Por Juan Antonio Lascuraín

Desde el año 2010 las empresas pueden delinquir y ser consecuentemente penadas. Como en nuestro sistema decente de garantías constitucionales no penamos a unos por lo que hacen otros, la pena a la persona jurídica no puede ser una especie de carga objetiva por los delitos de sus miembros cometidos en favor del colectivo. Ni siquiera es correcto pensar que lo que sucede es que, si se dan ciertas circunstancias (el delito del individuo lo es en ejercicio de su actividad social, a favor de la sociedad y porque esta no le controló), imputamos el delito del individuo a la sociedad. Penamos a la empresa (en general a la persona jurídica) por su propio delito, por su propia conducta, consistente en esencia en permitir el delito de los suyos en su beneficio.

El delito de la empresa se puede cometer por dolo y por imprudencia

Esta tolerancia empresarial puede ser dolosa o imprudente y en ello debería haber reparado el legislador, como lo hace en los delitos individuales. Con dos fines: optar por la punición de la comisión imprudente del hecho lesivo, en primer lugar, y distinguir la pena, y rebajarla, cuando realiza tal opción, en segundo.

Creo que el silencio del legislador no debe conducir en este punto a negar que constituya delito la comisión imprudente del delito de la empresa – como propone algún autor -, lo que en la práctica conduciría a la inaplicación de la responsabilidad de las personas jurídicas. Porque esta es derivable casi siempre de una conducta negligente y porque, cuando no lo es, es de muy difícil prueba la tolerancia dolosa con el delito individual. Lo que parece estar en la cabeza del legislador penal con su reciente celo en la determinación del cumplimiento penal (con su descripción de los rasgos de los programas de cumplimiento) es precisamente dibujar la frontera de la comisión imprudente.

Si esto es así, si podemos penar a la empresa tanto porque ha consentido el delito de los suyos en su favor como porque ha sido negligente en evitarlos, la consecuencia práctica es que en este segundo y habitual caso el juez deberá elegir el tramo bajo del marco penal, pues el principio de culpabilidad exige diferenciar punitivamente el dolo y la imprudencia.

Sólo es punible la imprudencia grave

Otra cosa que el legislador debería haber hecho expresamente es restringir la pena a los casos de imprudencia grave. Toca ahora corregir esa omisión formal por vía interpretativa.

A ello arroja una interpretación sistemática del Código Penal, como ya pusieron de manifiesto para la regulación anterior a la reforma del 2015 Dopico Gómez – Aller, Alonso Gallo o Feijoo Sánchez. Por un lado porque el Código solo prevé la punición de la imprudencia menos grave para los casos nada menos que de homicidio (art. 142.2) y de lesiones gravísimas (art. 152.2). Sería raro entender que en este régimen de excepcionalidad de la imprudencia no grave cabe cometer por tal imprudencia menor los muchos delitos que pueden imputarse a la persona jurídica. Más raro aún sería que se considerara tales delitos cometidos por la persona jurídica por imprudencia menos grave como delitos graves castigados con pena grave, que es lo que sucedería por el tipo de pena previsto (arts. 13.1 y 33.7 CP), máxime cuando en aquellos excepcionales supuestos en los que se castiga expresamente la comisión por imprudencia menos grave se los califica como delitos menos graves y se les asigna una pena menos grave.

Dicho en breve: ¿puede acaso interpretarse que es aplicable a cualquier delito de la persona jurídica el excepcional régimen de la punición de la imprudencia menos grave?; ¿es sostenible que en tales casos se califique el delito nada menos que como grave?

El coqueteo del legislador con la imprudencia menos grave

Poderosos argumentos que contrarrestan dos coqueteos del legislador español con el castigo de la imprudencia no grave de las personas jurídicas. Coqueteos que son los que justifican esta entrada de blog.

El primero lo encontramos en el párrafo segundo del artículo 31 bis 2 CP, cuando, tras describir los rasgos del sistema preventivo que se exige a las personas jurídicas, señala que

“[e]n los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”.

Después, en el artículo dedicado a las directrices para la determinación de la pena a las personas jurídicas, señala que, cuando se refiera a delitos de los subordinados y cuando su responsabilidad

“derive de un incumplimiento de los deberes de supervisión, vigilancia y control que no tenga carácter grave”,

la penas interdictivas tendrán en todo caso una duración máxima de dos años (art. 66, párrafo 2º CP).

Alguna conclusión

Ya he apuntado la primera: si la persona jurídica comete el delito imprudentemente se le deberá penar con el tramo bajo del marco penal. La segunda conclusión es que nuestro Código Penal sólo pena la imprudencia grave de las personas jurídicas: si el incumplimiento no es grave (rectius: no es gravemente imprudente), no cabe responsabilidad penal de la persona jurídica. Las menciones de los artículos 31 bis 2 y 66 han de interpretarse en los términos médicos de mejoría dentro de la gravedad: las penas han de atenuarse si la grave imprudencia de la empresa se situa en la franja más baja de dicha gravedad.

