COMPLIANCE

Algunas reflexiones sobre los supuestos de responsabilidad penal de las personas jurídicas en el Código Penal. El concepto de buen ciudadano corporativo en el marco de una cultura de cumplimiento

Tribuna
Accionesempresacontable_EDEIMA20140820_0045_1.jpg

PLANTEAMIENTO DE LA CUESTIÓN: EL FUNDAMENTO DE LA RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA.

No descubrimos nada nuevo si decimos que el “compliance” está de moda: conceptos procedentes de la cultura anglosajona, como “buen ciudadano corporativo”, “cultura de cumplimiento”, “buena gobernanza” o “buen gobierno corporativo” responden a la idea, demandada por los operadores económicos, y a la necesidad, consecuencia lógica del funcionamiento del mercado, de que las distintas organizaciones sean cumplidoras para, de ese modo, dar confianza al propio mercado. Precisamente por ello, la Norma UNE-ISO 19600 define “compliance” como el resultado de que una organización cumple con sus obligaciones, siendo así que una de las facetas del compliance es la vigilancia, la supervisión y el control por parte de la compañía: vigilancia, supervisión y control sobre directivos, sobre empleados y sobre terceros que se relacionan con la empresa.

La responsabilidad penal de la persona jurídica aparece como consecuencia necesaria de la incorporación de ese concepto de compliance al ordenamiento penal, si bien unido a otras circunstancias, como la presión social (habida cuenta de que la mayor parte de los delitos económicos se cometen a través de las personas jurídicas, usando y abusando de las formas societarias; adquiriendo un papel especialmente relevante dentro de esa presión social la derivada de los comportamientos del propio mercado) y la de los textos internacionales. Como dice la Fiscalía General del Estado, en su Circular 1/2011, “con la responsabilidad penal de las personas jurídicas se completa el círculo de la respuesta punitiva del Estado frente al potencial criminógeno, la capacidad de amplificación del daño y el aseguramiento de la impunidad que pueden derivarse del mal uso de las formas dotadas de personalidad jurídica”.

Un primer problema que debe abordarse a propósito de la responsabilidad penal de la persona jurídica es el de su fundamento, problema que en absoluto es baladí, por cuanto que de la respuesta que demos resultarán consecuencias fundamentales desde el punto de vista procesal y penal.

Como dice la Fiscalía General del Estado, en su Circular 1/2016, son dos los modelos que permiten sustentar la responsabilidad penal de la persona jurídica:

1º. Sistema de responsabilidad vicarial, por trasferencia o por representación. Con arreglo a este sistema, se atribuye responsabilidad penal a la persona jurídica debido a la previa actuación delictiva de una persona física, siempre que se evidencia un hecho de conexión entre la persona física y la jurídica, pues de otro modo la responsabilidad de la persona jurídica devendría en objetiva, algo vedado por la Constitución.

2º. Sistema de “culpabilidad por defecto de organización”. Conforme al mismo existe una imputación propia de la persona jurídica que aparece cuando la misma ha quebrantado los deberes de supervisión, vigilancia y control, apartándose de las exigencias del buen ciudadano corporativo. Desde esta perspectiva, es el quebrantamiento del debido control el presupuesto legitimador de atribución de responsabilidad penal a la persona jurídica, de suerte que para imputar a la persona jurídica responsabilidad penal por delitos cometidos por los empleados de la misma por defecto de control previo será preciso la existencia de un previo deber de garante, no siendo concebible, desde este punto de vista, la infracción del deber de garante de la persona jurídica sin previa infracción del citado deber de garante por parte del directivo de la misma.

Optar por una u otra tesis tiene capital importancia y esenciales consecuencias de índole práctica: en efecto, si consideramos que el sistema es de tipo vicarial, la acusación deberá probar en juicio que el delito se ha cometido por la persona física y que ésta tiene una conexión con la persona jurídica que permite la atribución de responsabilidad, correspondiendo a la defensa (a la persona jurídica) acreditar que en el caso concreto ha cumplido con el debido control que le exoneraría de responsabilidad. En cambio, si optamos por un modelo de imputación autónoma de la persona jurídica, la acusación deberá probar no sólo la comisión del delito y la relación de la persona física autora con la persona jurídica responsable sino además que la compañía ha incumplido sus deberes de supervisión, vigilancia y control.

