I. Introducción
El proyecto de reforma del Código Penal aprobado el pasado día 20 de septiembre por el Consejo de Ministros incluye modificaciones que afectan de manera esencial a la responsabilidad penal de las personas jurídicas, así como a los administradores y representantes legales de estas.
Por un lado, esta reforma viene a consolidar la opinión de una gran parte de la doctrina penalista, que defendía que si la persona jurídica conseguía demostrar que había ejercido el debido control que le era exigible, y que a pesar de ello se cometía un delito en el seno de la empresa, ello debería ser considerado como una causa de exención de la responsabilidad de la persona jurídica, pues si su responsabilidad surgía por un defecto de supervisión u organización, la misma se eliminaría si se lograba probar que no existía defecto alguno.
Eso sí, para que la eximente de responsabilidad sea aplicable según el nuevo texto, se deberá haber adoptado y ejecutado con eficacia, con anterioridad a la comisión del delito, modelos de organización y gestión que incluyan medidas de vigilancia y control para prevenir delitos de la misma naturaleza de los que se han cometido. Para ello, el Código Penal determina las características mínimas que deberán tener los Programas de Cumplimiento o Compliance para que pueda ser aplicada la exención de responsabilidad.
Por otro lado, el proyecto de reforma incluye un tipo delictivo de omisión pura, totalmente novedoso en el ordenamiento jurídico español, y que castiga con hasta un año de prisión al administrador o representante legal que no hubiese adoptado las medidas de vigilancia y control exigibles para evitar la comisión de conductas peligrosas tipificadas como delito, cuando se diera inicio a la ejecución de las conductas ilícitas.
Así, nos encontramos con que si bien el proyecto incorpora la posibilidad de que la persona jurídica quede eximida de responsabilidad adopta las medidas adecuadas y eficaces de supervisión y control, establece una sanción penal a aquel administrador que no las haya implantado y se dé comienzo a la comisión de un delito en el seno de su empresa.
II. El debido control y los elementos que ha de contener programa de prevención de riesgos penales.
La actual redacción del artículo 31.1 bis del Código Penal exige al administrador de la persona jurídica ejercer el debido control sobre las personas que presten servicios para esta, y se encuentren sometidos a la autoridad de los administradores o representantes legales de las personas jurídicas.
Esa referencia al debido control ha sido interpretado por la doctrina como el mandato del legislador a los empresarios para que adopten medidas de Compliance en su empresa para intentar evitar que en el seno de la misma, y en su provecho, se cometan actividades delictivas.
Al analizar la finalidad y objeto de la incorporación de la responsabilidad de la persona jurídica en el Código Penal, se podría llegar a la conclusión de que el debido control podría concretarse en la labor supervisora que tiene encomendada la personan jurídica – sus representantes, se entiende – para que, a través de sus herramientas, políticas, procedimientos, guías y manuales, controle que en su quehacer diario se respeta la legalidad y la normativa que le es aplicable.
Ello se ha venido traduciendo en la adopción, por parte de las empresas, de sistemas organizados de supervisión y control sobre la legalidad de los actos que, en ejercicio de sus actividades, ejercen tanto sus administradores como sus empleados. Para la implantación de estos programas de Compliance se han tomado como referencia los sistemas utilizado en otras jurisdicciones que tradicionalmente tenían establecida la responsabilidad penal o administrativa de las personas jurídicas.
En el Proyecto de Reforma del Código Penal se incorporan los requisitos que deben cumplir los modelos de organización y gestión de prevención de riesgos penales para que su implantación pueda servir como eximente de responsabilidad de la persona jurídica. Así, el artículo 31.5 bis del Proyecto de Reforma del Código Penal establece los siguientes requisitos que ha de contemplar el modelo:
- Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
- Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos.
- Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que debe ser prevenidos.
- Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
- Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
De este modo, el prelegislador nos aporta en el Proyecto de Reforma del Código Penal la estructura y elementos que debe tener el programa de prevención de riesgos penales para poder adaptar el que se tiene, o implantarlo en otro caso. Este sistema de prevención se deberá adecuar a la naturaleza y tamaño de la propia organización, pues en función de la actividad que desarrolle le afectarán distintos riesgos penales. No obstante, el sistema de prevención requerirá, según el proyecto de reforma, y en todo caso:
a) Una verificación periódica del mismo y de su eventual modificación, cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios; y
b) De un sistema disciplinario que sancione adecuadamente las infracciones o medidas de control y organización establecidas en el modelo de prevención.
Con ello, lo que se persigue es que los programas de Compliance no se conviertan en meros manuales “de paja” que no lleven aparejada una exigencia por parte del empresario de su cumplimiento, llevando a cabo una verificación periódica de su cumplimiento, y un sistema disciplinario – que deberá ser de corte laboral – que imponga sanciones al empleado que no cumpla con las obligaciones contempladas en el programa de prevención de delitos.
III. La exención de responsabilidad penal por la adopción de un plan de prevención de riesgos penales
El Proyecto de Reforma del Código Penal establece expresamente la eximente de responsabilidad penal de la persona jurídica, al afirmar el sus artículos 31.2 bis y 31.4 bis que la persona jurídica quedará exenta de responsabilidad si ha cumplido una serie de condiciones en la adopción de los sistemas de prevención y control.