Por Juan Antonio Lascuraín

¿Por qué ha reformado el legislador penal los criterios de imputación de delitos a la persona jurídica?

Creo que por dos razones que tienen que ver con dos palabras de la regulación vigente hasta el día 1 de julio: “debido control”. La falta de debido control es el corazón del injusto de la persona jurídica: el defecto de organización que puede convertirla en delincuente. Sin embargo, con el viejo artículo 31 bis del Código Penal ni hay pistas de cómo ha de ejercitarse tal control ni está claro si tal ejercicio exime de pena a la persona jurídica en relación con el delito individual de los administradores.

Tanto la regulación todavía vigente como la nueva distinguen dos maneras de atribuir un delito a una persona jurídica cometido en su favor y en el ejercicio de actividades sociales: cuando el delito lo comete alguien de la cúpula de la organización (en la regulación aún vigente, “los representantes legales o los administradores de hecho o de derecho”) y cuando el delito lo comete alguno de los demás integrantes de la persona jurídica “por no haberse ejercido sobre ellos el debido control”. Simplificando, la empresa podrá responder en relación con los delitos del cerebro o con los delitos de los demás miembros descontrolados.

Con la regulación vigente no está claro si a la persona jurídica puede penársele por un delito de uno de sus administradores si tiene un sistema adecuado de cumplimiento penal para evitarlo. No está claro si para penarla exigimos que la parte incívica de su cerebro tenga que estar descontrolada. Por una parte, la lectura más inmediata del precepto (31 bis 1.a CP) dice que no, que la responsabilidad penal del colectivo es en este caso automática. Pero por otra parte suena tan absurdo como inconstitucional penar a una persona jurídica por el delito de uno de sus administradores a pesar de que la misma hace bien las cosas: a pesar de que mantiene un sistema razonable de prevención para que sus líderes no delincan en provecho de la entidad. Da la sensación de que pagan justos (la persona jurídica) por pecadores (el administrador).

La reforma aclara esta cuestión. Especifica que la empresa no responde del delito del administrador en favor de la empresa si tiene un sistema adecuado de cumplimiento penal (un “modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos”). La contrapartida de este requisito negativo para que la empresa cometa un delito (carecer de un sistema adecuado de cumplimiento penal) es la especial severidad con la que está diseñado el sistema de cumplimiento para el control de los administradores (y, en general, de los altos directivos).

Tal severidad que se manifiesta en dos condiciones. La primera es que exista un órgano independiente del máximo nivel que supervise el sistema de cumplimiento penal: que

“la supervisión del funcionamiento y el cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica” (art. 31 bis 2.2ª CP).

Se institucionaliza así un sistema bicéfalo de cumplimiento: junto con el necesario órgano ejecutivo de cumplimiento y por encima de él, se sitúa un alto órgano de supervisión del entero sistema de cumplimiento, que en las cotizadas se sugiere que sea la comisión de auditoría, en cuanto comisión del consejo con mayoría de consejeros independientes y presidida por un consejero independiente. Se trata de que, como Ulises, los administradores se aten al mástil del barco para no ser tentados con los cantos de las sirenas de la corrupción.

En las sociedades de menor envergadura (las autorizadas a presentar cuentas abreviadas) se permite que el órgano de vigilancia sea el órgano de administración (art. 31 bis 3 CP).

La segunda condición, también muy rigurosa, es que para exonerar a la empresa de los delitos de sus administradores no sólo hará falta un sistema razonable de prevención de los delitos de los mismos, sino que tal delito individual se haya cometido “eludiendo fraudulentamente los modelos de organización y de prevención” (art. 31 bis 2.4ª CP).

Qué es el debido control

La segunda gran novedad de la reforma es que se especifica qué es el debido control, qué es un programa de cumplimiento penal (art. 31 bis 1.5 CP). Siquiera con algún olvido – los códigos de conducta – a la vez que con innecesario detalle y oscuridad – les aviso que si leen el requisito segundo tendrán que hacerlo varias veces –, se contempla en seis elementos que, partir de una análisis de riesgos penales, el sistema tendrá que asignar funciones preventivas, controlar los recursos financieros, estar actualizado y disponer de un sistema sancionador.

