Los sistemas de compliace en el sector farmacéutico y sanitario: algunas pautas para su implantación o revisión

La reforma del Código penal operada por la Ley Orgánica 1/2015, de 30 de marzo, y más recientemente la Circular de la Fiscalía General del Estado (1/2006) sobre responsabilidad penal de las empresas (de la que se da cuenta ampliamente en otro artículo de esta misma revista) han venido a concretar las características del sistema de organización y gestión y las medidas de vigilancia y control que deben adoptar las empresas para prevenir la comisión de delitos en su seno.

Resumidamente, la defensa de la persona jurídica ante posibles delitos que hayan podido cometer, en su beneficio, sus representantes legales, administradores o directivos, o, en general, sus empleados exige que el órgano de administración haya adoptado con anterioridad un modelo de compliance penal que no sólo incluya normas y estándares éticos, sino también medidas eficaces de vigilancia y control. Es esencial que el sistema esté ajustado a la empresa que lo incorpora, a su organización interna, a su modelo de negocio, y al sector en el que opera. No existen, en este ámbito, reglas universales o modelos “off the shelf” que puedan ser válidos para cualquier empresa.

En este terreno, las empresas del sector farmacéutico y sanitario parten, por lo general, con una innegable ventaja. Mientras que algunos otros sectores existen operadores que se aproximan a este área por primera vez, gran parte de la industria farmacéutica ya ha comenzado el camino hace años. Numerosas empresas del sector, por tener algún tipo de presencia en los Estados Unidos, tienen ya sólidamente implantados programas y controles financieros en cumplimiento de la Ley Sarbanes Oxley, y políticas anticorrupción derivadas de la Foreign Corrupt Practices Act, por poner dos ejemplos relevantes. El sector se ha dotado asimismo, como más adelante veremos, de sofisticados Códigos Éticos, cuyo nivel de detalle en cuanto a prácticas permitidas y prohibidas y controles internos exigibles va mucho más allá de lo que hasta fechas recientes preveía de forma expresa la legislación aplicable.

Con todo, las recientes reformas penales, a las que se une la reformulación de las responsabilidades de los administradores bajo la Ley de Sociedades de Capital, están llevando a numerosas empresas a replantearse su programa de cumplimiento. En este artículo tratamos de dar algunas pautas que pudieran ser útiles para este ejercicio, específicamente en el entorno de la industria farmacéutica y sanitaria.

Hay que observar que las áreas de cumplimiento relevantes desde la perspectiva penal son múltiples, y su análisis resultaría inabarcable en este breve artículo. Junto a las áreas de posible responsabilidad relevantes para toda empresa (por ejemplo, los delitos fiscales o contra la Seguridad Social, mobbing o acoso laboral, protección de la intimidad y las comunicaciones, etc.), cobran especial relevancia los aspectos relativos a delitos contra la propiedad intelectual e industrial, contra el medio ambiente, o contra la salud pública. Pero sin duda el área de riesgo más relevante para las empresas del sector es la relativa a los delitos relativos a la corrupción - debido a la muy intensa -y necesaria- interacción con profesionales y gestores sanitarios (que en muchas ocasiones son, además, funcionarios públicos).

Podría parecer superfluo, o incluso contradictorio, el poner el foco en este área, cuando ya se ha señalado que este sector parte con una gran ventaja en la implantación de modelos de compliance en general y de prevención de la corrupción, centrados precisamente en las relaciones con profesionales sanitarios, en particular.

Ocurre, no obstante, que aunque en el sector farmacéutico y sanitario se han dado grandes pasos, ello no es predicable de la totalidad de la industria, y coexisten en el sector empresas con modelos muy sofisticados con otras que vienen adoptando un enfoque simplemente informal, o claramente más laxo. Ocurre también, en ocasiones, que las políticas existentes han sido diseñadas por las matrices del grupo, situadas en otros países, y se trasladan a la filial española de forma cuasi automática, sin tener realmente en cuenta la perspectiva local. También es relativamente frecuente que las políticas estén más bien diseñadas para garantizar el cumplimiento de las normas administrativas y los códigos éticos (por ejemplo, la prohibición de incentivos a los profesionales sanitarios) y no abordan la materia desde la perspectiva de los tipos delictivos que podrían ser de aplicación. Ocurre finalmente también, en algunas ocasiones, que las políticas se centran en definir la cultura ética de la empresa y las conductas permitidas y prohibidas, y no tanto en implantar los procesos y medidas de vigilancia y control que exige también ahora nuestra normativa penal para prevenir que, de forma intencionada, se soslayen dichas normas y principios. 

