La publicación del art. 31 bis de nuestro Código Penal introduce un cambio paradigmático en la forma de afrontar los riesgos legales por parte de las empresas, puesto que admite su responsabilidad penal en los supuestos en los que, bien sus administradores de hecho, de derecho o sus representantes, bien sus responsables que actúen siguiendo sus instrucciones, lleven a cabo actos que se puedan calificar como delitos, sin que se encuentre implantado un código ético, un programa de prevención de delitos o una cultura de cumplimiento del Derecho; es decir, un “programa de compliance” sobre la prevención de delitos que suponga la determinación de controles eficaces que prevengan -o intenten evitar en lo posible- la comisión de infracciones delictivas por parte de quienes integran la organización. De hecho, las sentencias del Tribunal Supremo de 29 de febrero de 2016 y de 16 de marzo de este mismo año aplican ya este criterio; haciendo expresa mención a la “cultura de cumplimiento” o “cultura ética empresarial” dentro de la organización como dato determinante a la hora de establecer la responsabilidad penal de la persona jurídica, como causa de exención de la responsabilidad.
De esta manera, la actuación standard ex ante, junto con la actuación rigurosa ex post ante los problemas legales derivados del software, deja paso a la necesidad de una acción reactiva precisa y extensa como medio de control de los riesgos legales y la minimización de su impacto en caso de que se produzca el resultado. Derivado de este requerimiento normativo surge la necesidad de la implementación de un programa de compliance, que según la Circular de la Fiscalía 1/2016 deben ser claro, preciso, eficaz y estar redactado por escrito y firmado por un tercero independiente; debiendo estar perfectamente adaptado a la empresa y a sus concretos riesgos. Razón ésta última por la que el primer paso sea siempre la elaboración del Diagnóstico de Riesgos Legales y la Determinación de Aplicabilidad de los mismos.
Dentro de la relación de delitos de los que puede ser responsable una persona jurídica conforme el citado precepto se encuentra el de propiedad intelectual; que es el principal ilícito penal que se puede derivar de la instalación y/o utilización de software no licenciado por la empresa. Si bien, también puede ser eventualmente responsable de un delito de fraude a la Hacienda Pública en concepto de IVA (art 305 CP) cuando el importe de software no licenciado supera la base que implique una cuota de IVA no pagado superior a los ciento veinte mil euros en un ejercicio.
Al margen de la posible comisión delictiva que puede proyectar responsabilidad en la empresa, otros riesgos legales derivados del software son la infracción de la normativa mercantil, de la normativa de protección de datos y de la normativa privada de contratos (política de licenciamiento).
El departamento de compras
Resulta interesante conocer la amplitud (y magnitud en su caso) de estos riesgos, porque todos ellos derivan de la posible existencia de software no licenciado. Y, en consecuencia, se resuelven tras una acción de regularización con el fabricante del mismo; es decir, con una compra de software. Por tanto, con una intervención del Departamento de Compras de la Compañía.
Esto adquiere especial relevancia cuando la práctica totalidad de grandes fabricantes de software incluye en su clausulado la obligación del licenciatario de someterse a una auditoría de software a su requerimiento. Lo que puede desembocar en una necesidad de adquisición de producto urgente, no planificada y fuera de presupuesto, en la que la capacidad negociadora del Departamento de Compras resulta vital para obtener el mejor resultado de la regularización (en términos económicos, respecto de su impacto).
Habitualmente, el software y sus necesidades son determinadas por los Departamentos de IT, quienes las comunican al Departamento de Compras para que proceda a su negociación con el proveedor (tras las aprobaciones internas correspondientes). Por tanto, también a través de este cauce natural de cobertura de necesidades los Responsables de Compras deben mantener una posición activa en lo relacionado con el software.
Existen por tanto, dos vías (normalmente paralelas) de mantenerse en compliance respecto del software:
a. La adquisición de programas y equipos para la cobertura de las necesidades de la empresa de forma programada y dentro del presupuesto del ejercicio, en cuyo caso la intervención de los Responsables de Compras juegan el importante papel de obtener las mejores condiciones de compra. La implementación de un Programa de Compliance Software en este caso aporta el valor de ofrecer la información suficiente para que:
a. Conozcan el software instalado y el adquirido, y cual es el GAP (en su caso), para poder negociar una compra fuera de la presión de una auditoría; y sin trasladar riesgo jurídico a quienes tienen los puestos de responsabilidad.
b. Tengan la información del hardware y software de la empresa y los peligros derivados de determinadas combinaciones a efectos de licenciamiento.
c. Comprendan la idiosincrasia de los canales de venta e los fabricantes y los tengan controlados, entendiendo que de una propuesta no aceptada puede derivarse una auditoria.
d. Dispongan de un experto asesor independiente para resolver posibles dudas o inconvenientes que plantee el fabricante en migraciones, actualizaciones, demos etc.
b. La adquisición de programas después de un proceso de auditoría de software instado por el fabricante o la BSA. El fabricante en estos casos plantea una compra sin descuento, con penalizaciones y en un plazo de 30 días desde el informe final. En este caso la presión sobre el Responsable de Compras es muy intensa, ya que además está soportando la amenaza prejudicial de reclamar el importe debido, y reputacional derivado de una acción de prensa. Juega, por tanto, un papel esencial y debe intervenir desde el principio de la auditoría; por cuanto de la actuación en cada una de sus fases derivará un mejor posicionamiento para el cierre. Disponer de un Programa de Compliance Software cuando se comunica el inicio de una de estas auditorías ofrece un valor altísimo por varios motivos fundamentalmente:
a. Porque ya se tendrá el escenario “en orden” o lo más “ordenado” posible, puesto que los informes de conformidad periodicos han ofrecido información previa de posibles GAPs.
b. Porque se dispondrá del mejor apoyo para interpretar la política de licenciamiento y los mensajes de la auditora o el fabricante.
c. Porque se tendrá cubierto el argumento de la amenaza de la proyección de responsabilidad penal sobre los consejeros o responsables, y por tanto se encuentran en una mucho mejor posición negociadora.
d. Porque se tendrá recogido el protocolo de cómo actuar en caso de auditoría y el manual de buenas prácticas, con lo que se posicionará al Responsable de Compras desde el principio de las actuaciones, junto con el Responsable de IT y el Departamento Legal, evitando una entrada en el último momento cuando el resultado de la auditoría está ya reflejado en un informe.
En síntesis, los Programas de Compliance Software son una herramienta de gran valor para el desarrollo de la actividad de los Responsables de Compras en relación al software, y al control de los riesgos legales que se derivan del mismo; así como para la mejor gestión del presupuesto de la empresa y de los imprevistos.
Javier Garmendia, abogado de Ecix Group