Las personas jurídicas cuidadosas no delinquen

El loable objetivo del legislador penal ha sido, pues, responder a dos interrogantes cruciales que plantea el vigente 31 bis: aclarar que la empresa (rectius: la persona jurídica) cuidadosa, responsable, no delinque por el delito de uno de sus administradores y especificar qué significa que una empresa sea cuidadosa, responsable. Estas son las bodas que titulan esta reflexión. Pero entre ellas se ha colado algún funeral. Más allá de la imprecisión y del exceso regulativo, impropios de un texto penal, resultan preocupantes el rigor en el nivel de diligencia en relación con las conductas de los administradores y altos directivos; la inversión de la carga de la prueba; el guiño a la punición de la mera imprudencia leve de la persona jurídica, y la antiliberal obligación de denuncia interna. Lo comento en mi próxima entrada.

Por Juan Antonio Lascuraín

Llego ya al final de esta serie de tres entradas sobre la nueva regulación de la imputación penal de delitos a las personas jurídicas. En la primera reseñaba dos avances que comporta la misma. El primero consiste en que deja claro que la persona jurídica responde siempre por su propia conducta laxa o tolerante respecto a los delitos de los suyos en su favor, incluidos sus administradores, respecto a cuyos delitos no existe, por lo tanto, una especie de responsabilidad objetiva. La segunda, virtud del nuevo 31 bis, es describir qué se entiende por conducta colectiva laxa en este contexto: qué tiene que hacer una persona jurídica para prevenir los delitos de sus administradores, directivos y empleados.

En mi segunda entrada reparaba en tres defectos de la nueva regulación. Es pesada y confusa en un ámbito de responsabilidad penal que por su propia novedad demandaba claridad. Es además imprecisa a la hora de dividir los criterios de imputación en función del delito individual al que se refiera la falta de control: dependiendo de si es un delito de los que mandan o de los demás. Y, en tercer lugar, es injustamente exigente con el rigor de la prevención requerida respecto a los primeros (a los que mandan), pues sólo resultará suficiente si estos han delinquido “eludiendo fraudulentamente” los controles de la persona jurídica.

Más defectos: la atenuación por diligencia parcial

Está muy bien que si la empresa (rectius: la persona jurídica) ha sido gravemente negligente, pero menos (cerca del margen inferior de esa imprudencia grave), se le sancione menos: que cuando el sistema de cumplimiento “solamente pueda ser objeto de acreditación parcial, esta circunstancia sea valorada a los efectos de atenuación de la pena” (art. 31 bis 2 pfo. 2º). Pero ojo con la manera de decir las cosas.

Primer “ojo”. Lo que sibilinamente está diciendo el precepto, en contra del derecho constitucional a la presunción de inocencia, es que es la empresa la que ha de acreditar el sistema de cumplimiento y no la acusación la que ha de probar su ausencia, que es lo único constitucionalmente correcto. No se puede presumir que la persona jurídica delinque porque se haya delinquido desde dentro y en su favor. El colectivo delinque si fue tolerante con tal delito y tal tolerancia ha de ser plenamente probada por la acusación, arrumbando la inocencia (en este caso, un debido control) de la que se parte.

No es esta forma de expresar una atenuante, en función no de su esencia sino de su acreditación, confundiendo la realidad con su prueba. ¿Se imaginan esa manera de tipificar? Por ejemplo: no está exento de responsabilidad penal el que actúe en legítima defensa, sino el que acredite que ha actuado en legítima defensa. O no reduce su pena el secuestrador que deja en libertad a su víctima antes de tres días sin haber logrado su propósito, sino el que acredita haber dejado en libertad a su víctima antes de tres días sin acreditar que ha logrado su propósito.

Segunda advertencia. La atenuación podría dar a entender que se está penando la imprudencia menos grave de la persona jurídica. Esto no es posible respecto de los delitos de los subordinados, porque en este caso se exige expresamente se hayan “incumplido gravemente […] los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso” (31 bis 1 b CP). Pero sí, respecto de los delitos de los que mandan, lo que daría algún sentido a la en principio absurda regla del artículo 66 bis 2ª CP, párrafo tercero, relativa a que el incumplimiento no grave de los deberes de control impedirá que determinadas penas [33.7 a) a g) CP] puedan superar los dos años (v. al respecto la entrada de Jacobo Dopico “La peor reforma penal de la historia”). Esta interpretación conduciría sin embargo a una conclusión inaceptable: que se están sancionando las imprudencias menos graves de las personas jurídicas (cosa que se hace con los individuos sólo en el homicidio y las lesiones muy graves) y se están sancionando además como delitos graves y con penas graves (arts. 13.1 y 33.7 CP).

La obligación de las denuncias 

Termino con el último defecto significativo del nuevo artículo 31 bis, consistente en que imponga que los programas de cumplimiento obliguen a denunciar. El apartado 5.5º señala que los modelos de organización y gestión “impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”.