Tanto la Fiscalía General del Estado como el Tribunal Supremo han tenido ocasión de pronunciarse sobre esta cuestión esencial y lo han hecho con dos puntos de vista completamente distintos:

1º. En su Circular 1/2016 la Fiscalía defiende con claridad que el modelo instaurado en nuestro Código Penal, pese a que la Exposición de Motivos de la Ley Orgánica 1/2015 diga que no es vicarial, es un modelo de responsabilidad por transferencia.

En concreto, indica en su página 5 la citada Circular:

“Pues bien, la vigente regulación del apartado primero del artículo 31 bis continúa estableciendo en sus letras a) y b) los dos presupuestos que permiten trasferir la responsabilidad de las personas físicas a la jurídica. El primer hecho de conexión lo generan las personas con mayores responsabilidades en la entidad y el segundo las personas indebidamente controladas por aquellas. En ambos casos, se establece un sistema de responsabilidad por trasferencia o vicarial de la persona jurídica”.

Concluyendo en la página 7:

“La persona jurídica propiamente no comete el delito, sino que deviene penalmente responsable por los delitos cometidos por otros”.

La consecuencia de ello es, como hemos dicho anteriormente, que para la Fiscalía la acusación ha de probar que se comete el hecho delictivo y que existe relación o conexión entre la persona física que comete el delito y la persona jurídica, siendo así que compete a ésta, para exonerarse de responsabilidad, probar la existencia de un programa de prevención del delito eficaz, que operará como excusa absolutoria.

Por eso dice que “atañe a la persona jurídica acreditar que los modelos de organización y gestión cumplen las condiciones y requisitos legales y corresponderá a la acusación probar que se ha cometido el delito en las circunstancias que establece el artículo 31.bis” (página 56 de la Circular 1/2016)

2º. Por su parte el Tribunal Supremo tuvo ocasión de pronunciarse por vez primera sobre este asunto en la sentencia de 29 de febrero de 2016 (STS 154/2016), sentencia cuyo criterio no está exento de polémica habida cuenta de que contó con un voto particular avalado nada menos que por siete magistrados de la Sala.

En dicha sentencia, tras recordar que “ya se opte por un modelo de responsabilidad por el hecho propio, ya por una fórmula de heterorresponsabilidad parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el derecho penal” (STS 514/2015 de 2 de septiembre de 2015), sostiene que el modelo de responsabilidad penal de la persona jurídica es un modelo sustentado en la culpabilidad de la organización y en la ausencia de una cultura de respeto al derecho:

“Lo que no admite duda, visto el texto legal, es el hecho de que el sistema de responsabilidad penal de la persona jurídica se basa, sobre la previa constatación de la comisión del delito por parte de la persona física integrante de la organización como presupuesto inicial de la referida responsabilidad, en la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la organización”.

Por ello concluye el Tribunal Supremo que el quebrantamiento del debido control, manifestado en la ausencia de adecuados mecanismos de control en la comisión del delito por parte de la compañía es un elemento del tipo, ya que:

“A nuestro juicio la presencia de adecuados mecanismos de control lo que supone es la inexistencia misma de la infracción. Circunstancia de exención de responsabilidad que, en definitiva, lo que persigue esencialmente no es otra cosa que posibilitar la pronta exoneración de esa responsabilidad de la persona jurídica, en evitación de mayores daños reputacionales para la entidad, pero que en cualquier caso no debe confundirse con el núcleo básico de la responsabilidad de la persona jurídica, cuya acreditación por ello habrá de corresponder a la acusación, en caso de no tomar la iniciativa la propia persona jurídica de la búsqueda inmediata de la exención corriendo con la carga de su acreditación como tal eximente”.

El núcleo de responsabilidad de la persona jurídica es, por consiguiente, según el parecer mayoritario del Tribunal Supremo, la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos.

“De lo que se colige que el análisis de la responsabilidad propia de la persona jurídica, manifestada en la existencia de instrumentos adecuados y eficaces de prevención del delito, es esencial para concluir en su condena y, por ende, si la acusación se ha de ver lógicamente obligada, para sentar los requisitos fácticos necesarios en orden a calificar a la persona jurídica como responsable, a afirmar la inexistencia de tales controles, no tendría sentido dispensarla de la acreditación de semejante extremo esencial para la prosperidad de su pretensión”.

