Universidad Central del Ecuador
Revista Derecho Penal Central VI (6), 64-86
Facultad de Jurisprudencia, Ciencias Políticas y Sociales
https://derechopenalcentral.publicacionesjurisprudenciauce.com.ec DERECHO PENAL CENTRAL
Los programas de cumplimiento en la responsabilidad penal de
Compliance programs in the criminal liability of legal entities katherine fernanda barona pazmiño
Universitat de València
La responsabilidad penal de la persona jurídica ha sido un tema abordado desde varios ámbitos, aunque han existido posturas doctrinarias e incluso jurisprudenciales que han cuestionado su cabida en el contexto normativo, la realidad es que el Código Orgánico Penal ecuatoriano a raíz del año 2014 ya contempla la responsabilidad criminal de las corporaciones, en dicho sentido, su estudio se torna indispensable.
Recibido: 1/11/2024
De la mano con la responsabilidad penal empresarial, aparece la necesidad de dis-Aceptado: 1/12/2024
cutir sobre la existencia e inclusión de mecanismos de gestión y control de riesgos criminales como son los programas de cumlimiento penal o criminal compliance.
Jurídicamente la implementación de estos programas dentro del Ecuador significa la atenuación de la responsabilidad de la persona jurídica, tal y como se señala en el artículo 49 de la norma penal; sin embargo para que aquello suceda es necesario que se cumpla con una serie de requisitos mínimos que hacen a este mecanismo un traje a la medida adaptado a las necesidades y objetivos de la corporación.
palabras clave: Responsabilidad penal, persona jurídica, cumplimiento penal, riesgos, pena.
The criminal liability of legal entities has been a topic addressed from various perspectives. Although there have been doctrinal and even jurisprudential positions questioning its inclusion within the normative context, the reality is that the Ecuadorian Organic Criminal Code, since 2014, already contemplates the criminal liability of corporations. In this sense, its study becomes indispensable. Alongside corporate criminal liability, the need arises to discuss the existence and inclusion of mechanisms for managing and con-trolling criminal risks, such as criminal compliance programs. Legally, the implementation of these programs in Ecuador signifies the mitigation of the liability of the legal entity, as outlined in Article 49 of the Criminal Code. However, for this to happen, a series of minimum requirements must be met, making this mechanism a tailored solution adapted to the corporation’s needs and objectives.
key words: Criminal liability, legal entity, criminal compliance, risks, penalty.
issn-e 2697-3359
issn
https://orcid.org/0009-0006-7977-7112
issn-i 2697-3251
issn
fjcps.rder
fjcps.r echopenal@uce.edu.ec
Licencia Creative commons atributiva No Comercial 4.0 Internacional der
© 2025 Universidad Central del Ecuadorr
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 62
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
En los últimos años, los ordenamientos jurídicos a nivel global se han preocupado en darle cabida a los conocidos programas de cumplimiento o modelos de gestión de riesgos en el ámbito penal, esto tiene que ver con la aceptación normativa de la “responsabilidad penal de la persona jurídica”, es así que en las siguientes líneas se realizará un pequeño análisis de las principales razones por las que actualmente parece imperativo hablar sobre la reproche penal a la empresa y por lo tanto de “medidas” que permitan evitar aquello, generando de este modo una cultura de cumplimiento en estructuras organizativas principalmente en el ámbito privado.
Autoras como Núñez Castaño señalan que, a partir de los años 50, que es cuando se pro-duce una explosión en la economía mundial, cambia el modelo del mercado tradicional a nivel global2; este panorama tiene mucho que ver con el aparecimiento de nuevos sujetos ac-tivos de conductas delictivas que tradicionalmente estaban reservadas a sujetos físicos como caras firmes del comercio. Desde otra perspectiva, Gómez Tomillo señala que la responsabilidad penal de la persona jurídica encuentra un fuerte fundamento en el ejercicio económico de las empresas dentro de varios territorios, por lo que el individuo físico no siempre estará a disposición de las autoridades de cara a un investigación y peor aún de una acusación formal; de igual manera, en este tipo de estructuras, la actuación de los órganos de dirección es normalmente “invisible”, en ese sentido, el ejercicio de su capacidad de mando general-mente no dejan huellas, trasladando la responsabilidad material a niveles inferiores (personas físicas -dependientes- de menor rango)3. En esta línea Gómez Tomillo también establece ciertas cuestiones que le dan mayor vigor a la responsabilidad criminal de la sociedad: 1. Expansión del ejercicio de la actividad económica de la empresa. Más sucursales, con más administradores o encargados, hacen que su estructura sea más compleja y por tanto exista mayor dificultad en el señalamiento de una o varias personas físicas como responsables del cometimiento de determinado delito.
2. El efecto preventivo en el mundo empresarial. Impulsar la creación de programas o sistemas de mitigación de riesgos, que ajusten sus objetivos comerciales a las normas internas de la sociedad, así como del ordenamiento jurídico que rija su ejercicio económico. De ese modo, las empresas se convierten en colaboradores efectivos de la acción preventiva penal del Estado.
3. Mayores ventajas desde el ámbito procesal penal. A diferencia del derecho administrativo sancionador, en el que las facultades de administración, control y sanción son de alguna manera limitadas; en el ámbito penal, por la naturaleza del proceso, la posibilidad de realizar una investigación más rigurosa (recabando más elementos de cargo y descargo) y sancionar a la empresa poniendo límites a derechos fundamentales, es posible. De alguna manera, el autor observa a esta ventaja desde un aspecto de “cero tolerancia” a la impunidad.
4. Finalmente, el autor señala la dicotomía entre la tendencia (y partidarios) de la mínima intervención penal a la hora de hablar de la responsabilidad de la persona jurídica, pues existen figuras que son propias de la dogmática penal y han sido tratadas incluso para la imposición de sanciones en el ámbito administrativo sancionador (delitos de 2 Elena Nuñez Castaño. Responsabilidad penal en la empresa. 2.ª ed. (Valencia: Tiran Lo Blanch, 2000), págs. 15-16.
3 Manuel Gómez Tomillo. Introducción a la responsabilidad penal de las personas jurídicas. 2.ª ed. (Navarra: Aranzadi, 2015), pág. 22.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
63
peligro abstracto, tutela de bienes jurídicos supraindividuales o colectivos) aún cuando no es el lugar adecuado para su discusión o peor aún para su aplicación. Aunque en apariencia el derecho administrativo sancionador es menos invasivo, la rigurosidad con la que se aplican las garantías de un debido proceso, no son las mismas que en el Derecho Penal; pues al tratarse de un sistema que podría limitar derechos fundamentales, la aplicación de los preceptos constitucionales del debido proceso entregan canales jurídicamente establecidos para reclamar vulneraciones en el proceso de investigación, imputación, sanción y ejecución de la pena4. En el Derecho administrativo la rigurosidad en la observancia y aplicación de las garantías constitucionalmente estab-lecidas es más endeble.
Fuera de estos puntos, bastante válidos, que reflejan en parte la razón por la que es necesaria la responsabilidad penal de la persona jurídica, Antonio Roma Valdés señala que hay otros dos factores, también importantes que fundamentan la concurrencia de esta nueva figura; por una parte, la insuficiencia normativa de los Código penales que no encuentran cabida para sancionar nuevas formas de comisión de delitos vinculados con la delincuencia orga-nizada y, por otra, la progresiva presencia de esta forma de responsabilidad en convenios internacionales ratificados por los Estados que exhortan a la creación de normativa adecuada a esta estructura criminal5. En la línea con lo señalado, Carbonell Mateu y Morales Prats, comprenden que la justificación tras la cual se ha construido normativamente la responsabilidad criminal del ente colectivo, está ceñida al discurso de lucha contra la corrupción (ma-nejado ampliamente en el ámbito político), la preponderante presencia de los delitos de cue-llo blanco, y la búsqueda de nuevas vías jurídicas para ejercer el poder punitivo estatal ante el aparecimiento de nuevas estructuras de crimen organizado6.
Finalmente, una razón de bastante interés sobre la que se asienta la responsabilidad criminal de la empresa, fuera de la globalización de los mercados y el comercio, Gónzalez Cussac rescata la llamada “Globalización del derecho”, que refiere a la injerencia de instrumentos normativos de carácter internacional público, así como exhortos o recomendaciones realizadas por organismos de relevancia en el ámbito económico. Es decir, la política criminal de un Estado que acoge la responsabilidad criminal de la sociedad, está en gran medida fundamentada en presiones de organismos de carácter privado bajo la consigna de una posible preocupación en la creciente corrupción generada en el mundo empresarial7. Por su puesto, esto ha dificultado el previo análisis dogmático de categorías (tradicionales) del delito bajo la luz de su aplicación o no a este “nuevo” modelo de responsabilidad penal.
Lo cierto es que, en países como España, así como en el contexto ecuatoriano, para hablar de la responsabilidad penal de la persona jurídica es necesario analizar los criterios normativos del derecho anglosajón, pues en Estados Unidos ya en los años 20ś a los 50ś8, se en-tendió este nuevo fenómeno del Derecho penal e hizo de su expansión algo evidente. Casos 4 Manuel Gómez Tomillo, Introducción… cit., págs. 22-23
5 Antonio Roma Valdés. Responsabilidad de las personas jurídicas: manual sobre su tratamiento penal y procesal. 1.ª ed. (Madrid: Rasche, 2012), págs. 15-16.