Las denuncias hay que facilitarlas, alentarlas como actos éticos, acentuar su positividad en una cultura tan reacia a ellas como la española. Pero… ¿obligar a denunciar? ¿Por qué sancionar no al que hace daño sino al que no tiene nada que ver con él y simplemente no lo denuncia? ¿Por qué imponer en la empresa algo que no existe en general en la vida social, más allá de los estrechos límites del art. 450 del Código Penal (denuncia de un delito grave que se va a cometer)? En todo caso, frente al fomento de una cultura solidaria, ¿es lo mejor el ambiente policial que genera una obligación general de denuncia en la empresa?

Conclusión

No me gustaba la parca regulación anterior del cumplimiento penal, que consistía en unas palabritas: “debido control atendidas las concretas circunstancias del caso”. Y creo que está bien que se aclare que la empresa no responde automáticamente por los delitos de sus administradores en su favor y qué se entiende por negligencia de la empresa: qué es un sistema adecuado de cumplimiento penal. Pero creo también que la nueva regulación se podía haber hecho bastante mejor: es pesada, confusa, demasiado exigente en ocasiones, contraria a la presunción de inocencia y, en lo que respecta a un punto tan sensible como las denuncias, antiliberal.

Por Adán Nieto Martín

Cada vez cobra más auge la idea de que los programas de cumplimiento deben estar basados en evidencias empíricas (Evidence Based Compliance), que demuestren qué elementos de los programas funcionan, resultan eficaces y cuáles no. Se trata de una exigencia tan lógica y necesaria, como la de evaluar las políticas públicas y en concreto la política criminal, a la que ya nos hemos referido en alguna entrada anterior. Los programas de cumplimiento no son sino una  forma de regulación basada en lo que se ha dado en llamar colaboración entre el sector público y el privado, por lo que en realidad la evaluación de los programas constituye la forma de evaluar la estrategia política criminal que se ha elegido para abordar la criminalidad de empresa.

La evaluación representa además una actividad distinta a la certificación, ahora tan en auge tras la reciente aprobación de la UNE-ISO 19600. La certificación se refiere a la existencia de un procedimiento adecuado, pero no de su efectividad. En la evaluación, en cambio, no se trata de analizar si las medidas de prevención cumplen con un determinado modelo o estándares de calidad, sino de indagar si estos estándares funcionan y a qué coste lo hacen.

Desgraciadamente, y a diferencia de lo que ocurre en Estados Unidos, en Europa apenas si contamos con estudios empíricos sobre los programas de cumplimiento. Por eso debe ser bien recibido el reciente estudio realizado por el Max Planck Institut, y dirigido por los  profesores Ulrich Sieber y Marc Engelhart, Compliance Programs for the Prevention of Economic Crimes. An Empirical Survey of German Companies (Max Planck Institut/Duncker & Humblot, 2014). Se trata de un trabajo empírico, realizado a partir de dos extensas encuestas enviadas a 5734 empresas alemana (aunque finalmente sólo se han obtenido respectivamente 140 y 148 respuestas), de diferentes tamaños, sectores y ubicadas en diferentes áreas geográficas. Las encuestas han sido respondidas en su mayoría por personas pertenecientes a los órganos de gobierno o por encargados de cumplimiento, lo que le otorga un particular valor pese a que la muestra pueda parecer reducida.

El estudio tiene tres objetivos. El primero es descriptivo: analizar la estructura y el contenido de los programas de cumplimiento (responsables, áreas de riesgos que cubren, canales de comunicación…). El segundo radica en evaluar qué tipo de medidas se consideran más eficaces para conseguir el cumplimiento con la legalidad por parte de la empresa. El tercer objetivo es analizar cuáles son los incentivos más apropiados que el ordenamiento jurídico puede utilizar para incentivar a la autorregulación empresarial. En este caso se trata de intentar avalar con datos empíricos un modelo de responsabilidad penal de la empresa para Alemania.

Las principales conclusiones en lo que se refiere al primer objetivo son las siguientes: El 90% de las empresas alemanas cuentan con medidas de prevención con el fin de prevenir y detectar infracciones. Los campos estrellas de son medidas anticorrupción, seguidas de las relativas a la prevención de delitos contra la empresa, protección de datos e infracciones al derecho de la competencia. El número de riesgos cubiertos por el programa de cumplimiento  depende más de si la empresa es o no cotizada, que de su tamaño. Un dato especialmente significativo es que la creación de secciones de cumplimiento no guarda una estrecha relación con el tamaño de la empresa. Un 20% de empresas con menos de 50 empleados tienen encargados de cumplimiento.

Con independencia del tamaño de la empresa, los responsables de cumplimento tienen de forma absolutamente mayoritaria (56%) o  el deber de reportar directamente al presidente del consejo de administración o al Consejo de vigilancia (30%). Ello significa que los departamentos de cumplimiento están situados al máximo nivel dentro de la organización. Internamente el cumplimiento normativo se concibe parte del sistema de control interno.