No obstante, la posición mayoritaria del Tribunal Supremo, reflejada en la sentencia 154/2016, cuenta con un importante voto particular que, en lo esencial, coincide con el criterio de la Fiscalía, en la medida en que discrepa del hecho de que la ausencia de medidas eficaces de la prevención del delito pueda ser considerado un elemento del tipo, de modo que corresponderá (según el parecer de este voto particular) a la defensa acreditar la concurrencia de estos mecanismos adecuados y eficaces de control para quedar exonerada de responsabilidad la persona jurídica.

Sea como se resuelva la cuestión, optando por la tesis de la Fiscalía (y del voto particular del Tribunal Supremo) o haciéndolo por el de la posición mayoritaria del Tribunal Supremo lo cierto es que el legislador ha querido separarse del modelo vicarial, al sostener que es el quebrantamiento del debido control el fundamento de la responsabilidad de la persona jurídica. Quiere decirse con ello que la culpabilidad de la persona jurídica se fundamenta en no haberse organizado del modo que exige la norma.

SUPUESTOS DE RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS.

Expuesto sucintamente las posiciones de Fiscalía y del Tribunal Supremo a propósito del fundamento de atribución de responsabilidad penal de las personas jurídicas, debemos analizar los dos supuestos de responsabilidad previstos en el actual Código Penal, con la redacción dada por la Ley Orgánica 1/2015:

Dispone el artículo 31 bis del Código Penal:

«1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso».

Son dos los supuestos en que la persona jurídica incurre o puede incurrir en responsabilidad, que merecen ser estudiados por separado. Por los delitos cometidos:

– en beneficio de la persona jurídica por los administradores y representantes; y

– por los empleados en caso de omisión del debido control por parte de quienes tuvieran encomendada esas funciones en la compañía.

a. Delitos cometidos en beneficio de la persona jurídica por los administradores y representantes

En primer lugar, conviene indicar que resulta llamativo que el legislador pretenda, en este caso, desvincular la responsabilidad de la persona jurídica del concepto de la culpabilidad de la organización, el buen ciudadano corporativo, en definitiva del quebrantamiento del debido control. No obstante, el defectuoso control de la compañía sigue siendo el elemento medidor de idoneidad de la culpabilidad de la organización, esencia y fundamento de la responsabilidad de la persona jurídica, ya que sin dicha falta de control no existirá una culpabilidad de la empresa de la que derive su responsabilidad.

Se ha ampliado, por otro lado, el círculo de supuestos de delitos cometidos por personas con cierta responsabilidad en la empresa; mientras que en la LO 5/2010 se hablaba de administrador de hecho o de derecho y de representante legal, en la actual regulación caben más supuestos que originan responsabilidad de la persona jurídica.

1º. Representante legal. Sin perjuicio de que la legislación mercantil no utiliza la categoría de «representación legal», sino de «representación orgánica» y de «representación voluntaria», no hay duda de que dentro de esta categoría está comprendido el administrador de la compañía, en el caso de tratarse de sociedades.

En efecto, cuando nos encontremos ante una sociedad de capital, la organización de la administración puede ser encomendada, según las previsiones estatutarias, a un administrador único, a dos mancomunados o solidarios o a un Consejo de Administración. En tal caso la representación de la compañía la ostentarán, respectivamente, el administrador único, los dos administradores actuando de consuno, cualquiera de los administradores solidarios y el Consejo de administración.

En el caso de las sociedades personalistas, ostentan la administración los socios colectivos, tanto en la sociedad colectiva como en la comanditaria simple.

En las asociaciones, el órgano supremo es la Asamblea, si bien los estatutos deben regular un órgano de representación (la Junta directiva, normalmente), que es quien representa a la asociación.

En las fundaciones, el órgano de representación es el patronato.

2º. Representante voluntario. Con arreglo a la nueva regulación, puede originar responsabilidad penal para la persona jurídica quien individualmente esté autorizado para tomar decisiones en nombre de la persona jurídica, categoría en la que ha de subsumirse al apoderado o representante voluntario, ya sea con poder general, ya sea con poder especial en cuyas facultades se incluya el acto concreto en que se materialice el delito en beneficio directo o indirecto de la compañía.

En este supuesto ha de incluirse asimismo a los directivos de la compañía con facultades de obligar a la entidad, ya que, siendo cierto que para determinados efectos los directivos o las personas con poder de representación de la sociedad se consideran administradores  (art.157 de la Ley de Sociedades de Capital), no lo es menos que tales representaciones voluntarias no pueden ser consideradas representaciones legales, sino que han de acceder, como sujetos capaces de trasferir responsabilidad a la persona jurídica, como «autorizados para tomar decisiones en nombre de la persona jurídica».