A continuación planteamos algunas reflexiones que podrían ser tenidas en cuenta para la revisión de los programas de prevención de este concreto tipo de delitos en la industria farmacéutica y sanitaria, centrándonos en la prevención de los delitos de corrupción en las relaciones con profesionales sanitarios.

Enfoque: prevención de riesgos penales (y no regulatorios o deontológicos).

En el plano de las relaciones entre la industria farmacéutica y los profesionales sanitarios, las normas penales coexisten con las administrativas. En efecto, estas interacciones han atraído tradicionalmente la atención del regulador. La norma básica viene en la actualidad recogida en el artículo 4.6 del Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios - “Ley de Garantías”), que prohíbe el otorgamiento de “cualquier tipo de incentivo, bonificaciones, descuentos, primas u obsequios, por parte de quien tenga intereses directos o indirectos en la producción, fabricación y comercialización de medicamentos a los profesionales sanitarios implicados en el ciclo de prescripción, dispensación y administración de medicamentos o a sus parientes y personas de su convivencia”. Idénticas normas se aplican cuando el ofrecimiento se realiza a “profesionales sanitarios que prescriben productos sanitarios”.  Existe por otra parte una relevante excepción, prevista en la normativa administrativa, que ampara “la hospitalidad ofrecida, directa o indirectamente, en el marco de manifestaciones de carácter exclusivamente profesional y científico”, que ha de ser “moderada en su nivel y subordinada al objetivo principal de la reunión y no podrá ser extensible a personas que no sean profesionales de la salud” (artículo 18 del Real Decreto 1416/1994, por el que se regula la publicidad de los medicamentos de uso humano).

Como la norma administrativa maneja conceptos jurídicos indeterminados (incentivo, moderado, carácter profesional...) se acude con frecuencia, para su interpretación, a los Códigos Deontológicos. Tanto el Código de Buenas Prácticas de la Industria Farmacéutica (Farmaindustria), como el Código de Buenas Prácticas de la Federación Nacional de Empresas de Tecnología Sanitaria (Fenin), como también el Código de Normas Deontológicas de la Asociación para el Autocuidado de la Salud (ANEPF) - colecitvamente, los “Códigos” - entran con más detalle en la definición de conductas permitidas y prohibidas. Especialmente el primero de ellos, el Código de Farmaindustria, entra prácticamente en todos los ámbitos de actuación de la industria y cuenta con un extensísimo desarrollo en forma de consultas, preguntas y respuestas, acuerdos de mediación y resoluciones de sus órganos de control, incluyendo, entre éstos, el muy prestigioso Jurado de Autocontrol de la Publicidad. Por esta razón, tanto las empresas directamente vinculadas por los Códigos (por ser miembros de la correspondiente asociación o por haberse adherido expresamente a ellos) como las que no lo están, suelen acudir a ellos como “libro de cabecera” en sus interacciones con profesionales sanitarios y con las organizaciones en las que se integran. Y es cierto que los Códigos de Buenas Prácticas resultan de gran utilidad como guía a la hora de valorar la razonabilidad, adecuación y proporcionalidad de ciertas actividades y evaluar si constituyen o no usos lícitos.

Sin embargo, que en la práctica los Códigos vengan cumpliendo esta función no debe hacer olvidar que, cuando se está tratando con personas que ostentan la condición de funcionario, el otorgamiento de incentivos no permitidos traspasa los límites del ilícito administrativo o de la infracción del código correspondiente, para entrar de lleno en el ámbito del delito de cohecho. Así lo ha recordado el Tribunal Supremo en la única sentencia en la que ha analizado esta concreta cuestión (Sentencia del Tribunal Supremo número 2052/2001 de 7 de noviembre):

“En consecuencia el ofrecimiento directo e indirecto de incentivos, por parte del recurrente como administrador único de un laboratorio farmacéutico, y por tanto con interés directo en la producción, fabricación y comercialización de medicamentos, a un médico encargado de su prescripción, constituye una conducta legalmente prohibida. Conducta que cuando se realiza en relación con profesionales privados da lugar a la infracción administrativa expresamente prevista en el art. 108 16 de la Ley del Medicamento. Pero cuando las dádivas o presentes se ofrecen o entregan a quienes en sentido jurídico-penal son funcionarios públicos, es decir, a profesionales sanitarios integrados en el Servicio Nacional de Salud, constituyen un delito de cohecho, pues en este caso se vulneran adicionalmente los principios de imparcialidad y objetividad que deben presidir el desempeño de las funciones públicas”.

