1. – Planteamiento. En el desarrollo de la actividad empresarial aparece sin duda el riesgo de que se realicen acciones por sus directivos o empleados que puedan conculcar el ordenamiento jurídico, o incluso principios éticos exigibles (Código Ético). Tales supuestos le tientan a uno a abordar el desarrollo de una Compliance completa, mucho más amplia de la estrictamente penal, y hasta más allá de la que alcanza penalmente a la empresa, como Persona jurídica (PJ). No lo voy ni puedo hacerlo en este limitado artículo que comienzo a escribir, pero sí me gusta subrayar y recordar, desde un principio, que los planes de cumplimiento normativo a los que alude el CP en su art. 31 bis y ss, constituyen controles preventivos que afectan a una parte muy pequeña, aunque pueda ser la más grave, del conjunto de responsabilidades derivadas o surgidas en el entorno de la actividad social.
Escribir sobre los riesgos de comisión de delitos que se pueden cometer en la actividad empresarial, exigiría, además, no solo analizarlos desde la responsabilidad penal de los sujetos que dirigen la empresa sino también desde la de sus empleados, entendidos en sentido amplio, y, asimismo, en su caso, desde la propia empresa, como persona jurídica. Lo digo porque los riesgos penales que ha de afrontar la persona física en el ejercicio de la actividad empresarial alcanzan a los delitos que normalmente se cometen en ese ámbito, tipificados en el CP, unas veces en beneficio de la empresa, entendida como persona jurídica (PJ), por ejemplo, el delito fiscal o el blanqueo de capitales, y otras, en perjuicio de la empresa (por ejemplo, el de administración desleal, o ciertos delitos societarios); mientras que la persona jurídica posee una responsabilidad penal constreñida a las tipologías previstas expresamente para ella en el CP, entre las que no se encuentran, como es lógico, -luego lo veremos- los delitos cometidos en perjuicio de aquella (vg.; el de administración desleal).
Por lo tanto, antes de abordar la responsabilidad penal de las personas físicas y jurídicas en la actividad de la empresa, advierto que voy a dedicar estas letras únicamente a los riesgos de comisión de delitos por las personas físicas que puedan tener relevancia penal para la PJ; bien porque son tipos penales susceptibles de ser cometidos por la PJ -como dice el art. 31 bis 1: “los supuestos previstos en este Código” -, bien porque se han cometido “en nombre o por cuenta y en beneficio directo o indirecto” de la PJ (art. 31 bis 1, a y b).
2. – Breve historia. La penalización –última ratio– de infracciones mercantiles tuvo lugar en la LO 10/1995, (CP de 1995) que introdujo, entre otros, los delitos societarios; pero alcanzó mayores cotas penales cuando la LO 5/2010 apartó de nuestro Derecho latino el principio tradicional de que societas delinquere non potest, y se acercó al sistema anglosajón, creando la responsabilidad penal de la PJ, sin modificar las garantías básicas establecidas en el Título Preliminar del propio CP, sobre la culpabilidad: art. 5, ni sobre el concepto del delito: art. 10; y continuó completándose esa clase de responsabilidad con la LO 1/2015, que dibujó los rasgos generales de los programas de cumplimiento normativo penal (compliance, en inglés) para las personas jurídicas, como forma de prevenir los delitos para éstas, y de hacer posible la exención o atenuación de la responsabilidad penal de las mismas, si los hubieran implantado y mantenido con eficacia.
Pero, ni siquiera con esta reforma, se regularizó pormenorizadamente el plan de cumplimiento normativo, salvo las líneas generales del mismo (art. 31 bis CP), por lo que nos estamos sirviendo, hasta la fecha, de NORMAS no gubernamentales ISO -internacionales- y UNE -españolas-, que luego trataré brevemente. Tampoco el CP ha definido lo que entiende por PJ, a efectos de su responsabilidad penal por ciertos delitos, como lo hace, por ejemplo, a efectos penales, con los conceptos de “autoridad” y “funcionario público” (art. 24 CP), o, en los delitos societarios, con el término “sociedad” (art. 297 CP). Volveremos también después sobre esta cuestión.
