La Industria Farmacéutica (IF) ha realizado un notable esfuerzo de autorregulación por la necesidad de mitigar los riesgos de responsabilidad penal en las organizaciones y ante la sociedad. Para ello la IF, además de contemplar la reforma del Código Penal, ha de tener en cuenta el Código Europeo de Buenas Prácticas para la Promoción de los Medicamentos, aprobado por la Federación Europea de las Asociaciones e Industria Farmacéutica (EFPIA) y su adaptación nacional a través del Código de Farmaindustria desde 1991.
Se están utilizando muchos recursos, tanto humanos como económicos en la implantación y desarrollo de sistemas de Compliance en las Compañías cuyos frutos se están poniendo de manifiesto en los últimos años. Pero… ¿Se está teniendo presente la necesidad de extender dichos modelos a terceros con los que interactúen nuestras empresas? ¿No sería conveniente que las Compañías dejaran constancia y trazabilidad de su relación con terceros para poder eximirse de las posibles conductas delictivas de éstos?
La responsabilidad de las empresas no sólo incluye los posibles actos delictivos que se cometan dentro de la organización sino también aquellos que puedan cometer terceros, siempre y cuando la empresa reciba un beneficio directo o indirecto. La Circular 1/2016 de la Fiscalía, al interpretar el artículo 31bis1 del Código Penal, remarca la posible responsabilidad de las empresas en relación con las actuaciones de terceros. En concreto se establece que" es suficiente que operen en el ámbito de dirección, supervisión, vigilancia o control de éstas. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidos autónomos o trabajadores subcontratados, siempre que se hallen integrados en el perímetro de su dominio social."
Las empresas deben, por ello, disponer de medidas para examinar la integridad de todos aquellos con quienes la compañía mantenga una relación contractual, como socios de negocio o terceros (mayoristas, minoristas, proveedores, representantes, intermediarios, importadores, exportadores, fabricantes o distribuidores).
Normalmente existen dos vías que se utilizan en la IF para validar a un tercero:
1. Procedimiento de Homologación.
2. Introducción de cláusulas específicas de cumplimiento en los contratos.
Durante el proceso de homologación de proveedores, las compañías valoran el cumplimiento de los requisitos tanto cualitativos como cuantitativos necesarios para asumir las funciones a externalizar a través de due diligence o auditoría de compras. La realización sistemática de una due diligence a terceros, se reservará al menos a aquellos que vayan a realizar servicios de riesgo alto o moderado, por ejemplo, a importadores que a través de transporte marítimo y terrestre garanticen el adecuado acondicionamiento de los medicamentos como el mantenimiento de la cadena de frío.
De esta forma, estos procedimientos con auditorías antes y durante la prestación del servicio se convierten en una importante herramienta para los Compliance Officers, ya que permite que los proveedores y terceros contratados por su empresa sean monitorizados de manera constante. Esta medida garantiza que éstos actúen con integridad en todo momento y permite una respuesta rápida y eficaz ante los problemas que puedan surgir al respecto. Un método estandarizado para evaluar a terceros consiste en examinarlos contra un conjunto de bases de datos, eliminando a los que superan un nivel predeterminado de resultados negativos; sin embargo, habrá terceros específicos que requerirán una due diligence investigativa, a través de auditorías u otros procedimientos establecidos que verifiquen toda la información sobre los terceros de mayor riesgo de una empresa.
En el momento en que se produce el alta de un nuevo proveedor, se debe comunicar y solicitar al mismo la aceptación de las políticas, principios y valores éticos que rigen en la empresa. El documento principal que debe aceptar un tercero es el Código Ético de la Compañía, y la forma habitual es adhiriéndose al mismo mediante la firma de un documento de adhesión. Este proceso de homologación debe adaptarse a las necesidades de cada compañía que contrata al tercero, al riesgo asociada a ésta y al tipo de actividad que el tercero vaya a realizar, siendo necesario aumentar las comprobaciones cuanto mayor riesgo conlleven las actividades a realizar por el tercero.
A falta de disponer de un proceso de homologación, es práctica habitual la inclusión de cláusulas específicas de Compliance en el contrato como cláusulas anticorrupción y/o de transparencia. El aseguramiento del cumplimiento de lo pactado en estas cláusulas podría reforzarse si las mismas contemplan la resolución de los contratos en cuestión en caso de incumplimiento y el resarcimiento de los daños y perjuicios causados por el tercero.
Sin embargo, se debe tener en cuenta que las cláusulas legales per se pueden ser consideradas insuficientes por parte de los Tribunales respecto de la diligencia debida que debe tener toda empresa. Si la empresa tiene sospechas de que algún tercero puede estar participando activa o pasivamente en actividades ilícitas, debe actuar de forma inmediata. En el caso de no llevar a cabo ninguna actuación las cláusulas suscritas entre las partes perderán su efecto. E incluso si no se sospechan actuaciones deshonestas sería recomendable la realización de controles, bien a través sistemas de formación periódicos, o bien a través de auditorías, que den lugar siempre a evidencias documentales firmadas por los terceros que certifiquen que tanto los directivos como los empleados de la empresa conocen y van a acatar el código ético de la compañía contratante.
Por este motivo, nos planteamos si dichas medidas son suficientes y pueden dejar tranquilo al responsable de cumplimiento de cada empresa de que no se van a cometer negligencias a la hora de externalizar determinadas actividades.
Al igual que ocurre con las cláusulas de Farmacovigilancia (FV), que las compañías farmacéuticas obligan a incluir en todos los contratos y a cumplir a través de formaciones anuales, a terceros de servicios externos, bien por su relación contractual en el tiempo o por el riesgo que pueda derivarse del servicio prestado, que deben de ser formados y evaluados en el cumplimiento del sistema de FV de la compañía e incluso auditado antes de ser contratado, tal vez sería recomendable formar exhaustivamente en la política de Compliance de la compañía a determinados proveedores y terceros. El proceso de homologación e intensidad de los controles que se impongan al tercero debe adaptarse y modularse en función de la necesidad de la compañía que contrata al tercero, el riesgo asociado y la importancia de la actividad que se vaya a realizar.
Las acciones de formación y auditoría anteriores deberían combinarse con acciones informativas y de comunicación así como con reuniones de seguimiento y con comprobaciones periódicas para detectar si los productos o servicios que se reciben se ajustan a las especificaciones.
Para ello, sería fundamental que las empresas dispongan de un procedimiento normalizado de control de terceros y que realicen de forma periódica controles sobre los mismos, para poder demostrar la diligencia debida ante los Tribunales en caso de ocurrir algún incidente. En el supuesto de terceros de alto riesgo y de una criticidad elevada, es recomendable realizar auditorías preestablecidas, justificadas por la necesidad de prevenir un incumplimiento que pueda generar responsabilidad para la empresa.
Bibliografía:
• OECD (2014), OECD Foreign Bribery Report: An Analysis of the Crime of Bribery of Foreign Public Officials, OECD Publishing, Paris, https://doi.org/10.1787/9789264226616-en.
• Iyer S. Anti- corruption risk mitigation for organizations working with third parties. Is out of sight out of mind? [Dissertation]. Amsterdam: Vrije University, 2014.
https://www.transparency.nl/wp-content/uploads/2016/12/Siyer_-_Anti-corruption_risk_mitigation_strategies1.pdf