Incógnitas e incertidumbres en el diseño de los programas de ‘compliance’

Revista Nº 63 Abr.-Jun. 2018

Miguel Ángel Villacorta Hernández 

Universidad Complutense de Madrid 

(España) 

Sumario

La Ley Orgánica (L.O.) 5/2010, de 23 de junio de 2010, introdujo una serie de modificaciones sobre la L.O. 10/1995, de 23 de noviembre, del Código Penal (C.P.) que tuvieron una gran repercusión sobre las personas jurídicas. El artículo 31 bis C.P. (apoyado en el C.P., art. 66 bis) incorporó la responsabilidad frente a los delitos para las personas jurídicas, ampliando la responsabilidad más allá de los administradores. La nueva situación de las personas jurídicas establecida en este texto dejaba muchas dudas sobre la actuación legislativa y jurisprudencial sobre algunos delitos, sobre todo en la necesidad de establecer un programa de prevención del delito. 

Los informes de la Fiscalía General del Estado han venido a aclarar cómo debe ser la actuación empresarial a la hora de definir e instaurar el programa de compliance.

Temas relacionados

Programa de prevención del delito, Compliance, Responsabilidad penal, non bis in idem.

1. La responsabilidad penal de las empresas en España

La inclusión de la responsabilidad penal de las personas jurídicas en el artículo 31 bis del Código Penal (C.P.) español supone que, a partir de ese momento, la responsabilidad penal no solo la poseen las personas físicas, sino también la mayoría de las personas jurídicas y del resto de entidades.

El legislador ha establecido un doble sistema de responsabilidad penal de los entes colectivos, establecidos en el artículo 31 bis y en el artículo 129 C.P. En el artículo 31 bis se recoge la responsabilidad penal de las entidades que estrictamente sean personas jurídicas, dejando el artículo 129 para regular aquellas empresas, organizaciones, grupos o cualquier otra clase de entidades o agrupaciones de personas que carezcan de personalidad jurídica. Los sujetos imputables del artículo 31 bis son exclusivamente las personas jurídicas en el sentido de lo establecido en el artículo 35 C.C. Los grupos de sociedades, las sociedades civiles, las agrupaciones de interés económico y las Uniones Temporales de Empresas, al carecer de personalidad jurídica no están sometidos al régimen del artículo 31 bis pero sí se encuentran en el ámbito de aplicación del artículo 129 C.P.

Con ambos artículos, el Código Penal establece a la persona jurídica, y a las agrupaciones sin personalidad jurídica, como sujeto del Derecho penal y establece su responsabilidad penal directa. Esta medida afecta a todas las empresas españolas, independientemente de su tamaño, a todas las pymes y autónomos. A pesar de que las cotizadas son las que más han implementado el Programa, solo el 28,57% de las empresas del IBEX 35 lo tenían implantado en julio del 2016(1).

1.1. Materialización de la responsabilidad penal de la empresa en el Código Penal

Por primera vez en España, el artículo 31.1 bis C.P. establece que, exclusivamente para unos supuestos previstos, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho, pero también por quienes, estando sometidos a la autoridad de las personas de los representantes y administradores han podido realizar los hechos por no haberse ejercido sobre ellos el debido control (teniendo en cuenta las concretas circunstancias del caso).

La responsabilidad penal de la persona jurídica no es alternativa, sino acumulativa, a la de las personas físicas materialmente responsables de delito, incluso, en los supuestos en los que no haya podido ser individualizada la responsabilidad penal de la persona física. En aquellos casos en que no resulte posible identificar a las personas físicas que cometieron el delito, al menos puede sancionarse penalmente a la persona jurídica. Si se demuestra que se ha cometido el delito, aunque no se pueda averiguar quién es el autor, o no se le pueda condenar penalmente (al no poder dirigir el procedimiento penal contra él, por ejemplo, por fallecimiento del mismo) podrá ser la persona jurídica penalmente condenada. Aunque ambas responsabilidades son compatibles e independientes, en la práctica es posible que muchos de los procesos terminen únicamente con la condena de la propia sociedad, lo cual sería una situación muy poco deseable. Vinculado con esto, es necesario evitar que la instrucción judicial “no se cierre en falso o en su fase embrionaria como consecuencia de la formalización de acuerdos de conformidad que puedan dar lugar a interesados mecanismos de deslizamiento de la responsabilidad desde la persona jurídica a la individual y viceversa”(2).

Existen dos casos en los que no deben condenarse a la persona jurídica y a la persona física por separado porque realmente no existen dos sujetos distintos: las empresas pantalla y los negocios unipersonales. Las “empresas pantalla” constituyen una simple tapadera para procurar opacidad a la actividad delictiva de una o varias personas individuales, de forma que no ostentan personalidad jurídica y carecen de auténtica alteridad, estructura organizativa y actividad interna. En estas entidades habrá de procurarse el reproche de los delitos cometidos por las personas físicas que se ocultan detrás, “levantando el velo” (STS 10-10-2006) (STS 13-10-2011) de la forma societaria, para revelar dichas conductas individuales y hacer responder al patrimonio de la entidad como patrimonio propio del autor. En los negocios unipersonales que adoptan formas societarias existe una identidad absoluta y sustancial entre el gestor y la persona jurídica, de modo tal que sus voluntades aparecen totalmente solapadas, sin que exista la diversidad de intereses propios de los entes corporativos. En este caso, resulta irrelevante la personalidad jurídica en la concreta figura delictiva, por lo que “deberá valorarse la posibilidad de imputar tan solo a la persona física, evitando la doble incriminación de la entidad y el gestor que, a pesar de ser formalmente posible, resultaría contraria a la realidad de las cosas y podría vulnerar el principio non bis in idem(3).

1.2. Doble vía de imputación

Para la fijación de la responsabilidad de las personas jurídicas, el legislador optó por establecer una doble vía de imputación: en primer lugar, el delito cometido por el administrador o representante de la sociedad (delito cometido en su nombre o por su cuenta y en su provecho, por las personas que tienen poder de representación); en segundo lugar el delito cometido por un empleado sometido al control del administrador (infracciones por ausencia de control sobre los empleados de la persona jurídica). De esta forma, se hace responsable a las personas jurídicas de hechos realizados por unas personas físicas (administradores o representantes) en dos situaciones distintas. En el primer supuesto (control primario), recogido en el artículo 31.1.a bis C.P., se ha regulado el control de las personas jurídicas a los administradores. En el segundo supuesto (control secundario), legislado en el artículo 31.1.2 bis C.P., se ha regulado el control de los administradores sobre los empleados de la sociedad, en el marco de sus deberes de diligente administración (TRLSC, arts. 225 y ss.); como los administradores no han controlado debidamente a sus subordinados, en este supuesto la sociedad será penalmente responsable por no haber designado unos administradores capaces de realizar eficientemente dicho control.

Pero, además, en las sociedades donde esté separada la propiedad y la gestión, se realiza una traslación de responsabilidad en ambas vías de imputación. En la imputación del control primario se traslada de la sociedad a los propietarios el reproche por no haber elegido (o controlado) un administrador adecuado. En la imputación del control secundario se traslada de la sociedad a los propietarios el reproche por no haber elegido (o controlado) un administrador con suficiente capacidad de control sobre sus subordinados. De esta forma, los titulares del capital ya no solo deben controlar a los administradores en sus labores de gestión, sino también asegurarse de que estos a su vez ejercerán de modo adecuado sus labores de control sobre los empleados.

El artículo 31.1 bis C.P. establece la responsabilidad por medio de dimensiones diferentes para cada uno de los dos supuestos: el control primario está basado en una responsabilidad por representación y el control secundario en una imputación de una culpabilidad organizativa.