6 Juan Carlos Carbonell Mateu y Fermín Morales Prats, “Responsabilidad penal de las personas jurídicas”, en Comentarios a la reforma penal de 2010, ed. Por F. Álvarez García- J. L. M. González Cussac (Valencia: Tirant lo Blanch, 2010), 55-86, pág. 56.
7 José Luis González Cussac, Responsabilidad penal de las personas jurídicas y programas de cumplimiento, 1.ª ed. (Valencia: Tirant lo Blanch, 2020), pág . 31
8 María Ángeles Villegas García, La responsabilidad criminal de las personas jurídicas: la experiencia de Estados Unidos, 1 .ª ed.
(Navarra: Aranzadi, 2016), p.130 y ss.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 64
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
de gran relevancia como WATERGATE, LOCKHEED, ARTHUR ANDERESEN/ENROM; SIEMENS9, empresas de importante trascendencia económica, en cuyo interior se estaban cometiendo los que eran probablemente los casos de fraude y corrupción empresarial más grandes de la historia; pero no solo eso, sino que, el nivel de corrupción era tal, que como señala Nieto Martín y Lascurain Sánchez, la delincuencia empresarial escaló a niveles internacionales para la década de los años 70ś, por lo que en respuesta de aquello nace la Ley estadounidense de Prácticas de Corrupción en el Extranjero ( Foreing Corrupt Practices Act) que establece la obligación de adoptar controles internos para evitar la corrupción10. Importante lineamiento normativo para entender lo que ahora se conoce como criminal compliance, tema que se abordará en las siguientes líneas.
El denominado criminal compliance se deriva del genérico corporate governance (gobierno corporativo o gobernanza corporativa), por supuesto ambos temas han sido ampliamente dis-cutidos en el Derecho Penal Económico11. De manera literal se hace referencia a un cumplimiento de la normativa que regula el actuar de una corporación, sin embargo, y como se profundizará más adelante, su aplicación incluye eslabones de complejo análisis. Si bien la traducción literal de “compliance” parece ser cumplimiento, autores como Prittwitz señalan que, a efectos de lo estudiado, este concepto se entiende como “cumplir con”, y más allá de eso se refiere a lo que es “jurídicamente debido”12. Estos conceptos son justamente los que marcan el inicio de la segregación que existe entre cualquier norma de cumplimiento (normas ISO) y un verdadero mecanismo de gestión de riesgos o programa de cumplimiento penal que, si bien en algún punto de la ejecución del programa se pueden encontrar, su naturaleza es distinta.
El legal compliance hace referencia a una actitud de obediencia y respeto hacia las normas jurídicas que forman parte del ordenamiento jurídico, así como aquellas que, en su potestad autorregulativa, la empresa ha integrado en su organización. Por lo tanto, estas normas se traducen en la expresión de la voluntad general (de la estructura que ha tomado la decisión de implementar una cultura de cumplimiento), por lo que, ontológicamente, es una actividad in-crustada en el Derecho, llegando incluso a entenderse como una materia del mismo13. En la línea de lo señalado, es necesario puntualizar que, aunque las reglas de satisfacción son aquellas generadas por la empresa en su deber/potestad de autorregulación, estas deberán ceñirse al conjunto de normas de carácter externo e incluso a disposiciones de carácter internacional adoptadas por el Estado en el que la corporación realiza sus actividades económicas.
Tal como se ha señalado en párrafos anteriores, el origen del criminal compliance se encuentra sin duda en el marco del desarrollo de la actividad económica empresarial privada. Es ahí donde su ejecución ha adquirido gran relevancia, especialmente en los últimos años; sin embargo, no se puede descartar su observancia en organismos del sector público, 9 José Luis González Cussac, Responsabilidad…, cit., pág. 34.
10 Adán Nieto Martín y Juan Antonio Lascurain Sánchez, Manual de cumplimiento penal en la empresa, 1.ª ed. (Valencia: Tirant lo Blanch, 2015), p. 28.
11 Iván Navas Moncada, “Recensión a Bacigalupo Enrique, Compliance y Derecho Penal”, Política Criminal 7 (2012): 480-488, http://www.politicacriminal.cl/Vol_07/n_14/Vol7N14R1.pdf , pág 480.
12 Cornelius Prittwitz, La posición jurídica (en especial, posición de garante) de los compliance officers, (Madrid: Marcial Pons, 2013), pág. 208.
13 Fabián I. Balcarse y Rafael Berruezo, Criminal Compliance y Personas Jurídicas, 2.ª ed. (Montevideo: BdF. 2016), pág. 140.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
65
con ciertos ajustes a los elementos que tradicionalmente forman parte de un programa de cumplimiento penal. Ahora bien, debido a la estructura y organización que tradicionalmente maneja la administración pública, figuras como el oficial u organismo de cumplimiento no podrían tener la naturaleza requierida para que el programa tenga absoluta eficacia; no obstante, otras, como la matriz de riesgo, no solo son útiles, sino que incluso son imprescindibles de cara a la gestión y control de conductas delictivas que tradicionalmente se han concretado en esferas del sector público.
Actualmente, desde la estructura estatal, se ha incentivado la implmenetación de meca-nimos de mitigación y control de riesgos criminales en esferas privadas, esto con el objetivo de minimizar el impacto de conductas que realmente no llegan a ser criminales (y de intervención imperativa de los organismos públicos del caso) y pueden ser vigiladas o controla-das dentro de la propia corporación. En ese sentido, Silva Sánchez por ejemplo, señala que el compliance también significa autovigilancia, dejando en claro que bajo ningún concepto se pretende con esto limitar el poder de control y sanción que tienen los órganos del Estado sobre las empresas14, al contrario, refuerza su trabajo y permite que la empresa pueda desarrollar sus actividades económicas con apego a la normativa que rige a la sociedad en general, pues ese poder “transferido” (y compartido) llega acompañado con la posibilidad de sancionar conductas riesgosas para la empresa que en futuro podrían traducirse en verdaderas lesiones a bienes jurídicos penalmente protegidos. Justamente el criminal compliance afianza estos conceptos y descongestiona el arduo trabajo que por fuera (entendiendo a la empresa como una suerte de pequeño Estado) tiene el ente formal estatal.
Bajo la concepción de lo expuesto en el apartado anterior, Coca Vila señala a la autorregulación como mecanismo necesario para disciplinar de manera conveniente la actividad empresarial, resultando incluso insuficiente la pura heterorregulación (control y regulación ex-clusivamente estatal) en las estructuras societarias que no tenían ningún protagonismo en lo que a prevención y gestión de riesgos se refiere15. El autor distingue dos principales causas sobre las que actúa este fenómeno: 1) La especialización y la profesionalización de los sectores empresariales, por lo que frente a estructuras organizativas más complejas los sistemas de heterorregulación por si solos resultan inviables; y, 2) La crisis del Estado social que en la actualidad ya no soporta los altos costes que implica la ejecución de procesos de regulación, supervisión y sanción16. Sin embargo, tal y como se ha referido en líneas anteriores, siempre se hablará de una autorregulación regulada por cuanto no se pretende establecer medidas
“desreguladoras” sino más bien mejorar caulitativa y cuantitativamente17 la regulación del Estado en virtud del poder punitivo que constitucionalmente le corresponde ejercer a través de las entidades de control y sanción correspondientes.
El criminal compliance y cada uno de sus elementos, le entrega a la empresa una suerte de pequeño Estado, con la posibilidad de autorregularse entendiendo un concepto micro de lo que se conoce como autopoiesis, cuyo alcance va mucho más allá de una simple potestad de regulación propia, esto incluye una relación compleja entre la estructura de la empresa, 14 Jesús-María Silva Sánchez y Raquel Montaner Fernández, Criminalidad de empresa y compliance. Prevención y reacciones corporativas, 1.ª ed. (Barcelona: Atelier. 2013), págs. 13-14.
15 Ivó Coca Vila, “¿Programas de Cumplimiento como forma de autorregulación regulada?”, en Criminalidad de empresa y compliance. Prevención y reacciones corporativas, coord. Raquel Montaner Fernández ( Barcelona: Atelier. 2013), págs. 45-46.
16 Ivó Coca Vila, ¿Programas de Cumplimiento como forma de autorregulación regulada? ... cit., pág. 46.
17 José Esteve Pardo, “El reto de la autorregulación o cómo aprovechar en el sistema jurídico lo que se gesta extramuros del mismo. Mito y realidad del Caballo de Troya”, en Autorregulación y sanciones, coord. Arroyo Jiménez/Nieto Martín (Madrid: Lex Nova, 2013), págs. 39 y ss.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 66
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
sus operaciones o procesos (para cumplir sus objetivos), así como la creación de normativa ceñida a lo que establece el ordenamiento jurídico general y la capacidad de decisión frente a conductas que lastimen todo ese conglomerado de normas (internas o externas); todo esto a modo de un hilo conductor que se relaciona entre sí y cuyo medio de conexión es la comu-nicación18. En ese sentido, la empresa aparece como un sistema distinto y apartado de lo que son los miembros que individualmente forman parte de esta (sujetos físicos), pues, aquellos pueden cambiar, pero la empresa conservará su identidad.