El artículo 31.1.bis del Proyecto de Reforma del Código Penal establece dos clases de sujetos activos que si cometiesen el delito, respondería penalmente la persona jurídica.
Los primeros serían los delitos cometidos en nombre o por cuenta de las personas jurídicas, y en su beneficio directo o indirecto, por los representantes legales, o por aquellos que actuando individualmente como integrantes de un órgano de la persona jurídica están autorizados para tomar decisiones en nombre de la misma u ostenten facultades de organización y control dentro de la misma.
Los segundos, serían los delitos cometidos en el ejercicio de actividades sociales, y por cuenta y en beneficio directo o indirecto de las mismas, por quienes estando sometidos a la autoridad de los representantes legales o las o personas con facultades de organización y control de las personas jurídicas (es decir, por lo empleados o por agentes vinculados sometidos a la autoridad de una empresa), hayan podido realizar los hechos por haberse incumplido por aquéllos los deberes de supervisión, vigilancia y control.
En estos casos, la persona jurídica quedará exenta de responsabilidad penal si se cumplen las siguientes condiciones:
1ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza.
2ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiando a un órgano de la persona jurídica con poderes autónomos de iniciativa y control.
3ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
4ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones, de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b).
Si se cumpliesen estas condiciones, a pesar de que se hubiese cometido un delito en el seno de la persona jurídica, y en su beneficio, por las personas arriba indicadas, está no tendría responsabilidad penal. No obstante, y a pesar de celebrar este aspecto de la reforma, procede advertir que en función de cómo se interprete por el juez o tribunal qué puede ser un ejercicio insuficiente de las funciones de supervisión, se podrá aplicar la exención de responsabilidad de manera efectiva, o quedará como un requisito insalvable.
Ello podría suceder si se cayera en el maniqueísmo – y existe ese riesgo actual – de considerar que como se ha cometido un delito en el ámbito empresarial ha sido insuficiente la labor de supervisión y control, sin examinar la situación concreta de cada caso e investigar si han fallado los procedimientos de control implantado, o si el delincuente los ha sorteado al descubrir sus debilidades. Si ello sucediese – que sería tanto como afirmar la responsabilidad del Estado por cada delito que se comete al no haber ejercido de manera efectiva su labor de control y prevención – quedaría desdibujada la finalidad que, según mi criterio, debe perseguir este tipo de reformas: animar a las empresas a mejorar sus sistema de control interno y supervisión.
Y esta preocupación surge al comprobar que expresamente contempla el Proyecto de Reforma que si las anteriores circunstancias sólo pueden ser objeto de acreditación parcial, estas circunstancias serán valoradas a efectos de atenuar la penal. Ello, que resulta lógico y adecuado a una política criminal que premia al empresario diligente, aunque haya fallado algún elemento de su modelo de prevención y control, no puede ser interpretado para aplicar con carácter general la atenuante y no la eximente, partiendo del criterio interpretativo de si se ha cometido un delito, es porque algo ha fallado.
Resulta acertado que el Proyecto de reforma relaje las condiciones expuestas para las empresas de pequeñas dimensiones 6, estableciendo que en estas las labores de supervisión y control no tiene por qué ser asumido por un órgano autónomo de iniciativa y control, sino que podrá ejercerlo directamente el órgano de administración, pues sería absurdo exigir a una PYME o a una empresa con tres personas que estableciese un órgano independiente de control.
IV. El delito de omisión de vigilancia y control de infracción de deberes
Si bien es cierto que el Proyecto de Reforma del Código Penal premia al empresario diligente que haya adoptado las medidas de prevención de riesgos penales con una eximente de responsabilidad, en caso de que demuestre haber cumplido los requisitos contemplados en el artículo 31 bis C.P., no lo es menos que para el empresario que no lo haga, reserva un castigo penal en forma de un nuevo delito de omisión que, en mi opinión, vulnera todos los principios básicos que el legislador ha de respetar para incorporar una nueva figura delictiva.
El artículo 286 seis del Proyecto del Código Penal establece que,
1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resulten exigibles para evitar infracciones de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida.
Dentro de estas medidas de vigilancia y control se incluye la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control y, en general, las expresadas en los artículos 2 y 3 del artículo 31 bis.
2. Si el delito hubiera sido cometido por imprudencia se impondrá la multa de tres a seis meses.
De este modo, se incorpora un nuevo delito de omisión pura que sólo podría ser cometido por los representantes legales o administradores de hecho o derecho de cualquier tipo de persona jurídica, e incluso de aquellos que representen o dirijan las entidades sin personalidad jurídica. Esto ya de por sí resulta contradictorio con el artículo 31. bis del Código Penal, que establece únicamente la responsabilidad penal de las personas jurídicas, con independencia de que el artículo 129 del Código Penal establezca como como consecuencias accesorias de la pena alguna de las penas contempladas para las personas jurídicas, que podrá imponer motivadamente el Juez o tribunal.
