Regreso al futuro: el nuevo 31 bis del Código Penal desde la experiencia Italiana. El caso Impregilo

Por Adán Nieto Martín

No es  infrecuente que el legislador se inspire en el derecho comparado para pergeñar sus reformas. Ha ocurrido siempre y resulta incluso encomiable. En el mundo del derecho resulta más complicada la experimentación que en otras Ciencias Sociales y por ello nada hay de malo en copiar regulaciones que han dado buenos resultados. La reciente reforma del Código penal tiene buenas muestras de este tipo de inspiración legislativa, baste pensar en el nuevo delito de quiebra o la administración desleal y la más que fuerte influencia que en ellos han desplegado sus homónimos alemanes.

Pero el caso más espectacular es el del nuevo art. 31 bis del CP, que regula la responsabilidad penal de las personas jurídicas. Como es conocido, este precepto constituye  prácticamente una traducción de los artículos centrales de la legislación italiana, los artículos 5 a 8 del d. Leg de 8 de junio nº 231 de 2001.

La 231 fue una de las últimas obras legislativas  de la coalición de centro izquierda del Olivo, y lo que hizo al legislador italiano el primero de la clase es que por primera vez positivizó la idea de la culpabilidad por defecto de organización o autorresponsabilidad de la persona jurídica, defendiendo además que la empresa podía distanciarse del delito cometido por cualquiera de sus agentes, incluso sí era un administrador o personal de alta dirección.  La gran originalidad a estos efectos del texto italiano, y ahora del 31 bis, es que establece dos modelos de imputación distintos: uno para administradores y altos directivos  y otro para subordinados.

Esta división recuerda a la existente en las normas de la UE, que, por cierto, y en contra de lo que suele pensarse, nunca han exigido que la responsabilidad de la empresa sea automática en caso de que la infracción haya sido realizada por un administrador con capacidad de control y organización. Lógicamente la persona jurídica lo tiene más difícil cuando el delito ha sido cometido por una de estas personas que por un subordinado, pues aquí se exigen cuatro requisitos.

El primero de ellos es común, la adopción de un modelo de organización o programa de cumplimiento; pero los otros dos son específicos: el apicale debe haber eludido fraudulentamente los controles previstos en el modelo y además debe contarse con un órgano de vigilancia que compruebe específicamente la eficacia del modelo. Además el texto italiano establece que en este caso la carga de la prueba recaía sobre la empresa, lo que al final se ha suavizado notablemente en la práctica, traduciéndose en un  “onere di allegazione” por parte de la empresa. Al final la prueba reina relativa a la eficacia de los programas de cumplimiento es una pericia judicial.

Pero dejando de lado este último punto, los criterios decisivos son la interpretación del término fraudulentamente y la constitución del órgano de vigilancia. El asunto Impregilo, un auténtico leading case, ha sido básico en la interpretación del primer término. La sentencia de instancia pronunciada por el Tribunal de Milán el 21 de mayo de 2012 fue famosa porque por primera vez se absolvió a una persona jurídica por considerar que su programa de cumplimiento era eficaz aunque el delito, una manipulación de mercado, había sido cometido por varios administradores, entre ellos, el presidente del Consejo. Vale la pena detenerse en los detalles. La empresa poseía un mecanismo de control que consistía en que la información que se lanzaba al mercado debía ser previamente supervisada y aprobada por una comisión interna, con el fin de comprobar su veracidad.  En el caso concreto, sin embargo, los administradores recibieron la información de esta comisión, la modificaron, y la hicieron pública. La empresa no tenía previsto ningún tipo de control extra para este caso. Para el Tribunal de Milán el sistema de control de Impregilo resultaba adecuado, existía un órgano de vigilancia correctamente conformado, y además el modelo de organización seguía las indicaciones que había realizado la CONSOB. Un hecho como el ocurrido “no se puede impedir por ningún modelo organizativo y, en particular, ni siquiera por el más diligente organismo de vigilancia”. De este modo, para esta sentencia bastaría con que existiera un modelo formalmente idóneo y el apicale supiera que lo desconoce. La sentencia Impregilo fue recurrida y anulada por la Corte de Casación (20.1.2014). Para la Corte el adverbio fraudulentamente exige algo más: debe consistir en la elusión concreta de un control. Es decir, el autor, cuando es un directivo, además de realizar la conducta típica, debe haber desarrollado un comportamiento encaminado directamente a eludir los controles del programa de cumplimiento.

Tras este regreso al futuro que podría haberse hecho sin utilizar el famoso vehículo de Michael J. Fox, son varias las preguntas y problemas que plantea el adverbio fraudulentamente y que el legislador español debiera haberse planteado. En primer lugar, contar con un sistema más estricto para los dirigentes no parece una idea descabellada, pero siempre que sea posible concretar con más detalles quiénes forman este grupo, ¿quiénes son exactamente dentro de la persona jurídica “los que están autorizados a tomar decisiones”?, ¿quiénes son exactamente los que ostentan “facultades de organización y control”?. En cualquier caso también podría haberse reflexionado por qué se considera que este requisito no es necesario en el caso de los subordinados.

Por otro lado, debería haberse advertido que esta exigencia tiene mal encaje en delitos imprudentes, como el blanqueo de capitales o medio ambiente, pues parece que exige constatar algo sumamente extraño: que, de un lado, el apicale se ha comportado negligentemente (por ejemplo, no ha provisto de medios suficientes el sistema de gestión medioambiental) pero, de otro, debe demostrarse que esta actividad la ha realizado escamoteándose dolosamente de los controles previstos. Es decir, ¿no sobra en este caso el término fraudulentamente?

Mayores son las reflexiones aun que sugiere la tercera de las especialidades del modelo italiano: la creación de un órgano de vigilancia. No debe negarse que la idea también es brillante. Si se quiere distanciar a la empresa de los delitos cometidos por sus administradores y altos directivos es necesario que un órgano de la empresa pueda supervisarlos de manera independiente; y ahí está el órgano de vigilancia. Ahora bien debe reconocerse que se trata de una idea de difícil ejecución y además que genera unos costes que no siempre redundan en una mayor eficacia.

Un sistema de vigilancia sobre los apicali es creíble especialmente cuando se trata de personas jurídicas que incluso en su cúspide están organizadas de un modo horizontal, con un poder muy fragmentado. Pero es mucho más difícil de ejecutar en empresas muy jerarquizadas, donde existe un grupo o un accionista de control que domina el consejo (¿es creíble que alguien pueda de verdad supervisar su actividad?, ¿qué ocurre, llevando las cosas al extremo, si existe un administrador único?).

Igualmente la idea de un órgano de vigilancia por cada persona jurídica no encaja en los grupos de sociedades. Al igual que ocurre en la 231, del art. 31 bis se desprende  literalmente que es necesario un órgano en cada persona jurídica del grupo. Así se está haciendo  además en Italia, incluso cuando se trata de grupos internacionales. En la experiencia italiana en estos casos es fácil encontrar un órgano de vigilancia compuesto por un externo, que hace de presidente, un representante de la matriz, por ejemplo, un miembro de asesoría jurídica y un representante de la filial. Este órgano de la filial es posible que carezca de utilidad.  Los administradores de una filial tienen en muchos casos un poder meramente formal y no son sino simples soldados rasos dentro de la estructura jerárquica de la matriz, por lo que en realidad los órganos de cumplimiento del grupo bastan para supervisar los controles de los dirigentes nacionales.

Un problema al que se prestó especial atención en Italia fue al encaje del órgano de vigilancia dentro de los órganos societarios. Desde un primer momento se planteó la cuestión de si la comisión de auditoria o el órgano de supervisión no podían ejercer como órgano de vigilancia, con ello, entre otras cosas, se ahorrarían costes. La respuesta fue la modificación de la 231 en 2011, permitiendo que el collegio sindicale o il consiglio di soveglianza realicen esta actividad. El 31 bis ha adaptado esta flexibilización como ha podido (recordemos que en Italia el modelo societario mayoritario es el dual, con un Consejo de Administración y un Consejo de Vigilancia) permitiendo que en las sociedades cotizadas esta función pueda ser realizada por la Comisión de auditoría. En la doctrina italiana se expresan muchas dudas acerca de la idoneidad de que el órgano de vigilancia societario, pueda asumir las competencias del órgano de supervisión penal: conflicto de intereses, falta de capacidad técnica en relación a algunos riesgos, falta de continuidad en el ejercicio de la vigilancia etc, sobre los que también debiera haberse reflexionado en nuestro regreso al futuro.

