La industria farmacéutica ante el Criminal Compliance

mayo 9, 2017

Por Jesús Hernández Ortiz, alumno de la 3ª promoción del Máster en Derecho de la Salud de CESIF-Eupharlaw.

La Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (1), configuró por primera vez en España la responsabilidad penal de las personas jurídicas. Esta gran novedad la reflejó el legislador en el Código Penal (en adelante, CP), en su art. 31 bis, el cual, cinco años más tarde, quedaría desarrollado con la nueva reforma operada por Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre del CP, introduciendo los arts. 31 ter, quater y quinquies.

En virtud de la reforma mencionada en el párrafo anterior, podemos hablar de dos vías de responsabilidad penal de las personas jurídicas: por un lado, la acción llevada a cabo por los sujetos que ostentan representación, control, o alta dirección de la empresa (art. 31 bis, 1, a); y por otro, la acción que ha sido cometida por los subordinados a éstos (art. 31 bis, 1, b).

Además distinguimos dos situaciones en función de la actividad empresarial: por un lado las que operan normalmente en el mercado; y por otro, las que desarrollan una pequeña parte en el mercado legal pero el grueso de su actividad económica es en el ámbito ilícito (tráfico drogas, blanqueo capitales,..). También existe la variante de la persona jurídica que se considera inimputable, que será aquella que tenga el carácter instrumental y que no lleve a cabo actividades propias, sino sólo al servicio de otra/s. Sus requisitos los recoge un Auto del Tribunal Supremo (en adelante, TS) de 19 de mayo de 2014. (2)

Al respecto del ilícito penal que cometa la persona jurídica para ser investigada y enjuiciada, el legislador requiere que los hechos revistan gravedad, en virtud del principio de intervención mínima y “última ratio” del Derecho Penal.

Por tratarse de una reforma de 2015 aún encontramos poca jurisprudencia sobre la responsabilidad penal de las personas jurídicas. No llegan a seis las sentencias que han abordado la cuestión hasta el momento. Haré referencia concretamente a tres: Las SSTS 257/2009; 234/2010 y 1193/2010 de 24 de febrero (posición de garante; comisión por omisión; y responsabilidad del superior en actividad de vigilancia).

Pese a que el elenco de posibles ilícitos penales para los que se contempla la responsabilidad penal de las personas jurídicas es muy amplio, nos interesan para el ámbito de la Industria Farmacéutica especialmente dos supuestos: los delitos contra la salud pública del Título III del CP, que incluyen desde los delitos cuyo objeto sean medicamentos o productos sanitarios, hasta el delito de Tráfico de drogas tóxicas, estupefacientes o sustancias psicotrópicas al que, en ocasiones, se producen “derivaciones” de la actividad desarrollada por el sector.

Es indiscutible la gran importancia que en los últimos años ha ganado el denominado Compliance o Cumplimiento normativo en el seno del Sector Farmacéutico. Ello es así por cuanto estos departamentos de cumplimiento y vigilancia de la actividad, son una herramienta de indudable utilidad desde para el control de calidad y seguridad de sus productos, o la autorregulación de sus acciones promocionales y las relaciones con profesionales sanitarios, como para evitar ilícitos penales.

Especialmente tras la reforma del CP de 2015, tener un buen programa de prevención de delitos (criminal compliance program) se ha convertido en un objetivo primordial para muchas compañías del Sector (y de otros muchos sectores empresariales). Estos programas pueden ser clave para una mayor seguridad, transparencia y ética profesional. Y esto ha supuesto que el departamento de Compliance se convierta en uno de los pilares fundamentales en su estructura empresarial.

Si bien es cierto que el Compliance suena todavía a novedad por pulir, la realidad es que la Industria Farmacéutica, en Europa y en otras zonas geográficas, lleva décadas de aplicación de instrumentos de autocontrol. Como por ejemplo los sistemas de autorregulación sectoriales, o los Códigos de buenas prácticas, tales como los de la EFPIA (European Federation of Pharmaceutical Industries and Associations), o los de las patronales de nuestro país (como Farmaindustria o FENIN, entre otras).

