A lo largo del artículo se realizará un análisis de la reciente Circular 1/2016 de la Fiscalía General del Estado (en adelante, la Fiscalía), sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal (en adelante, CP) efectuada por Ley Orgánica 1/2015, fechada el 22 de enero de 2016, en la que se imparten instrucciones a los Fiscales para valorar la eficacia de los Compliance Programmes en las empresas que, tras la reforma de la Ley Orgánica 1/2015, de 30 de marzo (en adelante, LO 1/2015), se configuran como una eximente de la responsabilidad penal de las personas jurídicas (en adelante, RPPJ).
Esta Circular debe complementarse con la anterior Circular 1/2011, relativa a la responsabilidad Penal de las Personas Jurídicas conforme a la reforma del CP efectuada por Ley Orgánica número 5/2010 (de fecha 1 de junio de 2011).
Hay que tener presente que, no obstante tener las Circulares de la Fiscalía un valor orientativo, no vinculante, sí sirven en cambio de instrumento para unificar criterios de interpretación de las normas que, en no pocos casos, son seguidas por la jurisprudencia.
De hecho, esta Circular 1/2016 resulta especialmente interesante a la vista de la escasa incidencia práctica que ha tenido la RPPJ en el ámbito jurisprudencial, y ello sin perjuicio del inminente Acuerdo del Pleno del Tribunal Supremo sobre la cuestión.
El esquema que se seguirá para el análisis será el establecido en la propia Circular, dividido en cinco apartados: los primeros cuatro relativos a los presupuestos de la RPPJ y el quinto en relación con la exención de la RPPJ mediante los Compliance Programmes.
1. CONSIDERACIONES PRELIMINARES
La Fiscalía efectúa en este primera apartado una introducción respecto de la modificación del CP operada por la LO 1/2015, poniendo de manifiesto la crítica doctrinal existente hacia la primera regulación de la RPPJ de 2010 por resultar incompleta y confusa, toda vez que, a pesar de haber transcurrido más de cinco años, apenas hay pronunciamientos jurisprudenciales sobre la materia. Según la Fiscalía, a tenor del Preámbulo de LO 1/2015, la finalidad de la misma es aclarar el modelo establecido en 2010, incorporando una completa regulación de los Compliance Programmes.
La referida LO 1/2015 acomete una importante modificación del art. 31bis, reforma parcialmente el art. 66 bis e introduce tres nuevos artículos, 31ter, 31quater y 31quinquies que, con la única novedad de extender en este último el régimen de la RRPJ a las sociedades mercantiles públicas, reproducen el contenido de los apartados 2º, 3º, 4º y 5º del art. 31bis original.
2. EL MODELO DE RPPJ TRAS LA REFORMA DEL ART. 31 BIS CP
2.1. Los títulos de imputación de la persona jurídica
Actualmente los dos títulos de imputación de la RPPJ se establecen en el art. 31bis.1 CP:
«1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:
a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso».
La Fiscalía confirma que, a la luz de la reforma de la LO 1/2015, se regula un mecanismo de atribución de la responsabilidad penal a la persona jurídica de tipo vicarial mediante un sistema tasado de dos supuestos: los apartados a) y b) del art. 31bis.1 CP.
Además, explica los dos modelos fundamentales que permiten sustentar la RPPJ. Por un lado, el modelo de responsabilidad vicarial, que atribuye la responsabilidad penal a la persona jurídica entendiendo que dicha responsabilidad exige la previa comisión de un delito por una persona física en a las concretas circunstancias que se establecen en el art. 31bis.1 CP; y, por otro lado, el modelo de responsabilidad directa, por el que se construye un sistema de imputación propio de la persona jurídica, con nuevos conceptos de acción, culpabilidad, circunstancias modificativas de la responsabilidad, punibilidad, etc., de tal modo que es propiamente el ente colectivo el que comete el delito.