3. – Las líneas generales marcadas por la Ley. El art. 31 bis limita la responsabilidad penal de la PJ a los supuestos previstos expresamente en el CP, a lo largo de su articulado: que son los siguientes: Tráfico y trasplante ilegal de órganos humanos (156 bis. 3). –Trata de seres humanos (177 bis. 7). –Prostitución y corrupción de menores (189 bis). –Descubrimiento y revelación de secretos (Artículo197 quinquies). –Delitos de estafa (251 bis); (No los de administración desleal (252) ni la apropiación indebida (253 y 254). –La Frustración de la ejecución. (Artículo 258 ter). –Insolvencia punible (261 bis). –Daños a datos y programas informáticos, a documentos electrónicos ajenos, o alteración del funcionamiento de un sistema informático (264 quater). –De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores y corrupción en los negocios (Artículo 288). –Blanqueo de capitales (art. 302 CP). –Delitos de financiación ilegal de los partidos políticos (Artículo 304 bis. 5). –Delitos contra la Hacienda Pública y contra la Seguridad Social; fraudes de subvenciones o ayudas públicas, incluidas las de la UE (Artículo 310 bis). –Delitos contra los derechos de los ciudadanos extranjeros (Artículo 318 bis. 5). –Delitos sobre la ordenación del territorio y el Urbanismo (319. 4). –Delitos contra los recursos naturales y el medio ambiente (Artículo 328). –Vertidos, emisiones o radiaciones ionizantes (343. 3). –Los riesgos provocados por explosivos y otros agentes (348. 3). –Delitos contra la salud pública. (Artículo 366). –Tráfico de drogas (369 bis). –De la falsificación de moneda y efectos timbrados (Artículo 386). –Falsificación de tarjetas de crédito y débito y cheques de viaje (399 bis. 1 párrafo 2º). –El cohecho (Artículo 427 bis). –Tráfico de influencias. (Artículo 430). –Delitos cometidos con ocasión del ejercicio de los derechos fundamentales y de las libertades públicas garantizados por la Constitución: incitación al odio, etc (Artículo 510 bis). –Delitos de financiación del terrorismo (Artículo 576. 5).
Y agrupa estos delitos de la siguiente forma:
a) De los delitos cometidos en nombre o por cuenta de la PJ, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma. Los sujetos activos serán pues, los representantes legales de la PJ, los administradores o los altos directivos con facultades de organización y control. Los que tienen mando.
Actuar en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, significa que los delitos deben haberse cometido a favor de la empresa, y no en contra o en perjuicio de ella, porque esto último la convertiría en perjudicada y consiguientemente no responsable.
b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
La actuación a favor de la empresa, en este apartado, es el mismo, pero los actores son distintos pues, estando vinculados a la PJ -ejercicio de actividades sociales- deberán depender o estar sometidos a los altos directivos del apartado anterior, y haber cometido el delito gracias al incumplimiento grave de los deberes de supervisión y control en que incurrieron aquellos.
Cuando el delito se cometa por esos sujetos (letras a y b), la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión (compliance penal);
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
Este supervisor, conocido como “Oficial de cumplimiento”, puede ser una persona física o un órgano -con la particularidad de las pequeñas empresas-, y cuya responsabilidad en su función, parece clara).
3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención (a pesar de considerarse bien implantados);
4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª (Oficial de cumplimiento).
En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.
En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión no precisarán del Oficial de cumplimiento, sino que podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.
4. – Las Normas. Las ISO internacional, son un conjunto de estándares con reconocimiento internacional que fueron creados con el objetivo de ayudar a las empresas en relación con la gestión, y que también se emplean para regular el contenido de la compliance. Las iniciales ISO son el acrónimo de International Organization for Standardization. Se trata de una organización no gubernamental, en la que se encuentran presentes en 164 países, y que tienen su secretaria Central en Ginebra, Suiza.
La norma UNE española, que persigue el mismo fin, es el único Organismo de Normalización en España, designado por el Ministerio de Economía, Industria y Competitividad ante la Comisión Europea. Emite certificaciones sobre la implantación de compliance.
Las Directivas de la UE, traspuestas en España, son también de especial interés para el tema que comentamos. Por ejemplo, el pasado día 4 de marzo 2022 fue aprobado por el Consejo de Ministros el Anteproyecto de Ley que regula la lucha contra la corrupción con el objeto de transponer la Directiva 2019/1937 del Parlamento Europeo y del Consejo, en vigor desde 16 de diciembre de 2019- conocida como Wistleblowers-, nacida para proteger la corrupción o fraudes del Derecho de la UE y del Derecho nacional; La Directiva, dirigida tanto al sector privado como público, prevé la obligación de implantar un Canal de Denuncias, en el que se garantice la confidencialidad. Están vigentes NORMAS y DIRECTIVAS específicas para temas concretos.
5. – Sobre el concepto de PJ, bastará aquí decir que no lo son las que fueron creadas exclusivamente como instrumentos para cometer delitos (sociedades pantalla o de fachada), porque para ellas procede el decomiso y la disolución (consecuencia accesoria del art. 129 CP), y no la pena del art. 66 bis.
Los riesgos suelen estar muy relacionados con la clase de actividad que desarrolla la empresa. Por eso, cualquier preparación de un plan de cumplimiento normativo exige un previo conocimiento directo de la empresa, y entrevistas al respecto con quienes trabajan en ella.
Juan Cesáreo Ortiz-Úrculo. Ex Fiscal General del Estado . Abogado. Socio de Cremades&Calvo-Sotelo.