El 23 de diciembre de 2010 entró en vigor, por primera vez en España, la responsabilidad penal de sociedades por los delitos cometidos en su nombre y en su provecho por sus representantes o empleados (art. 31 bis CP). Desde esta reforma, no sólo los consejeros, directivos o empleados, sino las sociedades también, podían incurrir en responsabilidad penal por determinado tipo de delitos (estafa, insolvencias y concursos punibles, corrupción privada, delitos contra la Hacienda Pública y la Seguridad Social, blanqueo de capitales, tráfico de influencias, cohecho, organizaciones criminales y financiación del terrorismo, etc.).
La tipificación de la responsabilidad penal de las sociedades rompía con el principio vigente en nuestro derecho penal de la sociedad no puede delinquir (“societas delinquere non potest”) y con la responsabilidad subjetiva, al no haber necesidad de probar una actuación dolosa o imprudente de la sociedad; esto es, se tipificaba como delito la mera omisión de medidas internas de prevención penal y lo acercaba a ordenamientos jurídicos de nuestro entorno como Países Bajos, Dinamarca, Suiza o Francia. La responsabilidad penal de las personas jurídicas no excluía la responsabilidad penal de las personas físicas, sino que se complementaban.
La trascendencia de este artículo 31 bis es que garantizaba la permeabilidad de la responsabilidad de manera que afectase no sólo a una persona concreta, administrador, directivo, sino a los socios, traspasando la supuesta inmunidad que otorgaba la responsabilidad limitada y estableciendo una correlación entre riesgos y responsabilidades. Y esta correlación entre riesgo y responsabilidad, con los matices que permite la aplicación del Derecho penal (atenuantes, agravantes, etc.) es fundamental porque en su función preventiva –no punitiva- asegura que la gestión de riesgos se vertebre a lo largo de toda la organización empresarial, en procesos, gestión, productos y servicios.
Cuatro años después, ninguna sociedad ha sido condenada penalmente por delitos corporativos pero el gobierno aprobó el pasado 21 de enero el proyecto de reforma del Código Penal donde se modifica sustancialmente el actual art. 31 bis del Código Penal.
La reforma, que se ha aprobado de forma sumaria, establece la exención de responsabilidad penal para las sociedades si se prueba que la empresa adoptó medidas de vigilancia y control para prevenir el delito.
¿Es correcto este planteamiento?
¿Qué requisitos técnicos deberían exigirse?
¿Qué supone la tipificación de responsabilidad penal de las personas jurídicas para ellas mismas y para la sociedad?
1) Respecto a la primera pregunta, veamos cuál es el alcance de la nueva redacción.
El nuevo apartado vigésimo de modificación del artículo 31 bis dicta que las personas jurídicas serán penalmente responsables
a) de los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquéllos que actuando individualmente o como integrantes de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
b) de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
Con la reforma la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones
1) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza,
2) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;[1]
3) los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y
4) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la letra b)”.
De esta redacción llama poderosamente la atención el punto 1).
Hasta ahora, esta responsabilidad podía ser atenuada si la empresa tenía un plan de prevención, pero ahora las empresas que adopten programas de prevención de delitos quedarán exentas de la responsabilidad penal de la persona jurídica.
Supuestamente, la justificación de la reforma se hallaba en la falta de seguridad jurídica que ese artículo suponía para personas jurídicas y administradores: “la responsabilidad de la persona jurídica no depende de que el sistema de prevención consiga evitar la comisión de delitos. La referencia a que el sistema de prevención fuera idóneo para evitar la comisión de delitos no pretendía imponer que fuera eficaz en todos los casos […] la redacción ya evidencia que la existencia de un sistema razonable y adecuado para evitar la comisión de delitos es suficiente”.
Si se achacan elementos técnicos para justificar la reforma,¿no resulta acaso un oxímoron la exigencia de que se “adopten y ejecuten con eficacia modelos de organización y gestión” para evitar el delito?
Es decir, como requisito de fondo, la reforma insiste en la necesidad de la adopción “eficaz” (sic) de un modelo de prevención para prevenir la comisión de delitos.
Aparte de reducir la reforma al absurdo (al aplicar la eximente en los casos en los que, pese a las medidas adoptadas, se produce la comisión de un delito),
en la práctica, estamos ante una exención generalizada. Una cosa es exigir la aplicación real de estos modelos y otras hacer inviable el tipo. Sorprendentemente, no se establece ninguna agravante en la nueva redacción.
2) ¿Qué requisitos técnicos deberían exigirse para una gestión de riesgos que evite sanciones penales? ¿Cómo puede asegurarse la trazabilidad de los riesgos en toda la organización?
La responsabilidad objetiva del antiguo artículo 31 bis, tenía como corolario el establecimiento de una cultura de prevención y una mayor asunción de riesgos en la gestión empresarial. La penalización de ciertas conductas y su carácter objetivo, al asociarse a defectos estructurales de la organización pretendía promover culturas corporativas que no sólo respetasen la ley sino que creasen una ética empresarial y mejoras en la cultura corporativa.