Dentro de algunas semanas, probablemente haya lugar para Regreso al futuro segunda parte, y seguir así aprendiendo lecciones del texto que el legislador ha decidido copiar. Pero con lo dicho hasta ahora basta para demostrar que aunque se copió al mejor alumno de la clase en el 2001, hoy 15 años después son muchos los problemas e inconvenientes que ha puesto de manifiesto el d. Leg 231. Un primer dato de la realidad italiana que debiera haber hecho reflexionar a nuestro legislador es que, hasta ahora, el sistema de exención de responsabilidad de la persona jurídica previsto en la 231 no ha funcionado. En lo que conozco,  ni una sola empresa se ha liberado de responsabilidad por tener un programa de cumplimiento.  Algún día habrá que desarrollar una suerte de guía metodológica para ver cómo deben realizarse la transfusión de textos legales. Pero sin duda los primeros pasos de esta guía serán, primero: no “copiar y pegar” y, segundo: estudiar bien las críticas y los problemas que el texto plantea en su propio ordenamiento, con la finalidad de no trasplantarlos al propio.

Sólo se pena el incumplimiento empresarial grave

Por Juan Antonio Lascuraín

Desde el año 2010 las empresas pueden delinquir y ser consecuentemente penadas. Como en nuestro sistema decente de garantías constitucionales no penamos a unos por lo que hacen otros, la pena a la persona jurídica no puede ser una especie de carga objetiva por los delitos de sus miembros cometidos en favor del colectivo. Ni siquiera es correcto pensar que lo que sucede es que, si se dan ciertas circunstancias (el delito del individuo lo es en ejercicio de su actividad social, a favor de la sociedad y porque esta no le controló), imputamos el delito del individuo a la sociedad. Penamos a la empresa (en general a la persona jurídica) por su propio delito, por su propia conducta, consistente en esencia en permitir el delito de los suyos en su beneficio.

El delito de la empresa se puede cometer por dolo y por imprudencia

Esta tolerancia empresarial puede ser dolosa o imprudente y en ello debería haber reparado el legislador, como lo hace en los delitos individuales. Con dos fines: optar por la punición de la comisión imprudente del hecho lesivo, en primer lugar, y distinguir la pena, y rebajarla, cuando realiza tal opción, en segundo.

Creo que el silencio del legislador no debe conducir en este punto a negar que constituya delito la comisión imprudente del delito de la empresa – como propone algún autor -, lo que en la práctica conduciría a la inaplicación de la responsabilidad de las personas jurídicas. Porque esta es derivable casi siempre de una conducta negligente y porque, cuando no lo es, es de muy difícil prueba la tolerancia dolosa con el delito individual. Lo que parece estar en la cabeza del legislador penal con su reciente celo en la determinación del cumplimiento penal (con su descripción de los rasgos de los programas de cumplimiento) es precisamente dibujar la frontera de la comisión imprudente.

Si esto es así, si podemos penar a la empresa tanto porque ha consentido el delito de los suyos en su favor como porque ha sido negligente en evitarlos, la consecuencia práctica es que en este segundo y habitual caso el juez deberá elegir el tramo bajo del marco penal, pues el principio de culpabilidad exige diferenciar punitivamente el dolo y la imprudencia.

Sólo es punible la imprudencia grave

Otra cosa que el legislador debería haber hecho expresamente es restringir la pena a los casos de imprudencia grave. Toca ahora corregir esa omisión formal por vía interpretativa.

A ello arroja una interpretación sistemática del Código Penal, como ya pusieron de manifiesto para la regulación anterior a la reforma del 2015 Dopico Gómez – Aller, Alonso Gallo o Feijoo Sánchez. Por un lado porque el Código solo prevé la punición de la imprudencia menos grave para los casos nada menos que de homicidio (art. 142.2) y de lesiones gravísimas (art. 152.2). Sería raro entender que en este régimen de excepcionalidad de la imprudencia no grave cabe cometer por tal imprudencia menor los muchos delitos que pueden imputarse a la persona jurídica. Más raro aún sería que se considerara tales delitos cometidos por la persona jurídica por imprudencia menos grave como delitos graves castigados con pena grave, que es lo que sucedería por el tipo de pena previsto (arts. 13.1 y 33.7 CP), máxime cuando en aquellos excepcionales supuestos en los que se castiga expresamente la comisión por imprudencia menos grave se los califica como delitos menos graves y se les asigna una pena menos grave.

Dicho en breve: ¿puede acaso interpretarse que es aplicable a cualquier delito de la persona jurídica el excepcional régimen de la punición de la imprudencia menos grave?; ¿es sostenible que en tales casos se califique el delito nada menos que como grave?

El coqueteo del legislador con la imprudencia menos grave

Poderosos argumentos que contrarrestan dos coqueteos del legislador español con el castigo de la imprudencia no grave de las personas jurídicas. Coqueteos que son los que justifican esta entrada de blog.

El primero lo encontramos en el párrafo segundo del artículo 31 bis 2 CP, cuando, tras describir los rasgos del sistema preventivo que se exige a las personas jurídicas, señala que

“[e]n los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”.

Después, en el artículo dedicado a las directrices para la determinación de la pena a las personas jurídicas, señala que, cuando se refiera a delitos de los subordinados y cuando su responsabilidad

derive de un incumplimiento de los deberes de supervisión, vigilancia y control que no tenga carácter grave”,

la penas interdictivas tendrán en todo caso una duración máxima de dos años (art. 66, párrafo 2º CP).

Alguna conclusión

Ya he apuntado la primera: si la persona jurídica comete el delito imprudentemente se le deberá penar con el tramo bajo del marco penal. La segunda conclusión es que nuestro Código Penal sólo pena la imprudencia grave de las personas jurídicas: si el incumplimiento no es grave (rectius: no es gravemente imprudente), no cabe responsabilidad penal de la persona jurídica. Las menciones de los artículos 31 bis 2 y 66 han de interpretarse en los términos médicos de mejoría dentro de la gravedad: las penas han de atenuarse si la grave imprudencia de la empresa se situa en la franja más baja de dicha gravedad.

 

 

La reforma del artículo 31 bis del Código Penal: dos bodas y algún funeral (I)

Por Juan Antonio Lascuraín

¿Por qué ha reformado el legislador penal los criterios de imputación de delitos a la persona jurídica?

Creo que por dos razones que tienen que ver con dos palabras de la regulación vigente hasta el día 1 de julio: “debido control”. La falta de debido control es el corazón del injusto de la persona jurídica: el defecto de organización que puede convertirla en delincuente. Sin embargo, con el viejo artículo 31 bis del Código Penal ni hay pistas de cómo ha de ejercitarse tal control ni está claro si tal ejercicio exime de pena a la persona jurídica en relación con el delito individual de los administradores.

Tanto la regulación todavía vigente como la nueva distinguen dos maneras de atribuir un delito a una persona jurídica cometido en su favor y en el ejercicio de actividades sociales: cuando el delito lo comete alguien de la cúpula de la organización (en la regulación aún vigente, “los representantes legales o los administradores de hecho o de derecho”) y cuando el delito lo comete alguno de los demás integrantes de la persona jurídica “por no haberse ejercido sobre ellos el debido control”. Simplificando, la empresa podrá responder en relación con los delitos del cerebro o con los delitos de los demás miembros descontrolados.