EL COMPLIANCE EN EL CÓDIGO ÓRGANICO INTEGRAL PENAL
Desde una perspectiva normativa, el compliance dentro del Ecuador tiene como antecedente la incorporación de la responsabilidad penal de la persona jurídica dentro del Código Orgánico Integral Penal; es así que, a partir del año 2014 se incluye el artículo 49 que regula este tema y en lo que respecta a los modelos de gestión de riesgos se establece: Artículo 49.- Responsabilidad de las personas jurídicas.-
(…)
La responsabilidad penal de la persona jurídica se atenuará de conformidad con el número 7 del artículo 45 del presente Código. Los sistemas de integridad, normas, programas y/o políticas de cumplimiento, prevención, dirección y/o supervisión, deberán incorporar los siguientes requisitos mínimos, sin perjuicio de las disposiciones del Reglamento que se dicte para el efecto, y de otras normas específicas: 1. Identificación, detección y administración de actividades en las que se presente riesgo;
2. Controles internos con responsables para procesos que representen riesgo; 3. Supervisión y monitoreo continuo, tanto interna, como evaluaciones independientes de los sistemas, programas y políticas, protocolos o procedimientos para la adopción y ejecución de decisiones sociales;
4. Modelos de gestión financiera;
5. Canal de denuncias;
6. Código de Ética;
7. Programas de capacitación del personal;
8. Mecanismos de investigación interna;
9. Obligación de informar al encargado de cumplimiento sobre posibles riesgos o incumplimientos;
10. Normas para sancionar disciplinariamente las vulneraciones del sistema; y, 11. Programas conozca a su cliente o debida diligencia.
(La negrita no corresponde al texto original)
18 Niklas Luhmann, El Derecho de la sociedad, 2.ª ed. (México: Herder-Universidad Iberoamericana. 2006), pág. 29
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
67
A diferencia de países como España, el contexto penal ecuatoriano no concibe al compliance o a los modelos de prevención penal como una circunstancia eximente de la responsabilidad penal de la persona jurídica sino solo como atenuante. Así también es importante resaltar que, a modo de “checklist” el artículo citado señala todos los elementos mínimos necesarios para que la responsabilidad de la persona jurídica sea atenuada. Sin embargo, es importante recalcar que el programa de cumplimiento penal empresarial, a diferencia de cualquier normativa general de cumplimiento, será un traje a la medida dependiendo la actividad económica, estructura, organigrama y en general de las circunstancias que, al igual que un sujeto físico, distinguen a cada corporación.
En razón de los elementos expuestos dentro del artículo 49, es importante hacer un análisis de cada uno, pues son aquellos la referencia obligatoria de los prestadores del servicio de diseño, construcción e implementación del criminal compliance. Cada uno de estos com-ponentes son necesarios, sin perjuicio de que a medida o en virtud de las necesidades de la empresa, se requiera la implementación de más controles.
Identificación, detección y administración de actividades en las que se presente riesgo. Matriz de Riesgos.
El mapa de riesgos, también conocido como matriz de riesgos, es sin duda el corazón y pieza clave del programa de cumplimiento; como elemento del criminal compliance se traduce en el instrumento a raíz del cual se conoce a profundidad a la empresa con total atención a sus deficiencias o puntos débiles. En esta fase del programa parece imprescindible el conocimiento del profesional a cargo de ejecutar la misma, pues es a la matriz de riesgos la “radiografía empresarial” que permitirá estructurar todos los controles necesarios para mitigar y controlar aquellas alertas que puedan significar un peligro penalmente relevante para la corporación.
La matriz de risgos pone en manifiesto el “apetito de riesgo” que la empresa tiene frente a cada operación o actividades realizadas dentro de su ejercicio económico. Para hablar de este punto es necesario conocer en primer lugar la misión y visión de la organización; así también hay que analizar sus objetivos, los que se traducen en aquellos de carácter económico/financiero, operacionales, reputacionales y de cumplimiento. Si una organización ya considera dentro de su estructura la necesidad de incluir y trabajar en objetivos de cumplimiento normativo, sin duda el modelo de gestión de riesgos o programa de cumplimiento será mucho más digerible porque seguramente ya existen de alguna manera mecanismos de interiorización de una cultura de cumplimiento.
Gonzáles Cussac plantea siete criterios a considerar como parte de la metodología a se-guir al momento de elaborar el mapa de riegos19:
1. Complejidad: Evaluar el modelo de desarrollo económico que maneja la empresa, su estructura o incluso las dificultades legales que esta tenga para mantenerse o ex-pandirse en el mercado.
2. Indicadores de riesgos internos: Identificar los posibles rastros de cumplimiento que tenga la empresa, previo a la elaboración del criminal compliance, es decir, todos aquel-19 José González Cussac, “Criterios básicos para elaborar un mapa de riesgos frente a la corrupción”, en Criminal Compliance Programs y mapa de riesgos, ed. Por Ángela Matallín Evangelio y Antonio Fernández Hernández (Valencia: Tirant lo Blanch, 2023), 51-62, pág. 58.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 68
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
los protocolos, normas internas o incluso la verificación de un programa anterior rela-tivo al cumplimiento empresarial.
3. Indicadores de riesgos externos: Hace referencia a todo el entorno ajeno a la empresa pero que es de importante referencia a la hora de desarrollar sus actividades. Estudio de la situación general, incluida la jurídica, de las empresas que manejan la misma complejidad o ejercicio económico.
4. Entorno: Principal referencia al estudio de la novedad o complejidad de las actividades que realiza la empresa y si estas requieren de una mayor especialización o el uso de nuevas tecnologías, situación que sin duda debe ser considerada a la hora de organizar a la sociedad, evaluar conductas riesgosas e implementar las medidas adecuadas para mitigar las mimas.
5. Empleados: Considerar las habilidades y preparación del equipo de trabajo que forma parte de la empresa, y las posibles políticas que ayuden a su entrenamiento, así como los filtros a implementar para la contratación de personal.
6. Procesos de trabajo internos: Las medidas que se consideren necesarias para mitigar los riesgos evidenciados dentro del mapa de riesgos, deben considerar la automatización de ciertos procesos, esto con la finalidad de que el sistema de control interno mantenga sin-tonía con las actividades necesarias para el funcionamiento de la empresa.
7. Impacto a derechos fundamentales: La consideración de las conductas riesgosas para la empresa y la implementación de las medidas que las mitiguen, deben mantener total armonía con los preceptos, principios y normas del ordenamiento jurídico que rigen el actuar de la compañía, evitando así afectar los derechos del personal que la conforma o de terceros interesados.
Ahora bien, la matriz de riesgos cumple dos funciones, en primera instancia y como se ad-virtió, expone a la empresa en sus puntos débiles y, en segundo lugar, marca las pautas bajo las cuales se implementará un sistema de control interno que permita mitigar y controlar los riesgos previamente evidenciados. En ambas fases, conocer el llamado “apetito de riesgo” es importante, pues es a partir de ese conocimiento que la empresa y el prestador del servicio (persona o entidad encargada de diseñar el modelo de gestión de riesgos) va a trabajar en la implementación de un cultura y medidas de cumplimiento robustas o débiles; es decir, lo más probable es que si el apetito es mayor, los mecanismos de control interno serán menores, mientras que si la capacidad de riesgo que la empresa está dispuesta a asumir es menor, el sistema que implementará para controlar las actividades riesgosas será complejo y por su puesto requerirá de más inversión por parte de la entidad empresarial.
La teoría conocida como “la sociedad de riesgo”, pertinente cuando se habla del análisis y gestión de riesgos empresariales, entiende el progreso o desarrollo de la sociedad como beneficioso porque ha permitido el avance de esta hacia su modernización, mayores comodidades, trabajo, riqueza, entre otros; sin embargo, este desarrollo a su vez implica la gene-ración de riesgos, algunos considerados como “necesarios” y otros previsibles y, por tanto, controlables. A continuación, quien suscribe este trabajo, ha desarrollado un pequeño gráfico que ilustra de mejor manera este tema.
derecho penal central
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
69
Fuente: Elaboración propia.
Como se puede observar, existen tres apartados bien diferenciados. La columna azul, hace referencia al riesgo aceptado por una sociedad, el segundo tiene que ver con el desarrollo, modernización o cumplimiento de objetivos de conformidad con ese riesgo previamente ad-mitido, finalmente el tercero hace referencia a la afectación que tanto el riesgo permitido, así como el progreso de la sociedad, pueden ocasionar en la colectividad. Asimismo, se han identificado tres escenarios: la situación en una sociedad sin riesgo, sociedad con riesgo sin control y el “ideal” de una sociedad con un riesgo controlado.