La conducta que castigará este delito se fundamenta en la omisión de los administradores o representantes legales de haber adoptado las medidas de vigilancia o control que resulten exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito. Ante ello, la primera pregunta que surge es ¿cuáles son las medidas exigibles de vigilancia y control a adoptar? El segundo párrafo de dicho artículo se remite en general a las medidas que deberá contener un programa de Compliance (reguladas en artículo 31 bis. 2 y 3), de lo que puede inferirse que las medidas de vigilancia y control se habrán de traducir en un sistema estructurado de Compliance cuya finalidad sea la prevención de riesgos penales que pudieran afectar a la empresa. Por lo tanto, lo que de facto se introduce es la obligación de adoptar programas “efectivos” de Compliances los empresarios.
Sin embargo, se ha de tener en cuenta que la mera omisión no provocaría la responsabilidad penal del empresario que careciese de dichos mecanismos de prevención y control por sí mismo. El tipo penal exige un elemento más, y es que se dé inicio (en el ámbito del ejercicio de las actividades sociales, se debería entender) de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada si se hubiera empleado la diligencia debida.
Se ha de llamar la atención que el tipo penal no exige, para la consumación del delito de omisión, que se cometa un ilícito penal, sino que se dé inicio, aunque no se llegue a consumar el mismo, por lo que con la mera tentativa de un delito, por algún empleado o administrador de la empresa (se entiende, aunque no estaría de más que se concretase en la descripción del tipo penal) sería suficiente para que se consumase el delito de omisión de los administradores.
Pero existe un último aspecto que ha de plantearse, por afectar directamente a las medidas de vigilancia y control establecidas. Los planes de Prevención de Riesgos Penales que la empresas han implantado, o van a implantar, se centrarán únicamente en prevenir los riesgos penales que afecten a su sector y que provoquen la responsabilidad penal de la persona jurídica. Se ha de recordar que no todos los delitos acarrean dicha responsabilidad, sino los que expresamente estén contemplados en el Código Penal. Por lo tanto, y poniendo otro ejemplo, una entidad financiera estructurará un plan de Compliance que prevenga y controles riesgos penales que pudieran afectar a su actividad y provocasen su responsabilidad penal como los delitos de estafa, blanqueo de capitales, corrupción, cohecho, contra la Hacienda Pública, bursátiles, etc.
Sin embargo, el artículo 286 seis del Proyecto no limita los delitos a los que se pueda dar ejecución a los que provoquen responsabilidad de la persona jurídica, sino que los amplía a todo el Código Penal, por lo que si un empleado de un banco amenaza a un cliente y no existen medidas de prevención del delito de amenazas porque este no provoca la responsabilidad penal de la persona jurídica, el administrador de la entidad – tal y como se encuentra redactado el tipo penal en la actualidad – también respondería penalmente pues el sistema de vigilancia y control no había incluido medidas para prevenir estas conductas peligrosas. Ello provocará, o que las medidas de Compliance se amplíen a todas las conductas de riesgo tipificadas en el Código Penal – algo que resulta objetivamente imposible – o asumir el riesgo de que los planes de Compliance siempre puedan ser considerados insuficientes e ineficaces.
Por ello, resulta esencial, si se quiere dotar de contenido este artículo y no dejarlo en el terreno del Derecho Penal simbólico, que limiten las conductas peligrosas que se han de vigilar a aquellas que provoquen la responsabilidad penal de la persona jurídica.
Por último, se ha de tener en cuenta que este tipo de delito de omisión se podría cometer también de manera imprudente por el representante legal o el administrador, aunque resulte ciertamente remoto que se pueda apreciar imprudencia en un delito de omisión puro que afecta a personas obligadas por un deber de diligencia en el desempeño de sus funciones.
V. Conclusión
Si finalmente llega a entrar en vigor el Proyecto de Reforma del Código Penal, la adopción de un sistema de Compliance que cumpla los requisitos establecidos en el Código Penal puede ser considerado como una eximente de responsabilidad penal de la empresa. Esta modificación resulta adecuada, no sólo por dotar de seguridad jurídica a los programas de Compliance que de facto ya se están implantando en nuestra realidad empresarial, sino por aportar los criterios y elementos que estos programas deben contener para que se consideren efectivos.
No obstante, el artículo 286 seis del Proyecto corre el riesgo de convertirse en tipo penal que se traduzca en un amenaza al empresario de que si no implanta medidas de prevención y control de riesgos, será castigado – y de manera muy grave – por ello. Esto, junto con la deficiente redacción del tipo penal auguran que en caso de aprobarse tal y como se encuentra redactado, se convertirá en un foco de problemas por quebrantar el principio de taxatividad y de seguridad jurídica. Por lo tanto, si se quiere seguir adelante con la implantación de este tipo penal, se hace necesaria una reconstrucción del mismo para que pueda servir para los fines propuestos – incentivar de manera positiva al empresario a mejorar su sistema de control interno- , y evitar las injustas consecuencias que se derivarán si el delito se aprueba tal y como se encuentra redactado.
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.