En una escala de 1 a 10 las empresas otorgan un 8 al grado de compromiso de sus directivos principales con el programa de cumplimiento (tone from the top). Aunque resulta complejo medir si existe una cultura de la legalidad es significativo que los empleados rechacen ligeramente más los delitos contra la empresa (9.4), que a su favor (8.7).

Más de la mitad de compañía tiene instalados canales de denuncias anónimos, líneas éticas etc. Aunque como señala la encuesta representa un crecimiento espectacular en relación a algunos estudios previos (2008) que apuntaban que únicamente el 15 % de las empresas contaba con este tipo de medidas, el funcionamiento de los canales de denuncia no es satisfactorio: sólo el 13% de las empresas contestan que reciben más de 10 denuncias por año, de estas denuncias son muy pocos los casos en que se reportan infracciones en beneficio de la organización. Los canales de denuncia parecen ser más efectivos en las grandes que en las pequeñas compañías.

La encuesta pregunta también por medidas de control específicas y las empresas apuntan el uso de sistemas informáticos; la conformación de procedimientos de acuerdo con el criterio “cuatro ojos ven más que dos”; las medidas de due diligence de las contrapartes con las que se hacen negocios; la necesidad de aprobación expresa de determinados contratos por el comité de cumplimiento (por ejemplo, contratos de consultoria) etc. En este apartado, sin embargo, el estudio no revela desafortunadamente mayores conclusiones.

La mayoría de las empresas no cuentan con una política para la imposición de sanciones disciplinarias, en caso de que se infrinja el programa de cumplimiento, sino que se decide caso a caso, además las sanciones disciplinarias no se perciben como parte del programa de cumplimiento. En el estudio se apunta que ello es debido a que el Derecho del Trabajo alemán contiene una regulación muy minuciosa en este punto, que incluye un amplio catálogo de posibles sanciones y donde el despido es únicamente una posibilidad más (amonestaciones orales y escritas, participar en programas formativos, multas, cambio de lugar de trabajo, reducción de la remuneración…). Cuando estos comportamientos son constitutivos de algún tipo de infracción, algo más de la mitad se comunican por la propia empresa a los tribunales.

El 29% de las empresas señalan haber realizado algún tipo de investigación interna, relativas a temas de corrupción o al Derecho de la Competencia, realizadas normalmente por auditoria interna y solo en un 19% de casos por investigadores externos. En más del 70% de los casos se hacen advertencias expresas a los trabajadores investigados de que su testimonio puede ser utilizado contra él en un procedimiento penal – la denominada “Miranda empresarial” – y que tiene derecho a permanecer en silencio. Está generalizada  la posibilidad de utilizar un abogado (86%) en estas investigaciones. El 18% declara contar con programas de amnistía y el 64% espera de sus empleados plena cooperación.

La revisión del programa de cumplimiento muestra que sólo el 15 por ciento lo ha revistado más de tres veces. La mayoría lo ha modificado solo una vez desde su creación. La revisión, más que por la autoevaluación, viene dada por el cambio de las circunstancias legales. Sólo el 16% declara modificarlo como consecuencia de la propia evaluación

Más complejo que averiguar el estado de la cuestión en torno al desarrollo y la estructura del cumplimiento normativo es indagar acerca de su eficacia. El método elegido en este punto fue una encuesta de percepción, es decir, preguntar a las empresas acerca de si con la creación del programa se incrementa la posibilidad de prevenir o descubrir delitos.  La mayoría considera que la creación del programa no supondrá un cambio significativo, no obstante a medida que van reformando el programa de cumplimiento existe una mejor opinión acerca de su eficacia. En una escala del 1 a 10 le otorgaron un 7 a la efectividad del programa. Vistas las cosas desde el punto de vista de los costes y beneficios,  el 37% considera que los  beneficios superan a los costes, mientras que el 28% percibe que los costos son mayores. Entre las grandes empresas hay mayor optimismo acerca de la utilidad de estas medidas que en las pequeñas.

Si se desciende a la efectividad de las concretas medidas de cumplimiento, la que obtiene una puntación más alta es la implicación de los altos directivos en las actividades del cumplimiento normativo. No obstante, las diferencias no resultan significativas entre  otras medidas como la formación jurídica, las sanciones o los controles internos. Todas estas medidas obtienen una alta puntuación, sobre el 8.5.  Ocupa sólo un lugar medio en la tabla la existencia de canales de denuncia o el establecimiento de incentivos salariales. Significativamente, recurrir a una auditoria externa ocupa uno de los lugares más bajos.  Las respuestas revelan, sin embargo, que salvo en los dos extremos de la tabla no existe demasiado consenso acerca de qué métodos resultan más efectivos.