Dicho lo cual, y como se adelantaba, el CP opta por el modelo vicarial, siendo que el primer hecho de conexión (art. 31bis.1.a CP) lo generan las personas con mayores responsabilidades en la entidad, y el segundo (art. 31bis.1.b CP) son las personas indebidamente controladas por aquéllas.
Finaliza la Fiscalía indicando que, no obstante, reconocerse en el art. 31bis CP un modelo de responsabilidad vicarial de la persona jurídica, existen elementos que atribuye cierta autonomía a la responsabilidad de la empresa, destacando: (i) la RPPJ no depende de la previa declaración de la responsabilidad penal de la persona física; (ii) la no identificación del autor no excluye la RRPP, (iii) las agravantes y atenuantes de la persona física no son trasladables a la persona jurídica; (iv) la persona jurídica tiene una circunstancias modificativas específicas y un sistema propio de penas; y (v) el valor eximente de los Compliance Programmes.
2.2. Los delitos atribuibles a las personas jurídicas en la Parte Especial del CP
La RPPJ actualmente se circunscribe al siguiente catálogo de delitos del CP:
2.3. Las personas físicas capacitadas para transferir la responsabilidad penal a la persona jurídica, de la letra a) del art. 31bis.1 CP
Tras la modificación de la LO 1/2015, el precepto hace referencia a los «representantes legales», a «aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica» y a los que «ostentan facultades de organización y control dentro de la misma» como sujetos hábiles para, con su conducta, transferir responsabilidad penal a la persona jurídica. La Fiscalía determina quiénes se engloban en cada grupo:
(i) El concepto de «representante legal» hay que remitirlo, únicamente, a los representantes orgánicos.
(ii) «Aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica» incluye a los administradores de derecho, a los administradores de hecho, así como a los apoderados generales o singulares y otras personas en quienes se hayan delegado determinadas funciones.
(iii) Los que «ostentan facultades de organización y control dentro de la misma» engloba un potencialmente alto número de cargos y mandos intermedios que tengan atribuidas tales facultades, entre ellas, las medidas de vigilancia y control para prevenir delitos; incluyéndose entre ellos, según el criterio de la Fiscalía, a los Compliance Officers.
En definitiva, la nueva definición de las personas físicas del art. 31bis.1.a) CP amplía notablemente el círculo de sujetos de este criterio de imputación.
2.4. El beneficio directo o indirecto de la persona jurídica
El art. 31bis original exigía que la conducta de la persona física, en los dos títulos de imputación, se hubiera realizado en nombre o por cuenta de la persona jurídica y «en su provecho». Esta última expresión suscitaba determinadas dudas en torno a su interpretación.
Con la LO 1/2015 se modifica el término «en su provecho» por el de «beneficio directo o indirecto», de tal manera que, para que nazca la RPPJ, se requiere la existencia, bien de un beneficio directo (esto es, que por la actuación del mando o empleado se obtenga un lucro más o menos cuantificable); o bien de un beneficio indirecto (esto es, aquellos beneficios obtenidos a través de un tercero interpuesto, los consistentes en un ahorro de costes y, en general, todo tipo de beneficios estratégicos, intangibles o reputacionales). Por tanto, no hace falta que se persiga un beneficio económico. Además, las entidades sin ánimo de lucro también quedan sometidas al régimen de la RPPJ.
En este punto, la Fiscalía destaca que no es necesario que el beneficio se llegue a producir sino que basta con que exista la acción tendente a conseguir el mismo.
Por ello, para que se produzca la exoneración de la RPPJ, no debe reportarse beneficio alguno a la persona jurídica, ni directo ni indirecto; es decir, que la conducta resulte inidónea para reportar a la entidad ningún tipo de beneficio.
El hecho de que el sujeto activo deba de actuar «en beneficio» de la persona jurídica no es incompatible con que la persona jurídica pueda ser considerada penalmente responsable por los delitos imprudentes que puedan cometer, los cuales se limitan a: las insolvencias punibles (art. 259.3 CP), los recursos naturales y el medio ambiente (art. 331 CP), el blanqueo de capitales (art. 302.2 CP) y la financiación del terrorismo (art. 576.5 CP).