En la imputación del control primario (art. 31.1.a bis C.P.), el legislador define una heterorresponsabilidad sobre representantes y administradores: las actuaciones delictivas de los representantes legales y los administradores de hecho o de derecho de las personas jurídicas pueden generar responsabilidad penal para estas últimas siempre que el delito se haya cometido alternativamente en el ámbito aparente —en su nombre— y competencial —por su cuenta— de la corporación, y acumulativamente, en su beneficio —en su provecho—. Este párrafo es una copia del artículo 121.1 del Código Penal francés conforme con su redacción dada en la ley del 9 de marzo del 2004, donde también se hace responder a la corporación por los hechos de sus gestores, en lo que se ha denominado muy gráficamente “responsabilidad del hecho personal por representación”(4). En el control secundario (C.P., art. 31.1.b bis), la regulación española establece una culpabilidad de heterorresponsabilidad, centrada en el concepto de culpabilidad organizativa (organisationsverschulden), procedente del §31 Código Civil alemán Bürgergesetzbuch (BGB). El concepto organisationsverschulden, definido por Schroth, pone como punto de referencia, para establecer la culpabilidad empresarial, la organización de la propia empresa; así, el núcleo del concepto de la culpabilidad organizativa empresarial reside en la carencia o deficiencia organizativa de la propia empresa. La empresa tiene una posición de garante sobre las acciones y omisiones de sus empleados, “estando obligada por dicha posición de garante a una organización correcta que, en caso de no producirse, desencadena su propia responsabilidad penal”(5). El deber de organizarse correctamente “se dirige no solo a las personas individuales, sino también a la propia empresa”(6). Así, el artículo 31.1 bis C.P. establece, en un párrafo separado, el segundo hecho punible basado en el concepto de culpabilidad organizativa: “De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso”.

Tanto en el control primario como en el secundario, el elemento clave es el control sobre los administradores. Esta visión es una aplicación a la responsabilidad penal de un tipo de responsabilidad civil, fundamentalmente la basada en dos criterios culpa in eligendo y culpa in vigilando. Según la primera, se hace responsable al sujeto por la incorrecta elección de la persona encargada. La segunda se concreta en la exigencia de control, con el objeto de poder mantener un conocimiento continuado de la labor que el órgano está llevando a cabo, relativa a las funciones que a este le han sido encomendadas. Fernández Teruelo(7) señala otro adicional, la teoría civil del riesgo, interés o beneficio, según la cual “el provecho que se obtiene de una actividad que puede generar daños a terceros obliga a afrontar también las consecuencias de tales perjuicios”.

En el control primario, para exigir responsabilidad penal a la persona jurídica es requisito que las actuaciones delictivas de los representantes de las personas jurídicas sean “en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma” (C.P., art. 31.1.a bis). Se exige que quienes dirijan la persona jurídica hayan cometido el delito en el ámbito de sus competencias y con la intención de beneficiarla. La L.O. 5/2010 tenía la redacción distinta “por cuenta y en provecho de éstas”, esto suponía que debía probarse un “provecho” con que debía actuar la persona física respecto de la persona jurídica, o el “provecho propio” que utiliza el empleado desleal para perjudicar a un tercero, además con esa redacción debía exigirse que el provecho para la persona jurídica fuese actual, es decir, que se hubiera producido efectivamente. Con la actual redacción “beneficio directo o indirecto”, también existe una cuestión no establecida por el legislador, y es en qué debe consistir el beneficio. El legislador no ha precisado la naturaleza de la medida sobre la qué calcular el provecho: resultado contable del ejercicio, beneficio evaluable por métodos económicos, beneficio estratégico desde un punto de vista de la posición mercado que puede proporcionar la conducta, beneficio en valores intangibles, incremento en el valor añadido, beneficio por acción, etc. Aunque no sea muy precisa, la redacción ha mejorado considerablemente porque se expresa un beneficio amplio, directo o indirecto en el que tiene cabida cualquier tipo de ventaja económica, ya sea monetaria, o de cualquier método evaluable en dinero.

Para el control secundario, la necesidad de la responsabilidad de las personas jurídicas está argumentada en la necesaria obediencia y control establecida en el Estatuto de los Trabajadores (E.T.). En los artículos 5º y 20 E.T. aparece, respectivamente, la obligación de los trabajadores de seguir las órdenes del empleador, y el deber del empresario en controlar la actuación de los primeros por ser un deber esencial de contrato de trabajo correlativo al poder de dirección. En el artículo 5º c) E.T. se recoge que uno de los deberes básicos de los trabajadores es “cumplir las órdenes e instrucciones del empresario en el ejercicio regular de sus facultades directivas”. En el artículo 20 E.T. aparece que “1. El trabajador estará obligado a realizar el trabajo convenido bajo la dirección del empresario o persona en quien éste delegue. 2. En el cumplimiento de la obligación de trabajar asumida en el contrato, el trabajador debe al empresario la diligencia y la colaboración en el trabajo que marquen las disposiciones legales, los convenios colectivos y las órdenes o instrucciones adoptadas por aquél en el ejercicio regular de sus facultades de dirección y, en su defecto, por los usos y costumbres. 3. El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales...”.

El artículo 31.1.b bis incluye algunas exigencias idénticas a las del artículo 31.1.a bis, a las que se añade el fallo de supervisión (imputable no se especifica exactamente a quién, al utilizar el precepto una forma impersonal del verbo), si bien la norma se refiere, también en este caso, a la conducta de las personas físicas mencionadas en el párrafo a) (gestores o representantes), sin perjuicio de que puedan existir implicados en varios escalones de la estructura empresarial. Lo anterior enlaza directamente con la regla penológica del artículo 66 bis C.P. cuando prevé la posibilidad de agravar la sanción a la entidad en función del puesto que en la estructura de la persona jurídica ocupe la persona física u órgano que incumplió el deber de control, “lo que constituye una apelación a aquello que se ha dado en llamar el núcleo de verdad de la teoría de la Identificación”(8), en virtud del cual, a mayor implicación del alto directivo en el hecho criminal, mayor debe ser el reproche en sede de la persona jurídica, por cuanto son los dirigentes de la corporación quienes, en la práctica, diseñan y ejecutan la política empresarial.

Debe interpretarse que, en la definición del control secundario, el legislador se refiere únicamente al control sobre los empleados sometidos a la autoridad directa de los administradores, y no a los restantes empleados no sometidos a esa directa relación(9). El precepto se refiere a la omisión del “debido control” sobre el colaborador sometido a la jerarquía empresarial, sin que resulte precisa una vinculación laboral a tiempo completo o con contrato fijo con la empresa, siendo suficiente con el mero arrendamiento de servicios. Por ello, en él se incluyen los contables con contrato de trabajo a tiempo completo, los contables con contrato de trabajo a tiempo parcial, los contables empleados a través de una empresa de trabajo temporal y los asesores contables externos con un contrato de arrendamiento de servicios.

Para responsabilizar a la persona jurídica de los delitos cometidos por el subordinado, será preciso acreditar que se ha omitido por parte del gestor, bien de forma directa, bien a través de la cadena de delegaciones que se haya podido prever a tal fin, el control debido respecto de su actividad. Así pues, en este segundo supuesto, el gestor no resulta penalmente responsable de la infracción penal —supuesto que se encuadraría en el artículo 31.1.a bis C.P.—, sino que se atribuye la responsabilidad a la persona jurídica por los delitos que el subordinado haya podido cometer siempre que sea atribuible al gestor la omisión del control debido sobre la actividad del mismo, es decir, la infracción de un deber de vigilancia que le viene impuesto por la ley. Resulta indiferente en este caso la naturaleza dolosa o imprudente de la conducta del gestor, por cuanto no es el resultado típico lo que se le imputa, sino la infracción de ese deber de vigilancia que se deriva del artículo 31 ter C.P. El “debido control” constituye un concepto normativo que habrá de dotarse de contenido valorativamente a través de la actividad probatoria y en contacto con las circunstancias concurrentes en cada caso. En este sentido, “la política corporativa o la llamada organización empresarial resultarán útiles —no como fundamento de la imputación de la persona jurídica, ni como sustrato sobre el que hacer gravitar la culpabilidad de la empresa como concepto trabajosamente renviado desde las personas físicas hasta las jurídicas—, sino como instrumento para evaluar el contenido real del mandato de que es titular el gestor y aquello que, junto con las normas que regulan la actividad de que se trate, integra esa necesaria supervisión de la actividad empresarial en el caso concreto”(10).

