‘Compliance’ penal: dudas y certezas

La responsabilidad penal de las personas jurídicas en el Código Penal español está a punto de cumplir diez años. Sin embargo, aún es una gran desconocida para la mayoría de la población y, lo que quizás es más preocupante, para un buen número de empresas. En su favor hay que decir, no obstante, que es una materia que todavía plantea muchas dudas a los juristas.Prueba de ello, es la escasa (pero controvertida) jurisprudencia dictada por el Tribunal Supremo que, de momento, deja más interrogantes que certezas.

Es cierto que a pesar de que la posibilidad de que una empresa fuera condenada por los delitos cometidos por sus directivos o empleados fue introducida en el ordenamiento en 2010, cinco años más tarde se modificó el Código Penal para perfeccionar el modelo y acercarlo al de los países de nuestro entorno. La piedra angular del sistema de responsabilidad penal de las personas jurídicas es el artículo 31 bis. Dicho precepto declara penalmente responsables a las organizaciones por los delitos cometidos por sus directivos o empleados salvo si esta “ha adoptado y ejecutado con eficacia” un modelo de prevención de delitos; los conocidos como programas de compliance penal.

¿Qué debe contener un programa de compliance para ser considerado eficaz y, por tanto, permitir a la empresa acceder a la exención (o, al menos, a la atenuación) de su responsabilidad penal? El Código Penal únicamente da seis pautas que, como podrá comprobar el lector, son muy inconcretas. En primer lugar, identificar las actividades que puedan dar lugar a la comisión de delitos; establecer protocolos que concreten cómo se toman las decisiones relacionadas con aquellas; dotar de recursos financieros la labor de evitar esos delitos; exigir al órgano encargado que informe de riesgos e incumplimientos; sancionar los incumplimientos del modelo; y llevar a cabo revisiones periódicas del mismo.

Ante unas trazas tan gruesas es lógico que las empresas sintieran una importante inseguridad sobre cómo evitar verse salpicadas por los posibles delitos que cometan sus responsables y empleados. Y de ahí el gran trabajo que viene haciéndose desde el punto de vista teórico y práctico para completar el contenido de esas líneas maestras.

Resulta conveniente, no obstante, hacer un repaso de las principales certidumbres e incertezas que existen en la actualidad en torno a esta materia.

1. ¿Qué delitos pueden provocar la condena de la empresa?

En primer lugar, es necesario aclarar que el catálogo de delitos por los que puede ser condenada una empresa es limitado. Es decir, no todas las conductas ilícitas de trabajadores o directivos pueden provocar la imputación o la condena de la compañía. Hasta hace unos días, el listado estaba compuesto por una veintena de delitos. Entre ellos, destacan estafas y fraudes; los delitos informáticos; receptación y blanqueo de capitales; delitos contra la Hacienda Pública y la Seguridad Social; tráfico de influencias; o delitos vinculados con la edificación y contra el medio ambiente. El pasado 21 de febrero, no obstante, el BOE publicó una reforma del Código Penal que aprobaba la inclusión de nuevas conductas que pueden salpicar a las organizaciones: la comunicación ilícita de información privilegiada; todos los delitos de malversación y todos los delitos de terrorismo.

2. ¿A qué penas puede ser condenada una empresa?

Es una obviedad, pero conviene reafirmarla: las empresas no pueden ser metidas en la cárcel. Así que las consecuencias para ella de los delitos a los que se las condene son de tipo económico u organizativo. Así, según la infracción y su gravedad, el juez o tribunal podrá imponerle una multa; decretar su disolución, suspensión de actividades (por un plazo no superior a cinco años), o clausurar sus locales o establecimientos. Además, podrá prohibirle realizar determinadas actividades o inhabilitarla para obtener subvenciones o ayudas públicas o gozar de beneficios fiscales (por un plazo que no pueda exceder los 15 años), así como decretar su intervención judicial.

3. ¿Cuál es el camino para la exención o la atenuación de la responsabilidad penal?

Como mencionábamos anteriormente, la vía para que el tribunal exima o atenúe la responsabilidad penal de la persona jurídica es que ésta goce de un programa de compliance eficaz. Y ahí está el quid de la cuestión: qué elementos debe contener el plan de prevención de delitos y cómo acreditar su efectiva aplicación.

Por el momento, el instrumento que se impone en el mercado como mejor vía para este doble objetivo es la certificación de acuerdo con la norma UNE 19601, aprobada por la Asociación Española de Normalización (UNE). En ella se recogen todos los elementos, procedimientos y mecanismos que debe integrar la organización para que una entidad independiente le certifique de acuerdo con la misma. Que nadie se lleve a error. El articulado de la norma es muy exigente, por lo que la empresa tendrá que dedicar recursos financieros, materiales y personales para implantar un modelo que reciba el aprobado de las certificadoras. La utilización de nuevas tecnologías que ayuden a acelerar, mecanizar y agilizar los procesos se antoja como un requisito imprescindible para integrar un sistema eficaz. Además, la UNE 19601 exige una revisión continua en forma de auditoría anula y la renovación cada tres años del certificado. Nadie puede dormirse en los laureles.

¿Es este certificado suficiente para alcanzar El Dorado de la absolución? Ese es el actual debate. Como es lógico, jueces y fiscales no están dispuestos a aceptar el automatismo certificado-absolución, pero lo cierto es que entre la magistratura se impone la idea de que la certificación debe ser una prueba de valor reforzado para las empresas. Sin embargo, para mayor seguridad, las compañías deberán reforzar sus defensas con todos los elementos de prueba que acrediten su absoluta implicación en la prevención de delitos en su seno. Queda mucho trabajo por hacer.