3º. Quienes formando parte integrante de un órgano colegiado están autorizados para tomar decisiones en nombre de la compañía. Es el caso del Consejero delegado de la compañía, los miembros del Consejo de administración, los miembros del Patronato de una Fundación o los del órgano de representación de la Asociación, en los términos previstos por la Asamblea (normalmente la Junta Directiva). En todos estos casos, no incurre en responsabilidad quien hubiera salvado con su voto en contra la decisión del acuerdo delictivo.

4º. Personas que ostentan facultades de control en la compañía. También debe considerarse sujeto capaz de ocasionar responsabilidad de la persona jurídica a quienes ostentan facultades de control y de organización. Habida cuenta de la redacción del precepto, en contraposición a quienes tienen facultades para obligar a la persona jurídica, parece que, en este caso, nos encontramos ante sujetos que, sin estar autorizados para tomar decisiones en nombre de la compañía ostentan facultades de organización y control.

Especial mención requieren los casos del administrador de hecho y del compliance officer

El administrador de hecho estaba previsto expresamente en la norma anterior, pero ha desaparecido su mención específica en la norma. Dentro de la denominación «administrador de hecho» la doctrina suele incluir los administradores que controlan de hecho la gestión social sin ostentar un cargo formal, ejerciendo sobre los administradores de derecho una influencia decisiva, llegándoles incluso a sustituir, sin aparecer, como tales ante terceros (administradores ocultos); así como quienes sin ostentar cargo formal controlan la gestión social y aparecen frente a terceros como administradores formales (administradores aparentes); y aquellos administradores que estando formalmente nombrados su nombramiento adolece de un vicio de nulidad o carece de la necesaria publicidad, así como el administrador con cargo caducado sin que haya habido reelección.

Es preciso plantearse entonces si el administrador de hecho puede ser incluido en esta categoría de quienes sin tener poder para obligar a la persona jurídica ostentan el control y facultades organizativas. Pues bien, si tenemos en cuenta las categorías antes citadas de personas susceptibles de ser incluidas en la figura de administrador de hecho (todas ellas con un común denominador, a saber, que sin título formal gobiernan y dirigen o controlan la sociedad) parece que la figura de administrador de hecho sería subsumible en esta categoría.

No es éste, sin emabrgo, el criterio de la Fiscalía, ya que indica que los administradores de hecho «solo encajarían en este apartado de los autorizados para tomar decisiones, no en el de quienes ostentan facultades de organización y control. Y aún para conseguir tal encaje ha de interpretarse que la autorización para tomar decisiones en nombre de la persona jurídica puede ser también tácita» (Circ FGE 1/2016).

En cuanto al compliance officer, en cuanto que responsable de cumplimiento, el ámbito de su esfera de responsabilidad es doble: desde el punto de vista interno, en su relación con la compañía, y desde una perspectiva externa, es decir, frente a terceros. Lo cierto y verdad es que no cabe que todo incumplimiento en la prevención de los ilícitos pueda dar lugar a responsabilidad del compliance officer, sino que ese incumplimiento debe ser imputable a la acción u omisión negligente del responsable de cumplimiento de modo que cuando el daño a terceros sea debido a un defecto en el modelo de prevención la responsabilidad tenderá  ser derivada hacia los administradores de la compañía, en tanto que cuando el daño sea consecuencia de una defectuosa aplicación del modelo de prevención la responsabilidad será normalmente atribuible al compliance officer.

La Fiscalía ha señalado respecto de la responsabilidad del CCO en la Circular FGE 1/2016 que:

«La expresión (quienes ostentan facultades de organización y control) engloba a un potencialmente alto número de cargos y mandos intermedios que tengan atribuidas tales facultades, entre ellas las medidas de vigilancia y control para prevenir delitos. Esta nueva redacción amplia y define mejor la posición de garante en la empresa, utiliza un lenguaje más adecuado a las categorías de imputación y establece con mayor precisión el hecho de conexión que genera la responsabilidad penal de la persona jurídica lo que permite, como consecuencia más relevante, incluir en la letra a) del artículo 31.bis.1 al propio oficial de cumplimiento (compliance officer

Por consiguiente, el compliance officer es un sujeto idóneo para trasferir responsabilidad penal a la persona jurídica, en su condición de responsable del control de la compañía (lo que habrá que analizar, como decimos, caso a caso, ya que habrá supuestos en los que el compliance goce de autonomía plena, en los que será indudable tal condición, pero habrá otros en los que por no tener dicha autonomía resulte difícilmente incardinable en el supuesto de sujeto apto para trasferir responsabilidad penal a la persona jurídica)

Finalmente indicar que la reforma sustituye la expresión «en provecho» utilizada en la regulación de la LO 5/2010 por la de «en beneficio directo o indirecto». Más que un cambio significativo parece una aclaración de la expresión en provecho, donde cabe tanto el beneficio directo como indirecto, es decir, un concepto amplio de beneficio que aglutine cualquier ventaja patrimonial o mejora en el sector de actividad al que se dedica la entidad.