Con la regulación vigente no está claro si a la persona jurídica puede penársele por un delito de uno de sus administradores si tiene un sistema adecuado de cumplimiento penal para evitarlo. No está claro si para penarla exigimos que la parte incívica de su cerebro tenga que estar descontrolada. Por una parte, la lectura más inmediata del precepto (31 bis 1.a CP) dice que no, que la responsabilidad penal del colectivo es en este caso automática. Pero por otra parte suena tan absurdo como inconstitucional penar a una persona jurídica por el delito de uno de sus administradores a pesar de que la misma hace bien las cosas: a pesar de que mantiene un sistema razonable de prevención para que sus líderes no delincan en provecho de la entidad. Da la sensación de que pagan justos (la persona jurídica) por pecadores (el administrador).

La reforma aclara esta cuestión. Especifica que la empresa no responde del delito del administrador en favor de la empresa si tiene un sistema adecuado de cumplimiento penal (un “modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos”). La contrapartida de este requisito negativo para que la empresa cometa un delito (carecer de un sistema adecuado de cumplimiento penal) es la especial severidad con la que está diseñado el sistema de cumplimiento para el control de los administradores (y, en general, de los altos directivos).

Tal severidad que se manifiesta en dos condiciones. La primera es que exista un órgano independiente del máximo nivel que supervise el sistema de cumplimiento penal: que

“la supervisión del funcionamiento y el cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica” (art. 31 bis 2.2ª CP).

Se institucionaliza así un sistema bicéfalo de cumplimiento: junto con el necesario órgano ejecutivo de cumplimiento y por encima de él, se sitúa un alto órgano de supervisión del entero sistema de cumplimiento, que en las cotizadas se sugiere que sea la comisión de auditoría, en cuanto comisión del consejo con mayoría de consejeros independientes y presidida por un consejero independiente. Se trata de que, como Ulises, los administradores se aten al mástil del barco para no ser tentados con los cantos de las sirenas de la corrupción.

En las sociedades de menor envergadura (las autorizadas a presentar cuentas abreviadas) se permite que el órgano de vigilancia sea el órgano de administración (art. 31 bis 3 CP).

La segunda condición, también muy rigurosa, es que para exonerar a la empresa de los delitos de sus administradores no sólo hará falta un sistema razonable de prevención de los delitos de los mismos, sino que tal delito individual se haya cometido “eludiendo fraudulentamente los modelos de organización y de prevención” (art. 31 bis 2.4ª CP).

Qué es el debido control

La segunda gran novedad de la reforma es que se especifica qué es el debido control, qué es un programa de cumplimiento penal (art. 31 bis 1.5 CP). Siquiera con algún olvido – los códigos de conducta – a la vez que con innecesario detalle y oscuridad – les aviso que si leen el requisito segundo tendrán que hacerlo varias veces –, se contempla en seis elementos que, partir de una análisis de riesgos penales, el sistema tendrá que asignar funciones preventivas, controlar los recursos financieros, estar actualizado y disponer de un sistema sancionador.

Las personas jurídicas cuidadosas no delinquen

El loable objetivo del legislador penal ha sido, pues, responder a dos interrogantes cruciales que plantea el vigente 31 bis: aclarar que la empresa (rectius: la persona jurídica) cuidadosa, responsable, no delinque por el delito de uno de sus administradores y especificar qué significa que una empresa sea cuidadosa, responsable. Estas son las bodas que titulan esta reflexión. Pero entre ellas se ha colado algún funeral. Más allá de la imprecisión y del exceso regulativo, impropios de un texto penal, resultan preocupantes el rigor en el nivel de diligencia en relación con las conductas de los administradores y altos directivos; la inversión de la carga de la prueba; el guiño a la punición de la mera imprudencia leve de la persona jurídica, y la antiliberal obligación de denuncia interna. Lo comento en mi próxima entrada.

La reforma del artículo 31 bis del Código Penal (II)

Por Juan Antonio Lascuraín

Dos bodas y algún funeral

En mi anterior entrada comentaba dos bondades de la intensa reforma de la responsabilidad penal de las personas jurídicas. Aclara que éstas no responden automáticamente del delito de sus administradores y concreta en qué consiste el deber penal del colectivo: cómo debe desplegarse el control penal sobre los suyos para que no delincan en su provecho (el de la persona jurídica).

Pero en Derecho, como en la vida, el diablo está en los detalles. Y junto con estas dos bodas tenemos también algunos funerales. A ellos van dedicados las siguientes líneas y una tercera y última entrada sobre el nuevo 31 bis del Código Penal.

El exceso regulativo

Con el nuevo 31 bis pasamos de no decir casi ni pío en torno a qué constituye nada menos que una conducta delictiva (que la persona jurídica no “controle debidamente” a los suyos) a ser indebidamente pesados, que no es poco defecto para una norma penal. En su “Nomografía o el arte de redactar leyes” decía Jeremy Bentham que uno de los tres defectos primarios en los que puede incurrir una ley es, además de la incognoscibilidad y la ambigüedad, la voluminosidad, y que esta puede manifestarse en el defecto secundario del embrollo. Si desean saber lo que quería decir Bentham lean nuestros tipos penales de blanqueo de capitales, o de protección de datos, o de defraudación fiscal. O ahora la regulación de la imputación penal a las personas jurídicas.

El 31 bis 1º CP pasa de unas excesivamente modestas 100 palabras a unas excesivas 700, casi el doble de las dedicadas al conjunto del homicidio doloso e imprudente, el asesinato y la cooperación en el suicidio. El Código Penal debía ser más explícito en lo que entiende que es el debido control, pero no hacer un reglamento.

Hubiera bastado una definición orientativa de los elementos esenciales del debido control para luego dejar que su concreción se realizara en los lugares adecuados para el detalle (estándares de los destinatarios de las normas, estándares jurisprudenciales, leyes de sociedades). Creo que hubiera bastado algo así:

“Los sistemas de cumplimiento penal deben comprender métodos de análisis de riesgos penales, normas claras que describan las conductas irregulares y los mecanismos para su control, y un sistema sancionador que incluya procedimientos de denuncia de las irregularidades que garanticen la indemnidad de los denunciantes de buena fe. El órgano encargado del cumplimiento penal gozará de los recursos materiales necesarios y de poderes autónomos de iniciativa y control”.

La imprecisión

No muy grave sería el problema si lo fuera sólo de extensión. Pero es que también lo es de precisión en alguna de las cuestiones regulativas esenciales. Como es la frontera entre los dos criterios de imputación: el más exigente en cuanto al control de la empresa, cual es la delincuencia del cerebro, y el más laxo, relativo a los delitos de los demás miembros de la persona jurídica. Recuerdo que el primero de los controles requiere un órgano de vigilancia del máximo nivel y un rigor tal que sólo se va a considerar suficiente si el delincuente individual lo ha “eludido fraudulentamente”.

Hasta ahora en el primer grupo estaban los “representantes legales y los administradores de hecho y de derecho”. Ahora se incluye a los “representantes legales” y a “aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma”. La definición de este grupo, ya algo porosa con los “administradores de hecho”, se torna ahora más difusa, como la definición italiana, que se resume en los “soggetti in posizione apicale”, o la portuguesa, relativa a los que tienen “uma posiçao de liderança”. ¿Quiénes, a efectos penales, tienen “facultades de organización y control”? ¿Sólo los administradores? ¿También los directivos? ¿Cualquier encargado, cualquier delegado con mando sobre otros?

Excesiva exigencia del sistema para los administradores y altos directivos

El tercer funeral tiene que ver con el nivel de cumplimiento que se requiere a la empresa. A esta se le debe exigir que se organice razonablemente para que no se cometan delitos en su favor, pero sería injusto, contrario al principio de culpabilidad, cargarle con meros defectos puntuales de aplicación del sistema. Valga la metáfora, se trata de que haya suficientes centinelas bien formados, bien organizados y con los turnos adecuados; hecha tal cosa, no es culpa del cuartel que un centinela se duerma.

Desde ese punto de vista parece excesiva la exigencia del artículo 31 bis 2 3ª de que, para exonerar a la empresa frente al delito del administrador o alto directivo, se exija nada menos que éste haya cometido “el delito eludiendo fraudulentamente los modelos de prevención”. Esto es: con un engaño, con una añagaza, con una maquinación. ¿Hay entonces delito de la empresa bien organizada, que controlaba a sus administradores y altos directivos, cuyo imprudente director financiero no se percató en un mal día que, en operación nada sofisticada ni fraudulenta, no estaba bien justificado ese pago del director general que en realidad se dirigía a un soborno?