1.3. Penas y atenuantes

El artículo 33 C.P. especifica las penas aplicables en función de su naturaleza y duración. Las penas se clasifican en graves, menos graves y leves. Por su parte, el artículo 31 bis (apartado 2-5) contiene un catálogo cerrado de circunstancias que atenúan la responsabilidad penal de las personas jurídicas. En coherencia con el modelo elegido, donde la responsabilidad de la persona jurídica no obedece a la culpabilidad de la empresa sino a un mecanismo normativo de transferencia, todas las conductas que atenúan la responsabilidad de las personas jurídicas son posteriores a la comisión del delito. En concreto, solo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito, las siguientes actividades:

“1. El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2. La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

3. Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

4. No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control.

En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.

En las personas jurídicas de pequeñas dimensiones —las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada—, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración.

La persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.

Los modelos de organización y gestión deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

6. Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”.

En el artículo 31 ter C.P. se establece que “1. La responsabilidad penal de las personas jurídicas será exigible siempre que se constate la comisión de un delito, aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella. Cuando como consecuencia de los mismos hechos se impusiere a ambas la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquellos”.

El artículo 31 quater C.P. establece que “sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades.

b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.

c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito (asimilable al artículo 21 C.P., y por tanto aplicables las siguientes sentencias: STS 31-07-2006, STS 15-02-2007, STS 23-12-2010, STS 22-12-2010 y STS 29-12-2010).

d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”.

Las cuatro atenuantes responden al fenómeno de la autorregulación regulada. Según esto, el Estado, a la vista de sus propias deficiencias regulativas (por carencias de conocimientos, pero sobre todo de recursos), permite una autorregulación de las empresas a cambio de que se hagan responsables de las consecuencias derivadas de dicha autorregulación. Si como consecuencia de la comisión de un hecho delictivo, la persona jurídica detecta la comisión del mismo, lo confiesa a las autoridades, lleva a cabo una investigación interna, repara el daño causado, entrega a las autoridades el resultado de su investigación e institucionaliza (o refuerza) sus medidas eficaces para la prevención y detección de delitos, la pena a imponer resulta sustancialmente reducida. “Se entra así en una nueva era de colaboración entre las organizaciones empresariales y el Estado a la hora de ejercer el ius puniendi(11).

La cuarta causa de atenuación consiste en haber establecido unas “medidas eficaces para prevenir y descubrir delitos” [art. 31 quater C.P.]. Dichas medidas constituyen una manifestación muy específica de la figura “programas de autorregulación corporativa para prevenir el delito”, cuya existencia resulta conocida por las personas jurídicas que poseen una organización compleja, aunque ahora debe ser tenido en cuenta también por el resto de sociedades. Estos programas son analizados en el apartado siguiente.

2. Programas de autorregulación corporativa para prevenir el delito

2.1. Definición de los programas de autorregulación corporativa para prevenir el delito

El Derecho penal español se encuentra en un momento en el que está surgiendo un nuevo enfoque de prevención frente al delito. No intenta desbancar al tradicional enfoque de reacción frente al delito, sino que pretende que ambos esfuerzos se complementen y actúen juntos. Este nuevo enfoque está muy relacionado con la nueva realidad social denominada “cultura de la prevención”. La regulación sobre la responsabilidad penal de la empresa es coherente con el nuevo enfoque porque está redactada para fomentar una serie de controles en la organización que permita prevenir que el riesgo se convierta en daño.

La principal manifestación de ese nuevo enfoque es la inclusión, en el artículo 31 quater d), de los “programas de autorregulación corporativa para prevenir el delito”. Los programas no se limitan a proteger a la organización de las leyes penales, sino que intentan cumplir con todas las leyes y regulaciones en vigor, tanto internas como externas. El conjunto de personas que lo instauran y controlan, debe conocer las normativas de aplicación, implementar los mecanismos necesarios para prevenir infracciones, detectar incidentes si llegan a producirse y establecer las medidas necesarias para subsanarlos.

El concepto “programas de autorregulación corporativa para prevenir el delito” es denominado de formas diversas: compliance guide(12), compliance program(13), corporate defense(14), corporate compliance programs(15), programas de cumplimiento(16), normas de autorregulación de las empresas(17), código de autorregulación(18), plan de prevención del delito(19). La Fundación del Español Urgente (Fundéu) (http://www.fundeu.es/?s=compliance) estableció que para referirse a los sistemas de detección de infracciones en las empresas es más adecuado utilizar “cumplimiento normativo” o, simplemente, cumplimiento que al anglicismo compliance.

Por su parte, los sujetos responsables del programa son denominados “gatekeepers”(20), “compliance officer(21), “CCO” por sus siglas “Chief Compliance Officer(22) o “CECO” por sus siglas “Chief Ethics & Compliance Officer(23), aunque en idioma castellano parece más adecuado utilizar la nomenclatura “director de cumplimiento normativo”.

Los directores de cumplimiento normativo deben ser responsables de que se lleven a cabo todas las recomendaciones y controles que se van a implantar derivados de los programas de autorregulación corporativa para prevenir el delito (diseñados teniendo en cuenta tanto el cumplimiento de la legislación como los códigos internos) y, lo que es más importante, una vez implantados tendrán que velar para que, tanto los controles existentes con anterioridad al programa, como los implantados derivados del mismo, se cumplan y aseguren al órgano de gobierno de la compañía, que ha tomado todas las medidas posibles para que desde su organización no se puedan cometer delitos, y en el caso que algún miembro de su equipo se saltara dichos controles y cometiera un acto ilícito, tanto ellos como la compañía quedaran exonerados de responsabilidad jurídica.

Más allá de la denominación, las empresas deben decidir si los responsables son individuales o colegiados, y si se hace con personal de la organización o externo a ella. Las compañías pueden decidir que las funciones las asuman un órgano colegiado; a este órgano colegiado competente en materia de cumplimiento normativo frecuentemente se le denomina “compliance committee”, aunque si tuviéramos que elegir una denominación adecuada esta podría ser “comité de cumplimiento normativo”. De la misma forma, para llevar a cabo estas funciones, las empresas pueden decantarse por delegar esta función en profesionales externos que se encarguen de desarrollar los programas, o hacerlo internamente con personal de la propia organización.

Las empresas españolas del IBEX 35 han utilizado diversa terminología para designar al encargado u órgano colegiado, pero eso sí han optado masivamente por utilizar figuras internas a la organización. De las empresas que han formado parte del selectivo IBEX 35 estos últimos años (cuadro 1) solo AENA y Técnicas reunidas no poseen aun ni persona individual ni colegiada que se ocupe exclusivamente de esta misión.

PENAL63PAG42IM1

PENAL63PAG43IM2
 

Especialmente en el ámbito anglosajón reciben tal denominación cualquiera de los programas encaminados a “prevenir y descubrir conductas desviadas, asegurando que la actividad empresarial se lleva a cabo de acuerdo con todas las leyes civiles y penales aplicables, así como otras regulaciones”(24).

Su objetivo es “ratificar el deber para los administradores de cumplir con todas sus obligaciones cualquiera fuera la fuente de las mismas”(25). El legislador ha convertido el deber de las personas jurídicas, consistente en establecer las debidas medidas de control, en “una de las piezas fundamentales del nuevo sistema”(26).

La instauración de los programas se basa en un cambio de idea, según el cual, los directivos y socios no quieren que se cometan delitos, no solo por la cuantía de la multa, sino también por el desprestigio que conlleva y por la posible disminución de valor de la empresa. Los programas de cumplimiento no tienen como única función ser un atenuante de la responsabilidad penal de las personas jurídicas, sino que deberían ser entendidos como un cauce para potenciar el negocio en sí mismo, proporcionando a la empresa mayores ventajas competitivas o mejorando el servicio al cliente. El programa se ha convertido prácticamente en una obligación para la empresa, “es una necesidad, no en sentido jurídico, pero sí desde un punto de vista preventivo”(27), lo que aporta un valor añadido a la empresa.