Después de describir el gráfico expuesto, su interpretación resulta más digerible. Una sociedad sin riesgo es básicamente imposible, pues eso sin duda significa un estancamiento en su desarrollo o modernización, y el ser humano por su naturaleza tiene la necesidad de descubrir cosas y modernizarse; de la mano con su avance aparecen nuevos retos que tienen que ser aceptados, sin embargo, aunque muchos de ellos son necesarios y no pueden desvincularse, es importante que existan controles con la finalidad de que la afectación a la comunidad sea mínima, en cualquier caso ni el riesgo ni la afectación pueden ser nulas ya que de ser así nos encontraríamos en el primer escenario siempre.
En virtud de lo señalado, parece ser que tanto el primero como el segundo panorama no son los más aceptables o convenientes, es así que, en el segundo caso, aunque el desarrollo es importante, sin un debido control del riesgo las afectaciones también serán considerables.
Lo conveniente en cualquier contexto es un desarrollo controlado, los riesgos siempre van a existir, y mientras el apetito de riesgo sea menor, con los controles adecuados, la afectación también será menor. Esta teoría es fácilmente aplicada en estructuras de menor rango como es la empresa, su entendimiento resulta interesante a la hora de implementar programas de cumplimiento y más específicamente en el diseño de la matriz, así como de los controles para mitigar los riesgos considerados dentro de la misma.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 70
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
Ahora bien, si bien la matriz de riesgos es solo una parte de lo que doctrina, jurisprudencia internacional e incluso la misma normativa penal ha señalado como un programa de gestión de riesgos penales, su inclusión y estudio resulta fundamental pues como ya se señaló en líneas anteriores, sin este elemento resulta imposible conocer las debilidades de la empresa y protegerla frente a estas.
El mapa de riesgos se entiende también como un “acto de reflexión” de la persona jurídica, pues si bien evidencia sus debilidades, también analiza sus fortalezas, es decir todas aquellas medidas que ha implementado la empresa con anterioridad a la ejecución de un programa de cumplimiento penal; estos dos aspectos -positivos y negativo- son de importante estudio para considerar sus riesgos inherentes (nivel de riesgo antes de tomar medidas para controlar el mismo), así como identificar la propuesta más idónea de cara a la implementación de un sistema de control interno que más se ajuste a sus necesidades y, más importante aún, obteniendo resultados que le otorguen “idoneidad” al programa de cumplimiento. En esa línea se han pronunciado varios autores interesados en el tema, al señalar que la risk matrix permite evaluar la efectividad de los procesos internos de la empresa, cuya eficaz o ineficaz gestión de riesgos pudiera afectar considerablemente a los objetivos planteados por la entidad20.
El diseño formal de la matriz de riesgos puede variar ligeramente de conformidad con la complejidad de la empresa o comodidad de análisis y valoración de los riesgos. Sin embargo, de manera general los siguientes criterios son fundamentales para de alguna manera entender un “mapa de riesgos” establece, completo y a raíz del cual se puede trabajar controles internos dentro de la estructura empresarial:
- Área: Dentro del organigrama de la empresa, el lugar en donde se puede efectuar el riesgo.
- Línea de mando: Antes, durante y después de la elaboración de la matriz de riesgos, es necesario tomar en cuenta un modelo de defensa adecuada de cara a la efectivización de los controles internos empresariales. Más adelante, dentro del análisis del “sistema de control interno”, se expondrá este tema con mayor especificación; sin embargo, dentro de este criterio de la matriz de riesgos, la línea de mando será siempre la primera línea de defensa en donde reposa la ejecución de la actividad riesgosa.
- Riesgo clave: En un programa de cumplimiento penal, para considerar el riesgo clave es necesario estudiar de todo el catálogo de delitos, aquellos que establecen una responsabilidad para la persona jurídica. A partir de este análisis y en relación con cada actividad u operación considerada dentro de la empresa, se señala el riesgo clave que se comprenda por cada área y línea de mando.
- Consideraciones del riesgo: Son situaciones fácticas relacionadas a la información previamente obtenida por parte de la empresa, así como aquellos supuestos en los que, de realizarse, la materialización de un delito sería probable.
- Probabilidad del riesgo: Dependiendo la metodología utilizada para realizar la matriz de riesgos, en este punto se levantan pequeñas matrices que deberán estar de conformidad con el contexto e información empresarial previamente obtenida por cada área y actividad realizada dentro de la misma. La o el profesional con conocimiento de derecho y cumplimiento evaluará la posibilidad, ya sea cualitativa (bajo medio o alto) o cuantitativa (en porcentajes o valores como) de que esa actividad de ejecute.
20 José León Alapont, Compliance penal. Especial referencia a los partidos políticos, (Valencia: Tirant lo Blanch, 2020), pág. 113
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
71
- Impacto del riesgo: Para calcular el impacto es necesario estudiar las sanciones que se establecen para cada delito, se deberá evaluar el impacto de la materialización de esa actividad riesgosa en los objetivos previamente planteados por la empresa, principalmente en lo que tiene que ver con su objetivo operacional ya que existen penas que podrían limitar o incluso cancelar una o varias actividades de la empresa, mismas que son importantes para su funcionamiento y crecimiento económico.
- Riesgo inherente: Dentro del mapa de calor se posicionan cada uno de los valores obtenidos en la fase de probabilidad, así como de impacto, y a modo de mapa cartesiano se fija el resultado mismo que es comprendido como “riesgo inherente”.
- Actividades de control: es el diseño de un sistema de control interno en el que se establecen medidas necesarias para mitigar o controlar el riesgo inherente previamente obtenido.
- Frecuencia: la medida en la que se repite esa actividad de control del riesgo cualificada o cuantificada según la metodología utilizada dentro de todo el desarrollo de la matriz.
- Responsable: Persona o personas encargadas de ejecutar el control (primera línea de defensa).
- Riesgo residual: resultado del riesgo focalizado dentro del mapa de calor una vez se han ejecutado los controles internos que mitigan o controlan en riesgo.
Sobre la supervisión y monitoreo continuo, tanto interna, como evaluaciones independientes de los sistemas, programas y políticas, protocolos o procedimientos para la adopción y ejecución de decisiones sociales. Monitoreo y actualización del programa.
El monitoreo o revisión del programa es una parte que muchas veces no se considera, sin embargo, a la hora de evidenciar la eficacia del mismo en sede judicial, resulta imprescindible. La empresa se desarrolla con el dinamismo de la sociedad misma, las normas o lineamientos que rigen su actuar también son cambiantes; en su afán de crecer su estructura también se vuelve más compleja y, en general, ninguna persona jurídica es estática o permanece en el tiempo sin cambio alguno.
La revisión del programa le permite a la empresa “actualizarse”, ya sea por la estimación de mejorar el desarrollo de los procesos operativos, o incluso para considerar o reaccionar ante cambios o fallos que pongan en riesgos el correcto funcionamiento del programa. El tiempo o periodicidad con la que se practicará esta actividad es bastante difusa y sin duda no hay un acuerdo al respecto, lo que es normal, pues esto siempre dependerá de cada caso y del dinamismo con el que la empresa ejecute sus actividades. De igual manera, es importante no confundir la evaluación de los riesgos que se consideran en la matriz, frente a los demás elementos que integran el programa; la primera es una actividad más específica que requiere incluso la verificación de la eficacia de los controles implantados para mitigar las actividades consideradas como riesgosas, así como eliminar todas aquellas que ya no representan un peligro considerable penalmente para la empresa21.
21 Alain Casanovas Ysla, “La norma UNE 19601 y los requisitos del Código Penal”, en Persuadir y Razonar: Estudios Jurídicos en Homenaje a José Manuel Maza Martin, ed. Por Carlos Gómez Jara Díez (Cizur Menor : Thomson Reuters-Aranzadi, 2018), 887-916, pág. 915.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 72
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
Sobre los controles internos con responsables para procesos que representen riesgo. Sistema de control interno.
Una vez se han identificado las actividades riesgosas y penalmente relevantes para la empresa, es necesario trabajar en el diseño de todos aquellos mecanismos que lograrán mitigar o controlar, de manera efectiva, las situaciones que colocan a la entidad en una situación de vulnerabilidad. El control interno se define como aquella función que se incorpora a la organización de manera integral, por lo que su atención no está enfocada en una sola dirección o área; esto en virtud de que el sistema de control interno tiene como finalidad detectar de manera oportuna cualquier desviación a los objetivos planteados por la empresa, mismos que como ya se detalló en un momento dentro del presente trabajo, están orientados en los siguientes ejes: financiero/económico, operacional/estratégico y de cumplimiento.
Las principales funciones del sistema de control interno radican en las siguientes: 1. Desde un aspecto económico: proteger los recursos de la empresa consiguiendo de este modo una adecuada administración ante posibles riesgos que puedan afectar su funcionamiento;
2. Garantizar que las operaciones y actividades dentro de cada área de la empresa se realicen con estricto apego a estándares de eficiencia y eficacia para de ese modo cumplir con las metas y objetivos planteados previamente por la entidad; 3. Cumplir con la correcta vigilancia y seguimiento de la gestión organizacional; 4. Documentación de cada actividad: el control interno permite asegurar que los registros e información generada en la ejecución del programa sean elaborados y presentados de manera oportuna, con la confiabilidad y seguridad del caso; 5. Como función fundamental el sistema de control interno define y aplica todas aquellas medidas necesarias para prevenir y mitigar los riesgos penalmente releventes y exis-tentes dentro de la empresa, así como también detectar y corregir errores que se presenten en la organización y que puedan afectar el logro de sus objetivos; 6. Generación de mecanismos de verificación, evaluación o monitoreo de las actividades que se realizan en cada área de la empresa22.
