Compliance y responsabilidad penal de las empresas

Compliance y responsabilidad penal de las empresas

De todos es conocida la experiencia de las entidades financieras en la función relativa al cumplimiento normativo. De hecho, este tipo de entidades son las pioneras en la implantación de programas de Compliance. Sin embargo, la Fiscalía General del Estado ha publicado recientemente la Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas, que contiene una serie de instrucciones dirigidas a la correcta valoración por parte los fiscales de la eficacia de los planes de cumplimiento normativo de las empresas en general. Así pues, a pesar de su amplia experiencia, las entidades financieras se verán también afectadas por el contenido de esta Circular.

los comerciantes que celebren contratos de compraventa o de prestación de servicios online en la Unión Europea están obligados por aplicación directa de la legislación europea a publicar en sus sitios web un enlace electrónico a la plataforma que sea visible y de fácil accesoHasta la reforma del Código Penal a través de la Ley Orgánica 5/2010, en nuestro ordenamiento jurídico las personas jurídicas carecían de responsabilidad penal. En efecto, sólo una persona física podía ser sujeto activo del derecho penal: se trata del conocido principio “societas delinquere non potest”.

La Circular, igual que cualquier otra de la Fiscalía General del Estado, no se enmarca dentro de la jerarquía normativa, por lo que no obliga a los Tribunales de Justicia. Sin embargo, es vinculante para todos los fiscales de España, que serán quienes ejerciten la acusación de las personas jurídicas en el caso de considerarse que éstas son responsables, atendiendo a los criterios contenidos en dicho documento.

Vamos a ver, por tanto, cómo afecta la Circular a las entidades financieras, aunque éstas ya tengan implantado su sistema de Compliance.

La responsabilidad de la persona jurídica

Según la Circular, la responsabilidad de la persona jurídica no es autónoma, sino que se trata de una responsabilidad por trasferencia o “responsabilidad vicarial. Esto significa que es la persona física quien, cometiendo un determinado hecho delictivo, genera responsabilidad penal en la persona jurídica, siempre que se cumplan algunos requisitos y condiciones determinados. Así pues, la responsabilidad penal de la persona jurídica descansaría en un hecho ajeno y no en un hecho propio.

A pesar de esta responsabilidad, también se puede hablar de independencia entre la persona física y la persona jurídica. Veamos esto a través de ejemplos: pensemos en el caso en el que una persona física comete un delito, pero no se llega a saber quién es el autor o simplemente éste se encontraba en un estado de enajenación mental. Pues bien, en este caso la persona física no sería responsable, pero sí la persona jurídica a la que esta persona física está vinculada en tanto que empresario o empleado. Por otro lado, pensemos en el caso en el que la persona jurídica tenga un buen modelo de prevención de delitos, pero la persona física actúe al margen del mismo. En este último caso la única responsable sería la persona física.

Personas físicas que pueden transferir responsabilidad penal a la persona jurídica

ciberseguridadEn este escenario debemos preguntarnos qué personas físicas pueden transferir la responsabilidad penal a la persona jurídica. La respuesta la encontramos en los apartados a y b del artículo 31 bis 1 del Código Penal. En el primero encontramos a los representantes legales, los integrantes de un órgano de la persona jurídica, aquellos autorizados para tomar decisiones en nombre de la misma o que ostenten facultades de organización y control dentro de ella. Por su parte, en el apartado b se encuentran aquellos que están sometidos a la autoridad de las personas mencionadas en el apartado a, y sobre los que no se habría ejercido una correcta supervisión, vigilancia y control.

Este segundo apartado no está exento de críticas, ya que bajo una interpretación estricta de la norma resultaría complicado que las personas mencionadas en el apartado a fuesen capaces de controlar a todos sus empleados, sobre todo si pensamos en empresas de gran tamaño o en multinacionales. Su redacción se encuentra, pues, en el punto de mira. En efecto, establece que “…han podido realizar los hechos por haberse incumplido gravemente por aquellos los deberes de supervisión…”, por lo que será necesario esperar a la aplicación práctica de la norma para determinar el alcance que se da al cumplimiento de los deberes de supervisión.

Debemos tener en cuenta que la Fiscalía utiliza el adjetivo “aquellos”, refiriéndose a las personas físicas mencionadas en el apartado a, pero en ningún caso a la persona jurídica propiamente dicha, descartando así la posibilidad de interpretar con base en este precepto un modelo de autorresponsabilidad de la empresa.

