchos países de la UE, incluido el nuestro. En este caso, el estándar se limitará a señalar directrices y recomendaciones, y por tanto no podrá ser sometido, en sentido estricto, a procesos de evaluación de la conformidad y certificación.
Todo ello sin olvidar la también próxima publicación del estándar ISO 37000 sobre gobernanza en las organizaciones, uno de los estándares que más interés está generando en los últimos tiempos en el mundo del compliance, al no tratarse de una propuesta de sistema de gestión como los estándares ya conocidos, sino de una norma de orientación, terminología y establecimiento de un marco común y generalmente aceptado de gobernanza.
Además, cabe recordar que, en un futuro un poco más lejano, vendrán los procesos de actualización del estándar ISO 37001 y las normas UNE españolas que, entre muchos otros aspectos, necesitarán una adaptación derivada de la actualización de la estructura de alto nivel que está preparando ISO y sobre la que nos detendremos en las siguientes líneas.
3.
El estándar ISO 37301: usos probables y riesgos de mercado
Como ya hemos señalado, el estándar ISO 37301 es sucesor del conocidísimo estándar ISO 19600, el cual especificaba (y sigue haciéndolo) los requisitos y proporciona orientación para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz dentro de una organización (17) .
Hablar siquiera introductoriamente de la estructura del estándar ISO 37301 lleva aparejado irremediablemente hablar de la estructura de alto nivel (o HLS) de ISO (18) y es que, en la actualidad, uno de los principios fundamentales es que todos los estándares ISO sobre sistemas de gestión pueden integrarse fácilmente. Aquellas organizaciones que ya implementan marcos de control interno en base a sistemas de gestión de ISO en su negocio pueden implementar otros sistemas de gestión adicionales en otras áreas gracias a la estructura de alto nivel. El concepto de HLS es que los estándares de gestión se estructuran de la misma manera, independientemente del ámbito corporativo en el que se apliquen, por ello cuando una organización está familiarizada con un sistema de gestión con estructura de alto nivel en realidad ya dispone de una estructura válida para implementar otras áreas de control y gestión en ámbitos diferentes.
Esta estructura es actualmente seguida por estándares de sistemas de gestión absolutamente conocidos como ISO 9001, ISO 14001, ISO 45001 o ISO 27001, que se aplican a la gestión de la calidad, la gestión medioambiental y la gestión de la seguridad y salud en el trabajo o de la seguridad de la información, respectivamente. Por supuesto, dentro de este grupo encontramos el estándar ISO 37001 sobre sistemas de gestión antisoborno, el anterior estándar ISO 19600 y el actual ISO 37301 sobre sistemas de gestión de compliance
(19) .
A ellos, además, hay que sumar en el caso español estándares de sistemas de gestión adicionales, tales como los de compliance UNE 19601 y UNE 19602 sobre gestión del compliance penal y tributario, pero también otros más alejados de nuestro campo como la UNE 166002:2021 sobre Gestión de la I+D+i, entre otros.
Todos ellos, como decimos, mantienen adaptada su estructura al denominado Anexo SL de ISO donde se establece la estructura de alto nivel que no es otra cosa sino el esqueleto que debe seguir cualquier estándar destinado a la creación de marcos de control a través de sistemas de gestión, derivando en que, algunas partes de los estándares, incluidos una parte importante de los términos y definiciones utilizados, sean prácticamente idénticos entre distintos sistemas, mejorando su coherencia y simplificando su integración. Esto es particularmente útil para aquellas organizaciones que eligen implementar un único sistema de gestión destinado a cumplir con los requisitos de varios estándares ISO, lo que se ha venido a denominar tradicionalmente sistemas de gestión integrados, y que resulta de especial relevancia para el análisis del estándar ISO 37301 que comentaremos en las siguientes páginas en la medida de que el mismo, tal y como ha quedado contemplado, está llamado a integrar distintas áreas de obligaciones normativas bajo su estructura (20) .