Su materialización en la práctica –y la justificación de la reforma- era imponer a las sociedades la obligación de establecer un modelo interno de prevención y control de infracciones. De hecho, la regulación de la responsabilidad penal de las sociedades ha llevado a todos los grandes grupos empresariales incluyendo todas las sociedades cotizadas y multinacionales a implementar en mayor o menor medida este tipo de procedimientos internos de detección temprana y prevención de infracciones penales.
Pero si ya existía esta exigencia, ¿para qué la reforma?
– la reforma es innecesaria, porque el modelo ya existía, aunque el modelo de prevención penal o compliance operaba antes como atenuante.
– es inútil, porque en la práctica supone una exención generalizada.
Ahora se concretan pormenorizadamente los requisitos de los modelos de prevención penal que las sociedades deben adoptar, siempre de acuerdo con la naturaleza y el tamaño de la organización:
a) identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos;
b) establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de su ejecución;
c) dispondrán de modelos de gestión de recursos financieros adecuados para impedir la comisión de delitos;
d) impondrán la obligación de informar de riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento;
e) establecerán un sistema disciplinario,
f) realizarán una verificación periódica.
¿Acaso esta redacción no cuestiona el principio de intervención mínima del derecho penal? El detalle pormenorizado de los programas de compliance penal aquí no parece el lugar más idóneo.
3) ¿Tiene sentido esta tipificación?
Cuando se instauró la responsabilidad penal de las personas jurídicas en el año 2003, se recalcaba que habría responsabilidad penal sólo en el caso de que el incumplimiento del deber de vigilancia hubiese tenido carácter “grave”. La justificación destacaba que así lo preveían las Directivas de la UE, que “imponen el deber de sancionar a las personas jurídicas en determinados supuestos, pero NO [en mayúsculas] imponen que ese régimen sancionador tenga naturaleza penal”. De ahí que el régimen penal se reservara para delitos como estafas, corrupción, soborno de agentes públicos, corrupción de menores, etc. y se derivara al régimen sancionador administrativo el resto de ilícitos.
La creciente sofisticación de las actividades delictivas corporativas, favorecidas por las transacciones internacionales, aumentan de forma dramática los daños a la ciudadanía y refuerzan el carácter de bien público protegido para determinados ilícitos. Obsérvese la trascendencia de esta penalización sobre bienes colectivos jurídicamente protegibles (daños al medioambiente, corrupción, estafas).
¿Es eficaz la simple exigencia de compliance frente a conductas criminales sofisticadas, como evasión fiscal, blanqueo de capitales, o corrupción en la cadena de valor, de trazabilidad difícil, y/o grandes daños a la ciudadanía? ¿Basta con rellenar un papel y establecer formalmente ciertos sistemas, independientemente de que sean efectivos?
Para la responsabilidad penal, los daños o perjuicios tienen un carácter social, pues son considerados atentados contra el orden público lo suficientemente graves como para ser fuertemente reprobados. En los delitos de los que estamos hablando, la prevención es necesaria pero no suficiente, hace falta que cumpla su función punitiva y represiva.
La responsabilidad vicaria, donde se responde por el daño causado por otros, aunque no haya incurrido en culpa o negligencia, tiene aquí más fundamento:
- la mayor solvencia y capacidad de afrontar los costes de transacción de quien ha de responder por el hecho ajeno (persona jurídica),
- los riesgos característicos de la empresa deben de formar parte de sus costes, pues ésta es quien mejor los internaliza, al realizar de modo organizativo y sistemático una actividad.
- algunos juristas afirman que en la jurisprudencia española hay más casos de responsabilidad vicaria que de responsabilidad por hecho propio.
La responsabilidad penal de las personas jurídicas (una responsabilidad efectiva, no de tapadillo) no ha de suponer ningún tabú en culturas organizativas cada vez más sofisticadas. Pero además resulta más efectiva. El premio Nobel de Economía, Gary Becker afirma que la empresa es un actor racional que busca maximizar su beneficio y ante la amenaza de pérdidas económicas se reorganizará de la forma más eficiente posible. Del mismo modo, apunta que la multa será siempre el castigo más eficiente porque supone además un ingreso para el Estado.
¿Qué más argumentos hacen falta aparte de los sangrantes casos de corrupción corporativa que estamos viviendo para responsabilizar penalmente de forma efectiva a las personas jurídicas?
Mucho me temo que el compliance va a resultar un papel en blanco para proteger muchos bienes jurídicos y un negocio más.
[1] Este plan, por lo tanto, conlleva la creación de un organismo encargado de su cumplimiento. Sólo las sociedades de pequeño tamaño, considerando como tales las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, quedarán exentas de crear un órgano independiente que controle y vigile la aplicación del modelo de prevención y podrán encomendar esas funciones directamente al órgano de administración. No quedarán exentas, sin embargo, de cumplir el resto de los requisitos que debe reunir el modelo de prevención.
Foto: McConnors