La reforma del artículo 31 bis del Código Penal (III)

Por Juan Antonio Lascuraín

Llego ya al final de esta serie de tres entradas sobre la nueva regulación de la imputación penal de delitos a las personas jurídicas. En la primera reseñaba dos avances que comporta la misma. El primero consiste en que deja claro que la persona jurídica responde siempre por su propia conducta laxa o tolerante respecto a los delitos de los suyos en su favor, incluidos sus administradores, respecto a cuyos delitos no existe, por lo tanto, una especie de responsabilidad objetiva. La segunda, virtud del nuevo 31 bis, es describir qué se entiende por conducta colectiva laxa en este contexto: qué tiene que hacer una persona jurídica para prevenir los delitos de sus administradores, directivos y empleados.

En mi segunda entrada reparaba en tres defectos de la nueva regulación. Es pesada y confusa en un ámbito de responsabilidad penal que por su propia novedad demandaba claridad. Es además imprecisa a la hora de dividir los criterios de imputación en función del delito individual al que se refiera la falta de control: dependiendo de si es un delito de los que mandan o de los demás. Y, en tercer lugar, es injustamente exigente con el rigor de la prevención requerida respecto a los primeros (a los que mandan), pues sólo resultará suficiente si estos han delinquido “eludiendo fraudulentamente” los controles de la persona jurídica.

Más defectos: la atenuación por diligencia parcial

Está muy bien que si la empresa (rectius: la persona jurídica) ha sido gravemente negligente, pero menos (cerca del margen inferior de esa imprudencia grave), se le sancione menos: que cuando el sistema de cumplimiento “solamente pueda ser objeto de acreditación parcial, esta circunstancia sea valorada a los efectos de atenuación de la pena” (art. 31 bis 2 pfo. 2º). Pero ojo con la manera de decir las cosas.

Primer “ojo”. Lo que sibilinamente está diciendo el precepto, en contra del derecho constitucional a la presunción de inocencia, es que es la empresa la que ha de acreditar el sistema de cumplimiento y no la acusación la que ha de probar su ausencia, que es lo único constitucionalmente correcto. No se puede presumir que la persona jurídica delinque porque se haya delinquido desde dentro y en su favor. El colectivo delinque si fue tolerante con tal delito y tal tolerancia ha de ser plenamente probada por la acusación, arrumbando la inocencia (en este caso, un debido control) de la que se parte.

No es esta forma de expresar una atenuante, en función no de su esencia sino de su acreditación, confundiendo la realidad con su prueba. ¿Se imaginan esa manera de tipificar? Por ejemplo: no está exento de responsabilidad penal el que actúe en legítima defensa, sino el que acredite que ha actuado en legítima defensa. O no reduce su pena el secuestrador que deja en libertad a su víctima antes de tres días sin haber logrado su propósito, sino el que acredita haber dejado en libertad a su víctima antes de tres días sin acreditar que ha logrado su propósito.

Segunda advertencia. La atenuación podría dar a entender que se está penando la imprudencia menos grave de la persona jurídica. Esto no es posible respecto de los delitos de los subordinados, porque en este caso se exige expresamente se hayan “incumplido gravemente […] los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso” (31 bis 1 b CP). Pero sí, respecto de los delitos de los que mandan, lo que daría algún sentido a la en principio absurda regla del artículo 66 bis 2ª CP, párrafo tercero, relativa a que el incumplimiento no grave de los deberes de control impedirá que determinadas penas [33.7 a) a g) CP] puedan superar los dos años (v. al respecto la entrada de Jacobo Dopico “La peor reforma penal de la historia”). Esta interpretación conduciría sin embargo a una conclusión inaceptable: que se están sancionando las imprudencias menos graves de las personas jurídicas (cosa que se hace con los individuos sólo en el homicidio y las lesiones muy graves) y se están sancionando además como delitos graves y con penas graves (arts. 13.1 y 33.7 CP).

La obligación de las denuncias 

Termino con el último defecto significativo del nuevo artículo 31 bis, consistente en que imponga que los programas de cumplimiento obliguen a denunciar. El apartado 5.5º señala que los modelos de organización y gestión “impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”.

Las denuncias hay que facilitarlas, alentarlas como actos éticos, acentuar su positividad en una cultura tan reacia a ellas como la española. Pero… ¿obligar a denunciar? ¿Por qué sancionar no al que hace daño sino al que no tiene nada que ver con él y simplemente no lo denuncia? ¿Por qué imponer en la empresa algo que no existe en general en la vida social, más allá de los estrechos límites del art. 450 del Código Penal (denuncia de un delito grave que se va a cometer)? En todo caso, frente al fomento de una cultura solidaria, ¿es lo mejor el ambiente policial que genera una obligación general de denuncia en la empresa?

Conclusión

No me gustaba la parca regulación anterior del cumplimiento penal, que consistía en unas palabritas: “debido control atendidas las concretas circunstancias del caso”. Y creo que está bien que se aclare que la empresa no responde automáticamente por los delitos de sus administradores en su favor y qué se entiende por negligencia de la empresa: qué es un sistema adecuado de cumplimiento penal. Pero creo también que la nueva regulación se podía haber hecho bastante mejor: es pesada, confusa, demasiado exigente en ocasiones, contraria a la presunción de inocencia y, en lo que respecta a un punto tan sensible como las denuncias, antiliberal.

Cumplimiento normativo basado en evidencias empíricas

Por Adán Nieto Martín

Cada vez cobra más auge la idea de que los programas de cumplimiento deben estar basados en evidencias empíricas (Evidence Based Compliance), que demuestren qué elementos de los programas funcionan, resultan eficaces y cuáles no. Se trata de una exigencia tan lógica y necesaria, como la de evaluar las políticas públicas y en concreto la política criminal, a la que ya nos hemos referido en alguna entrada anterior. Los programas de cumplimiento no son sino una  forma de regulación basada en lo que se ha dado en llamar colaboración entre el sector público y el privado, por lo que en realidad la evaluación de los programas constituye la forma de evaluar la estrategia política criminal que se ha elegido para abordar la criminalidad de empresa.

La evaluación representa además una actividad distinta a la certificación, ahora tan en auge tras la reciente aprobación de la UNE-ISO 19600. La certificación se refiere a la existencia de un procedimiento adecuado, pero no de su efectividad. En la evaluación, en cambio, no se trata de analizar si las medidas de prevención cumplen con un determinado modelo o estándares de calidad, sino de indagar si estos estándares funcionan y a qué coste lo hacen.

Desgraciadamente, y a diferencia de lo que ocurre en Estados Unidos, en Europa apenas si contamos con estudios empíricos sobre los programas de cumplimiento. Por eso debe ser bien recibido el reciente estudio realizado por el Max Planck Institut, y dirigido por los  profesores Ulrich Sieber y Marc Engelhart, Compliance Programs for the Prevention of Economic Crimes. An Empirical Survey of German Companies (Max Planck Institut/Duncker & Humblot, 2014). Se trata de un trabajo empírico, realizado a partir de dos extensas encuestas enviadas a 5734 empresas alemana (aunque finalmente sólo se han obtenido respectivamente 140 y 148 respuestas), de diferentes tamaños, sectores y ubicadas en diferentes áreas geográficas. Las encuestas han sido respondidas en su mayoría por personas pertenecientes a los órganos de gobierno o por encargados de cumplimiento, lo que le otorga un particular valor pese a que la muestra pueda parecer reducida.

El estudio tiene tres objetivos. El primero es descriptivo: analizar la estructura y el contenido de los programas de cumplimiento (responsables, áreas de riesgos que cubren, canales de comunicación…). El segundo radica en evaluar qué tipo de medidas se consideran más eficaces para conseguir el cumplimiento con la legalidad por parte de la empresa. El tercer objetivo es analizar cuáles son los incentivos más apropiados que el ordenamiento jurídico puede utilizar para incentivar a la autorregulación empresarial. En este caso se trata de intentar avalar con datos empíricos un modelo de responsabilidad penal de la empresa para Alemania.