El establecimiento o no de estos programas de cumplimiento puede igualmente incidir en la hipotética exigencia de responsabilidad penal a las personas físicas que en el seno de la empresa detentan competencias en materia de autorregulación(28), cuestión relacionada con el deber de garantizar la observancia del cuidado necesario para evitar en la medida de lo posible y exigible que del círculo de la organización de la empresa se deriven daños para terceros(29) y, en definitiva, con la idea de que el titular de la empresa no solo debe observar personalmente la ley penal, sino también impedir que se conculque por los sujetos que cooperan con él(30).

La elaboración y el cumplimiento de las programas de autorregulación corporativa para prevenir el delito únicamente son relevantes en la medida en que traduzcan una conducta(31). Por supuesto, no es posible estar de acuerdo con la opinión doctrinal, cada vez más generalizada, de que la mera formalización de unos estándares de actuación es un eximente y, por supuesto, más en contra aun de que su establecimiento es suficiente per se para eludir la responsabilidad penal de las corporaciones. Al órgano gestor de las empresas le corresponde una obligación de control y vigilancia sobre sus subordinados y, en este sentido, lo importante no es la adquisición de un código de autorregulación, sino la acreditación de que los gestores o los órganos de gobierno de la persona jurídica han ejercido por sí o por delegación en otras personas todas las medidas exigibles para la prevención, detección y reacción ante posibles delitos. Así las cosas, se hace necesario que las personas jurídicas implementen programas de autorregulación corporativa para prevenir el delito que consigan prevenir, detener y reaccionar frente a los posibles delitos de forma efectiva, en cuyo caso tendrán un atenuante en caso de imputación de un delito, pero nunca un eximente.

La regulación de los programas de autorregulación corporativa para prevenir el delito requiere la explicitación de la dimensión (supone una medida atenuante o excluyente) y alcance (si se debe aplicar sobre el control primario, secundario o ambos).

Aunque existan autores que defienden la exclusión del delito en el supuesto de que existan estos programas, la literalidad de la norma establece que solamente es una medida atenuante, no excluyente. También existen argumentos favorables a la literalidad de las normas, por ejemplo, Nieto Martin(32): “la adopción de medidas de organización, que el Proyecto concreta en los denominados Códigos de prevención, sólo atenúan, pero no sirven para excluir la responsabilidad”. Los programas de autorregulación corporativa para prevenir el delito podrán servir de instrumento para evaluar el contenido real del mandato de que es titular el gestor o representante, y aquello que, junto con las normas que regulan la actividad de que se trate, integra el control debido de la actividad empresarial en el caso concreto, pero no constituyen el fundamento de la imputación de la persona jurídica. Por tanto, el legislador español ha considerado la inclusión de los programas de autorregulación corporativa para prevenir el delito como atenuante, no como excluyente, y así está bien, no parece adecuada la modificación de su dimensión.

Según la Fiscalía General del Estado(33) (FGE) se debe evitar que la compañía “se desentienda de la responsabilidad derivada de los delitos cometidos o no evitados por su gestor”, cuando es este último quien, en condiciones normales, diseña y sobre todo, lleva a la práctica la propia política empresarial, de modo que cualquier formulación corporativa contra el delito por medio de los programas de autorregulación corporativa para prevenir el delito sirvan, por sí solos, de recurso para eludir la responsabilidad penal.

Por otro lado, para Bacigalupo(34), estos programas pueden constituir una causa de exclusión de la culpabilidad exclusivamente “por defecto de organización”, si bien el resto de doctrina que lo considera medida de exclusión lo ha interpretado como causa de exclusión del control primario y secundario. Siguiendo la literalidad de la norma, el establecimiento de los programas debe considerarse como una medida atenuante del delito tanto para el control primario como para el secundario(35).

Por supuesto, son insuficientes las operaciones de simple mejora de la imagen empresarial, requiriéndose que dicho sistema sea apto para prevenir y/o detectar la comisión de delitos en el seno de la persona jurídica.

El programa debe ser específico para cada empresa, estableciéndose en función de su actividad y organización concreta.

Es necesario que la estructura organizativa de las empresas, sus órganos de gestión y supervisión interna, estén configurados teniendo especialmente en cuenta los riesgos de cada actividad empresarial concreta, la dimensión de la empresa y sus sucursales o filiales, etc. En función de tales características de la empresa se podrá configurar y delimitar la posición de garante, los deberes de supervisión y control, así como los requisitos que ha de cumplir su eventual delegación.

La culpabilidad de la persona física y de la jurídica “son dos magnitudes independientes, pero, a su vez, estrechamente relacionadas”(36). Ello implica que sea conveniente un único proceso para dilucidar ambas responsabilidades y por regla general constatar que la responsabilidad colectiva implica determinar todos los detalles de la responsabilidad individual. El aspecto más revelador para observar el grado de culpabilidad de la empresa es el nivel jerárquico del infractor. La organización debe orientar sus esfuerzos en asegurar que los directivos respetan la ley, en mayor medida que para los empleados. La realización del delito por un alto cargo de la entidad implica que existe una mala cultura corporativa, y que no son creíbles ninguna de las medidas de organización que hayan podido ser adoptadas.

2.2. Diseño de los programas

Para acceder a la exención de la responsabilidad, la empresa debe establecer un programa de compliance, que cumpla los siguientes requisitos:

1. Previo. Adoptado antes de la comisión del delito.

2. Eficaz. Ejecutado con eficacia antes de la comisión del delito.

3. Idóneo. Debe incluir medidas de vigilancia y control idóneas para: (a) prevenir delitos de la misma naturaleza que el cometido, o (b) reducir de forma significativa el riesgo de su comisión.

El modelo debe estar compuesto por seis componentes:

1. Mapa de riesgos. Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Protocolo de toma de decisiones. Establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución en las mismas en relación con aquellos.

3. Modelo de gestión de los recursos financieros. Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Canales de denuncias. Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo de vigilar el funcionamiento y la observancia del modelo de prevención.

5. Sistema disciplinario. Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

6. Verificación periódica. Realización de una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

En estos modelos son fundamentales los adecuados procedimientos de control correctamente comunicados a toda la organización, y la segregación de funciones.

En las grandes empresas deberá existir un órgano de supervisión, con poderes autónomos de iniciativa y de control. Este órgano estará dedicado a la supervisión del funcionamiento y del cumplimiento del modelo, también puede ser objeto de una asignación legal de la función de supervisar la eficacia de los controles internos.

Para conseguir la exención de la responsabilidad penal no debe haberse producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano de supervisión.

Para identificar si existe una exención o una atenuación es necesario evaluar el modelo. Si la empresa acredita totalmente el cumplimiento de las anteriores condiciones, quedará exenta de responsabilidad penal, mientras que, si la acreditación de las anteriores condiciones es parcial, podrá ser valorada a los efectos de la atenuación de la pena.

Los sistemas de compliance se articulan, generalmente, en torno a tres pilares: prevención, detección y reporte, y resolución(37).

1. Prevención. En esta fase, se dota a la organización de las herramientas que eviten la comisión de delitos: desde idear los procedimientos que permitan la observancia de la ley hasta materializar estos procedimientos en el comportamiento diario de los empleados. Las tareas relacionadas con la prevención son:

1.1. Identificar y evaluar los riesgos: una primera función del cumplimiento normativo es detectar los delitos que deben ser prevenidos y las actividades de la empresa en las que puede llegar a incurrirse en delito. Exige también determinar los riesgos por incumplimiento y analizar el alcance de los mismos, para poder priorizar las acciones del programa de compliance.

1.2. Diseñar e implementar los protocolos y procedimientos que permiten prevenir la comisión de delitos, a través de: a) la elaboración del código de conducta / código ético; b) el establecimiento de políticas sobre la toma de decisiones y su ejecución; c) la fijación de las medidas concretas de vigilancia y control; d) la planificación del sistema disciplinario con los correspondientes incentivos por cumplimiento y sanciones por incumplimiento; e) la inclusión de cláusulas de prevención y cumplimiento en los contratos con proveedores, por cuya actividad la empresa también puede ser responsable penalmente.

1.3. Proporcionar orientación y apoyo a las diferentes áreas de la entidad para que puedan implementar los protocolos y procedimientos y ajustarse a los estándares de manera efectiva.