A modo de ejemplo práctico, podemos señalar que todos los estándares con la estructura HLS inician su parte normativa (de obligado cumplimiento en caso de desear someterse a procesos de auditoría y eventual certificación) proponiendo que la organización realice un análisis pormenorizado del contexto en el que opera, así como de sus partes interesadas. Este ejercicio, habitualmente documentado, generalmente se desarrolla en base a un proceso de análisis definido, en el que se incluyen los criterios, las personas o la periodicidad del mismo, y si bien en función del objeto de cada estándar la orientación del análisis se debe centrar en unos u otros aspectos del contexto de la organización, debe realizarse para cualquier sistema de gestión ISO: en caso de un estándar ISO 14001 en aquellos aspectos de su contexto en cuanto a cuestiones ambientalmente relevantes (por ejemplo, ubicación de fábricas, relaciones con gestores de residuos, etc.), en caso de un estándar ISO 45001 en aquellos aspectos relevantes a efectos de la seguridad y salud de los trabajadores (ubicaciones donde existen peligros para la salud, etc.), o, en el caso de ISO 37001, en aquellos aspectos o elementos relevantes a efectos de prevenir el soborno (por ejemplo, áreas de la organización a priori más susceptibles de generar este riesgo como puede ser la dirección comercial o de compras, entre otros aspectos). Y este esquema de análisis, se repite para la mayor parte de los puntos metodológicos del estándar: siempre deberá existir una evaluación de riesgos, siempre deberán existir planes de formación y comunicación, siempre deberá existir un mecanismo común de reporte basado en auditorías internas y revisiones de la dirección, siempre deberá existir una metodología para el tratamiento para las no conformidades detectadas interna o externamente, etc.
Se puede intuir, de lo anterior, que una organización que, por ejemplo, pretende integrar su sistema de gestión ambiental junto con el de seguridad y salud en el trabajo bajo la metodología ISO, no deberá realizar dos veces el análisis del contexto o del resto de elementos diferenciados, sino integrar en uno sólo aquellos aspectos que son relevantes a efectos de uno y otro estándar. Esta dinámica, por tanto, sería replicable en caso de integrar progresivamente cualquier otro estándar, sea o no de compliance. Y todo ello es relevante, porque, como veremos a continuación, la gran novedad del estándar ISO 37301 es que, precisamente, no establece un área concreta de obligaciones de cumplimiento a integrar bajo su estructura, sino que lo deja abierto, lo cual, a su vez, puede ser una gran ventaja, pero igualmente generar ciertos riesgos para el mercado en cuanto a obtener un entendimiento claro y transparente de lo que implica que una organización haya implementado y en su caso haya certificado este estándar.
Como decimos, al igual que la mayor parte de los estándares de sistemas de gestión, la norma ISO 37301 adopta la estructura de alto nivel (HLS) desarrollada por ISO, pero con una peculiaridad que lo hace diferente a todos ellos. Y es que, mientras que cada estándar de sistema de gestión establece asimismo su alcance material, es decir, para qué aspectos, áreas o procesos está destinado —gestión de la calidad, gestión ambiental, gestión antisoborno, gestión de la seguridad y salud en el trabajo, gestión de la seguridad de la información y así un larguísimo etcétera— el estándar ISO 37301 se limita a señalar que servirá como un estándar para gestionar el compliance, dejando en manos de cada organización decidir qué concretas áreas de cumplimiento desean gestionar bajo la estructura propuesta por el estándar. Podríamos definirlo como un estándar «sin apellido».
Es cierto que el propio estándar señala que deberán ser objeto de la estructura propuesta las principales áreas de riesgo de la organización (21) , pero tal afirmación resulta más sencilla en el plano teórico que en el plano práctico, en la medida de que cada organización decidirá sobre qué riesgos priorizará su atención en función de sus prioridades de negocio, las crisis de compliance ocurridas en el pasado si las hubiese, o simplemente derivadas del hecho de que cada persona o grupo de personas que dirigen una compañía pueden percibir el riesgo de diferente forma, lo que puede dar lugar a organizaciones que operen en el mismo sector, pero que hayan priorizado algunos de sus riesgos de cumplimiento de diferente manera.