El requisito del beneficio, directo o indirecto, de la persona jurídica

Estas personas físicas mencionadas en el apartado primero del artículo 31 bis deben actuar en beneficio, directo o indirecto, de la persona jurídica. Antes de la reforma del Código Penal del año 2015 se hablaba de provecho”, un vocablo vago y cuya interpretación ha sido necesaria. Según la Fiscalía, no es necesario que tal beneficio se obtenga de forma efectiva, basta con que la actuación esté orientada al objetivo de obtener el beneficio. Además, no es necesario que se trate de un objetivo económico, admitiéndose como beneficio el ahorro de costes, los beneficios estratégicos, intangibles o reputacionales.

El requisito del beneficio no es incompatible con que la persona jurídica pueda ser considerada penalmente responsable por los delitos imprudentes que puedan cometer sus representantes, directivos o empleados, siempre que el delito en cuestión admita la forma imprudente (insolvencias punibles, delitos contra los recursos naturales y el medio ambiente, blanqueo de capitales o financiación del terrorismo).

Loviit

Exención de la responsabilidad penal

La Circular introduce la exención de la responsabilidad penal de las personas jurídicas a través de la demostración de que la empresa tiene e implementa eficazmente un programa de prevención de delitos o programa de cumplimiento normativo. A pesar de que el Código Penal es confuso en este aspecto, para la Fiscalía es evidente que el régimen de exención se aplica a todos los supuestos de responsabilidad penal de la persona jurídica. Así pues, los presupuestos de la exención para el caso en el que el delito haya sido cometido por las personas mencionadas en el apartado a) del artículo 31 bis 1, son los siguientes:

  • Que el órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
  • Que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (en las personas jurídicas de pequeñas dimensiones, esta función la puede asumir directamente el órgano de administración).
  • Que los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización.
  • Que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano de cumplimiento normativo.

Por su parte, en el supuesto en el que el hecho delictivo fuera cometido por las personas indicadas en el apartado b, la persona jurídica quedaría exenta de responsabilidad si, antes de la comisión del delito, hubiera adoptado y ejecutado eficazmente un modelo de organización y gestión adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.

Requisitos de los modelos de prevención

Esto nos lleva a enumerar los requisitos que deben cumplir los modelos de prevención (artículo 31.bis.5) que, como bien indica la Circular, “no tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial”. Así pues, estos modelos, aparte de ser “claros, precisos y eficaces y, desde luego, redactados por escrito”, deben cumplir los siguientes requisitos:

  1. Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Se trata de establecer lo que llamamos un “mapa de riesgos”.
  2. Establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos.
  3. Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deban ser prevenidos.
  4. Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento del modelo de prevención. A tal efecto se deben implantar los denominados “canales de denuncia”, los cuales deben garantizar la confidencialidad en las comunicaciones.
  5. Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  6. Verificar periódicamente el modelo y, eventualmente, modificarlo cuando se pongan de manifiesto infracciones relevantes de sus disposiciones o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Este modelo de prevención ha de ser supervisado, labor que debe recaer sobre un órgano específico de la persona jurídica que tenga poderes autónomos de iniciativa y control, pudiendo estar constituido por una o varias personas, dependiendo del tamaño de la persona jurídica, con suficiente formación y autoridad.

Este órgano es uno de los que, con su actuación, puede transferir responsabilidad penal a la persona jurídica, ya que está incluido dentro de las personas que ostentan facultades de organización y control (31 bis, 1 a), algo que hasta ahora no se había previsto. Este extremo está siendo fuertemente criticado, pues podría dificultar que los directivos de las empresas aceptaran la asunción de esta función.

La carga de la prueba

CiberseguridadEn relación con la carga de la prueba, la Circular establece que es la persona jurídica quien debe acreditar que su modelo de organización y gestión cumple con los requisitos antes expuestos, cuando en realidad es el fiscal quien debe hacerlo. Se produce así una inversión de la carga de la prueba.

Así pues, atendiendo a la responsabilidad vicarial antes mencionada, el fundamento de la imputación residiría en el delito cometido por la persona física, siendo éste el único requisito a probar por la acusación. Sin embargo, si se acudiese a un sistema de autorresponsabilidad, la acusación debería probar, además de la existencia del delito de la persona física, que éste ha sido cometido como consecuencia de la defectuosa organización de la empresa.