1.4. Marcar el tono ético entre los consejeros y directivos, trasladando a los directivos la importancia de priorizar los criterios de cumplimiento y de ética en la toma de decisiones, así como de transmitirlos y enfatizarlos a través de su práctica diaria y su comunicación.

1.5. Sensibilizar a toda la organización sobre la importancia del cumplimiento regulatorio e implementar iniciativas para promover una cultura ética en la organización. Para ello, es preciso: a) ofrecer formación, general y específica por áreas, de manera continuada en todos los aspectos relativos al cumplimiento normativo que puedan afectar a su actividad; b) trasladar los valores del compliance a la cultura corporativa (que los empleados puedan ver y practicar en su trabajo diario) y dar visibilidad a los comportamientos positivos como vía para incentivarlos; c) convertir a los directivos, a todos los niveles, en modelo de referencia para su equipo, de forma que el cumplimiento se traslade desde arriba como un efecto dominó; d) animar a los empleados a plantear sus dudas, a través de un buzón de correo electrónico, consulta telefónica o la figura del ombudsman corporativo (el “defensor del pueblo”, una figura independiente que ofrece escucha neutral, apoyo, consejo y confidencialidad al empleado que acude con un problema).

1.6. Políticas de contratación y promoción, especialmente de los directivos, para evitar responsabilidades derivadas de los actos que realiza un empleado en el ámbito de su labor: culpa in eligendo (responsabilidad por haber realizado la elección de dicho empleado) y culpa in vigilando (responsabilidad por no haber llevado a cabo la adecuada supervisión del empleado).

2. Detección y reporte. En esta fase, se localizan posibles focos de incumplimiento y se informa a los órganos responsables para que puedan tomar las medidas necesarias. Se trata de una de las labores más importantes del cumplimiento normativo, ya que la empresa será penalmente responsable de aquellos delitos que han sido posibles debido a una omisión de sus deberes de supervisión, vigilancia y control; y, por otra parte, la empresa puede quedar exenta de responsabilidad de los delitos cometidos en su nombre si demuestra haber adoptado y ejecutado las medidas de vigilancia y control idóneas para prevenirlos. La fase de detección y reporte se ocupa de:

2.1. Vigilancia y control del cumplimiento del modelo de prevención, para identificar posibles comportamientos irregulares en las actividades de la empresa o entre los empleados. Para ello, puede servirse de: a) monitorización de los indicadores de riesgo (key risk indicators, KRI); b) test periódicos de verificación de la adecuación de las operaciones al reglamento interno y a la regulación vigente; c) canal de denuncias (whistleblowing): sistema a través del cual se reciben las noticias sobre conductas indebidas, infracciones y posibles comportamientos con relevancia penal. Puede estar disponible tanto para grupos de interés internos (empleados) como externos (clientes, proveedores), a quienes, preferiblemente, deben permitir la posibilidad de proporcionar información de forma confidencial y anónima, para evitar repercusiones sobre el denunciante; d) investigaciones internas: iniciadas habitualmente a partir de las denuncias recibidas, para obtener información y pruebas, y esclarecer el suceso referido. El procedimiento de investigación debe tener en cuenta la presunción de inocencia y atenerse a la legalidad, y e) auditorías independientes.

2.2. Informar al Consejo de Administración a través de reportes periódicos o reportes ad hoc de los posibles riesgos e incumplimientos detectados.

2.3. Seguir y revisar el correcto funcionamiento del sistema de compliance, para localizar posibles fallos e implementar mejoras.

2.4. Medir el desempeño del modelo, de los resultados y de la consecución de los objetivos previstos.

3. Resolución. En caso de incumplimiento, compliance se encarga de impedir, minimizar o compensar el impacto de las actuaciones indebidas. Para ello, se ocupa de:

3.1. Establecer recomendaciones y medidas para garantizar la resolución de incidentes, la subsanación de las deficiencias detectadas y evitar su repetición.

3.2. Adoptar sanciones para los casos de incumplimiento, conforme al sistema disciplinario establecido.

3.3. Modificar el modelo, tras el descubrimiento de fallos en su funcionamiento o por cambios en la organización, y asegurar su adecuación a los nuevos requerimientos de la regulación y del negocio.

Conviene destacar la importancia de documentar todo el proceso de implementación, vigilancia y remediación del compliance, ya que para conseguir la exención de la responsabilidad penal debe poder demostrarse que se ha realizado por parte de la empresa un ejercicio suficiente y adecuado para la prevención del delito. En este sentido, no es suficiente contar con las políticas en el papel y con un sistema que disponga de todos los requisititos establecidos por la normativa, si no se ha realizado el esfuerzo de inculcar una cultura que garantice la práctica diaria del cumplimiento entre los empleados. La implementación efectiva del compliance también precisa que el responsable del programa goce de independencia y de autoridad dentro de la organización, y especialmente, esté capacitado para demandar información y dar recomendaciones a otros directivos, y cuente con recursos adecuados y el apoyo de la dirección general.

Las actuaciones del programa de compliance no solo permiten que la empresa se adapte al complejo entorno regulatorio y evite ser sancionada. También facilitan las prácticas de gobierno corporativo, mitigan los riesgos (financieros, legales y reputacionales) de una gestión empresarial negligente, mantienen a la alta dirección informada sobre el desempeño de la organización, favorecen la toma de decisiones, aumentan la transparencia y dan respuesta a las demandas de los grupos de interés.

2.3. Análisis crítico

Aunque el establecimiento de la responsabilidad penal de las personas jurídicas es una buena medida de disuasión, es posible realizar un análisis crítico de la materialización concreta establecida en la legislación española. La traslación de la responsabilidad penal de las personas físicas a las jurídicas formulada en España parte de una premisa al menos parcialmente falsa: los delitos se cometen por la falta de control de los titulares de la sociedad. Por un lado, es imposible establecer unos controles perfectos que impidan los delitos, por el otro, las motivaciones de los individuos para delinquir son tan diversas que es imposible que un controlador pueda preverlas todas a priori. Por ello, con la actual redacción del Código Penal, la jurisprudencia, previsiblemente, no condenará la mayoría de las situaciones en la que se ha producido la falta de control.

Lo más preocupante es que su inclusión en el Código Penal puede tener un efecto perverso. Es posible que las pocas situaciones en que las sentencias imputen a personas jurídicas, sean los casos en los que exclusivamente se condenen a las personas jurídicas, sin llegar a alcanzar a las personas físicas. A pesar de que las responsabilidades de las personas físicas y jurídicas están legisladas para ser compatibles e independientes, en la práctica es posible que muchos procesos terminen únicamente con la condena de la propia sociedad, lo cual sería una situación muy poco deseable porque la persona física delincuente sería la beneficiada de este modelo. El establecimiento de un modelo de responsabilidad de los entes sociales puede contribuir a relajar los esfuerzos para localizar a la persona física autora del hecho delictivo, de forma que el asunto quede resuelto con la imputación de la persona jurídica, sin que se continúe persiguiendo a la persona física porque habrá disminuido la sensación de intranquilidad de tener un caso sin resolver, aunque esto solo se haya producido a medias.

El delincuente económico puede llegar a ser el gran beneficiado de este modelo. El establecimiento de un modelo de responsabilidad de los entes sociales puede contribuir a relajar los esfuerzos por localizar al autor (persona física) del hecho delictivo e imputarle el delito. La nueva responsabilidad penal de las personas jurídicas “ofrece la posibilidad de resolver el conflicto con un sujeto (persona jurídica) culpable y terminar, aunque sea parcialmente, con la sensación de frustración que produce un caso no resuelto”(38). En el mundo anglosajón se ha constatado cómo, en muchas áreas, la responsabilidad individual ha perdido importancia, al ser suplantada por la responsabilidad colectiva; las cifras son significativas: “en la mitad de los procesos del derecho penal de la empresa, la única procesada es la persona jurídica”(39).

