Compliance penal

La responsabilidad penal de la empresa en España

Tradicionalmente, en el derecho español tan sólo podían tener responsabilidad penal por la comisión de delitos las personas físicas. En el ámbito jurídico solía utilizarse la expresión societas delinquere non potest para referirse a esta realidad. No obstante, la influencia del derecho anglosajón ha llevado a una destacada evolución del derecho penal español, que ha incorporado a nuestro sistema jurídico la responsabilidad penal de las personas jurídicas.

Fue en el año 2010 cuando por primera vez se introduce en el Código Penal español la responsabilidad penal de las personas jurídicas, operando un cambio de enorme trascendencia tanto para los juristas como para los administradores, directivos, trabajadores y socios de las compañías españolas. Tras cinco años que podríamos calificar como de “ensayo” del nuevo sistema penal, en julio de 2015 se modificó nuevamente el Código Penal reforzando la responsabilidad penal de las personas jurídicas, clarificando algunas dudas que en la práctica se habían suscitado entre los operadores jurídicos, e instaurando los requisitos legales que necesariamente deben cumplir los sistemas de prevención de riesgos penales en las empresas.

La norma de referencia es el artículo 31 bis del Código Penal, que en su actual redacción dispone lo siguiente:

“1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables: a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma. b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.” Como es de ver, se trata de una cláusula de imputación amplísima, por cuanto a la sociedad se la hace responsable penalmente no sólo de los delitos cometidos por los administradores o personas con especiales responsabilidades en la empresa, sino también de los delitos cometidos por las personas que estén bajo la autoridad de los dirigentes de la empresa en determinados supuestos.

Las penas que pueden ser impuestas a las personas jurídicas se encuentran recopiladas en el artículo 33.7 del Código Penal. Dichas penas pueden ser:

  • Multa.
  • Disolución de la persona jurídica.
  • Suspensión de sus actividades por un plazo de hasta cinco años.
  • Clausura de sus locales y establecimientos por un plazo de hasta cinco años.
  • Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito. Esta prohibición podrá ser temporal o definitiva. Si fuera temporal, el plazo no podrá exceder de quince años
  • Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social, por un plazo de hasta quince años.
  • Intervención judicial por un plazo de hasta cinco años.

Los programas de compliance como eximentes de responsabilidad penal

Si bien es cierto que la legislación española le ha puesto el listón muy alto a las empresas y al resto de personas jurídicas en la exigencia de responsabilidad penal, también es cierto que cumpliendo una serie de requisitos legales la empresa puede quedar totalmente exenta de responsabilidad penal, o al menos, disponer de atenuantes que permitirán modular su responsabilidad.

El Código Penal prevé la posibilidad de que la persona jurídica quede exonerada de su responsabilidad penal, si se cumplen los siguientes requisitos:

  • Si el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
  • Si la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
  • Si los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención de la compañía.
  • Si no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición segunda.

Es importante precisar que estas cuatro condiciones deben cumplirse en su totalidad para que opere la exención de responsabilidad penal para la persona jurídica. Si dichos requisitos tan sólo pueden ser objeto de acreditación parcial, no tendrán la virtualidad de eximir de responsabilidad penal a la sociedad, aunque se valorará a efectos de una posible atenuación de la pena.

Al objeto de prevenir los riesgos penales y conseguir que la empresa quede exenta de responsabilidad penal, es preciso instaurar un sistema de prevención de riesgos penales en la empresa, lo que se viene conociendo como un programa de compliance. El artículo 31 bis del Código Penal perfila los requisitos que debe reunir todo plan de prevención de riesgos penales:

  • Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  • Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
  • Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  • Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Criterios para la eficacia de los programas de compliance

Un buen sistema de compliance penal pivota en torno a tres grandes ejes:

  • El mapa de riesgos penales. Se trata de un análisis de los riesgos penales que afronta cada empresa, en el que se valora la probabilidad de ocurrencia de cada una de las contingencias penales, su impacto en la organización, y las medidas que actualmente tiene implantadas la empresa para evitar la comisión de ilícitos penales.
  • El código ético. La parte central de todo modelo de compliance es la implantación en la empresa de un Código Ético, que no sólo prohíba la realización de actividades ilegales, sino que en las áreas de riesgo para la compañía previamente detectadas en el mapa de riesgos penales, eleve el listón de las exigencias éticas por encima de la estricta observancia de las normas legales, porque lo que se pretende con los modelos de organización y gestión es que la cultura corporativa quede impregnada de altos valores éticos. En el Código Ético deberán quedar establecidas, de forma clara, las obligaciones de los directivos y empleados de la empresa, así como las consecuencias en caso de incumplimiento. Y es especialmente importante acreditar no sólo el conocimiento de tales normas por parte de los colaboradores de la sociedad, sino un conocimiento real de su contenido, finalidad y de las consecuencias si se infringen sus normas, por lo que una correcta formación a los trabajadores resulta ineludible.
  • El protocolo de prevención. Es el documento escrito de la política de compliance de la empresa, y que incluye las medidas de control establecidas por la empresa para evitar la comisión de ilícitos penales en su seno.