2.5. El incumplimiento grave de los deberes de supervisión, vigilancia y control de la letra b) del art. 31bis.1 CP
La LO 1/2015 sustituye la condición del art. 31bis.1.b) CP de que el autor del delito (los subordinados o empleados) haya podido cometerlo por no haberse ejercido sobre él «el debido control» por el menos exigente requisito de «haberse incumplido gravemente los deberes de supervisión, vigilancia y control». De ahí que las infracciones graves de esos deberes podrán ser sancionadas en la vía penal, mientras que las que no revistan ese carácter gravoso deberán serlo en la vía administrativa o mercantil (p.e.: mediante la aplicación de la normativa en materia de consumidores y usuarios, de mercados de valores, de prevención del blanqueo de capitales, de protección de datos, etc.).
Dichas infracciones deben ser cometidas por las personas referidas en el art. 31bis.1.a) CP. Para evitar un incumplimiento grave de esos deberes, la persona jurídica no solo deben disponer del correspondiente Compliance Program sino que las personas mencionadas en el precepto citado deben estar formadas e instruidas respecto del Compliance Program.
La nueva exigencia de que el incumplimiento del deber de control haya sido grave puede determinar que, aparte de la transferencia de la responsabilidad penal a la persona jurídica vía art. 31bis.1.b) CP, el omitente del control también pueda responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que permite trasferir así mismo la responsabilidad penal a la persona jurídica vía art. 31bis.1.a) CP. Por tanto, se origina así la simultánea concurrencia de los dos criterios de atribución de la RPPJ.
En cuanto a los delitos que provocan la responsabilidad de la persona jurídica por haberse incumplido gravemente los deberes de supervisión, vigilancia y control, deben haber sido cometidos por los sujetos referidos en el art. 31bis.1.b) CP, siendo suficiente que éstos operen en el ámbito de dirección, supervisión, vigilancia o control de estas, pero sin ser necesaria una vinculación formal con la empresa a través de un contrato laboral o mercantil, por lo que quedan incluidos autónomos, trabajadores subcontratados o empleados de filiales, siempre que se hallen integrados en el perímetro de su dominio social.
En todo caso, el incumplimiento grave de los deberes de supervisión, vigilancia y control ha de valorarse, «atendidas las concretas circunstancias del caso» expresión que, ya antes de la reforma de la LO 1/2015 y con toda claridad tras ella, remite a los Compliance Programmes, que serán objeto de una inicial valoración en relación con este criterio de imputación para evaluar el alcance y el contenido real del mandato del que son titulares las personas que incumplieron gravemente tales deberes. Por ello, el no disponer de Compliance Programmes dará lugar a entender por la Fiscalía que, directamente, concurre el incumplimiento grave de los deberes de supervisión, vigilancia y control.
Por último, la Fiscalía señala que si no se ha producido una infracción de los deberes de supervisión, vigilancia y control, o ésta no ha sido grave, siempre cabe en sede penal la declaración de la responsabilidad civil subsidiaria de la persona jurídica según el art. 120.4º CP.
3. PERSONAS JURÍDICAS IMPUTABLES E INIMPUTABLES
La Fiscalía ya advertía en la anterior Circular 1/2011 que no era necesario imputar necesariamente a la persona jurídica en aquellos casos en los que se detectara la existencia de sociedades pantalla o de fachada, caracterizadas por la ausencia de verdadera actividad, organización, infraestructura propia, patrimonio etc., utilizadas como herramientas del delito o para dificultar su investigación. Debe exigirse, para concluir con la imputabilidad de la persona jurídica, que tenga un sustrato material suficiente.
En esa línea, la Fiscalía ha establecido el siguiente criterio –criticado por varios sectores ya que, aparentemente, va más allá de lo previsto legal–:
(i) Aquellas corporaciones que operan con normalidad en el mercado y a las que exclusivamente se dirigen las disposiciones sobre los Compliance Programmes, son penalmente imputables.