Con la entrada en vigor de esta reforma del Código Penal, aparecerán comportamientos de las empresas hasta ahora poco habituales, por ejemplo, despidos de trabajadores ante una mera imputación de hecho delictivo a uno de ellos (lo cual puede estar conectado con las motivaciones empresariales de disminuir su plantilla en situaciones de crisis económica), y “conflictos de intereses para los abogados que, anteriormente a la reforma, puede que hubiesen ejercido la defensa conjunta de empresa y trabajador”(40).

Además, no parece adecuada la formulación legislativa en la que la sociedad responde por hechos ajenos, atribuyendo a la misma algo que hicieron unas personas físicas. No es objeto de delito una responsabilidad propia de la persona jurídica, sino una responsabilidad penal indirecta. A la persona jurídica se le imputa un comportamiento activo u omisivo de uno, varios o todos sus administradores. Tanto el posible defecto de organización, como las concretas acciones u omisiones reprochadas a la persona jurídica son, en realidad, realizadas por las personas físicas que la dirigen o gestionan, o por aquellos propietarios que tienen la teórica capacidad de controlar a los administradores, pero nunca por la persona jurídica.

Junto a las deficiencias aplicables para ambos controles, es posible advertir errores en la regulación particular del control primario. La redacción del control primario, debe mejorar definiendo qué sujetos deberían haber realizado el necesario control y cuáles son las obligaciones de control que los socios deben ejercitar.

Para definir adecuadamente la responsabilidad penal de las personas jurídicas, es necesario establecer qué sujetos deberían haber realizado el necesario control primario. La legislación española no lo ha establecido. De la lectura del artículo 31.1 bis C.P. parece desprenderse que son las personas jurídicas las que deben realizar el control primario. No obstante, este argumento no es satisfactorio desde la visión de heterorresponsabilidad; para ser consecuente, debe plantearse cuáles son los sujetos que deben controlar a los administradores, y solo pueden ser los propietarios. Por tanto, en cualquier empresa, los propietarios son los que deben realizar el control. En el caso particular de una sociedad anónima, los obligados en teoría serían los titulares del capital social, que son los accionistas; en la práctica, únicamente deberían ser los accionistas “de control” que hacen cierto seguimiento de la gestión, y no los accionistas inversores, que ni quieren ni pueden establecer ningún tipo de control y, mucho menos los accionistas considerados como pasivos financieros.

También es necesario identificar cuáles son las obligaciones de control que los socios deben ejercitar. Deberían tratarse de unas obligaciones claras, nítidamente perfiladas y predeterminadas. Sin embargo, el legislador no ha establecido obligaciones específicas, sino indeterminados y genéricos mandatos. El ejercicio ordinario de control se basa fundamentalmente en la convocatoria de la junta de accionistas, que es “un procedimiento escasamente ágil y dinámico a efectos de la evitación de delitos”(41). Por todo ello, a los socios se les puede reprochar, para después convertir dicho reproche en responsabilidad de la sociedad, la ausencia de un control que está escasamente definido y que, en la práctica, no va a resultar demasiado operativo.

Por si fuera poco, la medida de la responsabilidad penal de las personas jurídicas establecida en el Código Penal previsiblemente no supondrá una mejora para combatir la delincuencia económica ejecutada desde ámbitos empresariales. La reforma produce deficiencias en los dos extremos de realidades societarias. Por un lado, no satisface a las empresas pequeñas donde el gestor o administrador de la sociedad es a la vez propietario de la misma (de todo o gran parte del capital). Para las empresas pequeñas no existirá una gran diferencia entre propiedad y gestión, porque los socios suelen estar muy unidos a la sociedad, ya sea porque tienen responsabilidad ilimitada o porque tienen un gran porcentaje en el capital. En las pymes, los mismos hechos dan lugar a una doble responsabilidad: el administrador responde (penalmente) de manera personal y responde como titular de la sociedad condenada penalmente por la misma conducta delictiva. Además, en este caso el fundamento del reproche es la falta de control que ha posibilitado el delito, por lo que se le reprocha no haberse controlado a sí mismo. Por otro lado, tampoco satisface a las grandes empresas, en la que determinados sujetos con un porcentaje escaso del capital controlan la sociedad y su gestión, debido a diversas razones entre la que destaca la dispersión del capital entre multitud de accionistas. Para las empresas grandes (donde la mayoría de los accionistas no tienen interés alguno en invertir tiempo y dinero en controlar a los directivos), el problema se deriva de que el planteamiento establecido por el legislador desconoce el funcionamiento real de las grandes sociedades. El legislador considera que la medida estimula el cuidado de los accionistas de la sociedad respecto de la designación de personas con capacidad suficiente para ejecutar de modo diligente, y sobre todo legal, las funciones de gestión de la sociedad y control del resto del personal de él dependiente. El legislador interpreta que “los socios o accionistas se implicarían en el control de quienes ejercen la gestión de la sociedad, dado que sus excesos repercutirían indirectamente en su inversión”(42). Cómo las sanciones penales previstas para la empresa son de contenido económico (directo o indirecto), los accionistas querrán evitarlas porque supondría un empobrecimiento del valor de sus acciones o participaciones en la sociedad. Dicho planteamiento parte del supuesto de que los propietarios de la sociedad son los socios y accionistas y, por lo tanto, tienen que ejercer controles sobre los gestores de la sociedad. Pero en sociedades de gran tamaño esto no ocurre para todos los socios por igual. Cuando a los socios o accionistas de inversión no les gusta el modo en que se gestiona la sociedad, normalmente no toman ninguna medida, como mucho abandonan la inversión. Por tanto, se sigue una dinámica inversa a la esperable por el legislador: quienes se van son los dueños y no los gestores que, en definitiva, son empleados.

La perspectiva del mercado de capitales ha acentuado aún más el fenómeno, afectando no solo al ámbito externo de la sociedad, sino que influye decisivamente en su sistema orgánico. La dispersión accionarial, como instrumento para la acumulación de capitales, ha provocado la separación entre la propiedad del capital y la gestión en la sociedad abierta. La dispersión del accionariado ha generado un traslado del poder de decisión, del órgano tradicional de gobierno (la junta general de accionista) hacia el órgano de administración. En consecuencia, dentro de las sociedades con responsabilidad limitada se produce un desajuste entre lo establecido en el TRLSC, donde se asigna el gobierno a los accionistas, y lo que ocurre realmente en el mercado, donde el poder de decisión recae en el órgano de administración y en verdad, ni siquiera en dicho órgano, sino en aquellos ejecutivos que están al frente de la gestión. Esta situación va acompañada del convencimiento general de que la gestión actual requiere alta profesionalización y agilidad en la toma de decisiones, lo que sin duda, ha acentuado el fenómeno. La principal manifestación de este desajuste es la escasa participación de los accionistas en las juntas generales de accionistas. En las grandes sociedades anónimas, el accionista clásico ha pasado a ser solamente un inversor, por lo que los supuestos propietarios de la sociedad no realizan un control suficiente sobre los ejecutivos que gestionan. El legislador tradicional parte de la idea que el conjunto de accionistas-propietarios reunidos en las juntas generales de accionistas constituyen la fuente de todo el poder en la sociedad anónima, que puede ser ejercido directamente o bien delegar en otros órganos en la medida que sea conveniente por razones prácticas. Este esquema ha sido avasallado por la estructura empresarial de la gran sociedad anónima. Esta situación genera grandes conflictos dentro de las organizaciones, que pueden sintetizarse en el riesgo que existe en que los ejecutivos orienten las decisiones societarias en beneficio propio, antes que en el interés social.

Lo que nunca debería ocurrir es que el hecho de contar con programas efectivos de compliance permitiese considerar a las empresas que el cumplimiento normativo es una herramienta de blindaje de la cúpula directiva de la organización. La propia FGE, en su Circular 1/2016, reconocía cómo algunas empresas “se han dotado de completos y costosos programas con la única finalidad de eludir el reproche penal”; programas que, en el seno de las entidades, “se perciben como una suerte de seguro frente a la acción penal”. En este sentido, en lugar de extender prácticas de responsabilidad, los programas de compliance extenderían en la empresa los medios necesarios para “poder ejercer una adecuada defensa en el caso de una imputación por delito”(43).