Adicionalmente, cabe destacar que invitar a la aplicación del estándar para los riesgos principales parece chocar con la propia idiosincrasia de los estándares ISO, en los cuales el alcance del sistema (es decir, a qué actividades, procesos o emplazamientos se aplica el sistema de gestión), al fin y al cabo, y aunque con limitaciones para algunos esquemas derivadas de la necesidad de que los sistemas sean coherentes (una compañía no debería implementar un estándar de gestión ambiental para sus oficinas centrales dejando fuera de su alcance sus fábricas, por ejemplo), es decisión de la propia organización.
Lo cierto es que la anterior problemática, parece que nos aboca, siempre con la necesaria cautela derivada un estándar tan novedoso, a una posible triple utilización de este estándar por parte de las organizaciones, generándose además varios riesgos para el mercado en la utilización de este estándar y que tratamos de sintetizar a continuación:
3.1.
Los usos previsibles
3.1.1.
Superestructura de compliance
Por un lado, el estándar ISO 37301 parece seguro que servirá para generar superestructuras de compliance que engloben el control y cumplimiento de todas las áreas de obligaciones a las que se enfrenta una organización bajo una misma estructura. Ciertamente, este parecería el uso más adecuado del estándar en la medida de que, si el estándar no establece qué áreas concretas de obligaciones deben estar bajo la estructura de cumplimiento, lo ideal es que estuviesen todas.
No es difícil adivinar la complicación de un uso del estándar de esta magnitud, y es que, en la actualidad, no es habitual encontrar organizaciones que dispongan de un sistema de gestión de cumplimiento global, existiendo, principalmente, algunas áreas bajo la estructura de compliance, como puede ser el compliance penal o la protección de datos, pero no estando bajo ese sistema de compliance corporativo otras áreas de obligaciones tales como las derivadas del ámbito tributario, del ámbito de la competencia, del cumplimiento en materia medioambiental, etc. En este sentido, si bien este sería el uso ideal del estándar y aquel al que se debería aspirar, parece difícil encontrar estas superestructuras completas de compliance en la actualidad, aunque no debería ser un objetivo al que renunciar.
3.1.2.
Superestructura parcial de compliance
Por otro lado, siendo una versión simplificada del caso anterior, el estándar presumiblemente servirá para generar superestructuras que engloben el control y cumplimiento de algunas áreas de obligaciones a las que se enfrenta una organización bajo una misma estructura de compliance.
Por ejemplo, integrar la prevención del delito corporativo, el cumplimiento ambiental, o la protección de datos, en un solo sistema, no haciéndolo así con otras áreas de cumplimiento como por ejemplo el tributario o el de la seguridad y salud en el trabajo que, si bien es posible que se encuentren controladas en la organización a través de otros sistemas de gestión que incluyan sus propios responsables y medidas, estos vivan relativamente al margen de la estructura principal de compliance. En este caso, las áreas concretas que quedarían englobadas por el sistema serían decididas por cada organización.
Es relevante señalar que, este proceso de integración, de facto, ya existe para sistemas de gestión tradicionales como los de calidad, gestión ambiental o seguridad y salud en el trabajo (especialmente cuando se implementan siguiendo los estándares ISO 9001, ISO 14001 o ISO 45001), y que la implementación de todos ellos de forma integrada bajo una sola estructura de compliance podrá ser premiada a través de una certificación que, en definitiva, evidencie que no existen pequeños «reinos» de cumplimiento dentro de la organización, sino que todos orbitan entorno a la misma cultura —y estructura— de compliance.
Para estas organizaciones, quizá el gran reto será hacer convivir coordinados los sistemas de gestión más tradicionales con los nuevos sistemas de gestión, a menudo no integrados con los anteriores, tales como ISO 27001 sobre seguridad de la información, o los estándares de compliance UNE españoles o la propia ISO 37001 antisoborno.
3.1.3.