Este es, por tanto, el principio que debe iluminar cualquier debate sobre la implantación y aplicación de los sistemas de compliance en las interacciones con profesionales sanitarios. Aunque hasta la fecha hayan sido las autoridades administrativas y los órganos de supervisión de los Códigos quienes más activamente han perseguido y sancionado las conductas potencialmente infractoras, no se trata de prevenir el riesgo de comisión de una infracción administrativa o deontológica; se trata de prevenir el riesgo de la comisión de un delito en el seno de la empresa. 

Destinatarios: concepto de funcionario público

Los destinatarios de los incentivos prohibidos por las normas administrativas y los Códigos deontológicos no coinciden necesariamente con los que se considerarían “funcionarios” a los efectos penales. Las prohibiciones de las normas administrativas se refieren generalmente a “personas facultadas para prescribir o dispensar” medicamentos o para “prescribir productos sanitarios” y así lo venían recogiendo también los Códigos, aunque ya el Código de Farmaindustria (en su versión 2014) se refiere más ampliamente a “cualquier miembro de la profesión médica, odontológica, farmacéutica, de enfermería, o podología, cualquier otra persona considerada como tal legalmente, o cualquier otra persona que, en el ejercicio de su profesión, pudiera realizar o condicionar las actividades de prescribir, comprar, suministrar, dispensar o administrar medi­camentos de uso humano”.

Efectivamente, conviene adoptar un enfoque lo más amplio posible, en la línea que ya ha abierto el Código de Farmaindustria, porque el derecho penal maneja también un concepto especialmente amplio de “autoridad y funcionario público” a los efectos de los delitos de cohecho.  En realidad, el concepto de autoridad o funcionario público relevante a efectos penales (y en particular a efectos de los delitos de corrupción), tal y como viene siendo aplicado, va más allá que el de las normas administrativas y los Códigos.

De conformidad con el artículo 24 del Código Penal, se reputará autoridad al que por sí sólo o como miembro de alguna corporación, tribunal u órgano colegiado tenga mando o ejerza jurisdicción propia. Por otro lado, se considerará funcionario público todo el que por disposición inmediata de la ley o por elección o por nombramiento de autoridad competente participe en el ejercicio de funciones públicas.

Estas definiciones materiales de autoridad y funcionario público han otorgado a la jurisprudencia un margen de interpretación amplio, de tal forma que se ha estimado la condición de autoridad/funcionario en supuestos muy diversos, incluyendo, entre otros, empleados laborales de instituciones públicas, gerentes de sociedades de capital público, empleados laborales de concesionarios de servicios públicos, presidentes de colegios oficiales, etc. Con este criterio habría que considerar funcionarios, muy posiblemente, a los empleados y directivos de las fundaciones privadas asociadas a los hospitales públicos, los médicos y otros profesionales al servicio de instituciones privadas concertadas con la Seguridad Social, e incluso a los asesores independientes de la Administración, o los miembros externos de los comités de las autoridades sanitarias, comisiones hospitalarias, y un largo etc., aún cuando mantengan únicamente una relación de prestación de servicios de carácter esporádico con la administración.

Mención separada merecen los profesionales farmacéuticos. Respecto de los farmacéuticos de farmacia hospitalaria no cabe duda alguna de que han de ser considerados funcionarios a los efectos penales. Respecto de los titulares de oficina de farmacia (o sus empleados, adjuntos, auxiliares, etc.) parecería coherente alcanzar idéntica conclusión. Aunque su relación con la Administración está muy lejos de ser funcionarial en sentido tradicional, y tampoco tienen carácter de autoridad (como, por cierto, recientemente se ha reconocido a los médicos) parece innegable que participan, de forma relevante, en el ejercicio de una función pública (la prestación farmacéutica). De hecho, con su actuación profesional tienen capacidad de influir en la selección del medicamento a dispensar. Por ello, las relaciones con este colectivo son también relevantes a efectos del diseño o revisión de las políticas de cumplimiento.

