Las últimas noticias relacionadas con supuestas infracciones penales en conocidas empresas y entidades deportivas con Programas de Compliance aprobados, han motivado que se ponga en duda la implantación real de éstos y, a su vez, su conveniencia como medio de defensa eficaz en un posible escenario penal.

Es ampliamente conocido que, desde la introducción de la responsabilidad penal de la persona jurídica en el Código Penal en el año 2010, muchas organizaciones han instaurado modelos de organización y gestión dirigidos a la prevención de la comisión de delitos dentro del seno empresarial, conocidos como Programas de Compliance o Programas de Cumplimiento Normativo Penal, en aras a obtener la exención o la atenuación de su responsabilidad penal en caso de comisión de un delito en el ámbito de control de la organización. 

No obstante, en la mayoría de las personas jurídicas el objetivo de aprobar un Compliance es, únicamente, cumplir con las obligaciones penales sin tener en cuenta que el propósito de la instauración de un Programa de Cumplimiento Normativo Penal es la creación y el desarrollo dentro de la compañía de una cultura ética de cumplimiento y, en cualquier caso, un medio de defensa apropiado para la exención de responsabilidad penal de la misma.

Por esa razón, el Código Penal exige que los Programas de Compliance hayan sido adoptados y ejecutados con eficacia. La Fiscalía General del Estado en su Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica 1/2015, evidenció que el Programa de Cumplimiento Normativo Penal debía ser adecuado para prevenir los posibles delitos que podían materializarse en la organización y que, además, debía poder acreditarse esa idoneidad y adaptación a la compañía y a sus concretos riesgos.

Es notorio que los Programas de Compliance generan evidencias escritas que acreditan la implantación de los controles preventivos instaurados para mitigar y evitar la materialización de riesgos identificados en la organización. Sin embargo, todas esas evidencias se encuentran en la organización de forma dispersa dado que, normalmente, no se dispone de ninguna herramienta que permita almacenar las referidas evidencias para que, en un futuro procedimiento penal, se puede acreditar que el Programa de Compliance estaba debidamente implantado.

Para ello nace la figura del Defense File o repositorio de evidencias, una herramienta que se configura como un fichero dinámico adecuado para cubrir estas necesidades conformado por el conjunto de evidencias ordenadas cronológicamente de las que dispone la organización en relación a la existencia, adecuación e implantación de su Programa de Compliance.

Sin embargo, como medio de defensa, la implantación de un repositorio de evidencias por si solo puede no ser suficiente a efectos procesales pues no garantiza la custodia de las evidencias y su integridad a una fecha concreta. Así pues, el sellado de tiempo permite acreditar la existencia de las evidencias en una fecha concreta, así como su contenido. En este sentido, aunque todos ellos garantizan la hora y el día de sellado, los tipos de sellado de tiempo pueden ser muy dispares desde un depósito notarial hasta la estampación de una firma electrónica.

En definitiva, la aprobación de un Compliance por parte de una persona jurídica no la eximirá automáticamente de responsabilidad si no es capaz de presentar las evidencias relativas a su eficacia. En consecuencia, la instauración de un Defense File con sellado de tiempo constituye una preconstitución de prueba que permitirá en un futuro procedimiento penal acreditar el esfuerzo que la organización habría efectuado para implantar eficazmente su Programa de Compliance y conseguir así su exención de responsabilidad.