Está claro que la referencia al beneficio directo o indirecto incluye la evitación de perjuicios y el ahorro de costes, debemos aceptar una interpretación amplia de beneficio como ventaja para la persona jurídica. Sin embargo, hemos de incluir aquellos supuestos en los que el administrador actúa exclusivamente motivado por su propio beneficio, siempre que la persona jurídica resulte también beneficiada y lo consienta de algún modo.

Quedan pues excluidas aquellas conductas que, al amparo de la estructura societaria, sean realizadas por la persona física en su exclusivo y propio beneficio o en el de terceros y resulten inidóneas para reportar a la entidad beneficio alguno, directo o indirecto (Circ FGE 1/2016).

Por último indicar que debe tratarse de delitos cometidos en nombre o por cuenta de la persona jurídica responsable. Es decir, en el ámbito de las competencias de la persona jurídica y con ocasión del ejercicio de esas competencias (lo que puede reconducirse a la actuación dentro del objeto social inscrito en el Registro Mercantil).

En cuanto a la exención de responsabilidad penal de la persona jurídica en el caso de delitos cometidos por las personas mencionadas en la letra a) del 31.bis del Código Penal su apreciación requiere el cumplimiento de una serie de requisitos:

1. Que el órgano de administración haya adoptado y ejecutado (implementado) con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan medidas de vigilancia y control para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

Por tanto, el modelo de organización y gestión preciso para cumplir el requisito indicado exige haber sido implementado «con eficacia», lo que parece apuntar a la idea de que ese modelo implementado haya servido para reducir el riesgo de la comisión de delitos.

Por otro lado, conviene indicar que resulta esencial que el programa de prevención del delito (el plan o escudo penal) haya sido implementado «antes de la comisión del delito», de suerte tal que si el Programa es adoptado con posterioridad a la comisión del hecho delictivo servirá como atenuante de la pena, siempre y cuando haya sido implementado antes de la apertura del juicio oral (art.31.quater d del CP). De modo que el establecimiento de un Programa de prevención del delito después de la apertura del juicio oral no opera siquiera como atenuante (la apertura de juicio oral debe ser reconducida al Auto de apertura de juicio oral en el procedimiento ordinario por delitos graves y al Auto de trasformación en Procedimiento Abreviado, en caso del procedimiento abreviado).

Conviene indicar, por otro lado, que la mera existencia de un Programa de prevención de delitos no es bastante para eximir de responsabilidad a la persona jurídica, siendo necesaria, además, la concurrencia de otros requisitos.

En esa línea conviene traer a colación lo señalado por la Circ FGE 1/2011:

«En íntima conexión con lo anterior, la elaboración y el cumplimiento de las normas de autorregulación de las empresas o compliance guide, solo son relevantes en la medida en que traduzcan una conducta. Su formalización no aporta ni su existencia resta la capacidad potencial de incurrir en responsabilidad penal, porque lo determinante no es si se actuó de acuerdo con la guía o si ésta era hipotética u objetivamente apta para evitar el delito, sino si con guía o sin ella procede atribuir a la persona jurídica responsabilidad penal derivada de los delitos cometidos por sus gestores».

A lo que debe añadirse que en la Circ FGE 1/2016 se señala que «las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de su observancia, pero en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial».

2. La supervisión del funcionamiento y del cumplimiento del modelo de prevención del delito implantado debe haber sido confiada a un órgano independiente de la persona jurídica con poderes autónomos de iniciativa y control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Este órgano de la persona jurídica con poderes de control autónomos puede ser unipersonal o colegiado, lo relevante, a la par que esencial, es que tenga un poder autónomo de iniciativa y control, es decir, independencia respecto de la dirección de la persona jurídica. Conviene apuntar que ese órgano ha de ser un órgano interno de la compañía, sin perjuicio de que la  empresa pueda recurrir a la contratación externa de las distintas actividades que la función de cumplimiento normativo exige, como ha dicho la Fiscalía en la tan citada Circular 1/2016.

