La industria farmacéutica ante el Criminal Compliance
Por Jesús Hernández Ortiz, alumno de la 3ª promoción del Máster en Derecho de la Salud de CESIF-Eupharlaw.
La Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (1), configuró por primera vez en España la responsabilidad penal de las personas jurídicas. Esta gran novedad la reflejó el legislador en el Código Penal (en adelante, CP), en su art. 31 bis, el cual, cinco años más tarde, quedaría desarrollado con la nueva reforma operada por Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre del CP, introduciendo los arts. 31 ter, quater y quinquies.
En virtud de la reforma mencionada en el párrafo anterior, podemos hablar de dos vías de responsabilidad penal de las personas jurídicas: por un lado, la acción llevada a cabo por los sujetos que ostentan representación, control, o alta dirección de la empresa (art. 31 bis, 1, a); y por otro, la acción que ha sido cometida por los subordinados a éstos (art. 31 bis, 1, b).
Además distinguimos dos situaciones en función de la actividad empresarial: por un lado las que operan normalmente en el mercado; y por otro, las que desarrollan una pequeña parte en el mercado legal pero el grueso de su actividad económica es en el ámbito ilícito (tráfico drogas, blanqueo capitales,..). También existe la variante de la persona jurídica que se considera inimputable, que será aquella que tenga el carácter instrumental y que no lleve a cabo actividades propias, sino sólo al servicio de otra/s. Sus requisitos los recoge un Auto del Tribunal Supremo (en adelante, TS) de 19 de mayo de 2014. (2)
Al respecto del ilícito penal que cometa la persona jurídica para ser investigada y enjuiciada, el legislador requiere que los hechos revistan gravedad, en virtud del principio de intervención mínima y “última ratio” del Derecho Penal.
Por tratarse de una reforma de 2015 aún encontramos poca jurisprudencia sobre la responsabilidad penal de las personas jurídicas. No llegan a seis las sentencias que han abordado la cuestión hasta el momento. Haré referencia concretamente a tres: Las SSTS 257/2009; 234/2010 y 1193/2010 de 24 de febrero (posición de garante; comisión por omisión; y responsabilidad del superior en actividad de vigilancia).
Pese a que el elenco de posibles ilícitos penales para los que se contempla la responsabilidad penal de las personas jurídicas es muy amplio, nos interesan para el ámbito de la Industria Farmacéutica especialmente dos supuestos: los delitos contra la salud pública del Título III del CP, que incluyen desde los delitos cuyo objeto sean medicamentos o productos sanitarios, hasta el delito de Tráfico de drogas tóxicas, estupefacientes o sustancias psicotrópicas al que, en ocasiones, se producen “derivaciones” de la actividad desarrollada por el sector.
Es indiscutible la gran importancia que en los últimos años ha ganado el denominado Compliance o Cumplimiento normativo en el seno del Sector Farmacéutico. Ello es así por cuanto estos departamentos de cumplimiento y vigilancia de la actividad, son una herramienta de indudable utilidad desde para el control de calidad y seguridad de sus productos, o la autorregulación de sus acciones promocionales y las relaciones con profesionales sanitarios, como para evitar ilícitos penales.
Especialmente tras la reforma del CP de 2015, tener un buen programa de prevención de delitos (criminal compliance program) se ha convertido en un objetivo primordial para muchas compañías del Sector (y de otros muchos sectores empresariales). Estos programas pueden ser clave para una mayor seguridad, transparencia y ética profesional. Y esto ha supuesto que el departamento de Compliance se convierta en uno de los pilares fundamentales en su estructura empresarial.
Si bien es cierto que el Compliance suena todavía a novedad por pulir, la realidad es que la Industria Farmacéutica, en Europa y en otras zonas geográficas, lleva décadas de aplicación de instrumentos de autocontrol. Como por ejemplo los sistemas de autorregulación sectoriales, o los Códigos de buenas prácticas, tales como los de la EFPIA (European Federation of Pharmaceutical Industries and Associations), o los de las patronales de nuestro país (como Farmaindustria o FENIN, entre otras).