En todo caso, no se puede olvidar que el Código Penal también contempla el delito de  corrupción entre particulares (artículos 286.bis), un delito que también puede dar lugar a la responsabilidad penal de las empresas y que puede incluso - llamativamente - llevar aparejadas penas superiores a las aplicables a determinadas modalidades - las menos severas - de cohecho.

Concepto de “incentivo” y concepto de “dádiva”.

Como se ha visto, la normativa administrativa gravita en torno a la prohibición del otorgamiento de “incentivos” a los profesionales sanitarios. Algo muy parecido sucede en los Códigos: una norma esencial aplicable a casi cualquier tipo de interacción con los profesionales sanitarios y sus organizaciones, de la que pueda resultar cualquier tipo de entrega o transferencia de cualquier cosa de valor, es que ello no constituya “un incentivo para la recomendación, prescripción, compra, suministro, venta...” de los productos de la correspondiente empresa. Lo que se contempla, básicamente, es una prohibición de entregar cualquier tipo de cosa de valor como medio para maximizar la venta o el consumo de los productos.  

Esta idea se ha trasladado a numerosas políticas de compliance, que gravitan igualmente sobre el concepto de “incentivos” a la prescripción, compra, etc. Algo similar sucede en algunas políticas corporativas de base anglosajona, que se basan esencialmente en la prohibición del “quid pro quo” - dar algo a cambio de algo.

Sin embargo, desde la perspectiva penal es necesario ir más allá, puesto que los delitos de cohecho en el Código Penal no exigen necesariamente que concurra este “quid pro quo” o que se incentive la compra o el consumo de determinados productos.

El Código Penal diferencia diferentes tipos de delito de cohecho en función de su gravedad:

• En el supuesto más grave, se otorgaría una dádiva al funcionario para que éste realizase, en el ejercicio de su cargo, un acto contrario a los deberes inherentes a dicho cargo (ejemplo: adjudicar indebidamente un concurso), o para no realizarlo, o para retrasarlo injustificadamente (ejemplo: abstenerse de imponer una sanción, retrasar la aprobación de un medicamento genérico).
• Una forma menos grave de cohecho consistiría en otorgar una dádiva a un funcionario para realizar un acto propio del cargo (ejemplo: para incluir un producto en una guía terapéutica o en el petitorio del hospital, que, en todo caso, debiera haberse realizado por cumplirse todos los requisitos legales).
• La modalidad más leve del cohecho (el llamado cohecho impropio) consistiría en el otorgamiento de una dádiva única y exclusivamente en consideración al cargo o función del receptor. Se trata de dádivas entregadas sin más propósito que, en palabras del Tribunal Supremo, “generar un estado de agradecimiento” en el funcionario que las recibe. Entrarían en este concepto las dádivas que - fuera de los usos sociales de mera cortesía - se dirigieran a tratar de obtener una mejor predisposición del funcionario hacia la compañía o sus productos, a facilitar un acercamiento, a entablar o mejorar la relación... aun cuando no haya vinculación alguna con la promoción, prescripción o venta de algún producto.  

Esta última modalidad de cohecho cobra especial relevancia en un contexto en el que las interacciones con los profesionales sanitarios son constantes y de ellas derivan, en muchas ocasiones, pagos o entregas de cosas de valor. Los profesionales sanitarios no sólo son los prescriptores o usuarios de los productos, y destinatarios de las legítimas actividades de promoción. Son también los principales sujetos activos de la investigación clínica, actúan como consultores o ponentes para actividades de formación y divulgación científica, prestan servicios de valor añadido a la industria, participan en consejos consultivos, y acuden, por invitación de las compañías (expresamente prevista, como hemos visto, en el Real Decreto 1416/1994). Se integran, además, en organizaciones con las que la industria colabora habitualmente a través de donaciones y convenios de colaboración.