Debe indicarse que no será preciso este órgano en el caso de las empresas de pequeñas dimensiones, entendiendo por tales las que pueden presentar cuentas en forma abreviada. En este caso, como alternativa a la creación de ese órgano independiente con poderes autónomos puede encomendarse la función de control y vigilancia al propio órgano de administración. Con ello se hace realidad uno de los motivos explicitados en el Preámbulo de la Ley Orgánica 1/2015, consistente en que el contenido del debido control será acorde a las dimensiones de la compañía.

3. Los autores deben haber cometido el delito eludiendo fraudulentamente el Plan de Prevención. De nuevo en este requisito se aprecia que el legislador quiere que la esencia de la responsabilidad penal de la persona jurídica, el presupuesto legitimador de la misma, sea el quebrantamiento del debido control, como indica la Exposición de Motivos de la reforma de la Ley Orgánica 1/2015.

4. Que no haya existido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano con poderes de control autónomos.

En este requisito podemos observar que el presupuesto de legitimación de la responsabilidad penal es la culpabilidad de la organización (el buen ciudadano corporativo), ya que el cumplimiento por parte del controlador opera como requisito para apreciar la exención de responsabilidad.

b. Delitos cometidos por los empleados en caso de omisión del debido control

«Delitos cometidos en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior (representante legal o quienes tengan poder decisorio o sin tenerlo tengan facultades de organización y control), han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control, atendidas las concretas circunstancias del caso».

El quebrantamiento del debido control y los conceptos de culpabilidad de la organización, de buen ciudadano corporativo son más constatables aún en este supuesto que en el de los delitos cometidos por administradores y directivos de la compañía.

No comparte este criterio la Fiscalía, que entiende y sostiene que también en este caso nos encontramos ante un sistema vicarial de responsabilidad de la persona jurídica, toda vez que la atribución de la citada responsabilidad a la persona jurídica es consecuencia de la actuación de una persona física (en concreto del incumplimiento grave de los deberes de supervisión, vigilancia y control del personal directivo). «Se trata por tanto de un incumplimiento de las personas físicas, por dolo o imprudencia grave, y no una culpabilidad por defecto de organización de la persona jurídica» (Circ FGE 1/2016).

Puede decirse que, tras la reforma operada por la LO  1/2015, la responsabilidad de la persona jurídica se predica de los delitos cometidos en el ejercicio de las actividades sociales y por cuenta y en beneficio de la persona jurídica por parte de cualquier empleado de la misma, así como de quienes con la compañía se relacionan. Al igual que sucede con los delitos cometidos por los representantes legales y administradores y directivos, los delitos cometidos por empleados deben causar beneficio directo o indirecto a la persona jurídica (cualquier ventaja), siendo irrelevante que el empleado (o el tercero relacionado con la compañía) que comete el delito quiera o no que la persona jurídica se beneficie por medio de su actuación.

Lo esencial para responder la persona jurídica es el incumplimiento grave de los deberes de supervisión, vigilancia y control. Quiere decirse con ello que, con la redacción actual, no basta para imputar responsabilidad penal a la persona jurídica no haber ejercido el debido control (concepto jurídico indeterminado que como tal supone que la indeterminación del supuesto de hecho no se traduce en indeterminación en la aplicación de la norma, pudiendo hablarse de «unidad de solución justa») sino que es preciso que quienes ostentan facultades decisorias, de organización y control hayan incumplido gravemente sus deberes de supervisión, vigilancia y control. Constituye un plus respecto de la simple omisión del deber de vigilancia.

Existe, pues, un mayor rigor en la exigencia de responsabilidad, que no será exigible, pues, cuando la omisión del debido control no sea constitutiva de un incumplimiento grave, atendidas las concretas circunstancias del caso (no toda omisión constituye responsabilidad, sino solamente la que sea constitutiva de incumplimiento grave de los deberes de supervisión, vigilancia y control), de suerte tal que los incumplimientos no graves darán lugar a lo sumo a responsabilidades administrativas, pero convierten a la conducta en irrelevante desde una perspectiva penal.

En definitiva, como se dijo anteriormente, no es concebible la infracción del deber de garante de la persona jurídica sin infracción del citado deber de garante por el directivo, de suerte tal que el directivo cumplidor con sus deberes de control y vigilancia impide, con su actuación, la atribución de responsabilidad penal a la persona jurídica por delitos cometidos por empleados de la misma.