El tercer objetivo de este estudio consiste en mostrar cuál es el mejor camino para incentivar a la autorregulación preventiva de las empresas por parte del legislador.  En este punto resalta, en primer lugar, como las empresas consideran poco deseable un exceso de regulación de las medidas de prevención (69% frente al 19%).  Las empresas no desean medidas detalladas de cumplimiento en cuanto que consideran importante realizar su propia ponderación de costes y beneficios a la hora de implementar medidas concretas. A juicio de los autores, esta respuesta conduce a la idea de que el mecanismo más apropiado es la autorregulación indirecta o coaccionada. Es decir, dejar un  margen de libertad en relación a los contenidos de los programas de cumplimiento, pero promover la autorregulación a través de sanciones.

Por eso resulta de especial importancia ver qué tipo de sanciones resultan más eficaces. A los encuestados se les proponen una serie de opciones acerca de  qué tipo de sistema de responsabilidad penal resultaría más incentivador: autor directo –superior por infringir un deber de supervisión; responsable individual-compañía, responsabilidad de la empresa en un sistema de acuerdo con un modelo de heterorresponsabilidad o autorresponsabilidad y sanciones penales-sanciones civiles. Las respuestas arrojan algunos resultados interesantes. En primer lugar, destaca como en grandes compañías la sanción a la empresa se considera más motivadora que la individual, al revés de lo que piensan los directivos de las empresas más pequeñas.  También las grandes empresas evalúan de manera más favorable los sistemas de autorresponsabilidad que las pequeñas.  En ambas cuestiones, el grupo de las empresas cotizadas se muestra aún de manera más favorable a la responsabilidad penal de la empresa acorde con un sistema de autorresoponsabilidad como el método más eficaz. La incidencia de los programas de cumplimiento como fundamento para mitigar o excluir la responsabilidad civil tiene una importancia menor.

Ahora bien, aunque de la encuesta se desprende una ligera preferencia hacia un sistema de autorresponsabilidad, en el que el legislador recompense la existencia de un programa de cumplimiento a la hora de imponer la sanción, no existe información acerca de qué tipo de recompensa puede ser más idónea (atenuación de la sanción, régimen de prueba etc..). Igualmente no está claro cuál debe ser la incidencia de la existencia de un programa de cumplimiento en la responsabilidad del autor individual. Los autores sugieren que existe cierto acuerdo en que en ningún caso debe atenuar y que, si acaso podría ser una circunstancia agravante, en  cuanto que al tener que eludir una medida de cumplimiento el autor individual muestra una mayor “energía criminal”. Tampoco existe una respuesta clara acerca de cuál es la responsabilidad que debiera tener en la responsabilidad individual del superior, aunque desde luego desde el punto de vista dogmático está claro que la adopción de un programa de cumplimiento es la forma de dar respuesta a su deber de vigilancia.

Como es conocido, la responsabilidad penal es sólo uno de las herramientas a disposición del legislador. La normativa societaria, la regulación de los contratos públicos u otro tipo de medidas administrativas (concesión de licencias, listas blancas y negras etc.) son también estímulos poderosos para conseguir este objetivo. Desgraciadamente no ha existido una valoración suficiente por parte de las empresas respecto de qué otras  medidas administrativas administrativas podrían ser suficientemente motivadoras. Lo que sí está claro es que la introducción de una obligación legal de autorregulación no se considera eficaz sino va acompañada de sanciones.

Finalmente la encuesta se ocupa del tipo de sanciones que se consideran más efectivas. La primera consecuencia es que las sanciones penales se consideran más efectivas que las sanciones administrativas. Desde el punto de vista del daño reputacional también se aprecian diferencias entre la publicación de sanciones penales y administrativas. Sorprende la importancia que tiene el comiso, que se encuentra en el segundo puesto tras la prisión como sanción más efectiva. En el caso de las empresas, las prohibiciones o inhabilitaciones  (prohibición de realizar determinadas actividades o negocios) se considera la sanción más efectiva. Menos importancia se le da a sanciones estructurales como la intervención o la supervisión de la empresa, la obligación de implantar un programa de cumplimiento etc.

En conclusión, para los autores del estudio sus resultados avalan la necesidad de introducir en Alemania la responsabilidad penal de las personas jurídicas, basada en un modelo de autorresponsabilidad, en el que el legislador modulara su “regulación” de la autorregulación dependiendo de los sectores. Como expresamente indican los autores abogan por un sistema de responsabilidad penal similar al que existe en Italia, España o Estados Unidos.

Por Adán Nieto Martín y Patricia Pérez Fernández

La finalidad última del derecho penal cuando sanciona a las personas jurídicas es incitar  a sus dirigentes a que adopten un sistema de autorregulación interno que les lleve a prevenir, detectar y sancionar las infracciones de sus empleados y dirigentes.  Como también todos sabemos, para que el derecho penal sea eficaz éste no puede actuar como una suerte de “llanero solitario”. Las armas del derecho penal, por muy temibles que parezcan, en realidad son un tigre de papel si no van acompañadas de otros controles sociales o jurídicos que empujen en la misma dirección.