(ii) Las sociedades que desarrollan una cierta actividad, en su mayor parte ilegal, como las utilizadas instrumentalmente para la comisión de ilícitos penales, son también imputables.
(iii) Sin embargo, son inimputables aquellas sociedades cuya actividad ilegal supere ampliamente a la legal, siendo esta meramente residual y aparente para los propios propósitos delictivos.
(iv) Además, procederá la investigación de la persona física solamente cuando exista una identidad absoluta y sustancial entre ésta (como gestora) y la persona jurídica (como gestionada), de manera que las voluntades de ambas en la práctica aparecen solapadas o, también, cuando resulte irrelevante la personalidad jurídica en la concreta figura delictiva.
4. LAS PERSONAS JURIDICAS PÚBLICAS EXENTAS DE RESPONSABILIDAD
El art. 31quinquies CP se refiere a las personas jurídicas exceptuadas del régimen de la RPPJ en los siguientes términos:
«1.Las disposiciones relativas a la responsabilidad penal de las personas jurídicas no serán aplicables al Estado, a las Administraciones públicas territoriales e institucionales, a los Organismos Reguladores, las Agencias y Entidades públicas Empresariales, a las organizaciones internacionales de derecho público, ni a aquellas otras que ejerzan potestades públicas de soberanía o administrativas.
2. En el caso de las Sociedades mercantiles públicas que ejecuten políticas públicas o presten servicios de interés económico general, solamente les podrán ser impuestas las penas previstas en las letras a) y g) del apartado 7 del artículo 33. Esta limitación no será aplicable cuando el juez o tribunal aprecie que se trata de una forma jurídica creada por sus promotores, fundadores, administradores o representantes con el propósito de eludir una eventual responsabilidad penal».
La Fiscalía recuerda que, a pesar de que en 2010 se excluyó a los partidos políticos y los sindicatos del listado del régimen de RPPJ, en 2012, y a raíz de la reforma operada por la Ley Orgánica 7/2012, de 27 de diciembre, finalmente se les incluyó. Junto a los partidos políticos, serán también penalmente responsables las fundaciones y entidades con personalidad jurídica que se consideren vinculados a aquellos.
Por su parte, la LO 1/2015 también ha incluido a las sociedades mercantiles públicas. Ahora bien, cuando éstas ejecuten políticas públicas o presten servicios de intereses económicos generales gozaran de una limitación de penas en virtud de la cual únicamente se le podrán condenar a multa y/o intervención judicial. Así mismo, los Colegios Profesionales o Cámaras de Comercio también deben incluirse como sujetos sometidos a RPPJ.
Por último, la Fiscalía añade que las fundaciones públicas están exentas de RPPJ.
5. EL REGIMEN DE EXENCIÓN DE RPPJ: LOS COMPLIANCE PROGRAMMES
Como indica la Fiscalía, el aspecto más novedoso de la LO 1/2015 es la introducción de la causa de exención de la RPPJ fundada en que la persona jurídica en cuestión ha demostrado disponer y haber implementado un Compliance Program. Dicho régimen de exención se regula en los apartados 2, 3 4 y 5 del art. 31bis CP.
Concretamente los presupuestos de la exención son:
(i) Que el órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, un Compliance Program que incluyan las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa el riesgo de su comisión.
(ii) Que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (el Compliance Officer).
(iii) Que los autores individuales hayan cometido el delito eludiendo fraudulentamente el Compliance Program.
(iv) Que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del Compliance Officer.
Si los anteriores presupuestos solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.
Por otra parte, los requisitos que deben cumplir los Compliance Programmes son los siguientes:
(i) Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
(ii) Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
(iii) Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
(iv) Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
(v) Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
(vi) Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
5.1. Antecedentes y principios generales
En la primitiva regulación de 2010 no había más referencia a los Compliance Programmes que la contemplada en la atenuante de del art. 31bis.4.d) CP, referida a haber implementado un Compliance Program antes del comienzo del juicio oral, por lo que existía la duda acerca de los beneficios que pudieran derivarse para la persona jurídica cuando tales medidas hubieran sido establecidas con anterioridad a la comisión del hecho delictivo. No obstante, con la LO 1/2015 se ha decidido que estos Compliance Programmes eximan de responsabilidad penal a la empresa bajo determinadas condiciones.