Los controles que se diseñen para la empresa, estarán estrechamente relacionados con las actividades de riesgos que se hayan considerado previamente dentro de la matriz. Tan importante es el ambiente de control que se genere para la empresa, pues de este (fuerte o débil ambiente) dependerá el cálculo del riesgo residual dentro de la matriz, así como la mitigación de cada riesgo que sea relevante de cara a prevenir una posible materialización de conductas sancionadas dentro del ámbito penal.
A fin de obtener un control y mitigación efectiva de riesgos es importante atender a una estructura de “líneas de defensa”, pues tal y como se señaló en líneas anteriores, el control interno engloba a la totalidad de la empresa y sus colaboradores, desde la más alta dirección o cúspide de la pirámide organizacional. Un planteamiento adecuado respecto a la estructura de las líneas de defensa se presenta a continuación:
22 Walter M. Mendoza-Zamora et al., “El control interno y su influencia en la gestión administrativa del sector público”, Dominio de las Ciencias 4, n.º4 (2018): 206-240, https://uc3m.libguides.com/guias_tematicas/citas_bibliograficas/chicago#s-lg-box-wrapper-13338374 , pág. 216.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
73
1. Primera línea: ejecución del control/gestión del riesgo.
2. Segunda línea: experiencia, apoyo y supervisión hacia la segunda línea.
3. Tercera línea: Asesoramiento independiente, esta línea está normalmente en manos del área, persona y organismo de cumplimiento.
4. Organismo de gobierno: recae aquí la máxima responsabilidad de supervisión de la organización, por lo que contribuye con valores de liderazgo, integridad y transparencia, además de entregar y recibir información “hacia” y “desde” las líneas de defensa detalladas haciendo que la entidad sea funcional y todos estén involucrados en la con-secución de los objetivos empresariales.
Sobre los modelos de gestión financiera
Este es un paso previo a la propia ejecución del programa en virtud de que será la empresa quién entregará el compromiso claro de gestionar los recursos necesarios para que el programa se aplique de conformidad con el modelo diseñado. Como ya se ha destacado en reiteradas ocasiones, la intención de implementar una verdadera cultura normativa por parte de la empresa, requiere una inversión importante de recursos, a fin de que el programa resulte eficaz y no en un simple “paper compliance”. De hecho, Serrano Zaragoza establece que parte de la acreditación de eficacia del compliance implementado en la empresa tiene mucho que ver con la inversión realizada por esta en la prevención y detección de delitos de conformidad con los siguientes parámetros23:
1. Capacidad económica de la organización.
2. Complejidad en su estructura con la posibilidad de generar mayores o menores incumplimientos o situaciones de riesgo.
3. Capacidad del criminal compliance implementado para reducir la probabilidad de materialización de conductas penalmente riesgosas.
4. Coste económico de los delitos que se podrían producir por no adoptar medidas de prevención y control en el programa.
Sobre el canal de denuncias
El canal de denuncias o también conocido como línea de whistleblowing es un mecanismo esencial dentro del programa de cumplimiento que es implementado por la empresa para receptar y tramitar a través de la investigación interna las denuncias o quejas por parte de los colaboradores, proveedores o en general de cualquier persona que tenga un interés en las actividades que realiza la empresa y representan un riesgo ya sea para esta o para la sociedad, respecto a ciertas actividades o comportamientos que se realizan al interior de la organización y que constituyen una infracción a las normas y políticas que rigen su actuar.
Este mecanismo de gestión de quejas es más antiguo y su origen está sentado en el derecho anglosajón. En la actualidad son varias las empresas que tienen implementado en su estructura un canal de denuncias; sin embargo, no poseen un programa concreto de gestión de riesgos penales. En conjunto, es decir, con la inclusión de un canal de denuncias específi-23 Óscar Serrano Zaragoza, “Régimen de deberes y responsabilidades de los administradores sociales tras la introducción del régimen de responsabilidad penal de las personas jurídicas en el derecho español”, en Compliance penal y responsabilidad civil y societaria de los administradores, coord. Manuel Ruiz de Lara (Madrid:Wolters Kluwer, 2018), 17-112, págs. 39-40.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 74
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
co para la recepción y gestión de las quejas presentadas, es posible que el programa sea más eficaz en materia de prevención de delitos y la llamada “lucha contra la corrupción”24.
La ejecución de esta medida debe ser parte de la integración de la cultura de cumplimiento dentro de la organización por lo que en teoría su imposición no es compatible con el modelo de compliance basado en la ética, el diálogo, la transparencia e interiorización de los colaboradores con los valores acogidos por la entidad; aquello respondería a una dinámica propia de un régimen autoritario y su consideración alejaría a la organización de los objetivos reales del programa de cumplimiento25.
Dentro del programa, debe existir una política que establezca las medidas de protección para todos aquellos que con un vínculo profesional o laboral han decido denunciar o su-ministrar información sobre infracciones de las que hayan tenido conocimiento justamente por el contexto en el que ejercen sus actividades y es precisamente por esa razón que su exposición los hace más vulnerables26. Este sin duda es el mejor incentivo para que exista un efectivo ejercicio del canal, ya que sin las garantías adecuadas para el informante es poco probable su uso. Sobre este aspecto son dos los enfoques principales que debe considerar el diseño y política del canal de denuncias: 1) Garantía de confidencialidad sobre la identidad de las personas que hayan realizado una comunicación a los órganos de control interno, y; 2) Garantía de protección ante cualquier amenaza o acción hostil en contra del informante (más aún si existe una evidente relación de poder)27.
Como requisitos importantes dentro de la política del canal de denuncias se deberían consideran los siguientes28:
1. La determinación de las personas que pueden tener acceso al sistema de denuncias; 2. Las garantías respecto a la protección de la persona denunciante, en este punto se deberá considerar e informar sobre la posibilidad de guardar el anonimato o la confidencialidad que se le dará a la identidad del denunciante;
3. El canal de denuncias debe considerar las facilidades para la persona denunciante, evitando de este modo que el proceso de denuncia sea engorroso y así muy al contrario de incentivar la comunicación de irregularidades, limitarla; 4. El detalle del proceso de recepción y gestión de la denuncia, con la posibilidad de establecer plazos y los filtros por los que pasará la misma con la finalidad de transparentar su tratamiento;
5. En todo caso es importante que se garantice la protección de los datos de las partes, y además manejar cada fase de manera documentada desde la presentación de la denuncia.
La gestión de la investigación, así como sus resultados, de conformidad con el principio de comunicación del compliance, debe ser puesto en conocimiento por escrito a las partes intere-24 Juan Jorge Gili, “Canal de denuncia de irregularidades en la empresa”, en Practicum compliance, ed. Por Xavier Ribas, Paula Gómez, José Luis Pérez (Navarra: Aranzadi, 2018), 299-312, pág. 299.
25 Beatriz García Moreno, “Whistleblowing y canales institucionales de denuncia”, en Manual de cumplimiento penal en la empresa, ed. Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015), 204-230, pág. 220.
26 Bernardo del Rosal Blasco, Manual de responsabilidad penal y defensa penal corporativas. 2.ª ed. (Madrid: La Ley, 2023), pág. 340.
27 Isidoro Blanco Cordero, “La prevención del blanqueo de capitales”, en Manual de cumplimiento penal en la empresa, ed. Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015), 433-492, pág. 486.
28 José León Alapont, Canales de denuncia e investigaciones internas en el marco de compliance corporativo, (Valencia: Tirant lo Blanch, 2023), pág. 222.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
75
sadas. Este proceso debe cumplirse en plazos razonables y cada paso estará incorporado en el registro que corresponda con la finalidad de que la ejecución de esta parte del programa se encuentre documentada de manera eficaz29.
Sobre el código de ética o conducta.
Si de otorgarle un concepto al código de conducta se trata, se puede entender a este como un instrumento cuyo núcleo recoge las principales reglas que rigen las actividades y prácticas de la empresa; además, su naturaleza recoge los valores, principios y cultura de cumplimiento que la entidad decida pregonar a la hora de implementar un programa de cumplimiento. Sobre este elemento del compliance se dice:
La elaboración del código de conducta, o código ético, es el pilar fundamental de un programa de compliance. La implementación de un código de conducta adecuado genera confianza y credibilidad en las relaciones internas y externas de la organización, atrae a personas socias, proveeduría, personas beneficiarias, y personal, mejora la satisfacción de sus personas colaboradoras, y de manera general, la reputación de la entidad30.