Las principales conclusiones en lo que se refiere al primer objetivo son las siguientes: El 90% de las empresas alemanas cuentan con medidas de prevención con el fin de prevenir y detectar infracciones. Los campos estrellas de son medidas anticorrupción, seguidas de las relativas a la prevención de delitos contra la empresa, protección de datos e infracciones al derecho de la competencia. El número de riesgos cubiertos por el programa de cumplimiento  depende más de si la empresa es o no cotizada, que de su tamaño. Un dato especialmente significativo es que la creación de secciones de cumplimiento no guarda una estrecha relación con el tamaño de la empresa. Un 20% de empresas con menos de 50 empleados tienen encargados de cumplimiento.

Con independencia del tamaño de la empresa, los responsables de cumplimento tienen de forma absolutamente mayoritaria (56%) o  el deber de reportar directamente al presidente del consejo de administración o al Consejo de vigilancia (30%). Ello significa que los departamentos de cumplimiento están situados al máximo nivel dentro de la organización. Internamente el cumplimiento normativo se concibe parte del sistema de control interno.

En una escala de 1 a 10 las empresas otorgan un 8 al grado de compromiso de sus directivos principales con el programa de cumplimiento (tone from the top). Aunque resulta complejo medir si existe una cultura de la legalidad es significativo que los empleados rechacen ligeramente más los delitos contra la empresa (9.4), que a su favor (8.7).

Más de la mitad de compañía tiene instalados canales de denuncias anónimos, líneas éticas etc. Aunque como señala la encuesta representa un crecimiento espectacular en relación a algunos estudios previos (2008) que apuntaban que únicamente el 15 % de las empresas contaba con este tipo de medidas, el funcionamiento de los canales de denuncia no es satisfactorio: sólo el 13% de las empresas contestan que reciben más de 10 denuncias por año, de estas denuncias son muy pocos los casos en que se reportan infracciones en beneficio de la organización. Los canales de denuncia parecen ser más efectivos en las grandes que en las pequeñas compañías.

La encuesta pregunta también por medidas de control específicas y las empresas apuntan el uso de sistemas informáticos; la conformación de procedimientos de acuerdo con el criterio “cuatro ojos ven más que dos”; las medidas de due diligence de las contrapartes con las que se hacen negocios; la necesidad de aprobación expresa de determinados contratos por el comité de cumplimiento (por ejemplo, contratos de consultoria) etc. En este apartado, sin embargo, el estudio no revela desafortunadamente mayores conclusiones.

La mayoría de las empresas no cuentan con una política para la imposición de sanciones disciplinarias, en caso de que se infrinja el programa de cumplimiento, sino que se decide caso a caso, además las sanciones disciplinarias no se perciben como parte del programa de cumplimiento. En el estudio se apunta que ello es debido a que el Derecho del Trabajo alemán contiene una regulación muy minuciosa en este punto, que incluye un amplio catálogo de posibles sanciones y donde el despido es únicamente una posibilidad más (amonestaciones orales y escritas, participar en programas formativos, multas, cambio de lugar de trabajo, reducción de la remuneración…). Cuando estos comportamientos son constitutivos de algún tipo de infracción, algo más de la mitad se comunican por la propia empresa a los tribunales.

El 29% de las empresas señalan haber realizado algún tipo de investigación interna, relativas a temas de corrupción o al Derecho de la Competencia, realizadas normalmente por auditoria interna y solo en un 19% de casos por investigadores externos. En más del 70% de los casos se hacen advertencias expresas a los trabajadores investigados de que su testimonio puede ser utilizado contra él en un procedimiento penal – la denominada “Miranda empresarial” – y que tiene derecho a permanecer en silencio. Está generalizada  la posibilidad de utilizar un abogado (86%) en estas investigaciones. El 18% declara contar con programas de amnistía y el 64% espera de sus empleados plena cooperación.

La revisión del programa de cumplimiento muestra que sólo el 15 por ciento lo ha revistado más de tres veces. La mayoría lo ha modificado solo una vez desde su creación. La revisión, más que por la autoevaluación, viene dada por el cambio de las circunstancias legales. Sólo el 16% declara modificarlo como consecuencia de la propia evaluación

Más complejo que averiguar el estado de la cuestión en torno al desarrollo y la estructura del cumplimiento normativo es indagar acerca de su eficacia. El método elegido en este punto fue una encuesta de percepción, es decir, preguntar a las empresas acerca de si con la creación del programa se incrementa la posibilidad de prevenir o descubrir delitos.  La mayoría considera que la creación del programa no supondrá un cambio significativo, no obstante a medida que van reformando el programa de cumplimiento existe una mejor opinión acerca de su eficacia. En una escala del 1 a 10 le otorgaron un 7 a la efectividad del programa. Vistas las cosas desde el punto de vista de los costes y beneficios,  el 37% considera que los  beneficios superan a los costes, mientras que el 28% percibe que los costos son mayores. Entre las grandes empresas hay mayor optimismo acerca de la utilidad de estas medidas que en las pequeñas.

Si se desciende a la efectividad de las concretas medidas de cumplimiento, la que obtiene una puntación más alta es la implicación de los altos directivos en las actividades del cumplimiento normativo. No obstante, las diferencias no resultan significativas entre  otras medidas como la formación jurídica, las sanciones o los controles internos. Todas estas medidas obtienen una alta puntuación, sobre el 8.5.  Ocupa sólo un lugar medio en la tabla la existencia de canales de denuncia o el establecimiento de incentivos salariales. Significativamente, recurrir a una auditoria externa ocupa uno de los lugares más bajos.  Las respuestas revelan, sin embargo, que salvo en los dos extremos de la tabla no existe demasiado consenso acerca de qué métodos resultan más efectivos.

El tercer objetivo de este estudio consiste en mostrar cuál es el mejor camino para incentivar a la autorregulación preventiva de las empresas por parte del legislador.  En este punto resalta, en primer lugar, como las empresas consideran poco deseable un exceso de regulación de las medidas de prevención (69% frente al 19%).  Las empresas no desean medidas detalladas de cumplimiento en cuanto que consideran importante realizar su propia ponderación de costes y beneficios a la hora de implementar medidas concretas. A juicio de los autores, esta respuesta conduce a la idea de que el mecanismo más apropiado es la autorregulación indirecta o coaccionada. Es decir, dejar un  margen de libertad en relación a los contenidos de los programas de cumplimiento, pero promover la autorregulación a través de sanciones.

Por eso resulta de especial importancia ver qué tipo de sanciones resultan más eficaces. A los encuestados se les proponen una serie de opciones acerca de  qué tipo de sistema de responsabilidad penal resultaría más incentivador: autor directo –superior por infringir un deber de supervisión; responsable individual-compañía, responsabilidad de la empresa en un sistema de acuerdo con un modelo de heterorresponsabilidad o autorresponsabilidad y sanciones penales-sanciones civiles. Las respuestas arrojan algunos resultados interesantes. En primer lugar, destaca como en grandes compañías la sanción a la empresa se considera más motivadora que la individual, al revés de lo que piensan los directivos de las empresas más pequeñas.  También las grandes empresas evalúan de manera más favorable los sistemas de autorresponsabilidad que las pequeñas.  En ambas cuestiones, el grupo de las empresas cotizadas se muestra aún de manera más favorable a la responsabilidad penal de la empresa acorde con un sistema de autorresoponsabilidad como el método más eficaz. La incidencia de los programas de cumplimiento como fundamento para mitigar o excluir la responsabilidad civil tiene una importancia menor.

Ahora bien, aunque de la encuesta se desprende una ligera preferencia hacia un sistema de autorresponsabilidad, en el que el legislador recompense la existencia de un programa de cumplimiento a la hora de imponer la sanción, no existe información acerca de qué tipo de recompensa puede ser más idónea (atenuación de la sanción, régimen de prueba etc..). Igualmente no está claro cuál debe ser la incidencia de la existencia de un programa de cumplimiento en la responsabilidad del autor individual. Los autores sugieren que existe cierto acuerdo en que en ningún caso debe atenuar y que, si acaso podría ser una circunstancia agravante, en  cuanto que al tener que eludir una medida de cumplimiento el autor individual muestra una mayor “energía criminal”. Tampoco existe una respuesta clara acerca de cuál es la responsabilidad que debiera tener en la responsabilidad individual del superior, aunque desde luego desde el punto de vista dogmático está claro que la adopción de un programa de cumplimiento es la forma de dar respuesta a su deber de vigilancia.