Estructura particular de compliance
Finalmente, existe un posible uso marginal del estándar ISO 37301, pero no menos relevante, y es que el mismo también permitiría acoger bajo su metodología de buenas prácticas una concreta área de obligaciones para la que una organización quiere crear un entorno de control bajo prácticas reconocidas internacionalmente y para la que no existan estándares específicos en su ámbito particular.
Por ejemplo, el cumplimiento con la legislación en materia de competencia, o en materia de consumidores y usuarios, para la prevención del blanqueo de capitales, etc. En resumidas cuentas, permitiría no tener que esperar a que ISO o los normalizadores nacionales elaboren un estándar particularizado para cada ámbito (que en todo caso, de existir, serán siempre recomendables frente a la ISO 37301, pues profundizarán de mejor manera en sus propios ámbitos de actuación) sino que servirá de comodín para evidenciar que una organización ha establecido un entorno de control para un ámbito concreto para el que no existían otras herramientas en la normativa o en la autorregulación empresarial.
Señalados los principales usos que se nos antojan para este estándar internacional, no debemos negar que el mismo también puede generar riesgos en el mercado en la medida de que determinados usos de este pueden confundir al mercado, o bien desnaturalizar el uso de estándares específicos en favor de la ISO 37301.
3.2.
Los riesgos para el mercado
3.2.1.
Confusión con el alcance del sistema de compliance
Con lo señalado hasta ahora, podemos anticipar uno de los principales riesgos que se puede generar en el mercado derivado del uso de este estándar por parte de las organizaciones; y es que, como decíamos el estándar ISO 37301 es un estándar «sin apellido», es decir, propone una metodología para establecer estructuras de compliance en las organizaciones, pero no determina el ámbito material propio de control para el que puede ser utilizado.
En este sentido, cabría compararlo por ejemplo con el resto de los estándares de compliance, en los cuales se define concretamente para qué ámbito se propone la estructura de compliance: antisoborno (ISO 37001), delito corporativo (UNE 19601), infracción y delito tributario (UNE 19602). Pero también con otros estándares de sistemas de gestión que, aunque tradicionalmente no se les ha puesto el título de estándares de compliance, sin duda alguna también pueden ser considerados así: gestión ambiental (ISO 14001), seguridad y salud en el trabajo (ISO 45001), seguridad de la información y privacidad (ISO 27001 e ISO 27701), y así un largo etcétera.
La gran diferencia de todos ellos con el nuevo estándar ISO 37301 es que cuando una organización presenta en el mercado uno de estos estándares (normalmente a través de procesos de certificación), los llamados usuarios del certificado conocen el ámbito concreto de la estructura de control implementado por la organización (para la gestión ambiental, para la prevención del delito corporativo, etc.). En cambio, una organización que presentase al mercado un certificado ISO 37301, sin otra información, realmente no estaría dando la información mínima necesaria para que el mercado conociese qué hay «por debajo» de ese sistema de gestión.
En este sentido, se hace más importante que nunca determinar de una forma clara y transparente por parte de las organizaciones el alcance que darán a su sistema de gestión de compliance, esto es (i) para qué sociedad o grupo de sociedades se aplica el sistema de gestión (ii) en qué emplazamientos (iii) para qué actividades y, adicionalmente a la forma habitual de determinar el alcance en el mundo ISO, complementar los puntos anteriores con (iv) el detalle de las áreas de obligaciones que quedan efectivamente recogidas bajo la estructura de compliance de la organización.
A modo de mero ejemplo, si no existiera este último detalle en las declaraciones de alcance de las organizaciones, dos compañías eventualmente certificadas en ISO 37301, podrían haber incorporado bajo su estructura de compliance áreas totalmente diferenciadas. Una de las organizaciones, por ejemplo, compliance penal y tributario, y otra de las organizaciones gestión ambiental y seguridad y salud en el trabajo. Dada esta situación, que parece perfectamente posible, si no se detallasen las áreas de obligaciones amparadas por el sistema de gestión de compliance, el mercado podría interpretar que sus estructuras de compliance son iguales, cuando, aunque estructuralmente lo sean, las áreas concretas de obligaciones de cumplimiento controladas no tengan demasiado en común.