Centrándonos en la prevención de delitos, y la última reforma de nuestro Código Penal respecto de la responsabilidad penal de las personas jurídicas, es conveniente que las empresas diseñen los denominados “Criminal Compliance Programs” (CCP) o Planes de Prevención de Delitos (PPD). Encontramos su origen en la Ley Sarbanes-Oxley, respecto de las empresas que cotizan en bolsa, e igualmente a las que coticen en la Bolsa de Valores de Nueva York, que tengan allí la matriz y con sus delegaciones operando en nuestro país. También es conocida como Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. Nace en EEUU con la finalidad de monitorizar a las empresas que cotizan en bolsa de valores, evitando que la valoración de las acciones de la misma sean alteradas de forma dudosa, mientras que su valor es menor. Busca como fin, evitar fraudes y riesgo de bancarrota, protegiendo al inversor
El encargado de monitorizar todo este entramado será el llamado Compliance Officer (C.O) u Oficial de Cumplimiento quien, junto a su equipo de trabajo, diseñará un Plan de Prevención de Delitos, personalizado y ajustado a las necesidades específicas de cada empresa y sus actividades concretas. Para ello habrá de localizar el/los foco/s del riesgo, que son las prácticas o actividades, donde se podría llevar a cabo un delito, y tras cuya identificación, deberán adoptar medidas tanto de prevención y formación, como de gestión y modificación en caso de que el ilícito penal llegase a cometerse.
Entre las obligaciones que se imponen por parte de la reforma del CP, para que el Programa de Prevención de Delitos pueda llegar a atenuar o eximir, según los casos, de las responsabilidades penales en que incurra la persona jurídica, se requiere que el departamento de Compliance (o el Compliance Officer en caso de ser individual) cumpla los siguientes requisitos: ser un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; estar integrado por una o más personas; ser participe en el modelo de cumplimiento; y gozar de la cualificación y formación necesaria.
Recientemente, la Fiscalía General del Estado ha publicado la Circular 1/2016, de 22 de enero de 2016, donde señala cómo habrá de ser un PPD, para poder ser considerado como un plan eficaz en la prevención de las conductas delictivas y para evitar que las personas jurídicas sean responsables. (3)
La Fiscalía establece que todos los programas de prevención de delitos prevean un canal de denuncia, que es el mecanismo por el cual, los empleados pueden plantear sus dudas o realizar denuncias sobre posibles incumplimientos de políticas, códigos de autorregulación o normativa externa aplicable a la empresa. El Compliance Officer asegurará que estos canales sean conocidos, confidenciales y de fácil acceso cumpliendo igualmente con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. (4)
Para realizar sus funciones de una forma realmente libre deberá gozar de una verdadera autonomía respecto de la Compañía. Cabe aquí destacar que este requisito está haciendo correr ríos de tinta entre expertos en la materia, por ejemplo, respecto de qué puede externalizarse y qué no.
Como hemos señalado, contar con un Plan de Prevención de Delitos (PPD) suficiente y adaptado específicamente a cada empresa y sector, atenuará o incluso podrá llegar a eximir de responsabilidad penal a la persona jurídica, según establece el artículo 31 bis en su segundo apartado, tras la reforma operada por la Ley Orgánica 1/2015, anteriormente referida. En todo PPD es necesario hacer un mapa y evaluación de riesgos; control de los mismos; y la elaboración de un Manual de Corporate Defence.
También merece mención el art. 33.7 CP, el cual impone el conjunto de penas aplicables a las personas jurídicas, que tienen todas la consideración de graves.
En definitiva, en mi opinión, es evidente el auge y la creciente implantación de los programas de prevención de delitos en el sector, pues las personas jurídicas, en este caso las empresas farmacéuticas y de tecnología sanitaria, pueden beneficiarse de una atenuación o eximente de la pena, configurada especialmente para ellas, en caso de que demuestren tener planes de prevención previos a la comisión del delito y que el hecho delictivo se haya producido pese a haber sido diseñado y aplicado con la mayor diligencia posible.
(1) https://www.boe.es/diario_boe/txt.php?id= BOE-A-2010-9953
(2) https://www.boe.es/diario_boe/txt.php?id =BOE-A-2015-3439
(4) https://www.boe.es/buscar/doc.php?id=B OE-A-1999-23750
“Be sure you put your feet in the right place, then stand firm.” Abraham Lincoln