En conclusión, es posible inferir que en el futuro no existirán muchas sentencias que condenen a las personas jurídicas penalmente, porque la legislación no ha definido correctamente los sujetos que deben realizar el control primario y cuáles son las obligaciones de control primario que deben ser realizadas. Además, la regulación de la responsabilidad penal de las personas jurídicas en España tiene deficiencias: la filosofía de la legislación no tiene sentido porque se imputa a las personas jurídicas hechos realizados u omitidos por unas personas físicas, además, que la materialización de la legislación no ha tenido en cuenta el funcionamiento real de pequeñas y grandes empresas. Esta idea es contraria a la opinión expresada por el Presidente de la Audiencia Nacional, José Ramón Navarro, el cual prevé la entrada de un elevado número de asuntos penales de las empresas(44).

Conclusiones

La legislación establecida sobre la responsabilidad de la empresa en España es ambigua, por esta razón ha sido tan importante la Circular 1/2016 emitida por la FGE. Todas ellas han precisado las deficiencias encontradas en la legislación.

La inclusión de la responsabilidad de las personas jurídicas debe tener como finalidad hacer más efectiva la responsabilidad individual. No puede ocurrir que sustituya a la responsabilidad individual, porque esto supondría un error gravísimo al disminuir la eficacia del derecho penal.

El gran beneficiado del modelo de responsabilidad de los entes sociales puede ser la persona física que comete delitos. El establecimiento de este modelo puede contribuir a relajar los esfuerzos por localizar a la persona física autora del hecho delictivo e imputarle el delito. La nueva responsabilidad penal de las personas jurídicas ofrece la posibilidad de resolver el conflicto con una persona jurídica culpable y terminar, aunque sea parcialmente, con la sensación de frustración que produce un caso no resuelto, lo que puede ser un aliciente, incluso, para que se cometan más delitos. Es necesario estar muy atentos a la actuación jurisprudencial, porque nos dará la verdadera dimensión de la inclusión de esta responsabilidad.

Una de las razones por las que podemos inferir que en el futuro no existirán muchas sentencias que condenen a las personas jurídicas penalmente, es porque la legislación no ha definido correctamente los sujetos que deben realizar el control primario y cuáles son las obligaciones de control primario que deben ser realizadas. Además, la regulación de la responsabilidad penal de las personas jurídicas en España tiene deficiencias: la filosofía de la legislación no tiene sentido porque se imputa a las personas jurídicas hechos realizados u omitidos por unas personas físicas, además, la materialización de la legislación no ha tenido en cuenta el funcionamiento real de pequeñas y grandes empresas.

No parece adecuada la formulación legislativa en la que la sociedad responde por hechos ajenos, atribuyendo a la misma algo que hicieron unas personas físicas. No es objeto de delito una responsabilidad propia de la persona jurídica, sino una responsabilidad penal indirecta. A la persona jurídica se le imputa una acción de su administrador y se le reprocha un comportamiento activo u omisivo de uno, varios o todos sus administradores. Tanto el posible defecto de organización, como las concretas acciones u omisiones de la persona jurídica son, en realidad, realizados por las personas físicas que la dirigen o gestionan, o por aquellos propietarios que tienen la teórica capacidad de controlar a los administradores, pero nunca por la persona jurídica. Esta situación no sería negativa si verdaderamente se produjera una acumulación de la imputación del delito a la persona física y a la jurídica. Sin embargo, existen grandes motivaciones para que únicamente se condene a la persona física.

Aunque el establecimiento de la responsabilidad penal de las personas jurídicas es una buena medida de disuasión, es posible realizar un análisis crítico sobre la materialización concreta establecida en la legislación española. La traslación de la responsabilidad penal de las personas físicas a las jurídicas formulada en España parte de una premisa al menos parcialmente falsa: los delitos se cometen por la falta de control de los titulares de la sociedad. Por un lado, es imposible establecer unos controles perfectos que impidan los delitos, por el otro, las motivaciones de los individuos para delinquir son tan diversas que es imposible que un controlador pueda preverlas todas a priori. Por ello, con la actual redacción del Código Penal, la jurisprudencia, previsiblemente, no condenará la mayoría de las situaciones en la que se ha producido la falta de control.

La introducción de la responsabilidad penal de las empresas añadió una cierta inseguridad jurídica al sistema, ya que las empresas no sabían qué mecanismos de control de prevención del delito tenían que adoptar.

En este entorno, el establecimiento de programas de autorregulación corporativa para prevenir el delito es una necesidad para la empresa, no por existir una obligación jurídica, sino que su carácter preventivo para atenuar las responsabilidades penales le aporta un valor agregado.

Observando lo anterior, se puede considerar como fundamental la Circular 1/2016 emitida por la FGE. El objetivo de este documento es impartir instrucciones a los fiscales para valorar la eficacia de los planes de cumplimiento normativo, pero igualmente permite a las empresas conocer las cualidades que debería tener un programa para que, ante una eventual actuación futura, fuese un eximente de la responsabilidad penal. De la circular podemos extraer las siguientes características y cualidades que debe tener el programa de prevención. Para acceder a la exención de la responsabilidad, la empresa debe establecer un modelo de organización y gestión, que cumpla tres requisitos: previo, eficaz e idóneo. Además, el modelo de prevención y control debe contener seis elementos: mapa de riesgos, protocolo de toma de decisiones, modelo de gestión de los recursos financieros, canales de denuncias, sistema disciplinario y verificación periódica.

La circular establece que en las grandes empresas deberá existir un órgano de supervisión, con poderes autónomos de iniciativa y de control. Dedicado a la supervisión del funcionamiento y del cumplimiento del modelo, también puede ser objeto de una asignación legal de la función de supervisar la eficacia de los controles internos.

También queda claro en la circular que para conseguir la exención de la responsabilidad penal no debe haberse producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano de supervisión.

Si la empresa acredita totalmente el cumplimiento de las anteriores condiciones, quedará exenta de responsabilidad penal. No obstante, si la acreditación no ha sido total de las anteriores condiciones, sino parcial, podrá ser valorada para los efectos de la atenuación de la pena.

La instauración del programa requiere un cambio en la cultura organizativa. El ejemplo más claro puede observarse en el canal de denuncias, pues a los trabajadores que lo utilizan en Estados Unidos se les recompensa con una cantidad monetaria, mientras que en España no solo no se les premia, sino que se les castiga con una marginación dentro de la organización, considerándolos delatores y traidores a sus compañeros.

(1) Vid. Compliance GAP Analysis Abogados (2016). Los Programas de Compliance y la Responsabilidad Social Corporativa Madrid. Compliance GAP Analysis Abogados.

(2) Vid. Fiscalía General del Estado (2011). Circular 1/2011… op. cit., p. 113.

(3) Ibídem, p. 19.

(4) Vid. Fiscalía General del Estado (2011). Circular 1/2011… op. cit., p. 31.

(5) Vid. Schroth, H. J. (1993). Unternehmen als Normadressaten und Sanktionsobjekte, Giessen, Brühlscher, p. 203.

(6) Vid. Tiedemann, K. (1997). “Responsabilidad penal de personas jurídicas, otras agrupaciones y empresas en Derecho comparado”. En: Gómez Colomer, J. L.; González Cussac, J. L. (coord.) La reforma de la Justicia Penal (Estudios en homenaje al Prof. Klaus Tiedemann), Publicacions de la Universitat Jaume I, Castellón de la Plana, 97-110, p. 31.

(7) Vid. Fernández Teruelo, J. G. (2011). “La responsabilidad penal de las personas jurídicas en el código penal español (una visión crítica)”. En: Revista jurídica de Castilla y León, n.º 25, septiembre, 7-42, p. 11.

(8) Vid. Fiscalía General del Estado (2011) Circular 1/2011..., op. cit., p. 45.

(9) Así lo entienden también Dopico Gómez-Aller, J. (2010). “Responsabilidad de personas jurídicas”. En: F. Molina Fernández (coord.), Memento Práctico Penal 2011, Francis Lefebvre, Madrid, pp. 319-328; y Fernández Teruelo, J. G. (2011). “La responsabilidad penal de las personas jurídicas en el código penal español (una visión crítica)”. En: Revista Jurídica de Castilla y León, n.º 25, septiembre, p. 33.

