Diez años de responsabilidad penal de las personas jurídicas.

El Covid-19 ha supuesto una gran incertidumbre por el estado de salud de cada persona individual, de la salud pública en general y por las gravísimas consecuencias económicas derivadas de la crisis sanitaria.

Con la pandemia, nos vemos abocados a buscar nuevas formas de organización del trabajo y de las relaciones sociales, lo que para la empresa se traducen en un mayor empleo de las tecnologías y de las herramientas de comunicación virtual, reduciendo barreras y facilitando aún más el comercio y las transacciones a nivel global.

La necesidad de un mayor desarrollo y empleo de las herramientas de comunicación tecnológicas ha supuesto en paralelo un no deseado incremento de los riesgos derivados de la dificultad de garantizar el secreto de las comunicaciones. Cuando la información se transfiere desde un domicilio particular en el que no existen, o son menos eficaces, los mecanismos de protección y control que la empresa puede emplear fácilmente en sus instalaciones, necesariamente se incrementa el riesgo.  

El empleo masivo del teletrabajo va a obligar a las empresas a hacer un muy importante esfuerzo de organización y control, viéndose obligadas las compañías a desarrollar con mayor eficacia los sistemas de gestión y de control internos, siendo el Compliance la herramienta que el legislador ha considerado más adecuada a los efectos de garantizar el tan deseado  «debido control»

El próximo 23 de diciembre se cumplirán diez años desde la entrada en vigor de la Ley Orgánica 5/2.010, que introdujo por primera vez en España la responsabilidad penal de las personas jurídicas.

Desde entonces y en sucesivas reformas del Código Penal aprobadas en los años 2.012, 2.013, 2.015 y 2.019, el legislador ha ido concretando los supuestos que dan lugar a la responsabilidad, ha ampliado el circulo de entidades responsables extendiéndola a los partidos políticos y sindicatos, ha incrementado el catálogo de delitos de los que la persona jurídica puede ser responsable y lo que es más importante para las empresas, ha establecido con claridad los supuestos que pueden dar lugar a la exención de responsabilidad, que se obtendrá cuando la empresa pueda acreditar el «debido control»

En este tiempo y junto a las del Código Penal, se han introducido además otras reformas como la de la Ley de Contratos del Sector Público de 2.017, que va a reconocer el esfuerzo de las empresas que han elaborado un programa de Compliance otorgándoles importantes ventajas en la contratación, ha sido objeto de reforma en 2.018 la Ley Orgánica de Protección de datos de Carácter Personal para acoger los criterios de las Directivas Europeas sobre protección del denunciante y otras más.

Por otra parte y desde que la nueva responsabilidad se introdujo en 2.010 en nuestro sistema, son ya más de trescientas las sentencias que han sido dictadas por diferentes Juzgados y Tribunales, dando lugar a una importante casuística y que ponen de relieve la rápida expansión que esta disciplina está teniendo entre nosotros.

Importancia de la responsabilidad penal de las personas jurídicas.

Impulsada por los Convenio de Naciones Unidas, la OCDE o el GRECO y en el marco de decisión que las Directivas europeas otorgan a los estados miembros al regular los llamados Eurodelitos y sus consecuencias, España ha optado por implantar un sistema estricto de responsabilidad penal de las personas jurídicas, haciéndolas en determinadas circunstancias directamente responsables de los delitos cometidos por sus directivos, empelados, agentes o colaboradores.

La empresa, como otras personas jurídicas, va a ser sujeto susceptible de una imputación directa en el proceso penal y en el que va a tener que responder por su propia responsabilidad cuando no haya sido capaz de garantizar en su seno la debida organización y control, de modo que pueda considerarse ha existido abandono de sus obligaciones o una defectuosa organización interna.

La empresa se verá obligada a designar un representante, quién será interrogado durante el proceso y participará en el juicio como uno más, junto a quienes hubieran cometido el delito. En este proceso la empresa se enfrentará a auténticas penas como la multa pero también a la cesación de actividades, cierre de locales o almacenes, la interdicción judicial, la prohibición de contratar con el sector público o incluso su propia disolución. Con esta opción de política criminal el legislador ha optado por un sistema de mano dura, de manera que se hace directamente responsable a la empresa de los delitos ocurridos en su entorno y que no ha sabido controlar.

Riesgos que deben ser objeto de prevención.

El Código español ha optado por un sistema de númerus clausus, de manera que la persona jurídica únicamente responde por aquellos delitos que el legislador ha establecido en un listado cerrado.

No obstante el listado es muy amplio incluyendo hasta 27 categorías de delitos unos más propios de las empresas como los delitos contra la Hacienda Pública, el fraude fiscal o el fraude de subvenciones y otros que son más propios de las organizaciones criminales, como es el caso del tráfico de drogas o de personas.

En una clara alineación con el esfuerzo común de los estados democráticos, la lucha contra la corrupción constituye el núcleo central de la prevención. Siguiendo las directrices de la Unión Europea y en la senda que antes iniciaron la Foreign Corrupt Practices Act (FCPA) o la Bravery Act, sepersigue el soborno de autoridades y funcionarios nacionales o extranjeros o la corrupción de agentes e intermediarios para conseguir o retener un contrato ya se cometan estos delitos en España o en el extranjero.