El código de ética entonces, se entiende como aquel conjunto de normas morales y legales; morales en tanto regulan la conducta de la persona y, legales, cuando su contenido expla-ya preceptos que regulan unitariamente una materia determinada31. Lo que en esencia debe manifestar el código de ética se centra en cuatro puntos:
1. Estructura de la toma de decisiones;
2. Comportamiento de la organización;
3. Relación de la empresa con los stakeholders;
4. Valores32.
El código de ética es también conocido como código de conducta porque refleja el comportamiento esperado por parte de la empresa, sus shareholders así como también por parte de sus
stakeholders; es decir, el decálogo de lo que esperamos sea correcto para la empresa. Como suerte de pequeño Estado, el código de conducta se convierte en la máxima norma de obligatoria observancia por parte de la entidad, sus colaboradores y terceros interesados que se involucren en la actuación de la sociedad. Esto, sin embargo, no exime del acatamiento estricto de las normas que, por fuera de la organización, rigen el actuar de la misma; es decir, la Constitución, y demás normas, reglas o reglamentos imperativos para que la empresa pueda existir, funcionar y permanecer.
29 Bernardo del Rosal Blasco, Manual de responsabilidad penal y defensa penal corporativas, (Madrid: Wolters Kluwer, 2018), pág. 295.
30 World Compliance Association, “El código de conducta en el tercer sector”, Biblioteca Compliance, junio 2021, https://
bibliotecacompliance.com/wp-content/uploads/2021/07/FASC4-CO%CC%81DIGO-CONDUCTA_V5.pdf 31 Elisabet Escayola Maranges, “Código ético”, en Practicum compliance, ed. Por Xavier Ribas, Paula Gómez, José Luis Pérez (Navarra: Aranzadi, 2018), 97-117, pág. 97.
32 Elisabet Escayola Maranges, “Código ético”, en Practicum compliance, ed. Por Xavier Ribas, Paula Gómez, José Luis Pérez (Navarra: Aranzadi, 2018), 97-117, pág. 97
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 76
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
Sobre los programas de capacitación del personal y la obligación de informar al encargado de cumplimiento sobre posibles riesgos o incumplimientos.
Parte fundamental para garantizar la continuidad y eficacia del criminal compliance, es que el oficial u organismo de cumplimiento, por si mismo o a través de encargados, realice una comunicación continua del sistema, sus elementos e intenciones, con la finalidad de que su práctica sea interiorizada y no se considere como una “obligación” por parte de los colaboradores de la empresa, ya que otro principio fundamental del programa es justamente la voluntariedad en su aplicación. Es por esa razón que resulta esencial el elemento de “programas de capacitación del personal” que refiere el código y discutible la “obligación de informar al encargado de cumplimiento sobre posibles riesgos o incumplimientos” pues, aunque en principio existirán medidas que garanticen aquello, a lo largo de la ejecución del programa, el canal de denuncias será la herramienta indispensable para poner en práctica la cultura de información y cumplimiento ya adoptada por toda la organización. Sobre este punto es necesario que exista una planificación con el contenido, la periodicidad, duración y personas que formarán parte de las capacitaciones, documentando cada actividad que se realice en el desarrollo de la formación a los involucrados incluyendo la posibilidad de realizar actas que contengan la firma de cada asistente33.
Sobre las normas para sancionar disciplinariamente las vulneraciones del sistema. Sistema disciplinario.
El régimen disciplinario o “normas para sancionar disciplinariamente las vulneraciones del sistema”, debe ser el elemento que, aunque no deja de ser esencial, se considere de “ultima ratio”
en la ejecución del programa para garantizar que en efecto no existan vulneraciones a sus preceptos y en caso de existir, como último paso después de la gestión de la denuncia e investigación de los hechos, se imponga una sanción con el respecto a los preceptos legales y constitucionales del caso. En todo momento, lo importante es recordar que el primer paso es buscar la interiorización del sistema y que de ese modo sus colaboradores y miembros de la organización asuman al compliance de manera voluntaria como una práctica diaria.
Una vez se ha presentado la denuncia, y el órgano investigador ha detectado que efectiva-mente se ha incumplido alguna disposición del compliance, el proceso no podría terminar sin la imposición de una sanción. Al igual que la potestad punitiva que tiene el Estado, la empresa, como parte de la cultura de cumplimiento implementada, adquiere la potestad de sancionar a cualquier miembro de su organización por incumplimientos o faltas a la normativa previamente adoptada. Sin embargo, es necesario recalcar que, en fidelidad al principio de “comunicación” del compliance, es importante que todas las personas que estén o puedan estar involucradas, conozcan con claridad las conductas y las sanciones que se les podrían aplicar.
Si bien, dentro de los principios del programa de cumplimiento, se señala a la voluntariedad como uno de ellos, es también importante señalar que la eficacia del criminal compliance depende en gran parte de las medidas coercitivas que se establezcan a fin de sancionar todas aquellas conductas que pongan en riesgo a la empresa o sean contrarias a la normativa que rige su actuar.
El contenido del régimen interno sancionar debe comprender por lo menos los siguientes elementos34:
33 Bernardo del Rosal Blasco, Manual de responsabilidad…, cit.,pág. 289.
34 José León Alapont, Compliance penal…, cit., pág. 255
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
77
1. Ámbito de aplicación:
- Objetivo: actividades, procesos o áreas de la empresa que se ven afectadas.
- Subjetivo: personas que podrían ser sujetos de sanción ( shareholders y stakeholders)
- Territorio: en necesario especificar las filiales o sucursales, en caso de existir, van a tener injerencia del sistema disciplinario adoptado.
2. Clases de infracciones:
- Tomar en consideración aquellas que podrían ser constitutivas de delito y sin perjuicio del seguimiento o responsabilidad que el organismo estatal correspondiente determine, podrían ser sancionadas dentro de la esfera empresarial.
- El régimen sancionador interno deberá considerar los incumplimientos de las medidas/controles que se han insertado en la empresa con la finalidad de mitigar actividades riesgosas.
- La omisión en la denuncia ante los órganos de vigilancia como una afectación directa a la cultura de cumplimiento practicada por la empresa.
- Obstrucción en el deber de investigación del órgano interno encargado, que puede resultar en un límite importante para descubrir posibles irregularidades.
- El canal de denuncias debe ser tomado con la seriedad del caso por parte de todos aquellos que tengan la posibilidad de actividad este mecanismo, es por esa razón que no se puede permitir y, es más, debe ser sancionada cualquier conducta que des-naturalice su razón de existencia (ejemplo: denuncia maliciosa o con conocimiento de la falsedad de los hechos denunciados).
Tal y como se ha señalado en reiteradas ocasiones, la empresa y sus normas internas deben estar en armonía con los preceptos generales del ordenamiento jurídico del Estado que rige su actuar, es por esa razón que, aunque la empresa, con la creación e implementación de un programa de cumplimiento busca autorregularse, sus mecanismos de gestión de riesgos deben manejar esa concordancia. Es así que, el sistema disciplinario debe respetar el principio de legalidad y de manera más específica el de taxatividad, pues al tratarse de sanciones que podrían incluso terminar en la desvinculación del sancionado, no es posible dejar abierta la descripción de la conducta.
En relación con lo señalado en al apartado anterior, Nieto Martín establece que la falta de taxatividad conduce normalmente a una mayor litigiosidad en casos de despido y aquello resulta contrario con los valores éticos pregonados por la organización, por lo que es necesaria una tipificación expresa de las violaciones al código de conducta o normas internas de la empresa35. El régimen sancionatorio interno debe tener como fundamento una base legal clara con la finalidad de que su imposición no resulte injusta, que muy al contrario de proteger a la empresa, la expone ante procesos laborales seguidos por las personas que se sientan afectadas. Este punto del programa, que muchas veces no se considera con la rigurosidad del caso, no es un asunto menor y requiere de un análisis técnico jurídico profundo, reaccionar frente al incumplimiento, así como también desarrollar las garantías de respeto a los derechos humanos de cada una de las personas involucradas; tan delicado es este proceso, que la doctrina recomienda la intervención de un penalista36.
35 Adán Nieto Martín, “Código ético, evaluación de riesgos y formación”, en Manual de cumplimiento penal en la empresa, ed.
Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015), 135-163, pág. 151.
36 Miguel Ontiveros Alonso, Manual básico para la elaboración de un Criminal Compliance Program, (Ciudad de México: Tirant lo Blanch, 2018), pág. 47.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 78
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
Sobre los programas conozca a su cliente o debida diligencia.
La diligencia debida y los procesos de due diligence, supone articular un programa de cumplimiento entendiendo la relación con terceros fundamentalmente a través de disposiciones contractuales. Esta medida, aunque está enfocada especialmente en las relaciones que tiene la empresa con terceros, su control pesa en los miembros de la empresa que ejecutan esos procesos, pues lo que se busca es cuidar la honorabilidad y profesionalidad de aquellas personas que se van a involucrar con la organización. Se compone de tres fases37: 1. Fase precontractual: en esta fase lo que se busca es recabar información de la tercera parte. El método a usar en este punto es normalmente a través de formularios, así como solicitud de documentación que pueda resultar de interés para la organización.