(10) Vid. Fiscalía General del Estado (2011). Circular 1/2011..., op. cit., p. 48.

(11) Vid. Silva Sánchez, J. M. (2010). “Los delitos patrimoniales y económico-financieros”. En: Diario La Ley, n.º 15001/2010, 23 de diciembre, p. 11.

(12) Vid. Fiscalía General del Estado (2011). Circular 1/2011 …, op. cit., pp. 39, 48 y 49.

(13) Vid. Derecho italiano, D. L. 231/2001. O’Sullivan, J. R. (2003). Federal White Collar Crime, 2nd edition, West 4th Ed., New Jersey, p. 241. Silva Sánchez, J. M. (2010). “Los delitos patrimoniales y económico-financieros”, Diario La Ley, n.º 15001/2010, 23 de diciembre, p. 10. Bacigalupo, S. (2011). “Los criterios de imputación …”, op. cit., p. 2.

(14) Vid. Fiscalía General del Estado (2011). Circular 1/2011… op. cit., pp. 48-49.

(15) Vid. Gómez-Jara Díez, C. (2006a). “El nuevo art. 31.2 del Código penal: cuestiones de lege data y de lege ferenda”, Diario La Ley, nº 6548, 13 de septiembre, 1-13. Gómez-Jara Díez, C. (2006b). “Presentación”. En: Gómez-Jara Díez (ed.), Modelos de autorresponsabilidad penal empresarial. Propuestas globales contemporáneas, Thompson, 21-24. Abdala, Martín E. (2009). “Régimen de responsabilidad de los administradores de sociedades en el derecho alemán” En: Revista de derecho, 31: 92-104, p. 97. Gómez-Jara Díez, C. (2010). Fundamentos modernos de la responsabilidad penal de las personas jurídicas. Bases teóricas, regulación internacional y nueva legislación española, Montevideo-Buenos Aires.

(16) Vid. Silva Sánchez, J. M. (2010). “Los delitos patrimoniales y económico-financieros”. En: Diario La Ley, n.º 15001/2010, 23 de diciembre, p. 10.

(17) Vid. Fiscalía General del Estado (2011). Circular 1/2011…, op. cit., pp. 39.

(18) Ibídem, pp. 48 y 49.

(19) Ibídem, pp. 48 y 49.

(20) Vid. Coffee, J. C. Jr. (2006). Gatekeepers. The professions and corporate governance, Oxford University Press, Nueva York, pp. 389-390.

(21) Vid. Rotsch (2009). “Entscheidungsbesprechung: Garantenpflicht aufgrund dienstlicher Stellung”, ZJS 6/2009, 712-713. Vid. Bürkle (2010). Corporate Compliance-Handbuch der Haftungsvermeidung im Unternehmen, Hauschka, C. F., 2.ª ed., C. H. Beck, pp. 128-130.

(22) BGH Urt.v. 17.7. 2009-5. StR 394/08, NJW 2009, p. 3173.

(23) Vid. Remacha, M. (2016). Compliance, Ética y RSC. Cuaderno n.º 31 de la Cátedra de la Caixa de Responsabilidad Social de la Empresa y Gobierno Corporativo, julio, IESE, Universidad de Navarra, p. 7.

(24) Vid. O’Sullivan, J. R. (2003). Federal White Collar Crime, 2nd edition, West 4th Ed., New Jersey, p. 241.

(25) Vid. Abdala, Martín E. (2009). “Régimen de responsabilidad de los administradores de sociedades en el derecho alemán”. Revista de derecho, 31: 92-104, p. 97.

(26) Vid. Dopico Gómez-Aller, J. (2010). “Responsabilidad de personas jurídicas”. En: F. Molina Fernández (coord.), Memento Práctico Penal 2011, Francis Lefebvre, Madrid, pp. 319-328, p. 325.

(27) Vid. Gabinete Jurídico del CEF (2011). “La responsabilidad penal de las personas jurídicas”. Revista de Contabilidad y Tributación, n.º 346, pp. 165-176, p. 175.

(28) Vid. Feijoo Sánchez, B. (2008). “Autorregulación y Derecho Penal de la Empresa: ¿Una cuestión de responsabilidad individual?”. En: L. Arroyo Jiménez/A. Nieto Martín (dirs.), Autorregulación y sanciones, Lex Nova, Valladolid, pp. 198-252.

(29) Vid. Peñaranda Ramos, E. (2006). “Sobre la responsabilidad en comisión por omisión respecto de hechos delictivos cometidos en la empresa (y en otras organizaciones)”. En: Díaz-Maroto y Villarejo (coord.), Derecho y Justicia penal en el siglo XXI: Liber amicorum en homenaje al profesor Antonio González-Cuéllar García, pp. 411-430.

(30) Vid. Gallego Soler, J. I. (2004). “Criterio de determinación de la responsabilidad penal individual en estructuras empresariales”. En: J. I. Gallego Soler/J. L. Modolell González, Empresa y Derecho Penal, UCAB, Caracas, pp. 88-235, p. 129.

(31) Vid. Fiscalía General del Estado (2011). Circular 1/2011… op. cit., p. 39.

(32) Vid. Nieto Martin, A. (2008). La responsabilidad penal de las personas jurídicas: Un modelo legislativo, Iustel, Madrid.

(33) Vid. Fiscalía General del Estado (2011). Circular 1/2011, op. cit..., p. 41.

(34) Vid. Bacigalupo, S. (2011). “Los criterios de imputación de la responsabilidad penal …, op. cit., pp. 1-8, p. 5.

(35) Esta opinión es compartida por la Fiscalía General del Estado (2011). Circular 1/2011, op. cit., p. 39.

(36) Vid. Martínez Pardo, V. J. (2011). “La Responsabilidad Penal de las personas jurídicas”. Revista Internauta de Práctica Jurídica, n.º 26, pp. 61-78, p. 73.

(37) Vid. ERC (Ethics Resource Center) (2007). Leading Corporate Integrity: Defining the Role of the Chief Ethics and Compliance Officer. Disponible en: http://www.corporate-ethics.org/ pdf/Leading_Corporate_Integrity_Report.pdf. Vid. Siemens AG
(2013). El Sistema de Compliance de Siemens. Disponible en: http://www.aan.siemens.com/Compliance/Documents/Compliance%20System%20Brochure%20(ES).pdf. Vid. Moral, M. T. y B. González. Responsabilidad penal de personas jurídicas y corporate compliance. Cuatrecasas, Gonçalves Pereira y Fundesem Business School, febrero de 2015. Disponible en: http:// www.cuatrecasas.com/media_repository/gabinete/publicaciones/docs/1427373226es.pdf. Vid. Remacha, M. (2016). Compliance, Ética y RSC, Cuaderno n.º 31 de la Cátedra de la Caixa de Responsabilidad Social de la Empresa y Gobierno Corporativo, julio, IESE, Universidad de Navarra.

(38) Fernández Teruelo, J. G. (2011). La responsabilidad penal..., op. cit., p. 11.

(39) Vid. Martínez Pardo, V. J. (2011). La Responsabilidad Penal …, op. cit., p. 65.

(40) Vid. Rodríguez Ramos, L. (2011). ¿Cómo puede delinquir..., op. cit., pp. 6-7.

(41) Vid. Fernández Teruelo, J. G. (2011). La responsabilidad penal..., op. cit., p. 27.

(42) Vid. Fernández Teruelo, J. G. (2011). La responsabilidad penal..., op. cit., p. 12.

(43) Vid. Jáuregui, R., “Compliance: blá, blá, blá”. Diario Responsable, 21 de febrero de 2016. Disponible en: http://diarioresponsable.com/opinion/22959-Compliance-bla-bla-bla.

(44) Vid. Gil Pecharromán, X. (2016). “Navarro esboza la figura del responsable de compliance”. El Economista. Disponible en: (http://www.eleconomista.es/economia/noticias/7688765/07/16/Navarro-esboza-la-figura-del-responsable-del-compliance.html).