Este principio básico de la política criminal deriva directamente, a su vez, del principio de ultima ratio. La asociación que existe actualmente entre responsabilidad penal (o sancionadora) de personas jurídicas y programas de cumplimiento quizás puede dar a entender que en este caso, al legislador se la ha ido la mano y ha utilizado la responsabilidad penal como prima ratio, sin ensayar antes otros medios de coacción, con idéntica finalidad.

Nada más lejos de la realidad. La necesidad y conveniencia de implantar programas de cumplimiento es algo que trasciende al derecho penal. Baste como ejemplo  la reciente Directiva de la UE sobre contratación pública de 2014 que otorga una gran importancia a los programas de cumplimiento dentro de sus sistemas de listas negras. O, sin salirnos del derecho europeo, la también reciente Directiva sobre “estados no financieros”  que consagra el compliance en materia de derechos humanos, obligando a las empresas de más de 500 trabajadores a publicar, como si de cuentas anuales se tratara, los progresos de sus sistemas de cumplimiento en materias como la lucha anticorrupción, el medio ambiente o los derechos humanos.

Más en este juego regulador, hasta ahora no nos hemos detenido demasiado en una de las armas que poseen un mayor poder de coacción: la acción social de responsabilidad contra los administradores, que en el caso de las sociedades de capital, se regula en los artículos 236 y siguientes de la Ley de Sociedades de Capital. La tesis es la siguiente:

Cuando la falta de adopción o la adopción ineficaz de un programa de cumplimiento ocasiona daños a una compañía (imposición de multas, reclamaciones civiles, pérdidas de oportunidades de negocio…) puede afirmarse que los administradores han infringido sus deberes de diligencia en la gestión de la empresa social.

Aunque en la UE, en lo que conozco, no existe aún jurisprudencia relevante en este punto, en los EEUU la conexión entre los programas de cumplimientos y la responsabilidad social de los administradores se inició con la sentencia  Caremark (In re Caremark International, Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).

Los empleados de Caremark, una importante empresa sanitaria, habían pagado sobornos a médicos con el fin de que recomendaran sus productos. Los sobornos se articulaban a través de contratos de investigación o de consultorías que en la fecha en que ocurrieron no se encontraban claramente prohibidos por la legislación americana, y tampoco por el código de conducta de Caremark, que en este sentido, había descuidado establecer un perímetro preventivo. Como consecuencia de estos hechos Caremark, que llegó a un acuerdo con la fiscalía, tuvo que pagar una multa de 250 millones de dólares. El acuerdo sirvió en cualquier caso para que no fuera incluida en una lista negra, y pudiera continuar siendo suministradora de servicios médicos.

Como indica el tribunal de Delaware, las  acciones de responsabilidad derivadas de la infracción del deber de diligencia tienen menos posibilidades de éxito que las que tienen como fundamento la infracción del deber de lealtad (que proceden cuando los administradores incurren en conflicto de intereses). Y menos todavía cuando lo que se reprocha a los administradores no es tanto una decisión equivocada, sino, como ocurre en este caso, una omisión, consistente en la falta de supervisión de sus empleados y concretamente una falta de supervisión que asegure que los empleados actúan conforme a la legalidad cuando realizan sus actividades para la empresa.

La jurisprudencia que hasta entonces se había vertido sobre este asunto resultaba ser bastante restrictiva. A comienzos de los años sesenta, en un supuesto en el que una empresa había sido multada por prácticas restrictivas de la competencia, los jueces habían señalado que las infracciones realizadas por los empleados, sólo generaban la responsabilidad de los administradores cuando existía una fuerte sospecha de que estaban actuando irregularmente. Más allá de este supuesto los administradores carecían de responsabilidad. El tribunal fue además bastante gráfico a la hora de extraer los programas de cumplimiento del deber de diligencia:

“absent cause for suspicion there is no duty upon the directors to install and opérate a corporte system of espionage to ferret out wrongdoing which they have no reaons to suspect exists”.