Como es conocido, la responsabilidad penal es sólo uno de las herramientas a disposición del legislador. La normativa societaria, la regulación de los contratos públicos u otro tipo de medidas administrativas (concesión de licencias, listas blancas y negras etc.) son también estímulos poderosos para conseguir este objetivo. Desgraciadamente no ha existido una valoración suficiente por parte de las empresas respecto de qué otras  medidas administrativas administrativas podrían ser suficientemente motivadoras. Lo que sí está claro es que la introducción de una obligación legal de autorregulación no se considera eficaz sino va acompañada de sanciones.

Finalmente la encuesta se ocupa del tipo de sanciones que se consideran más efectivas. La primera consecuencia es que las sanciones penales se consideran más efectivas que las sanciones administrativas. Desde el punto de vista del daño reputacional también se aprecian diferencias entre la publicación de sanciones penales y administrativas. Sorprende la importancia que tiene el comiso, que se encuentra en el segundo puesto tras la prisión como sanción más efectiva. En el caso de las empresas, las prohibiciones o inhabilitaciones  (prohibición de realizar determinadas actividades o negocios) se considera la sanción más efectiva. Menos importancia se le da a sanciones estructurales como la intervención o la supervisión de la empresa, la obligación de implantar un programa de cumplimiento etc.

En conclusión, para los autores del estudio sus resultados avalan la necesidad de introducir en Alemania la responsabilidad penal de las personas jurídicas, basada en un modelo de autorresponsabilidad, en el que el legislador modulara su “regulación” de la autorregulación dependiendo de los sectores. Como expresamente indican los autores abogan por un sistema de responsabilidad penal similar al que existe en Italia, España o Estados Unidos.

Acción social de responsabilidad y cumplimiento normativo

Por Adán Nieto Martín y Patricia Pérez Fernández

La finalidad última del derecho penal cuando sanciona a las personas jurídicas es incitar  a sus dirigentes a que adopten un sistema de autorregulación interno que les lleve a prevenir, detectar y sancionar las infracciones de sus empleados y dirigentes.  Como también todos sabemos, para que el derecho penal sea eficaz éste no puede actuar como una suerte de “llanero solitario”. Las armas del derecho penal, por muy temibles que parezcan, en realidad son un tigre de papel si no van acompañadas de otros controles sociales o jurídicos que empujen en la misma dirección.

Este principio básico de la política criminal deriva directamente, a su vez, del principio de ultima ratio. La asociación que existe actualmente entre responsabilidad penal (o sancionadora) de personas jurídicas y programas de cumplimiento quizás puede dar a entender que en este caso, al legislador se la ha ido la mano y ha utilizado la responsabilidad penal como prima ratio, sin ensayar antes otros medios de coacción, con idéntica finalidad.

Nada más lejos de la realidad. La necesidad y conveniencia de implantar programas de cumplimiento es algo que trasciende al derecho penal. Baste como ejemplo  la reciente Directiva de la UE sobre contratación pública de 2014 que otorga una gran importancia a los programas de cumplimiento dentro de sus sistemas de listas negras. O, sin salirnos del derecho europeo, la también reciente Directiva sobre “estados no financieros”  que consagra el compliance en materia de derechos humanos, obligando a las empresas de más de 500 trabajadores a publicar, como si de cuentas anuales se tratara, los progresos de sus sistemas de cumplimiento en materias como la lucha anticorrupción, el medio ambiente o los derechos humanos.

Más en este juego regulador, hasta ahora no nos hemos detenido demasiado en una de las armas que poseen un mayor poder de coacción: la acción social de responsabilidad contra los administradores, que en el caso de las sociedades de capital, se regula en los artículos 236 y siguientes de la Ley de Sociedades de Capital. La tesis es la siguiente:

Cuando la falta de adopción o la adopción ineficaz de un programa de cumplimiento ocasiona daños a una compañía (imposición de multas, reclamaciones civiles, pérdidas de oportunidades de negocio…) puede afirmarse que los administradores han infringido sus deberes de diligencia en la gestión de la empresa social.

Aunque en la UE, en lo que conozco, no existe aún jurisprudencia relevante en este punto, en los EEUU la conexión entre los programas de cumplimientos y la responsabilidad social de los administradores se inició con la sentencia  Caremark (In re Caremark International, Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).

Los empleados de Caremark, una importante empresa sanitaria, habían pagado sobornos a médicos con el fin de que recomendaran sus productos. Los sobornos se articulaban a través de contratos de investigación o de consultorías que en la fecha en que ocurrieron no se encontraban claramente prohibidos por la legislación americana, y tampoco por el código de conducta de Caremark, que en este sentido, había descuidado establecer un perímetro preventivo. Como consecuencia de estos hechos Caremark, que llegó a un acuerdo con la fiscalía, tuvo que pagar una multa de 250 millones de dólares. El acuerdo sirvió en cualquier caso para que no fuera incluida en una lista negra, y pudiera continuar siendo suministradora de servicios médicos.

Como indica el tribunal de Delaware, las  acciones de responsabilidad derivadas de la infracción del deber de diligencia tienen menos posibilidades de éxito que las que tienen como fundamento la infracción del deber de lealtad (que proceden cuando los administradores incurren en conflicto de intereses). Y menos todavía cuando lo que se reprocha a los administradores no es tanto una decisión equivocada, sino, como ocurre en este caso, una omisión, consistente en la falta de supervisión de sus empleados y concretamente una falta de supervisión que asegure que los empleados actúan conforme a la legalidad cuando realizan sus actividades para la empresa.

La jurisprudencia que hasta entonces se había vertido sobre este asunto resultaba ser bastante restrictiva. A comienzos de los años sesenta, en un supuesto en el que una empresa había sido multada por prácticas restrictivas de la competencia, los jueces habían señalado que las infracciones realizadas por los empleados, sólo generaban la responsabilidad de los administradores cuando existía una fuerte sospecha de que estaban actuando irregularmente. Más allá de este supuesto los administradores carecían de responsabilidad. El tribunal fue además bastante gráfico a la hora de extraer los programas de cumplimiento del deber de diligencia:

absent cause for suspicion there is no duty upon the directors to install and opérate a corporte system of espionage to ferret out wrongdoing which they have no reaons to suspect exists”.

Tres décadas después, el tribunal consideró que esta doctrina tan restrictiva no puede mantenerse, y en ello juega un papel esencial el incremento de la presión del derecho penal sobre las empresas, que se produce tras las aprobación de las Sentencing Guidelines en los Estados Unidos, y las indicaciones que allí se ofrecen en relación con  los programas de cumplimiento. El tribunal manifiesta pocas dudas acerca de la necesidad de implantar un programa de cumplimiento como consecuencia del deber de diligencia, ahora bien, tal como señala a continuación, resulta mucho más complejo determinar cuándo éste es correcto y adecuado por aplicación de la business judgment rule

Como es bien conocido, en el Derecho norteamericano, la business judgment rule funciona como una suerte de limitación de la responsabilidad de los administradores. Los administradores no deben ser considerados responsables de los daños sufridos por la compañía cuando se han informado adecuadamente y han perseguido el interés social a la hora de tomar decisiones y éstas eran decisiones estratégicas o de gestión. Es el proceso de la toma de decisión y no la decisión misma la que se juzga. A los administradores se les exige que actúen de buena fe asegurándose que tienen acceso a toda la información necesaria y que disponen de las vías necesarias para actualizar periódicamente la información.

La regla del margen de apreciación es hoy derecho positivo en buena parte de los ordenamientos de la UE. La Ley de Sociedades de Capital la recoge en su art. 226 e igualmente en Alemania se menciona expresamente en el § 93 (1) de la Aktiengesetz ) como consecuencia de la Sentencia del Tribunal Supremo alemán de 21 de abril de 1997 en el caso ARAG/ Garmenbeck.