La Fiscalía hace hincapié en que los Compliance Programmes no tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial. La empresa debe contar con un modelo para cumplir con la legalidad en general y, por supuesto, con la legalidad penal. Es decir, se trata de reafirmar una cultura corporativa de respeto a la Ley, donde la comisión de un delito constituya un acontecimiento accidental y la exención de pena, una consecuencia natural de dicha cultura, pues en otro caso, indeseado, se percibirían los Compliance Programmes como una especie de seguro frente a la acción penal
5.2. El régimen de exención de los dos títulos de imputación de la persona jurídica
Para la Fiscalía el régimen de exención se aplica tanto a los supuestos de responsabilidad penal de la persona jurídica por delitos de los representantes legales y directivos (art. 31bis.1.a) CP) como para el caso de los delitos de empleados y dependientes (art. 31bis.1.b) CP), por más que en el caso de los primeros, que se puede decir que representan a la propia entidad, ello esté menos justificado y, por tanto, debe interpretarse el régimen de exención de modo que no se vacíe de contenido la propia responsabilidad de la persona jurídica.
Los requisitos para ambos casos son, pues, los mismos, si bien hay una diferencia esencial y es que para el caso de los delitos de los empleados y dependientes no se puede aplicar la condición del art. 31bis.2.3ª CP (es decir, que los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención) porque, en el modelo establecido, debe probarse que el sujeto encargado de la vigilancia y control incumplió gravemente sus deberes, pero no es exigible recíprocamente a la persona jurídica que, para eximirse de responsabilidad, pruebe que el dependiente eludió fraudulentamente el modelo de control.
5.3. Condiciones y requisitos de los Compliance Programmes
El primer requisito exige al órgano de administración que haya adoptado y ejecutado con eficacia, antes de la comisión del delito, un Compliance Program, el cual debe contener las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa su comisión.
La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos
A criterio de la Fiscalía, los Compliance Programmes deben ser claros, precios, eficaces y redactados por escrito; toda vez que deben estar perfectamente adaptados a la empresa y a sus concretos riesgos, rechazando el que las compañías se limiten a adaptar –o directamente copiar– otros Compliance Programmes ya elaborados para otras empresas, a fin de reducir costes.
El segundo requisito se refiere a los protocolos y procedimientos de formación de la voluntad de la persona jurídica, de adopción y de ejecución de decisiones. Tales procedimientos deben garantizar altos estándares éticos, de manera singular en la contratación y promoción de directivos y en el nombramiento de los miembros de los órganos de administración
Aunque la comisión del delito puede interpretarse como una inicial muestra de la ineficacia del modelo, lo cierto es que no puede descalificarse por ello automáticamente un Compliance Program por inefectivo. El delito no invalida necesariamente el Compliance Program, que puede haber sido diseñado e implementado adecuadamente sin llegar a tener una eficacia absoluta
El tercer requisito consiste en la atribución de los recursos financieros adecuados para dotar de eficacia a los Compliance Programmes y evitar comisión de los delitos que deben ser prevenidos.
El cuarto requisito sugiere que los Compliance Programmes, además de tener eficacia preventiva, deben posibilitar la detección de conductas criminales. También deben establecerse canales de denuncia de incumplimiento internos o de actividades ilícitas, garantizando la protección del denunciante, dada la singularidad de este tipo de denuncias y las eventuales consecuencias de, que de la misma, puedan plantearse los denunciantes.
El quinto requisito exige el establecimiento de un sistema disciplinario que sancione el incumplimiento del Compliance Program.