Se deberá prestar especial atención a los contratos celebrados en países que no reúnan un estándar democrático, aquellos que son incluidos en listas de países corruptos como las publicadas por Transparencia Internacional, a los contratos en los que intervienen sociedades pantalla, trust, fideicomisos u otros entes de difícil identificación o bien los celebrados con empresas incluidas en listas negras como las publicadas por el Banco Mundial.

En el ámbito propio de la empresa encontramos un núcleo de delitos que son comunes en general a todas ellas y respecto de los que se debe tener un cuidado especial entre los que destacamos los delitos relacionados con la corrupción como son el cohecho, la corrupción entre privados, el fraude fiscal, las estafas o el blanqueo de capitales. Otros delitos están más cercanos a la actividad empresarial diaria como los delitos contra la propiedad intelectual y la propiedad industrial, la revelación de secretos de empresa, los delitos contra la intimidad, los delitos informáticos, los delitos contra el medio ambiente o contra la ordenación del territorio.

Son precisamente en este segundo grupo de delitos de empresa en los que los riesgos derivados de la crisis del Covid va a tener un mayor impacto. El envío de datos personales relacionados con la salud, información sobre contactos con amistades y relaciones sociales, secretos de empresa que pueden quedar al descubierto, acceso en remoto a ficheros con material sensible, transmisión irregular de claves de acceso o password, envío de datos financieros y bancarios, uso de credenciales ajenas. Todas estas situaciones deben ser evitadas o al menos controladas, lo que no resulta sencillo cuando se trabaja en remoto.

El Compliance penal cómo mecanismo para evitar la responsabilidad.

El significado y las consecuencias de este sistema de responsabilidad ha sido aclarado por el Tribunal Supremo español y hoy en día contamos ya con una importante jurisprudencia que ha establecido cómo la responsabilidad de la empresa es una responsabilidad propia por defecto de organización. Para el Tribunal Supremo en un sistema penal moderno no cabe la responsabilidad objetiva o por hecho de otro, de modo que la transmisión de responsabilidad no puede nunca ser automática.

Este requisito va a permitir a las empresas quedar exentas de responsabilidad cuando puedan acreditar que están bien organizadas. Para ello el artículo 31 bis del Código Penal ha establecido que el instrumento adecuado es el contar con un sistema de prevención de delitos eficiente y correctamente implantado que cubra las siguientes necesidades:

1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos.

2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica.

3.º Dispondrán de modelos de gestión de los recursos financieros adecuados.

4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos.

5.º Establecerán un sistema disciplinario.

6.º Realizarán una verificación periódica del modelo. Junto al Código Penal y en el ámbito del llamado softlaw España ha realizado una labor de adaptación de la NORMA ISO 19.600, sobre sistemas de gestión de Compliance, publicando la NORMA UNE: 19.601 que va a permitir a la empresa obtener la certificación de su programa de Compliance de una entidad de certificación acreditada como AENOR, Cámara, Oca Global, etc. 

Efectos de la adopción de un programa de prevención de delitos eficaz.

En su redacción original del año 2.010 la existencia de un programa de Compliance tan sólo había de tener el efecto de atenuar la responsabilidad. Con la reforma de 2.015 se avanzó hasta posibilitar una exención total si el programa es eficaz, o parcial si resultare defectuoso.

Un programa será eficaz cuando la empresa adopte las medidas que aseguren el «debido control» que se manifestará en el cumplimiento de los requisitos del art. 31 bis del Código Penal y en la existencia de mecanismos de selección y vigilancia tanto del personal contratado como de los agentes o socios comerciales elegidos, pudiendo acreditar que son las personas idóneas para el desempeño de determinados puestos o para representar a la sociedad y evitar así el peligro de comisión de hechos delictivos.

Sobre estas premisas, la adopción de un programa de Compliance eficaz va a tener distintos efectos.

El programa que ha sido adoptado con antelación a la comisión de un delito podrá tener el doble efecto de:

  1. permitir la exención de responsabilidad de la empresa, o al menos su atenuación si su eficacia no fuese total y,
  2. de forma simultánea permitirá a sus directivos y a los miembros del órgano de gobierno salvar su responsabilidad personal al acreditar que tomaron todas las precauciones necesarias y que no incurrieron en supuestos de culpa in eligendo o culpa in vigilando al organizar la sociedad y seleccionar a sus empleados, agentes o socios comerciales, o bien reaccionaron con la máxima diligencia para corregir los defectos de organización encontrados.

Con referencia a los delitos cometidos en la empresa con anterioridad a la aprobación del programa, este no podrá tener ya el efecto exonerador de responsabilidad, pero constituye un instrumento muy útil para su defensa cuando permita acreditar ante las autoridades las nuevas medidas adoptadas o la existencia de una cultura de cumplimiento.

El programa se convertirá en la mejor defensa muy especialmente cuando sea la propia empresa la que al conocer el posible delito cometido en el pasado dentro de la organización, lo desvele y aporte las pruebas que permitan perseguir a los responsables.

De este modo podrá beneficiarse de la atenuante de su responsabilidad y establecer un “cortafuegos” que proteja a su dirección, que ha hecho el esfuerzo de implantar el programa, frente a las posibles malas prácticas del pasado o frente a la aparición de nuevos riesgos como los derivados del Covid.