Dichas interacciones y las entregas (o pagos) a que puedan dar lugar podrán ser perfectamente legítimas siempre y cuando no se instrumentalicen para influir o tratar de influir sobre funcionarios públicos o simplemente se otorguen en consideración al cargo ejercido. De este modo, cualquier interacción que suponga la entrega de cualquier cosa de valor por parte de la industria y cuyos destinatarios sean, directa o indirectamente, funcionarios públicos debe ser analizada bajo la perspectiva del riesgo de cohecho.

Es relevante apuntar que el concepto de “dádiva” no sólo comprendería la entrega directa, de dinero u otra cosa de valor. Comprendería cualquier tipo de beneficio, favor, o trato especial que no se otorgaría al destinatario si no es en atención a su condición de funcionario o al cargo que ocupa. Cuando un determinado tratamiento (favorable) sólo se comprende si se tiene en cuenta el destinatario del mismo es un funcionario público, entraríamos de lleno en el ámbito del delito de cohecho impropio.

Las actividades que deben ser reguladas por políticas de cumplimiento

Para dotarse de mecanismos idóneos para evitar la comisión de delitos dentro de su estructura,  un paso fundamental es la identificación de las actividades de la empresa en cuyo ámbito puedan ser cometidos. Gran parte interacciones con profesionales sanitarios de las que pueden resultar transferencias de valor están contempladas en los Códigos. Todos ellos regulan, por ejemplo, los incentivos (obsequios) prohibidos y permitidos y la hospitalidad, y los más detallados entran también en otras interacciones como las relaciones de prestación de servicios remunerados, las donaciones a instituciones en las que se integran profesionales sanitarios, la participación en estudios, etc. Aunque sin duda los Códigos son de gran utilidad, deberían servir únicamente como una guía de la que partir a la hora de diseñar las políticas de incumplimiento, y no como un cuerpo normativo exhaustivo. La práctica es enormemente compleja y los Códigos no pueden dar respuesta a las numerosas cuestiones que se plantean ni regular, más allá de unos principios generales, los múltiples tipos de actividades en los que participa la industria y que son, muchos de ellos, propios y específicos de cada empresa.

Cada vez más, la exitosa comercialización de un producto no se basa solamente en la planificación de la visita médica o de las reuniones y eventos científicos, sino en actividades de Market Access que forman ya parte del core business y que carecen. muchas de ellas, de “tradición” en términos de compliance. Con independencia de ello, para algunas empresas lo esencial, estratégicamente, es el diagnóstico de dolencias latentes pero generalmente desconocidas por la profesión médica, y a ello enfocan su actividad; para otras, lo será la adecuada formación de los facultativos en la aplicación de su concreto producto, si su técnica es compleja y específica del mismo; en otros casos, es clave la decisión de compra de un determinado equipo o maquinaria que sea compatible con los fungibles comercializados por la empresa... Todo ello plantea retos cada vez más complejos en materia de compliance. Cada empresa debería analizar en qué tipo de interacciones concretas participa con regularidad, y a qué objetivos sirven, para dotarse de normas internas adecuadas para regularlas.

Asimismo, existen múltiples tipos de posible colaboración que se materializan en un mismo resultado final (por ejemplo, la publicación de un artículo o de un capítulo de una obra colectiva podría ser resultado de una donación, de un convenio de colaboración empresarial, de una beca, de un estudio, o incluso de una prestación de servicios; la colaboración en un evento científico podría igualmente estar asociada a una donación, un convenio de colaboración, o un contrato mercantil de patrocinio...). Resulta imprescindible que los conceptos básicos sean claros, de modo que se aplique siempre a cada actividad la política adecuada. 

Finalmente, es relevante señalar que el Código de Farmaindustria (no así otros Códigos) ha excluido de su ámbito de aplicación las operaciones comerciales entre los laboratorios y los distribuidores, las oficinas de farmacia, o las instituciones sanitarias. Ello no significa, no obstante, que estas operaciones no deban estar sujetas a políticas de cumplimiento dirigidas a la evitación de delitos. De una parte, como se ha dicho, parece razonable considerar que los farmacéuticos “de calle”, titulares o empleados de oficinas de farmacia, son asimilables a los funcionarios públicos a los efectos del delito de cohecho (y aunque no lo fuesen, entraría entonces en juego el delito de corrupción entre particulares). En relación con los almacenes mayoristas, hay que tener en cuenta la íntima conexión de muchos de ellos con profesionales farmacéuticos (con intereses confluyentes, cuando no idénticos), y también su posible vehiculización para trasladar a la farmacia incentivos que estarían vedados para el fabricante.