En nuestro ordenamiento, al igual que en el alemán, para el caso de las sociedades cotizadas está bien claro que el deber de diligencia exige la adopción de programas de cumplimiento. El  Código de Buen Gobierno Corporativo alemán, en la última versión de mayo de 2015, prevé que el Consejo de administración deberá velar por el cumplimiento de la normativa así como de los Estatutos de la compañía y de todas las filiales del grupo de sociedades, en su caso. ). En España la Recomendación nº 54 del Código de Buen Gobierno Corporativo en su versión de 2015 obliga a identificar las prácticas concretas relacionadas con prevención de conductas ilegales (letra c), los resultados o los métodos de aplicación de dichas prácticas, los riesgos asociados y su gestión (letra d) y los “mecanismos de supervisión del riesgo no financiero, la ética y la conducta empresarial”.

Estas disposiciones ponen de manifiesto que las sociedades cotizadas, y nos atreveríamos a decir, que en cualquier empresa de cierto tamaño, la adopción de un programa de cumplimiento no entra ni tan siquiera en el margen de apreciación empresarial. Supone una concretización quasi positivizada del estándar de diligencia. Lo que a los efectos que aquí interesan implica que la imposición de sanciones a la empresa, o cualquier otra consecuencia negativa (inclusión en una lista negra, pérdida de oportunidades de negocio…) derivada de la inexistencia de un programa de cumplimiento puede dar lugar a una acción de responsabilidad social.

Ahora bien, sentado lo anterior, y como pone de manifiesto Caremark, en relación con las grandes empresas la regla de apreciación empresarial es básica para apreciar el cómo: ¿cuál debe ser la extensión del programa de cumplimiento?, ¿cuántos cuidados y esfuerzos debe invertirse en la prevención de cada uno de los riesgos penales? etc..

La respuesta a estas preguntas, al menos desde el punto de vista de la acción de responsabilidad social, es que se trata fundamentalmente de apreciar la calidad y el cuidado que ha puesto el consejo de administración a la hora de recabar información y no tanto si ex post, a la vista del caso concreto, su decisión de cómo conformar el programa de cumplimiento fue correcta. Y en este punto, la herramienta que deben utilizar los administradores  no es otra que en análisis de riesgos a que hace referencia el art. 31 bis 5 1º del CP: “identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”.

El análisis de riesgos constituye el elemento clave para la racionalidad de un sistema de cumplimiento, con el fin de dedicar recursos allí donde se necesitan en atención a la intensidad de riesgos. Claro está, que para asegurar que se ha recopilado información de manera diligente no bastará cualquier análisis de riesgos. En primer lugar, y como mínimo será necesario demostrar que las personas que lo han realizado disponían de los suficientes conocimientos en materia penal, como para no pasar por alto ningún riesgo importante. A partir de aquí, esta actividad requiere, tal como indica el CP,  establecer los delitos que pueden ser cometidos por la empresa, no de manera genérica, sino pormenorizadamente: determinando en cada uno de los procesos o actividades de la empresa, los delitos que pueden aparecer y el modo en que han de hacerse.

Quizás algún día nos ocuparemos con más detenimiento de la extrema importancia que tiene un buen análisis de riegos para excluir la responsabilidad penal de la persona jurídica, pero lo que ahora debemos acentuar es que realizar un correcto análisis de riesgos es presupuesto de la aplicación de la regla del juicio discrecional (business judgment rule) y, por consiguiente, de la exención de responsabilidad, si los administradores.

Por cierto, las compañías de seguro a la hora de establecer las pólizas para cubrir la responsabilidad civil de administradores debieran estar atentas a este hecho, lo que sin duda representa otro estímulo más en este juego regulador en el que el derecho penal no debe caminar sólo.

¿Quiénes forman parte del selecto club del art.31 bis a) del CP?

Adán Nieto Martín

Un (primer) comentario parcial a la Circular 1/2006 de la FGE sobre responsabilidad penal de personas jurídicas

Rara vez, que yo recuerde, había surgido una expectativa similar ante una Circular de la Fiscalía General del Estado, como la que se ha generado con la Circular 1/2016. No era para menos, pues su anterior Circular, la 1/2011, levantó una gran polémica, tanto por descartar que el 31 bis acogiera un modelo de responsabilidad propia de la empresa como por quitar bastante relevancia práctica a la existencia de programas de cumplimiento. La nueva Circular no ha deshecho el entuerto de la anterior, sino que seguramente  lo ha liado aún más. Probablemente en una próxima entrada nos ocuparemos sobre este particular, fundamentalmente con el fin de quitar hierro al asunto teórico de tener que elegir entre dos modelos, como si fueran las “dos Españas”. Un cierto eclecticismo es lo que, al final, mejor sienta en la práctica.

Por ahora quiero centrarme en un aspecto que me parece básico de la Circular: la determinación de los sujetos que deben considerarse incluidos en el art 31 bis) a del CP:

representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control de la misma”.

Básicamente lo que se trata de dilucidar es si este grupo de personas es un “club selecto y aristocrático”  en el que pueden entrar muy pocos, o se trata de un “club abierto y popular”, en el que son muchos los que pueden entrar. La Circular de la fiscalía mantiene la segunda opción, hasta el extremo que ello acaba menguando notoriamente los componentes de las “clases populares”, que se integran en el art. 31 bis b) CP.

Determinar quién entra o no entra en el club del 31 bis resulta esencial para entender el sistema de imputación de este precepto. El art. 31 bis contiene un derecho penal de clases: es mucho más exigente para excluir la responsabilidad penal de la persona jurídica cuando el delito lo comete alguno de los que forman parte del “club selecto” del 31 bis a), que cuando el delito lo comete alguien de las clases populares. Una de las principales críticas que, a mi juicio, puede dirigirse a la Circular es que deja entrar a tantos en el club que, al final, acaba desdibujando el “derecho penal de clase” que ha querido, sin duda, establecer el Código Penal. Ello le lleva, entre otras cosas, a extender el requisito de la elusión fraudulenta a ambos casos o a no captar totalmente cual es el sentido del órgano de vigilancia que consagra el 31 bis 2. 2ª que no es otro que un instrumento de control de los aristócratas del club del 31 bis a).

La verdad es que el 31 bis a) no ha puesto fácil la tarea de configurar quién es quién, pues  como ya advirtió el Consejo de Estado en su dictamen sobre la reforma utiliza en este punto una “una redacción que peca de excesiva complejidad y que podría introducir cierta inseguridad jurídica”. Mas, cómo ocurre en aquellos casos en que la interpretación literal no nos conduce a nada, resulta preciso utilizar otros tipos de interpretación. La Circular hubiera hecho bien en admitir las contundentes razones que Jacobo Dopico expuso en  el Memento sobre responsabilidad penal de personas jurídicas. Dopico proponía una interpretación mucho más restrictiva a partir de la utilización de criterios teleológicos y sistemáticos y a partir del principio de interpretación conforme al Derecho de la UE.

Las expresiones que utiliza el art. 31 bis 1 a) para delimitar el primer grupo de sujetos activos coinciden con las que emplean las normas armonizadoras de la UE donde se distingue también entre dos grupos de sujetos, de manera semejante a lo que hace el art. 31 bis. Desde el  II Protocolo al Convenio para la Protección para los intereses financieros de la UE, que fue la primera norma que armonizó esta materia, (DOC C 221, de 19.7.1997), se entiende que el primer grupo está conformado por quienes poseen un “un poder de representación de la persona jurídica, “una autoridad para tomar decisiones en nombre de la persona jurídica” o “autoridad para ejercer el control”, siempre que todas ellas “ostenten un cargo directivo”.

El Informe que acompaña a esta norma (DO C 18, de 31.3.1999, p. 8) ofrece valiosas explicaciones acerca de cómo determinar términos tan difusos como  “autoridad para ejercer el control”. En concreto, señala que éste término debe ser objeto de una interpretación restrictiva

de manera tal que garantice que el autor físico de la infracción ostenta un cargo directivo dentro de ella”.