No señalar con suficiente detalle el alcance —los apellidos— del sistema de gestión ISO 37301, no solo puede generar un uso —bien intencionado, pero— confuso del estándar ISO 37301 en el mercado, sino que, podemos intuir que, en algunos casos, se pueda dar un uso pervertido del mismo incorporando sólo una mínima parte de las obligaciones de cumplimiento de una organización, pero lanzando al mercado un mensaje de que se posee una estructura global de compliance.
3.2.2.
Esquemas específicos vs. ISO 37301
El segundo riesgo que en este momento tan incipiente podemos atisbar para un uso quizá no del todo adecuado de este estándar, es el de utilizar el mismo como atajo para escapar de metodologías específicas para el cumplimiento de obligaciones de compliance.
Para entender este riesgo, quizá sea interesante partir de la idea de que, cuando ISO o bien un normalizador nacional (en el caso de España UNE), determinan la necesidad de que exista un estándar específico para implementar sistemas de gestión, dicha necesidad parte de las propias partes interesadas que operan en el mercado, y se reúnen a través de comités de autorregulación empresarial integrados por diversas sensibilidades, pero principalmente expertos en el ámbito propio a autorregular. Así, un estándar de compliance penal, está elaborado tanto por expertos en sistemas de gestión, como por expertos en derecho penal, un estándar de seguridad y salud en el trabajo, por expertos en cuestiones de prevención de riesgos laborales, y así los demás. Ello permite que, a la estructura de alto nivel ya comentada anteriormente, se le puedan ir introduciendo aspectos propios y particulares del ámbito específico para el que se pretende estandarizar un sistema de gestión.
De nuevo a modo de ejemplo casi anecdótico, pero útil para la comprensión de este punto, en el estándar ISO 45001 es habitual ver menciones a que determinados aspectos deben ser consultados con los representante de los trabajadores, algo habitual en el ámbito laboral; o por ejemplo, en el estándar UNE 19601, no faltan referencias literales a requisitos del artículo 31 bis del Código penal (LA LEY 3996/1995) español a la hora de desarrollar los distintos puntos de la estructura de alto nivel de tal manera que la legislación encuentra su reflejo en el estándar; y así ocurre con prácticamente cualquier estándar específico de sistemas de gestión, que se ha desarrollado para encontrarse lo más cerca posible de la realidad que pretende autorregular.
Indudablemente, el estándar ISO 37301 está desarrollado por expertos en compliance
(22) que han adaptado de la mejor forma posible sus requisitos a las buenas prácticas en materia de compliance, pero, al tener un alcance tan deliberadamente amplio, no puede entrar a profundizar en áreas concretas de cumplimiento. Su objetivo es ser lo suficientemente amplio como para que cualquier área de obligaciones de cumplimiento se pueda estructurar bajo su metodología, pero a su vez, renuncia a cualquier regulación de aspectos concretos de diferentes áreas de obligaciones normativas.
Ello es una gran ventaja, como decíamos, para poder integrar diversas áreas de compliance bajo una misma estructura, pero a su vez genera un importante riesgo para el mercado, y es que las organizaciones tengan la tentación de huir de la utilización de estándares específicos en la materia —y generalmente más exigentes y robustos— por un estándar más genérico como es ISO 37301, y simplemente señalar, por ejemplo, que disponen de un sistema de compliance ISO 37301 para la gestión ambiental, en lugar de implementar un sistema de gestión ambiental ISO 14001 que cubriría de mejor forma los riesgos ambientales y su control. De hecho, esta tentación puede reproducirse en casi cualquier ámbito normativo en el que, existiendo un estándar específico y más detallado, una organización decidiese optar una versión genérica como es ISO 37301 añadiendo «el apellido» del estándar específico, pero sin haber realmente implementado el mismo.