Los procesos y controles internos

El diseño de las políticas de compliance en las relaciones con profesionales y organizaciones sanitarios no se agota en definir, desde el punto de vista conceptual, qué tipo de interacciones son legítimas y qué requisitos han de cumplirse para llevar a cabo cada actividad. Es preciso, en el día a día de la empresa, someterlas a controles y medidas de supervisión adecuados para evitar el riesgo de que las actividades permitidas o incluso fomentadas por la compañía sean instrumentalizadas o utilizadas como vehículo para encubrir pagos o beneficios ilícitos.

Los procesos de toma de decisiones deben estar enfocados a la prevención de delitos, desde la formación de la voluntad hasta la ejecución de la decisión. En función de la concreta actividad (tipo de relación, destinatarios, cuantías...) y el análisis de riesgos, se prevería la participación en el proceso de diferentes departamentos (Marketing/Ventas, Médico, Legal, Registros/Regulatorio/Compliance, Finanzas...) y diferentes niveles de seniority dentro de un mismo departamento (gerentes de zona, regionales, nacionales...).  

Una medida muy común es el excluir a las redes de ventas de cualquier participación en el proceso decisorio relativo a cualquier actividad no puramente comercial de la empresa; en algunos casos (principalmente, cuando se trata de contribuciones a fondo perdido) se les excluye también del proceso puramente logístico e incluso se les priva de acceder a cualquier tipo de información. Aunque estas cautelas, que prácticamente se están convirtiendo un estándar de cumplimiento, son sin duda razonables y adecuadas para minimizar ciertos riesgos, no deben hacer olvidar que, externamente, cualquier actividad de los empleados de la empresa, con independencia de su concreta función, se considerará atribuible a la propia empresa, ni por tanto pueden ser excluyentes de otro tipo de filtros y controles.

Al diseñar los procesos, y especialmente cuando por razón de la actividad se prevé la intervención de diferentes cargos, resulta esencial delimitar a qué concretos aspectos de la actividad se extiende la revisión/aprobación de cada uno de ellos. Debe garantizarse que cada aspecto relevante de la actividad es revisado por la persona idónea, y que cada empleado sea consciente de a qué aspectos se extiende su concreta responsabilidad y, a la inversa, en qué medida puede confiar en la revisión realizada por otros. Asimismo, el proceso debe garantizar que se proporcionan a los revisores los elementos de juicio suficientes para desarrollar esta labor, y quién es responsable de su veracidad y exhaustividad. Todo proceso debería también incluir un control financiero que asegure que no se destinarán recursos a actividades que no han seguido el curso de aprobación relevante en cada caso.

Los procesos y controles no sólo tendrían por finalidad evitar el peor escenario posible (la comisión de un delito doloso por un empleado), por improbable que pudiera parecer. Resultan también precisos para poder acreditar, si llegase a ser exigido, la legitimidad de cualquier pago o beneficio conferido directa o indirectamente a un profesional sanitario. Operaría en este sentido una suerte de inversión de la carga de la prueba: no sería suficiente que no existan pruebas de que los pagos realizados o beneficios concernidos a profesionales sanitarios tengan una finalidad ilegítima; es responsabilidad de la empresa poder explicar y justificar dichos pagos y beneficios. Los procesos deberían, por ello, definir con claridad la documentación (interna y externa) que debe conservarse en relación con cada actividad y quién es responsable del mantenimiento de dichos registros.

Deberían evitarse, en todo caso, procesos burocráticos y lentos, que no sirven a las necesidades reales de la empresa, y que acaban convirtiéndose en una carrera de obstáculos o en una colección de firmas vacías de contenido. Cada empresa debería buscar el equilibrio razonable en su propia organización. En todo caso, se trata de un proceso vivo; andando el tiempo y con la experiencia adquirida se tendrá un mejor criterio sobre dónde conviene enfocar los controles más estrictos y dónde pueden sustituirse por procedimientos más flexibles sin menoscabo de la robustez del programa de cumplimiento.