La autoridad para ejercer el control puede

“derivarse en particular de la responsabilidad de control financiero interno y de la revisión contable, así como de la pertenencia a un organismo de control o de supervisión interno en la persona jurídica”.

Recordemos que en muchos países de la Unión, la administración de las sociedades anónimas está atribuida a dos órganos distintos, el que gestiona la compañía, por un lado (Vorstand en el caso del Derecho alemán) y órganos de supervisión, por otro (Aufsichtrat, Collegio Sindicale). Y el informe señala que “no se considerará atribuida a personas la facultad de control que no conlleve posibilidad alguna de influir en la gestión a la persona jurídica”. Igualmente señala, que por esta misma razón, no pueden incluirse a “personas ajenas a la persona jurídica” como los auditores.

En el derecho de la Unión Europea, la distinción entre la alta dirección y el resto de los empleados de la persona jurídica tiene como función la de reconocer a los Estados miembro un mayor margen de discrecionalidad en relación con las sanciones que pueden imponerse a las personas jurídicas. Con ello el legislador europeo intenta alcanzar un consenso básico. De acuerdo con el Derecho británico o francés, por ejemplo, la responsabilidad de los entes deriva, por regla general, únicamente de personas que pertenecen al “cerebro” de la organización o, como indica expresamente el Código Penal, se refiere sólo a los administradores. De este modo, la armonización pretendida por el Derecho europeo obliga a establecer determinadas sanciones en relación a este primer grupo, y deja normalmente mayor libertad a la hora de establecer las sanciones para el segundo. Pese a que, como puede comprobarse, el objetivo de las normas de la UE no es establecer distintos modos de imputación, las consideraciones contenidas en el Informe explicativo son de gran utilidad y deben constituir el punto de partida.

Aunque aparentemente, el círculo de personas al que se refiere el art. 31 bis a) tras la reforma del 2015 es más amplio que el del 2010, que hacía referencia a administradores de hecho y de derecho, el círculo de personas es si no idéntico, si sustancialmente similar.

Tal conclusión se deriva, en primer lugar, de la interpretación restrictiva que impone una interpretación conforme al derecho de la UE (STJUE 16.6.2005,  Pupino, asun. C-105/03), donde como acabamos de ver sólo integran el primer grupo personas que tienen un cargo directivo. El principal defecto del art. 31 bis a) en este punto es que pese a querer transponer literalmente la normativa europea se ha olvidado del elemento más importante, el paraguas común, la expresión cargo directivo que cobija a todos los que se encuentran en este grupo.  Con la interpretación conforme al Derecho de la Unión, se remedia ya en parte la insoportable indeterminación de los términos escogidos por el art. 31 bis): personas autorizadas para tomar decisiones individualmente o facultades de organización y control. Hay cientos de personas dentro de una entidad que tienen atribuidas estas funciones.

A partir de esta primera concreción, una interpretación sistemática y teleológica del precepto lleva a determinar aún con mayor precisión que es un “cargo directivo”.

Una interpretación sistemática con otros preceptos del Código Penal (el propio art. 31 o los delitos societarios) debe llevar a la conclusión de que son cargos directivos los administradores de derecho (evidentemente) y los administradores de hecho. Los administradores de derecho vendrían expresamente mencionados al referirse a aquellos que  se “integran en un órgano de la persona jurídica” o que tienen capacidad para representarla de manera general.

Los administradores de hecho, según la jurisprudencia, son aquellos que sin título ejercen la administración de manera continuada sin estar sujetos a “esferas superiores de aprobación o decisión” (STS de 26-1-2007).  De este modo deben ser considerados sujetos del art. 31 bis a) los administradores ocultos: aquellas personas que realmente ejercen el poder dentro de la organización, en situaciones en que los administradores de derecho son testaferros. Por la misma razón también quedan incluidos en este grupo los administradores o altos directivos de la sociedad matriz, que dominan la actividad de la filial por encima de los administradores de derecho que no son, en muchos casos, sino meros subordinados.

Sentado lo anterior, el criterio que más dudas plantea es el de los altos directivos de la entidad, que no encajan en los conceptos de administradores de hecho, por estar sometidos a la supervisión de otros. En este punto, para determinar en qué medida se incluyen los altos directivos, conviene recurrir a una interpretación teleológica. La principal razón de ser de la distinción entre las dos categorías de sujetos del art. 31 bis  reside en las funciones del órgano de vigilancia a que se refiere el art. 31 bis 2 1ª. Tal como se ha indicado,  la función principal de este órgano es hacer creíble la eficacia de los controles que se derivan del cumplimiento normativo en relación a aquellos que ostentan el poder máximo en la entidad. Resulta poco creíble que, por ejemplo, los administradores de una entidad puedan establecer un conjunto de medidas eficaces de control de sus propios gastos. Este problema (¿quién vigila al vigilante?) es el que intenta resolver el Código Penal exigiendo un órgano de vigilancia que tenga poderes autónomos, para supervisar que efectivamente dichos controles se cumplen y  son eficaces. Pues bien, la necesidad de establecer mecanismos de control específicos sólo tiene sentido en relación a un grupo reducido de personas que tienen un poder autónomo dentro de la entidad. En el momento en que se ocupe una posición subordinada en la entidad y nos situemos en el segundo escalón y sucesivos de la cadena de mando, el problema de control al que hacemos referencia desaparece.

De este modo, dentro del “selecto club del 31 bis a)” solo debe incluirse a personas que forman parte  de la alta dirección, que aunque lógicamente están sometidas a la supervisión del Consejo de Administración, tienen una margen de autonomía independiente y relevante. Por independiente, se entiende que goza de un margen de discrecionalidad amplio, sometido sólo a una alta supervisión que se realiza ex post. Por relevante se entiende que este margen de autonomía lo tiene en una parcela importante de la actividad de la empresa. De este modo, forman parte de esta categoría por ejemplo la alta dirección de determinadas unidades de negocio o divisiones.

Pero en ningún caso, forma parte del “club del 31 bis a)”  personas que podríamos decir que pertenecen a las “clases populares”, e incluso al “proletariado”,  como técnicos, directivos, responsables de oficinas bancarias, gerentes de establecimientos que ejercen funciones delegadas en un determinado sector (por ejemplo, encargado de protección de datos) o áreas geográficas, que están sometidos y a una supervisión más intensa. Aunque estas personas puedan tener una cierta capacidad de organización y control, e incluso poderes de representación de la entidad en determinados ámbitos (vgr. conceder préstamos de manera jurídicamente válida, adquirir determinados bienes etc) y aunque el art. 31 bis a) hable de representantes legales, las personas con poderes de representación limitados y suficientes para desarrollar su función en el seno de la compañía si actúan de manera subordinada, no pueden incluirse en el precepto porque no tienen margen de autonomía.

Por las mismas razones, tampoco pueden incluirse en el art. 31 bis a) a aquellos que tengan un poder de supervisión o de control, como son los encargados del cumplimiento normativo, en cuanto que no tienen ese margen de autonomía o independencia relevante. Este es el caso de oficial de cumplimiento que no puede considerarse dentro del art. 31 bis a), en cuanto que su actuación resulta siempre subordinada al Consejo de Administración que tal como se desprende de este mismo precepto es el máximo responsable del cumplimiento normativo.

Como puede apreciarse, la opinión que aquí se mantiene, es diametralmente opuesta a la interpretación amplía que realiza la Circular 1/2016 de la fiscalía general del Estado que incluye dentro del art. 31 bis a) a los mandos intermedios, personas con capacidad de representación, sólo en determinados asuntos (apoderados singulares), y, de manera muy amplia a los responsables de cumplimiento normativo. Tal como indica al comienzo de la exposición, esta interpretación desnaturaliza el sentido de la distinción entre los grupos del art. 31 bis a) y b) sobre la que pivota la estructura del art. 31 bis. Además hace que el régimen más estricto del art. 31 bis a) se extienda a un número desmesurado de casos o, en sentido contrario y como hace en realidad la Circular, que las diferencias entre ambos sistemas de imputación se difuminen y acaben desapareciendo.