Por último, el sexto requisito se refiere a que un adecuado Compliance Program tiene que regular los plazos y el procedimiento de revisión, al margen de su fiscalización cuando se den circunstancias que puedan influir en el mapa de riesgos contemplado (p.e.: modificaciones del CP que afecten a la actividad de la persona jurídica).
5.4. El Compliance Officer
La Fiscalía considera que el Compliance Officer que supervise el Compliance Program deberá ser creado específicamente para asumir dicha función salvo en aquellas entidades en las que, por ley, ya se encuentra previsto para verificar la eficacia de los controles internos de riesgos de la persona jurídica (p.e.: empresas de servicios de inversión).
El Compliance Officer debe disponer de poderes autónomos de iniciativa y control; y, dependiendo del tamaño de la empresa, podrá estar constituido por una o varias personas, pero con la suficiente formación y autoridad.
El CP no establece las funciones que debe desarrollar el Compliance Officer pero, según la Fiscalía, deberá de participar en la elaboración del Compliance Program y asegurar su buen funcionamiento, estableciendo sistemas apropiados de auditoría, vigilancia y control, debiendo contar con personal con los conocimientos y experiencia profesional suficientes, disponer de los medios técnicos adecuados y tener acceso a los procesos internos, información necesaria y actividades de las entidades para garantizar una amplia cobertura de la función que se le encomienda. La Fiscalía remite, a título ilustrativo, a la Norma 5ª de las Circulares 6/2009 y 1/2014 de la Comisión Nacional del Mercado de Valores para definir el contenido de la función del Compliance Officer.
Éste, el Compliance Officer, debe ser un órgano propio de la persona jurídica –según la Fiscalía, creado «ad hoc» al efecto–, pero sin que ello signifique que deba realizar todas las tareas configuradoras de su función ya que algunas de estas tareas pueden realizarse por otros órganos, internos (p.e.: departamento de prevención de riesgos o el departamento de prevención de blanqueo de capitales) o externos (p.e.: la gestión del canal de denuncias o la formación de los directos en materia del Compliance Program). Lo importante, según la Fiscalía, es que existe un órgano responsable de la función de cumplimiento normativo.
Además, el Compliance Officer también deberá vigilar al propio órgano de administración y, por otra parte, se deberán prever mecanismos de control para gestionar los conflictos de intereses que puedan surgir entre el órgano de administración y el Compliance Officer.
Finalmente, en relación con la responsabilidad penal del Compliance Officer, la Fiscalía señala que éste puede, con su actuación delictiva, transferir la responsabilidad penal a la persona jurídica a través del supuesto previsto en el art. 31bis.1.a) CP, porque al ostentar facultades de organización y control, está incluido en ese supuesto. Además, la omisión del control al subordinado puede llevarle a él mismo a ser penalmente responsable del delito cometido por el subordinado. De hecho, según el criterio de la Fiscalía, si es el Compliance Officer quien omite gravemente el deber de control, la persona jurídica, en ningún caso, quedará exenta de responsabilidad penal.
5.5. El régimen especial de las personas jurídicas de pequeñas dimensiones
El art. 31bis.3 CP contiene un régimen especial para las personas jurídicas de pequeñas dimensiones, consideradas como tales, con arreglo a un criterio contable, aquellas sociedades autorizadas a presentar cuenta de pérdidas y ganancias abreviada. La única especialidad que el Legislador dispensa a estas entidades consiste en eximirlas del cumplimiento de la condición segunda del apartado anterior, de modo que las funciones del Compliance Officer las desempeñe directamente el órgano de administración. Se mantiene, por lo tanto, la obligación de adoptar los Compliance Programmes, con los requisitos contemplados en el art. 31bis.5 CP.
Las personas jurídicas de pequeñas dimensiones podrán demostrar su compromiso ético mediante una razonable adaptación a su propia dimensión de los requisitos formales del art. 31bis.5 CP, en coherencia con las menores exigencias que estas sociedades tienen también desde el punto de vista contable, mercantil y fiscal. La Fiscalía aconseja, atendiendo a las especiales características de estas sociedades, extremar la prudencia en su investigación, a fin de evitar una inconstitucional situación en base al principio del «non bis in ídem».