Cuando se trata de delitos cometidos por terceros o por empleados de la compañía, la persona jurídica queda exenta de responsabilidad «si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión» (art.31 bis.4 CP). Si el modelo es implementado después de cometerse el delito y antes de la apertura del juicio oral servirá entonces como atenuante de responsabilidad (art.31 quater d CP).

La Circular 1/2016 de 22 de enero de Fiscalía General del Estado ha advertido de que basta con que quienes cometan el delito estén bajo la supervisión, dirección, vigilancia o control de la compañía, sin que sea necesario que se establezca una vinculación formal con la empresa través de un contrato laboral o mercantil, quedando, por consiguiente, incluidos los autónomos o trabajadores subcontratados por la compañía.

Quiere decirse con ello que la empresa debe ser consciente de que puede responder penalmente por el trabajo encargado a un tercero y, en tal caso, siendo cierto que el compliance program de la compañía no es suficiente para exonerar a ésta de su responsabilidad, parece adecuado que la compañía exija al tercero (subcontratado o autónomo) con quien contrata, como requisito para la contratación, que el tercero tenga un sistema o modelo de prevención penal.

Es decir, la empresa puede responder penalmente por los delitos cometidos por los terceros con quienes contrata cuando esos delitos causen un beneficio a la compañía. Por ejemplo, el delito cometido por el asesor fiscal de la compañía (externo) cuando dicho delito beneficia a la sociedad hace que ésta sea penalmente responsable (por ejemplo, delito fiscal cometido por el administrador de la compañía siguiendo el plan ideado por el asesor fiscal, cuando el administrador autor sea inimputable; en tal caso el asesor fiscal puede ser condenado como cooperador necesario o inductor del delito fiscal y la sociedad, beneficiada por el delito cometido, puede ser penalmente responsable, aun cuando el administrador resulte absuelto). También sería el caso del proveedor de la compañía que soborna al funcionario causando un beneficio a la entidad. En estos casos, si la persona jurídica beneficiada por el delito cometido por el tercero externo a  quien contrata exigió que dicho tercero contase con un programa de prevención del delito idóneo y eficaz, dicha exigencia puede operar como causa de exención de responsabilidad por quien contrata y se beneficia del delito cometido por  el tercero (siendo además muy aconsejable que en los protocolos internos de contratación se establezca la necesidad de exigir a los contratistas que dispongan de eficaces medidas de prevención de los delitos).

Los problemas fundamentales del precepto se centrarán en determinar qué se entienda por implementación «eficazmente» adoptada del modelo. Está claro que no puede exigirse que la implementación del modelo de prevención haya llegado a tal punto de eficacia que no se hayan cometido delitos, pues el precepto parte de que el citado delito se ha producido. Precisamente para objetivizar el concepto “eficazmente” puede ser útil contar, en el sistema español, con una entidad acreditadora de que los programas de prevención del delito son acordes a la naturaleza y actividad de la compañía de que se trata. Con ello se lograría superar la exigencia de la eficacia en la implementación del modelo, ya que el sistema sería eficaz si la empresa encargada de la acreditación hubiera prestado su conformidad al Plan.

Finalmente, en cuanto al contenido del Programa de Prevención del delito aparece descrito en el art.31 bis 5 CP:

1. Identificará las actividades en cuyo ámbito puedan ser cometidos los delitos que deban ser prevenidos.

Se trata de determinar, en cada empresa, cuáles son los riesgos delictivos más frecuentes, no sólo determinar qué delitos sean los más usuales en la rama de actividad a que se dedica la empresa, sino también las actividades donde se cometen o pueden cometerse los delitos a prevenir.

Ha de considerarse como un indicador positivo el análisis de los bloques normativos que impactan en la actividad de la organización y los riesgos eventuales que de los mismos puedan derivarse, fijando una probabilidad del riesgo en cada uno de los bloques normativos y de actividades. La participación de expertos independientes, ajenos a la organización es, qué duda cabe, un aspecto positivo a valorar en el Programa de prevención.

2. Establecerán los protocolos que concreten el proceso de formación de la voluntad de la persona jurídica y la adopción de acuerdos.