Centrándonos en la prevención de delitos, y la última reforma de nuestro Código Penal respecto de la responsabilidad penal de las personas jurídicas, es conveniente que las empresas diseñen los denominados “Criminal Compliance Programs” (CCP) o Planes de Prevención de Delitos (PPD). Encontramos su origen en la Ley Sarbanes-Oxley, respecto de las empresas que cotizan en bolsa, e igualmente a las que coticen en la Bolsa de Valores de Nueva York, que tengan allí la matriz y con sus delegaciones operando en nuestro país. También es conocida como Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista. Nace en EEUU con la finalidad de monitorizar a las empresas que cotizan en bolsa de valores, evitando que la valoración de las acciones de la misma sean alteradas de forma dudosa, mientras que su valor es menor. Busca como fin, evitar fraudes y riesgo de bancarrota, protegiendo al inversor

El encargado de monitorizar todo este entramado será el llamado Compliance Officer (C.O) u Oficial de Cumplimiento quien, junto a su equipo de trabajo, diseñará un Plan de Prevención de Delitos, personalizado y ajustado a las necesidades específicas de cada empresa y sus actividades concretas. Para ello habrá de localizar el/los foco/s del riesgo, que son las prácticas o actividades, donde se podría llevar a cabo un delito, y tras cuya identificación, deberán adoptar medidas tanto de prevención y formación, como de gestión y modificación en caso de que el ilícito penal llegase a cometerse.

Entre las obligaciones que se imponen por parte de la reforma del CP, para que el Programa de Prevención de Delitos pueda llegar a atenuar o eximir, según los casos, de las responsabilidades penales en que incurra la persona jurídica, se requiere que el departamento de Compliance (o el Compliance Officer en caso de ser individual) cumpla los siguientes requisitos: ser un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; estar integrado por una o más personas; ser participe en el modelo de cumplimiento; y gozar de la cualificación y formación necesaria.

Recientemente, la Fiscalía General del Estado ha publicado la Circular 1/2016, de 22 de enero de 2016, donde señala cómo habrá de ser un PPD, para poder ser considerado como un plan eficaz en la prevención de las conductas delictivas y para evitar que las personas jurídicas sean responsables. (3)

La Fiscalía establece que todos los programas de prevención de delitos prevean un canal de denuncia, que es el mecanismo por el cual, los empleados pueden plantear sus dudas o realizar denuncias sobre posibles incumplimientos de políticas, códigos de autorregulación o normativa externa aplicable a la empresa. El Compliance Officer asegurará que estos canales sean conocidos, confidenciales y de fácil acceso cumpliendo igualmente con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal. (4)

Para realizar sus funciones de una forma realmente libre deberá gozar de una verdadera autonomía respecto de la Compañía. Cabe aquí destacar que este requisito está haciendo correr ríos de tinta entre expertos en la materia, por ejemplo, respecto de qué puede externalizarse y qué no.

Como hemos señalado, contar con un Plan de Prevención de Delitos (PPD) suficiente y adaptado específicamente a cada empresa y sector, atenuará o incluso podrá llegar a eximir de responsabilidad penal a la persona jurídica, según establece el artículo 31 bis en su segundo apartado, tras la reforma operada por la Ley Orgánica 1/2015, anteriormente referida. En todo PPD es necesario hacer un mapa y evaluación de riesgos; control de los mismos; y la elaboración de un Manual de Corporate Defence.

También merece mención el art. 33.7 CP, el cual impone el conjunto de penas aplicables a las personas jurídicas, que tienen todas la consideración de graves.

En definitiva, en mi opinión, es evidente el auge y la creciente implantación de los programas de prevención de delitos en el sector, pues las personas jurídicas, en este caso las empresas farmacéuticas y de tecnología sanitaria, pueden beneficiarse de una atenuación o eximente de la pena, configurada especialmente para ellas, en caso de que demuestren tener planes de prevención previos a la comisión del delito y que el hecho delictivo se haya producido pese a haber sido diseñado y aplicado con la mayor diligencia posible.

(1) https://www.boe.es/diario_boe/txt.php?id= BOE-A-2010-9953

(2) https://www.boe.es/diario_boe/txt.php?id =BOE-A-2015-3439

(3) https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/CIRCULAR%201-2016%20-%20PERSONAS%20JURÍDICAS.pdf?idFile=cc42d8fd-09e1-4f5b-b38a-447f4f63a041

(4) https://www.boe.es/buscar/doc.php?id=B OE-A-1999-23750

“Be sure you put your feet in the right place, then stand firm.” Abraham Lincoln

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
test_cookie	0	11 meses	Utilizada para comprobar si el navegador del usuario admite cookies.
vchideactivationmsg_vc11	0	9 meses	Permite enviar mensajes desde el formulario de contacto

Cookie	Tipo	Duración	Descripción
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	1	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.

Cookie	Tipo	Duración	Descripción
YSC	1	Cookie de sesión	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	0	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gat_UA-78467836-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.