5.6. Criterios para valorar la eficacia de los Compliance Programmes
La Fiscalía afirma que no es tarea fácil definir unos criterios uniformes aplicables a los diferentes tipos de sociedades, habida cuenta de su distinta organización, modelos de negocio, naturaleza y extensión de sus transacciones, sus productos o servicios o sus clientes. No obstante lo cual, sí proporciona unos primeros criterios interpretativos que tienen como objetivo valorar la adecuación y eficacia de los Compliance Programmes. Dichos criterios son los siguientes:
(i) La regulación de los Compliance Programmes debe interpretarse de manera que el régimen de RPPJ no quede vacío de contenido y sea de imposible apreciación en la práctica. Ha de evitarse, por lo tanto, que la mera adopción de los Compliance Programmes constituya un salvoconducto para la impunidad de la persona jurídica blindándola, no solo por los actos de las personas de menor responsabilidad en la empresa sino también por los de quienes la administran, representan y hasta diseñan y vigilan la observancia de tales programas.
(ii) Los Compliance Programmes no solo tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial. Por eso, la clave para valorar su verdadera eficacia no radica tanto en la existencia de un programa de prevención sino en la importancia que tiene en la toma de decisiones de sus dirigentes y empleados y en qué medida es una verdadera expresión de su cultura de cumplimiento.
(iii) Las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de su observancia pero en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial.
(iv) Cualquier Compliance Program eficaz depende del inequívoco compromiso y apoyo de la alta dirección de la compañía. El comportamiento y la implicación del órgano de administración y de los principales ejecutivos son claves para trasladar una cultura de cumplimiento al resto de la compañía. Por el contrario, su hostilidad hacia los Compliance Programmes, la ambigüedad, los mensajes equívocos o la indiferencia ante su implementación traslada a la compañía la idea de que el incumplimiento es solo un riesgo que puede valer la pena para conseguir un mayor beneficio económico. Por lo tanto, la responsabilidad de la sociedad no puede ser la misma si el delito lo comete uno de sus administradores o un alto directivo que si lo comete un empleado.
(v) Aunque cabe un beneficio indirecto de la persona jurídica, la responsabilidad corporativa no debe valorarse igual en los supuestos en los que la conducta criminal redunda principalmente en beneficio de la sociedad que en aquellos otros en que dicho beneficio resulta secundario o meramente tangencial al perseguido por el delincuente. Se valorará de manera especial que los Compliance Programmes establezcan altos estándares éticos en la contratación y promoción de directivos y empleados y su aplicación en el caso concreto.
(vi) Si bien la detección de delitos no está expresamente incluida en la enunciación ni en los requisitos de los Compliance Programmes, forma parte, junto con la prevención, de su contenido esencial, de tal manera que la capacidad de detección de los incumplimientos supondrá un elemento sustancial de la eficacia del Compliance Program.
(vii) La comisión de un delito no invalida automáticamente el Compliance Program, pero también es cierto que este puede quedar seriamente en entredicho a tenor de la gravedad de la conducta delictiva y su extensión en la corporación, el alto número de empleados implicados, la baja intensidad del fraude empleado para eludir el modelo o la frecuencia y duración de la actividad criminal.
(viii) El comportamiento de la corporación en relación con anteriores conductas es relevante para deducir la voluntad de cumplimiento de la persona jurídica y en qué medida el delito representa un acontecimiento puntual y ajeno a su cultura ética o, por el contrario, evidencia la ausencia de tal cultura, desnudando el modelo de organización como un mero artificio exculpatorio.
(ix) Las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito han de ser igualmente evaluadas (p.e.: la adopción de medidas disciplinarias contra los autores o la inmediata revisión del Compliance Program para detectar sus posibles debilidades, introduciendo en su caso las necesarias modificaciones). Del mismo modo, la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena.
Pablo López García
Departamento de Derecho Procesalde Leopoldo Pons