2. Fase contractual: una vez han sido seleccionados y su perfil no representa un riesgo para la empresa, en esta fase se procede a establecer las cláusulas contractuales que le permitan a la organización desligarse de la actividad de la tercera parte, verse resarci-da por cualquier perjuicio que pudiera ocasionar su actuar, así como la posibilidad de supervisar o controlar su actividad.
3. Fase post-contractual: la empresa ejerce el poder de fiscalización de la actividad en virtud de las cláusulas previamente acordadas con el tercero.
Sobre el oficial u organismo de cumplimiento
Al respecto el COIP establece:
Art. 45.- Circunstancias atenuantes de la infracción.- Son circunstancias atenuantes de la infracción penal:
d) Haber implementado, antes de la comisión del delito, sistemas de integridad, normas, programas y/o políticas de cumplimiento, prevención, dirección y/o supervisión, a cargo de un departamento u órgano autónomo en personas jurídicas de mayor dimensión, o una persona responsable en el caso de pequeñas y medianas empresas, cuyo funcionamiento se incorpore en todos los niveles directivos, gerenciales, asesores, administrativos, representativos y operativos de la organización.
(La negrita no corresponde al texto original)
Conceptualmente, esa “persona o departamento” es el oficial u organismo de cumplimiento encargado de vigilar el cumplimiento normativo por parte de la empresa. Su deber es asegu-rarse de que la organización cumpla con la normativa interna y externa que resulte aplicable de conformidad con su estructura y naturaleza de sus actividades económicas38.
Es común que el prestador del servicio de compliance (quien realiza el diseño documenta-do del programa) le recomiende a la empresa la contratación de una persona o creación de 37 Adán Nieto Martín, “La prevención de la corrupción”, en Manual de cumplimiento penal en la empresa, coord. Adán Nieto Martín (Valencia:Tirant lo Blanch, 2015), 307-371, pág. 361-362.
38 Diego Sierra y Raymundo Soberanis, “La estructura del Compliance: Oficial de cumplimiento, Comité de ética, Comité de crisis y Ombudsman corporativo”, en Todo Compliance, ed. Por Juan Pampillo, Jesús Coronado, Santiago Botero (Madrid: Wolters Kluwer, 2021), 45-61, pág. 49.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
79
todo un departamento de cumplimiento que será el encargado de ejecutar el programa. El tamaño, y por ende los recursos de la empresa, son los que determinarán la consideración de un oficial de cumplimiento o de todo un organismo, pues de estos factores dependerá en gran medida la complejidad de la estructura empresarial.
Es posible la externalización de ciertas actividades a modo de garantizar la eficacia del programa; sin embargo, aquello no le excluye bajo ningún motivo al organismo u oficial de cumplimiento de esas actividades subcontratadas, pues al final siempre serán estos últimos los responsables de la que será probablemente el área más importante en la ejecución de compliance program. Sin embargo, y como en cualquier situación, un excesivo uso de medios externos en la ejecución del programa pondría en duda la eficacia del mismo, o incluso desnaturalizarlo39.
En lo que respecta a las funciones del oficial u organismo de cumplimiento, de manera esencial se reconocen a las siguientes40:
- Identificación de las obligaciones de la empresa. Específicamente la normativa que rige el actuar de la empresa, incluso aquellas de carácter extraterritorial, así como las que la organización en ejercicio de su potestad autorregulativa ha generado. Es por esa razón que el oficial de cumplimiento debe tener el perfil adecuado para conocer de esa normativa y mantenerse actualizado sobre cambios o nuevos lineamientos que pueda ser plenamente aplicables a la entidad.
- Capacitación constante a los stakeholders respecto a la cultura de cumplimiento de la empresa. Este ejercicio es parte importante en la ejecución del programa a fin de que los colaboradores de la empresa o partes interesadas lo interioricen. La actividad, a través del método que sea más conveniente de conformidad con la naturaleza del trabajo o cargo de quien será receptor del mensaje, puede tener un acompañamiento o asesoramiento de una persona externa pero siempre en coordinación con el oficial o departamento de cumplimiento.
- El oficial de cumplimiento no puede estar presente en cada proceso o actividad que se realiza dentro de la empresa, para de ese modo identificar ciertas irregularidades o conductas que pueda significar un riesgo; en ese sentido, es importante la capacitación y medidas que, el oficial u organismo, integre en la organización para que los colaboradores sean capaces de identificar - a priori- inminentes incumplimientos al programa.
- Las medidas que integren el sistema de control interno de la empresa deberán tener estricta vigilancia del oficial u organismo de cumplimiento, realizando y solicitando (de conformidad con la estructura de las líneas de defensa de la empresa) informes periódicos que permitan evidenciar su desarrollo y avances en la mitigación y control del riesgo previamente considerando por cada control.
39 Rafael Aguilera Gordillo, Compliance penal en España. Régimen de responsabilidad penal de las personas jurídicas. Fundamentación analítica de base estratégica. Lógica predictiva y requisitos del compliance program penal, (Cizur Menor: Thomson Reuters-Aranzadi, 2018), pág. 299
40 Diego Sierra y Raymundo Soberanis, La estructura del Compliance… cit., págs. 49-50.
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 80
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
La responsabilidad penal de la persona jurídica tiene cabida dentro del contexto penal ecuatoriano a raíz de las reformas realizadas al COIP en el año 2014. Esta novedad sin duda viene acompañada de fuertes cambios, así como de retos en lo que respecta a la inclusión y reforma de ciertos preceptos que estaban enfocadas en la responsabilidad de la persona natural, cambios totalmente necesarios para que a futuro no existan cuestionamientos a la constitucionalidad de este plano jurídico.
La realidad es que, el dinamismo del mercado, desplazó a las personas naturales como sujetos que normalmente eran la cara de los negocios, haciendo que sean las empresas (personas jurídicas) las que realizan las actividades económicas que incluso podrían desestabi-lizar el mercado. Tal es la presencia de las corporaciones, que través de estas se empezaron a practicar actividades de naturaleza delictiva, convirtiéndose esta situación en un reto a propósito de nuevos cambios e inclusiones en la normativa penal, esto con la finalidad de controlar y no dejar en la impunidad estas conductas “so pretexto” de no haberlas ejecutado una persona física y la dificultad de llegar con los “verdaderos” actores del delito.
La conocida “globalización del derecho” aparece como la principal razón que da cabida a la responsabilidad penal empresarial es así que, tal y como se pudo evidenciar a lo largo de este artículo, el derecho anglosajón fue de gran influencia para el contexto ecuatoriano. De hecho, se citaron varios casos de gran trascendencia en lo que respecta a delitos cometidos en el seno de estructuras empresariales (WATERGATE, LOCKHEED, ARTHUR ANDERESEN/ENROM; SIEMENS) que dieron lugar a la creación de grandes instrumentos normativos que sentaron las bases para consolidar este tema. De ahí que aparece la Foreing Corrupt Practices Act (Ley estadounidense de Prácticas de Corrupción en el Extranjero) que establece la obligación a las organizaciones de adoptar controles internos para evitar la corrupción, una pequeña muestra de lo que ahora se conoce como “criminal compliance”.
En lo que respecta al ámbito estrictamente normativo, se dejó por sentada la existencia de la responsabilidad penal de la persona jurídica a partir del año 2014 con las reformas al COIP e introducción del artículo 49, pensado en combatir y atacar las conductas delictivas y de corrupción sentadas en las estructuras empresariales. La novedad no fue solo esta, sino que, además, se formalizó la posibilidad de modificar la responsabilidad penal de la persona jurídica siempre que esta haya implementado un programa de cumplimiento para el control y prevención de delitos ( criminal compliance).
El criminal compliance, es la consecuencia del poder de autorregulación que tiene la empresa que bajo ningún concepto se traduce en un abandono de los preceptos o normativa que rige el actuar de cualquier persona, sea jurídica o física, en la sociedad. Los programas de cumplimiento penal son el diseño que permite a la empresa controlar y mitigar cualquier riesgo que pueda producirse en su seno evitando de ese modo la intervención del poder punitivo estatal, y, actualmente, si llega a materializarse un delito aún con la implementación de un modelo adecuado de gestión de riesgos, esta responsabilidad podría verse atenuada o incluso eximida (como sucede en el caso de España). El compliance, tal y como su nombre lo indica, tiene como principal objetivo interiorizar la cultura de cumplimiento en cada uno de los colaboradores de la empresa, y más importante aún, en aquellos que son parte de la cabeza o cúspide de la organización (administrativos, directivos y representantes). De este modo, la empresa logra cumplir con sus objetivos económicos, de operación, de reputación y, además, de cumplimiento.