Este riesgo, en nuestra primera opinión, es el que más problemas puede generar en el mercado, no sólo por desvirtuar el propio fin del estándar ISO 37301 utilizándolo como atajo, sino porque puede denostar la utilización de estándares específicos, muchos de los cuales llevan décadas perfeccionándose para ser lo más ajustados posibles a las necesidades reales del mercado en cada ámbito de actuación.
Tanto sobre los usos del estándar como los riesgos para el mercado por una utilización no del todo adecuada, tendremos que estar atentos en los próximos meses, una vez las organizaciones comiencen a implementar estas metodologías, siendo especialmente relevante los límites que puedan imponer tanto las entidades nacionales de acreditación como las entidades de certificación a la hora de evaluar y, en su caso, certificar estos sistemas de gestión.
4.
En conclusión
El estándar ISO 37301 sobre sistemas de gestión de compliance continúa con el imparable desarrollo de estándares de autorregulación empresarial comenzado en 2014 para ayudar a la construcción de estructuras de cumplimiento en las organizaciones. Su estructura de alto nivel lo hace absolutamente compatible con el resto de estándares de sistemas de gestión ISO/UNE, lo cual es muy relevante en la medida de que, a diferencia del resto de estándares que fijan su ámbito de aplicación (gestión ambiental, seguridad y salud, compliance penal, etc.) quizá nos encontremos ante el primer estándar del mundo ISO «sin apellido» propio, lo que lo hace enormemente versátil, pero a la vez e inevitablemente, con una estructura genérica y transversal.
Y, precisamente, derivado de esa ausencia de alcance material, de esa ausencia de «apellido», existen todavía algunos interrogantes importantes en torno a la forma en que va a ser utilizado por las organizaciones en el mercado, así como algunos riesgos derivados de una utilización confusa —e incluso perversa— del mismo.
Precisamente, a la hora de determinar sus usos y mitigar esos riesgos cabe recordar que el estándar está catalogado como un estándar de sistemas de gestión de tipo A, es decir, que su real implementación se podrá evaluar a través de auditorías de certificación llevadas a cabo por entidades de evaluación de la conformidad. En este aspecto, parece razonable que las entidades de certificación establezcan mecanismos que permitan conocer al mercado, con exactitud y transparencia, para qué ha sido utilizado el estándar ISO 37301 en cada organización, evitando mensajes confusos o engañosos sobre el alcance que se le ha dado a la estructura de compliance.
5.
Bibliografía
Bajo Fernández, M., Feijóo Sánchez, B.J. y Gómez-Jara Díez, C.: Tratado de responsabilidad penal de las personas jurídicas, Ed. Civitas, 2ª Edición, 2016.
De La Cuesta Arzamendi, J.L y De La Mata Barranco, N.J. avara Rodríguez, M.A.: Responsabilidad penal de las personas jurídicas, Ed. Aranzadi, 1ª Edición, 2013.
González Hurtado, J.A.: La evaluación de la conformidad de los modelos de organización y gestión para prevenir el delito corporativo, en La Ley Penal, N.o 142, Ed. Wolters Kluwer, enero-Febrero 2020.
Magro Servet, V.:
Guía práctica sobre responsabilidad penal de empresas y planes de prevención Compliance, Ed. La Ley, 1ª Edición, 2017.
Magro Servet, V.:
Viabilidad de la pericial de compliance para validar la suficiencia del programa de cumplimiento normativo por las personas jurídicas, en Diario La Ley, N.o 9337, Ed. Wolters Kluwer, 15 de enero de 2019.
Puyol Montero, J.: Guía para la implantación del Compliance en la empresa, Ed. Wolters Kluver, 1ª Edición, 2017.
Montaner Fernández, R.: ¿Es posible configurar la tipicidad del delito ecológico a través de las formas de autorregulación?, en Diario La Ley, N.o 7418, Ed. Wolters Kluwer, 2010.
Velasco Núñez, E. y Saura Alberdi B.: Cuestiones prácticas sobre responsabilidad penal de la persona jurídica y compliance : 86 preguntas y respuestas, Ed. Aranzadi, 1ª Edición, 2016.