A falta de unos criterios claros en la jurisprudencia sobre los requisitos que deben reunir para su eficacia los programas de compliance, son muy útiles las recomendaciones de la Fiscalía General del Estado y de la UNE 19601.

Recomendaciones de la Fiscalía General del Estado

La Fiscalía General del Estado ha establecido sus pautas en la Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas. Algunas de ellas son las siguientes:

  • Se establece que los programas “deben ser claros, precisos y eficaces y, desde luego, redactados por escrito”.
  • Se exige por la Fiscalía General del Estado que los programas de compliance estén perfectamente adaptados a la empresa y a sus concretos riesgos, criticándose por la Fiscalía los programas de «corta y pega», lo que “suscita serias reservas sobre la propia idoneidad del modelo adoptado”.
  • En cuanto al análisis de los riesgos penales, la Fiscalía indica que se realizará por tipos de clientes, países o áreas geográficas, productos, servicios, operaciones, etc.
  • En cuanto a los protocolos, la Fiscalía indica que deben garantizar “altos estándares éticos, de manera singular en la contratación y promoción de directivos y en el nombramiento de los miembros de los órganos de administración”.
  • Se apunta como uno de los elementos clave de los programas de prevención, a la existencia de canales de denuncia sobre los incumplimientos, que deberán ir acompañados de una regulación protectora del denunciante facilitando la confidencialidad. De hecho, la Fiscalía indica que debe contemplarse como una infracción no poner en conocimiento del órgano de control los incumplimientos detectados.
  • Se recuerda la obligación de establecer un sistema disciplinario adecuado para sancionar los incumplimientos.
  • El modelo deberá disponer de un código de conducta en el que se establezcan claramente las obligaciones de directivos y empleados.
  • Se debe contemplar el plazo y procedimiento de revisión del programa de compliance.

Recomendaciones de las normas UNE 19600 y UNE 19601

Estas dos normas son muy interesantes en la práctica del compliance, ya que establecen un estándar generalmente aceptado sobre los requisitos que deben reunir los programas de prevención de delitos para ser eficaces.

Las normas inciden en la necesidad de realizar un esfuerzo de comprensión de la organización y su contexto, teniendo en cuenta “el contexto regulatorio, social y cultural, la situación económica y las políticas internas, los procedimientos, los procesos y los recursos”.

Las normas establecen normas sobre el liderazgo y el compromiso de la alta dirección con respecto al sistema de gestión de compliance, así como sobre las diferentes responsabilidades de compliance que se deben asumir en la organización, diferenciando las responsabilidades del órgano de gobierno, la alta dirección de la empresa, el compliance officer, los directivos y los empleados.

Las normas también aportan referencias sobre cómo debe estructurarse un sistema de gobierno del compliance. Se aborda el alcance que debe tener un proyecto de compliance, los apoyos que debe proporcionar la empresa para implantar una cultura corporativa de cumplimiento normativo, la necesidad de establecer un sistema de información documentada, el establecimiento de controles y procedimientos, la existencia de un sistema para evaluar el desempeño de compliance, y las actuaciones de revisión y mejora del sistema.

La conveniencia de implantar modelos de compliance en las empresas

En definitiva, a pesar de que en España siguen sin ser obligatorios los modelos de compliance penal en las empresas, la evolución legislativa y judicial en este ámbito nos lleva a concluir que son altamente recomendables, y que cualquier administrador prudente debería implantarlos en la sociedad que administra ya que el artículo 225 de la Ley de Sociedades de Capital les exige adoptar “las medidas precisas para la buena dirección y el control de la sociedad”.

Asesoramiento jurídico

Para implantar un programa de compliance en una empresa es fundamental disponer de un buen asesoramiento jurídico. Grupo Asesor Ros lleva una década asesorando con éxito a muchas de las principales empresas de la provincia de Alicante en la implantación de programas de compliance.

En el siguiente enlace puedes descargar un pequeño resumen:

Construyamos algo juntos