Compliance y responsabilidad de las personas jurídicas
Con la adición por Ley Orgánica 5/2010, de 22 de junio, en el Código Penal del artículo 31 bis se vino a establecer de forma expresa la responsabilidad penal de las personas jurídicas mediante un mecanismo de atribución de la responsabilidad por transferencia, indirecta, derivada, vicarial o por representación, de modo que las personas jurídicas pueden resultar penalmente responsables de los hechos cometidos por determinadas personas físicas siempre que concurran las específicas condiciones a las que se refiere el mencionado precepto.
Conforme a dicho artículo las personas jurídicas eran penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho, así como de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de aquéllos, hubieran podido realizar los hechos por no haberse ejercido sobre ellos el debido control, atendidas las concretas circunstancias del caso.
La referida regulación de la responsabilidad de las personas jurídicas solo preveía una serie de circunstancias atenuantes por haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, determinadas actividades:
- a) Haber procedido, antes de conocer que el procedimiento judicial se dirigía contra ella, a confesar la infracción a las autoridades.
- b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.
- c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.
- d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.
Sin embargo, la reforma del Código Penal llevada a cabo por la Ley Orgánica 1/2015, de 30 de marzo, introdujo la posibilidad de exonerar de responsabilidad penal a la persona jurídica gracias a los programas de cumplimiento normativo o Compliance guides, denominados en el texto legal “modelos de organización y gestión”.
Así, si el delito fuere cometido en nombre o por cuenta de las personas jurídicas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
- El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
- La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica. Con todo, en las personas jurídicas de pequeñas dimensiones, entendiendo por éstas aquellas que según la legislación aplicable estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración.
- Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención.
- No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición segunda.
Si los delitos hubiesen sido cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas anteriormente mencionadas, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad, atendidas las concretas circunstancias del caso, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.
Así pues, los referidos “modelos de organización y gestión” pueden servir para exonerar la responsabilidad penal de las personas jurídicas, si bien para ello el Código Penal exige que cumplan determinados requisitos:
- Han de identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
- Han de establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
- Han de disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
- Han de imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
- Han de establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
- Han de llevar a cabo una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
En este contexto, los programas de cumplimiento están diseñados mayoritariamente a evitar la derivación de responsabilidad penal a la empresa en los casos de delitos cometidos por la persona jurídica a través de sus directivos o empleados en los que los perjudicados son terceros. Sin embargo, como ha puesto de relieve la Sala de lo Penal del Tribunal Supremo en su sentencia de fecha 28 de junio de 2018, núm. 316/2018, los programas de cumplimiento también pueden servir para evitar la comisión de delitos dentro de las empresas. Delitos que, como la administración desleal o la apropiación indebida, igualmente pueden comportar graves daños económicos y reputacionales a las mismas.
No puede caber duda alguna de que implementar en la empresa programas de cumplimiento normativo constituye una buena praxis corporativa no solo con la finalidad de poder servir de causa de exoneración de responsabilidad en un futuro, si se da el caso, sino para servir de mecanismo de control interno del funcionamiento diario de la sociedad.
En este sentido y con tal finalidad, los programas de cumplimiento pueden ser no solo penales, sino también legales o de gestión. Es lo que se conoce como Corporate Compliance, un conjunto de procedimientos y buenas prácticas adoptados por las empresas para identificar y clasificar los riesgos penales, legales y operativos a los que se enfrenta y establecer frente a ellos mecanismos internos de prevención, gestión, control y reacción.
Los programas de compliance constituyen hoy en día una pieza clave de la responsabilidad corporativa de las empresas. Su implementación va a comportar que ésta no solo pueda verse beneficiada con una posible exoneración de responsabilidad penal, en su caso, sino que, a corto y medio plazo, va a suponer una nueva forma de trabajar en la empresa mediante el establecimiento de unas pautas de actuación o de conducta vinculadas a una cultura de cumplimiento normativo y responsabilidad corporativa que se extiende desde la cúpula de la empresa hasta el último de sus trabajadores e, incluso, más allá, a colaboradores, proveedores, clientes, etc.
El manto protector del programa de compliance se extiende, en definitiva, por toda la empresa y alcanza a todos sus estamentos y a todas sus actividades dotando a la misma de pautas de conducta, políticas y sistemas de gestión, medios de vigilancia y control…, que permiten materializar una cultura de cumplimiento y contribuyen a forjar la imagen y reputación de la empresa.
Es por ello que los programas de compliance, sin abandonar el ámbito penal en el que empezaron a surgir en nuestro país, a raíz de la comentada reforma del Código Penal, se extienden a todos los ámbitos de cumplimiento de las personas jurídicas (de orden fiscal, laboral, social, medioambiental, en materia de protección de datos, etc., deviniendo un sistema transversal y multidisciplinar diseñado para que las actividades de la empresa se desarrollen conforme a la normativa vigente, conforme a las políticas y procedimientos internos y conforme, en último término, a la ética de la empresa.
Con el término compliance se alude, en definitiva, a una diversidad de materias en las que se requiere de la empresa una determinada conducta o comportamiento preventivo y de control, derivado de una correcta identificación y evaluación de los riesgos legislativos y normativos a los que se encuentra sujeta, lo cual incidirá en la determinación de su responsabilidad.
Precisamente por ello no cabe sino recomendar siempre a cualquier empresa que elabore y ajuste su programa de compliance no sólo a los riesgos generales que soporta, sino también a aquellos que responden a su actividad concreta. Solo a través de un programa de cumplimiento que analice y evalúe adecuadamente los riesgos de cada empresa será posible determinar cómo actuar para eliminar o, cuando menos, prevenir los riesgos a los que se enfrenta en el desarrollo de su actividad.
Juan José Duart Albiol
Abogado. Doctor en Derecho.
IURISPREVEN