Criterios para valorar la adecuación y eficacia de los modelos de prevención

Por último, vamos a comentar los criterios utilizados por la Fiscalía para valorar la eficacia de los modelos de prevención, que son los siguientes:

1º. La regulación de los modelos de organización y gestión debe interpretarse de manera que el régimen de responsabilidad penal de la persona jurídica no quede vacío de contenido y sea de imposible apreciación en la práctica. Esto significa que no porque exista un modelo de prevención se aplique la exención de responsabilidad penal a la persona jurídica.

2º. Los modelos de organización y gestión no solo tienen por objeto evitar la sanción penal de la empresa, sino promover una verdadera cultura ética empresarial, tal y como se ha señalado anteriormente. Se ha de analizar si los programas son un compromiso realmente disuasivo de conductas penales, una verdadera expresión de su cultura de cumplimiento y si son importantes en la toma de decisiones de los dirigentes y empleados.

3º. Las certificaciones sobre la idoneidad mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales podrán apreciarse como un elemento adicional más de su observancia, pero en modo alguno acreditan per se la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial. Por tanto, debe haber más documentación y hechos que efectivamente acrediten la realidad del respeto a la Ley.

4º. Cualquier programa eficaz depende del inequívoco compromiso y apoyo de la alta dirección de la compañía (principio “tone from the top”). El comportamiento y la implicación del consejo de administración y de los principales ejecutivos son claves para trasladar una cultura de cumplimiento al resto de la compañía. Así pues, que hubiera incumplimiento o incentivo del incumplimiento por parte de los altos directivos sería una clara muestra de que el modelo no es eficaz.

5º. La responsabilidad corporativa no debe valorarse igual en los supuestos en los que la conducta criminal redunde principalmente en beneficio de la sociedad, que en aquellos otros en que dicho beneficio resulte secundario o meramente tangencial al perseguido por el delincuente. En estos casos, la mejor vía de prevención de estas conductas es la adecuada selección de directivos y empleados, por lo que los modelos de organización y control de la compañía deben establecer altos estándares éticos en su contratación y promoción.

6º. Se dará un especial valor al hecho de que los delitos sean descubiertos por la propia empresa. En consecuencia, si es la empresa quien detecta la conducta y lo pone en conocimiento de la autoridad, ello contribuirá a que la Fiscalía solicite la exención de responsabilidad penal para ella.

7º. Aunque la comisión de un delito no invalide automáticamente el modelo de prevención, sí quedaría en entredicho si la conducta es muy grave o hay un alto número de empleados implicados.

8º. El comportamiento de la corporación en relación con anteriores conductas es relevante para deducir la voluntad de cumplimiento de la persona jurídica y en qué medida el delito representa un acontecimiento puntual o, por el contrario, evidencia la ausencia de tal cultura, desnudando el modelo de organización como un mero artificio exculpatorio.

9º. Las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito han de ser igualmente evaluadas (adopción de medidas disciplinarias contra los autores, inmediata revisión del programa para detectar sus posibles debilidades, restitución, reparación inmediata del daño, colaboración activa con la investigación, etc).

Conclusiones

Esta Circular es el primer posicionamiento del Ministerio Fiscal en relación con la responsabilidad penal de las personas jurídicas y contiene los criterios valorativos y los elementos esenciales que seguirán los fiscales a la hora de evaluar la eficacia de los modelos de cumplimiento normativo de las empresas, de lo que dependerá la existencia o no de responsabilidad penal en la persona jurídica.

De la Circular se deduce que los modelos de Compliance no deben percibirse como un seguro para las empresas, por lo que, por mucho que dispongan de ellos, deberán tener en cuenta todos los requisitos y criterios contenidos en esta Circular, sea cual sea su experiencia en este ámbito.

Por su parte, las entidades financieras, a pesar de su amplia experiencia en este ámbito, también se ven afectadas por estas nuevas pautas y criterios que seguir, por lo que deberán revisar sus modelos para que cumplan, además de las exigencias de los supervisores (BdE, CNMV, DGSyFP y SEPBLAC), con los criterios interpretativos de la Fiscalía, ya que será en sede judicial donde se materialice su potencial responsabilidad penal.




Alejandra Meseguer Blasco es experta en derecho mercantil, con especialización en entidades financieras en Linares Abogados, y complementa su perfil con la práctica procesal. Alejandra es Licenciada en Derecho y Diplomada en Relaciones Internacionales por la Universidad Pontificia de Comillas (Madrid).

Sin comentarios

Responder