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
81
Los elementos del programa van a variar de conformidad con las necesidades y apetito de riesgo empresarial, pues a diferencia de cualquier norma ISO, el criminal compliance es un traje a la medida de la organización, por lo que su diseño necesariamente es personalizado tomando en cuenta su contexto, complejidad, tipo de actividades que realiza, entre otros. Sin embargo, existen elementos que se consideran “necesarios” (aunque no siempre suficientes) para el correcto funcionamiento del programa: 1) Matriz de riesgos (corazón del compliance, aquí se encuentran las principales actividades que podrían resultar riesgosas para la empresa, así como sus encargados, riesgos inherentes, análisis y valoración de los mismos); 2) Código de ética o conducta, políticas y protocolos (instrumentos que se convierten en la normativa que adopta la organización de estricto cumplimiento por parte de todos los stakeholders); 3) Sistema de control interno (medidas necesarias para controlar y mitigar los riesgos previamente identificados); 4) Canal de denuncias (instrumento necesario para que todo aquel que conozca de un incumplimiento ponga el hecho, de manera confidencial o anóni-ma, en conocimiento de la persona encargada de gestionar el canal); 5) Sistema disciplinario (medio necesario para que el programa se eficaz y observado estrictamente por los colaboradores de la empresa con la posibilidad de sancionar cualquier incumplimiento previamente considerado en los instrumentos normativos internos y puestos en conocimiento de los sujetos); 6) Oficial u organismo de cumplimiento (persona u organismo, dependiendo de la dimensión y complejidad de la empresa, que será el encargado de ejecutar y dar seguimiento a cada una de las medidas implementadas en el criminal compliance); 7) Monitoreo (control periódico del programa de cara a posibles cambios o actualizaciones con la finalidad de que este no pierda eficacia). Sumado a estas medidas, es necesaria la capacitación constante a todos quienes forman parte de la empresa con el objetivo de dar vida al programa y que este sea realmente interiorizado en la estructura empresarial.
El compliance es una circunstancia modificativa de la responsabilidad penal de la persona jurídica, sin embargo, en el Ecuador, los programas de cumplimiento o prevención de delitos solo funcionan como atenuantes de la pena, a diferencia del caso español, que sí pueden eximir de responsabilidad a la empresa. En el Código penal ecuatoriano, el artículo 47 señala como circunstancia atenuante la implementación antes de la comisión del delito de un modelo de prevención a cargo de un oficial u organismo de cumplimiento dependiendo la magnitud y complejidad de la empresa. Así mismo, el artículo 49 entrega los requisitos “mínimos” que debe contener el programa señalando los siguientes: 1) mapa de riesgos; 2) sistema de controles internos; 3) monitoreo; 4) modelos de gestión de recursos económicos; 5) canal de denuncias; 6) código de ética/conducta; 7) programas de capacitación al personal; 8) mecanismos de investigación interna; 9) obligación de informar sobre los incumplimiento o posibles riesgos; 10) sistema disciplinario; 11) procesos de debida diligencia.
Aguilera Gordillo, Rafael. Compliance penal en España. Régimen de responsabilidad penal de las personas jurídicas. Fundamentación analítica de base estratégica. Lógica predictiva y requisitos del compliance program penal, (Cizur Menor: Thomson Reuters-Aranzadi, 2018)
Balcarse, Fabián I., y Berruezo, Rafael. Criminal Compliance y Personas Jurídicas, 2.ª ed. (Montevideo: BdF. 2016)
Los programas de cumplimiento en la responsabilidad penal de la persona jurídica 82
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
Blanco Cordero, Isidoro. “La prevención del blanqueo de capitales”, en Manual de cumplimiento penal en la empresa, ed. Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015) Carbonell Mateu, Juan Carlos y Morales Prats, Fermín. “Responsabilidad penal de las personas jurídicas”, en Comentarios a la reforma penal de 2010, ed. Por F. Álvarez García- J. L. M. González Cussac (Valencia: Tirant lo Blanch, 2010)
Coca Vila, Ivó. “¿Programas de Cumplimiento como forma de autorregulación regulada?”, en Criminalidad de empresa y compliance. Prevención y reacciones corporativas, coord. Raquel Montaner Fernández ( Barcelona: Atelier. 2013)
Del Rosal Blasco, Bernardo . Manual de responsabilidad penal y defensa penal corporativas. 2.ª ed. (Madrid: La Ley, 2023)
Del Rosal Blasco, Bernardo. Manual de responsabilidad penal y defensa penal corporativas, (Madrid: Wolters Kluwer, 2018)
Escayola Maranges, Elisabet. “Código ético”, en Practicum compliance, ed. Por Xavier Ribas, Paula Gómez, José Luis Pérez (Navarra: Aranzadi, 2018), 97-117
García Moreno, Beatriz. “Whistleblowing y canales institucionales de denuncia”, en Manual de cumplimiento penal en la empresa, ed. Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015), 204-230
Gili, Juan Jorge. “Canal de denuncia de irregularidades en la empresa”, en Practicum compliance, ed. Por Xavier Ribas, Paula Gómez, José Luis Pérez (Navarra: Aranzadi, 2018), 299-312
Gómez Tomillo, Manuel. Introducción a la responsabilidad penal de las personas jurídicas. 2.ª ed. (Navarra: Aranzadi, 2015)
González Cussac, José Luis. Responsabilidad penal de las personas jurídicas y programas de cumplimiento, 1.ª
ed. (Valencia: Tirant lo Blanch, 2020)
González Cussac, José. “Criterios básicos para elaborar un mapa de riesgos frente a la corrupción”, en Criminal Compliance Programs y mapa de riesgos, ed. Por Ángela Matallín Evangelio y Antonio Fernández Hernández (Valencia: Tirant lo Blanch, 2023)
León Alapont, José. Canales de denuncia e investigaciones internas en el marco de compliance corporativo, (Valencia: Tirant lo Blanch, 2023)
León Alapont, José. Compliance penal. Especial referencia a los partidos políticos, (Valencia: Tirant lo Blanch, 2020)
Luhmann, Niklas. El Derecho de la sociedad, 2.ª ed. (México: Herder-Universidad Iberoamericana. 2006) Mendoza-Zamora, Walter M. “El control interno y su influencia en la gestión administrativa del sector público”, Dominio de las Ciencias 4, n.º4 (2018): 206-240, https://uc3m.libguides.com/guias_
tematicas/citas_bibliograficas/chicago#s-lg-box-wrapper-13338374
Navas Moncada, Iván . “Recensión a Bacigalupo Enrique, Compliance y Derecho Penal”, Política Criminal 7 (2012): 480-488, http://www.politicacriminal.cl/Vol_07/n_14/Vol7N14R1.pdf Nieto Martín, Adán y Lascurain Sánchez, Juan Antonio. Manual de cumplimiento penal en la empresa, 1.ª
ed. (Valencia: Tirant lo Blanch, 2015)
Nieto Martín, Adán. “Código ético, evaluación de riesgos y formación”, en Manual de cumplimiento penal en la empresa, ed. Por Adán Nieto Martín (Valencia: Tirant lo Blanch, 2015), 135-163
Nieto Martín, Adán. “La prevención de la corrupción”, en Manual de cumplimiento penal en la empresa, coord. Adán Nieto Martín (Valencia:Tirant lo Blanch, 2015), 307-371
Nuñez Castaño, Elena. Responsabilidad penal en la empresa. 2.ª ed. (Valencia: Tiran Lo Blanch, 2000) Ontiveros Alonso, Miguel. Manual básico para la elaboración de un Criminal Compliance Program, (Ciudad de México: Tirant lo Blanch, 2018)
Pardo, José Esteve. “El reto de la autorregulación o cómo aprovechar en el sistema jurídico lo que se gesta extramuros del mismo. Mito y realidad del Caballo de Troya”, en Autorregulación y sanciones, coord. Arroyo Jiménez/Nieto Martín (Madrid: Lex Nova, 2013)
Prittwitz, Cornelius . La posición jurídica (en especial, posición de garante) de los compliance officers, (Madrid: Marcial Pons, 2013)
issn-e 2697-3359 | issn-i 2697-3251 | año 2025 | año VI | número 6 | pp. 64-86
83
Roma Valdés, Antonio. Responsabilidad de las personas jurídicas: manual sobre su tratamiento penal y procesal.
1.ª ed. (Madrid: Rasche, 2012)
Serrano Zaragoza, Óscar. “Régimen de deberes y responsabilidades de los administradores sociales tras la introducción del régimen de responsabilidad penal de las personas jurídicas en el derecho español”, en Compliance penal y responsabilidad civil y societaria de los administradores, coord. Manuel Ruiz de Lara (Madrid:Wolters Kluwer, 2018), 17-112
Sierra, Diego y Soberanis, Raymundo “La estructura del Compliance: Oficial de cumplimiento, Comité de ética, Comité de crisis y Ombudsman corporativo”, en Todo Compliance, ed. Por Juan Pampillo, Jesús Coronado, Santiago Botero (Madrid: Wolters Kluwer, 2021), 45-61
Silva Sánchez, Jesús-María y Montaner Fernández, Raquel. Criminalidad de empresa y compliance.
Prevención y reacciones corporativas, 1.ª ed. (Barcelona: Atelier. 2013) Villegas García, María Ángeles. La responsabilidad criminal de las personas jurídicas: la experiencia de Estados Unidos, 1 .ª ed. (Navarra: Aranzadi, 2016)
World Compliance Association, “El código de conducta en el tercer sector”, Biblioteca Compliance, junio 2021, https://bibliotecacompliance.com/wp-content/uploads/2021/07/FASC4-CO%CC%81DIGO-CONDUCTA_V5.pdf