Tres décadas después, el tribunal consideró que esta doctrina tan restrictiva no puede mantenerse, y en ello juega un papel esencial el incremento de la presión del derecho penal sobre las empresas, que se produce tras las aprobación de las Sentencing Guidelines en los Estados Unidos, y las indicaciones que allí se ofrecen en relación con  los programas de cumplimiento. El tribunal manifiesta pocas dudas acerca de la necesidad de implantar un programa de cumplimiento como consecuencia del deber de diligencia, ahora bien, tal como señala a continuación, resulta mucho más complejo determinar cuándo éste es correcto y adecuado por aplicación de la business judgment rule

Como es bien conocido, en el Derecho norteamericano, la business judgment rule funciona como una suerte de limitación de la responsabilidad de los administradores. Los administradores no deben ser considerados responsables de los daños sufridos por la compañía cuando se han informado adecuadamente y han perseguido el interés social a la hora de tomar decisiones y éstas eran decisiones estratégicas o de gestión. Es el proceso de la toma de decisión y no la decisión misma la que se juzga. A los administradores se les exige que actúen de buena fe asegurándose que tienen acceso a toda la información necesaria y que disponen de las vías necesarias para actualizar periódicamente la información.

La regla del margen de apreciación es hoy derecho positivo en buena parte de los ordenamientos de la UE. La Ley de Sociedades de Capital la recoge en su art. 226 e igualmente en Alemania se menciona expresamente en el § 93 (1) de la Aktiengesetz ) como consecuencia de la Sentencia del Tribunal Supremo alemán de 21 de abril de 1997 en el caso ARAG/ Garmenbeck.

En nuestro ordenamiento, al igual que en el alemán, para el caso de las sociedades cotizadas está bien claro que el deber de diligencia exige la adopción de programas de cumplimiento. El  Código de Buen Gobierno Corporativo alemán, en la última versión de mayo de 2015, prevé que el Consejo de administración deberá velar por el cumplimiento de la normativa así como de los Estatutos de la compañía y de todas las filiales del grupo de sociedades, en su caso. ). En España la Recomendación nº 54 del Código de Buen Gobierno Corporativo en su versión de 2015 obliga a identificar las prácticas concretas relacionadas con prevención de conductas ilegales (letra c), los resultados o los métodos de aplicación de dichas prácticas, los riesgos asociados y su gestión (letra d) y los “mecanismos de supervisión del riesgo no financiero, la ética y la conducta empresarial”.

Estas disposiciones ponen de manifiesto que las sociedades cotizadas, y nos atreveríamos a decir, que en cualquier empresa de cierto tamaño, la adopción de un programa de cumplimiento no entra ni tan siquiera en el margen de apreciación empresarial. Supone una concretización quasi positivizada del estándar de diligencia. Lo que a los efectos que aquí interesan implica que la imposición de sanciones a la empresa, o cualquier otra consecuencia negativa (inclusión en una lista negra, pérdida de oportunidades de negocio…) derivada de la inexistencia de un programa de cumplimiento puede dar lugar a una acción de responsabilidad social.

Ahora bien, sentado lo anterior, y como pone de manifiesto Caremark, en relación con las grandes empresas la regla de apreciación empresarial es básica para apreciar el cómo: ¿cuál debe ser la extensión del programa de cumplimiento?, ¿cuántos cuidados y esfuerzos debe invertirse en la prevención de cada uno de los riesgos penales? etc..

La respuesta a estas preguntas, al menos desde el punto de vista de la acción de responsabilidad social, es que se trata fundamentalmente de apreciar la calidad y el cuidado que ha puesto el consejo de administración a la hora de recabar información y no tanto si ex post, a la vista del caso concreto, su decisión de cómo conformar el programa de cumplimiento fue correcta. Y en este punto, la herramienta que deben utilizar los administradores  no es otra que en análisis de riesgos a que hace referencia el art. 31 bis 5 1º del CP: “identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”.

El análisis de riesgos constituye el elemento clave para la racionalidad de un sistema de cumplimiento, con el fin de dedicar recursos allí donde se necesitan en atención a la intensidad de riesgos. Claro está, que para asegurar que se ha recopilado información de manera diligente no bastará cualquier análisis de riesgos. En primer lugar, y como mínimo será necesario demostrar que las personas que lo han realizado disponían de los suficientes conocimientos en materia penal, como para no pasar por alto ningún riesgo importante. A partir de aquí, esta actividad requiere, tal como indica el CP,  establecer los delitos que pueden ser cometidos por la empresa, no de manera genérica, sino pormenorizadamente: determinando en cada uno de los procesos o actividades de la empresa, los delitos que pueden aparecer y el modo en que han de hacerse.

Quizás algún día nos ocuparemos con más detenimiento de la extrema importancia que tiene un buen análisis de riegos para excluir la responsabilidad penal de la persona jurídica, pero lo que ahora debemos acentuar es que realizar un correcto análisis de riesgos es presupuesto de la aplicación de la regla del juicio discrecional (business judgment rule) y, por consiguiente, de la exención de responsabilidad, si los administradores.

Por cierto, las compañías de seguro a la hora de establecer las pólizas para cubrir la responsabilidad civil de administradores debieran estar atentas a este hecho, lo que sin duda representa otro estímulo más en este juego regulador en el que el derecho penal no debe caminar sólo.