El Programa de cumplimiento y prevención debe prever esos procesos de formación de la voluntad de la persona jurídica que afecten a las actividades de la empresa potencialmente peligrosas o de riesgo, señalando qué personas (con el perfil adecuado) deben intervenir, a quien debe reportarse la información sobre los riesgos y, en todo caso, debe asegurarse que la decisión adoptada tiene el mínimo riesgo posible en la comisión de los delitos que pretenden prevenirse.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

Está claro que un Programa de prevención de los delitos necesita disponer de recursos financieros suficientes para poder atender a las necesidades del plan.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar y velar por el buen funcionamiento del modelo de prevención.

Dicha obligación engarza directamente con el reporte de cumplimiento. Los cometidos de reporte no sólo se entienden como una función del órgano encargado del cumplimiento hacia el órgano de administración, sino también como una actividad hacia la función de cumplimiento, es decir, desde los empleados hacía el encargado de cumplimiento.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Sin el establecimiento de un sistema disciplinario que corrija los incumplimientos del programa de compliance perdería todo su sentido la propia función de compliance. Como establece la Fiscalía General del Estado, la obligación de establecer un sistema disciplinario adecuado que sancione el incumplimiento de las medidas adoptadas en el modelo presupone la existencia de un código de conducta en el que se establezcan claramente las obligaciones de los directivos y los empleados. Y lleva consigo, como correlato de la obligación, el deber de garantizar la confidencialidad en las denuncias, para lo cual son esenciales los canales de denuncia protectores para con el denunciante (Circ FGE 1/2016).

En este sentido, las acciones correctoras de los fallos detectados son esenciales y entre las medidas correctoras destacan las medidas disciplinarias oportunas en el ámbito laboral y contractual. No es admisible, por inconcebible, que un incumplimiento significativo que ponga o pueda poner en riesgo a la compañía quede impune.

Una política de tolerancia cero por parte de la organización demuestra el grado de implicación y el compromiso de la empresa con el compliance. El establecimiento de una guía disciplinaria básica, dirigida a los empleados, puede ser útil para prevenir el delito habida cuenta de que los empleados de la organización conocerán las consecuencias de la vulneración del corporate compliance.

Como envés del sistema disciplinario que sancione el incumplimiento de las normas contenidas en el programa de prevención el mismo programa debe contar con una protección del “delator”. Quiere decirse con ello que si el empleado está obligado a denunciar las conductas irregulares de la empresa, debe protegerse al empleado que cumple su obligación, siendo así que una de las formas más interesantes en la protección del delator (empleado cumplidor-denunciante) será, sin duda, la confidencialidad de la denuncia. En definitiva, establecer canales de denuncia que garanticen la confidencialidad de las mismas es una de las piezas claves del sistema de compliance de una compañía, siendo aconsejable la externalización de los sistemas o canales de denuncia, lo que incidirá positivamente en la garantía de anonimato en el denunciante.

6. Realizarán una modificación periódica del modelo.

Como es lógico se trata de detectar los fallos y corregirlos, de adaptarse a las circunstancias de cada momento. Es lo que se conoce con el término «monitoreo», que exige una revisión periódica para valorar la eficacia del plan; adaptarse a las novedades que se vayan produciendo dentro de la organización (por ejemplo, la presencia en nuevos mercados) y fuera de ella (fundamentalmente cambios de normativa); y salir al paso de los fallos que se hayan producido, lo que requiere una adaptación a los mismos del Programa.

En definitiva y a modo de conclusión, podemos decir que «el sello distintivo de un programa eficaz es que la organización ejerza la diligencia debida para tratar de prevenir y detectar la conducta criminal de sus empleados y otros agentes», de suerte tal que, para poder hablar de un programa eficaz, es preciso acreditar una cultura de cumplimiento dentro de la persona jurídica, dentro de la organización. Ahora bien, la existencia de la comisión de un delito pese a la implementación del Programa de cumplimiento no convierte al programa en ineficaz; la eficacia ha de ser medida por la razonabilidad del mismo en relación con las actividades de riesgo de la organización, en definitiva, el programa ha de ser eficaz para prevenir el delito, no siendo preciso que sea infalible. Vamos, como dijimos al principio de este texto, hacia la consolidación del “buen ciudadano corporativo” y, desde esa perspectiva, la reforma penal y la interpretación que de la misma hacen los cualificados aplicadores del derecho es motivo de satisfacción. En esa línea hemos de seguir, si no queremos que a la responsabilidad penal de las personas jurídicas en España le pase lo que a la cabeza de madera de la fábula de Fedro, que podía ser bella, pero que, desgraciadamente, le faltaba cerebro.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación