¿Sirve de algo un programa de compliance penal? ¿y qué forma le doy? (responsabilidad penal de la persona jurídica en la l.O. 5/2010: incertidumbres y llamado por la seguridad jurídica)

• Autor: Ismael Clemente Casas - Manuel Álvarez Feijoo
• Cargo: Abogados del Área de Procesal y Derecho Público de Uría Menéndez (Madrid y Barcelona).
• Páginas: 26-47

Page 26

1. ¿Necesito un programa de compliance penal? (introducción)

Esta es, sin duda, una pregunta frecuente de las empresas a su abogado de cabecera durante los últimos meses. La empresa, el cliente, ha leído y escuchado muchas cosas en los últimos tiempos sobre la LO 5/2010, que reforma el Código Penal («CP»), y en especial sobre el nuevo artículo 31.bis que (esta vez sí, suele decirse) introduce en nuestro Derecho la responsabilidad penal de la persona jurídica para algunos delitos (o, al menos, un nuevo régimen para esta institución). El cliente ha leído artículos doctrinales y de divulgación, ha asistido a conferencias, ha recibido sobres con folletos explicativos e incluso visitas de profesionales (abogados, auditores, consultores, etc.) que le ofrecen un nuevo tipo de servicio. A través de todos esos cauces, al cliente le han llegado diferentes mensajes. Por ejemplo: a partir del día 23 de diciembre del pasado año (fecha de entrada en vigor de la reforma) las personas jurídicas pueden cometer delitos «por vez primera». Es obligatorio legalmente dotarse, a partir de esa fecha, de algo llamado con nombre anglosajón (compliance programme) y que, aplicado al ámbito penal, podría traducirse como programas, planes o sistemas tendentes a evitar que se cometan delitos en el seno de la empresa. Quienes lo hagan se salvarán (más aún: tendrán su salvación garantizada). Quienes no lo hagan se condenarán (al menos es probable que eso les suceda). De tal modo que no sorprende que en la mente del cliente se haya forjado la imagen de que a partir del 23 de diciembre de 2010 un nuevo chaparrón arreciará sobre las empresas españolas, en la forma de responsabilidad penal para las personas jurídicas, y solo aquellas que hayan comprado estos paraguas tan aparentemente útiles, estos programas de compliance penal, serán capaces de permanecer secas.

Lo anterior puede tener su parte de verdad. Pero, creemos, cuando el cliente, tras recibir esos mensajes, entre, con cierta prisa, en el despacho de su abogado de confianza para formularle las preguntas

Page 27

lógicas (¿de verdad me sirve de algo tener un programa de compliance penal?, ¿y cómo lo hago, qué forma y contenido debe tener?), a nuestro juicio no vendría mal que ese abogado le rogara a su cliente que tomara asiento para poder explicarle, con cierta calma, algunas cosas. Algunos matices. Incluso (o en especial) algunas dudas e incertidumbres.

Eso mismo pretende hacer este artículo. En primer lugar, señalar las incertidumbres que arroja la nueva regulación. No existe una norma jurídica positiva que expresamente obligue a las empresas a adoptar planes de compliance penal. Y la reforma penal no es clara a la hora de atribuir efectos a tales esfuerzos. Más aún: no contamos tampoco con una regulación que ilustre sobre cómo deben ser esos planes, qué forma deben adoptar, cuál ha de ser su contenido, qué instrumentos de prevención y evitación de delitos son suficientes y cuáles no (¿basta con un código de conducta?, ¿o es necesario también designar a una persona específicamente dedicada a esta materia, un compliance officer?, ¿o acaso será necesario, adicionalmente, fomentar las denuncias de los trabajadores que detectan comportamientos irregulares, una política de whistle-blowing?). Por ello, en segundo lugar, propondremos alguna iniciativa para aportar un tanto de seguridad jurídica a esta materia.

2. ¿sirve de algo un programa de compliance penal? (incertidumbre acerca de sus efectos a la luz del texto de la reforma y propuesta de interpretación)

2.1. Dos opciones teóricas que estaban disponibles para el legislador de 2010 (transferencia vs Defecto de organización)

A decir de la doctrina, caben, esencialmente, dos opciones teóricas, dos métodos, a la hora de diseñar un sistema de responsabilidad penal de la persona jurídica:

(i) El primero de ellos suele llamarse sistema de transferencia. Y suele explicarse de la siguiente manera: si una persona física comete el delito en el seno de una persona jurídica (típicamente, en su nombre y/o en su provecho), la responsabilidad penal del individuo se transfiere, en principio sin más requisitos, a la sociedad. No es necesario discernir si la persona jurídica actuó («ella misma») de forma diligente o negligente, con dolo o de forma imprudente. No se analizará su «culpabilidad» (las comillas, cree-mos, serán necesarias a la hora de asignar muchas de estas categorías a la persona jurídica). Basta que la persona física rellene los requisitos clásicos de la culpabilidad para que la persona jurídica responda penalmente. Desde la perspectiva de la persona jurídica, por tanto, esta regla de imputación da lugar a una suerte de responsabilidad penal objetiva del ente, una responsabilidad desconectada del dolo o la imprudencia «propios» (de nuevo creemos necesarias las comillas) de la organización. A este sistema suele asignarse también la etiqueta de sistema de responsabilidad por atribución. O modelo de imputación. O responsabilidad por hecho «de otro». Heterorresponsabilidad. Responsabilidad vicaria o subsidiaria (vicarious liability).

(ii) Al anterior suele oponerse otro modelo que, se dice, tiene en cuenta la «propia conducta» de la persona jurídica. Si en el modelo anterior la responsabilidad penal de una persona física era atribuida de forma directa, automática, sin más requisitos, a la persona jurídica, si se respondía por el hecho «de otro» (de la persona física autora del delito), este otro sistema, se dice, tiene en cuenta el «hecho propio» del ente jurídico, analiza su estructura interna, su organización, y (i) si ese modo de organizarse era al menos negligente, y facilitó el delito cometido en su seno, la persona jurídica responderá penalmente; mientras que (ii) si, por el contrario, no puede detectarse un fallo en la organización que coadyuvara al hecho delictivo, esto es, si el delito se cometió a pesar de, o sorteando voluntariamente los controles y medidas de prevención dispuestos por la persona jurídica, esta no asumirá responsabilidad penal. Suele llamarse a este segundo método responsabilidad por defecto de organización. O defecto de estructura. O sistema de culpabilidad. O responsabilidad por «hecho propio». Autorresponsabilidad.

Como bien puede colegirse, solo en el segundo modelo los programas de compliance penal parecen desempeñar algún papel. En el primer sistema (de transferencia), al menos en su concepción más pura, o estricta, la «propia conducta» de la persona jurídica resulta indiferente. En principio, sería irrelevante que contara con un buen programa de compliance, con uno malo o que no lo tuviera en absoluto. Si la persona física ha cometido un delito, el ente responde siempre, por el «hecho de otro».

Page 28

El planteamiento anterior parece dibujar claramente el campo de batalla, y dos bandos en conflicto, y resulta, creemos, difícil sustraerse a la sensación, al menos anímica, al menos preliminar, de que también separa claramente el bando bueno, el bando respetuoso con los principios del Derecho penal (el modelo de defecto de organización), del bando malo, el bando que aniquila esos valores (el modelo de transferencia). En efecto, si muy autorizadas voces en la doctrina han señalado la violencia que supone para las instituciones clásicas y nucleares del Derecho penal (concebido solo para los individuos de carne y hueso) que este se relacione ahora con las personas jurídicas¹, ¿qué no decir de un sistema, como el de transferencia, que, aparentemente, pasa por encima de una de las claves axiológicas penales, el principio de culpabilidad, específicamente el principio de personalidad de la culpa, que proscribe la responsabilidad penal por el hecho de otro? Parecería, por tanto, que el sistema de transferencia tiene perdida de antemano la batalla que se libra en el campo del respeto a los principios penales, de rango constitucional.

Ahora bien: ¿realmente es hablar con propiedad, digamos, ontológica, afirmar que el delito cometido por el consejero delegado de una sociedad, en nombre y en provecho de esta, es un «hecho ajeno» al ente y sostener, al mismo tiempo, que la confección de planes de compliance es un «hecho propio» de la persona jurídica? ¿Acaso no son también personas físicas quienes confeccionan los planes de compliance (y pueden hacerlo tanto bien como mal), quienes deciden cómo será la organización de una empresa, quienes en definitiva provocan con su actuar individual (solos o en colaboración con otros) los defectos de estructura del ente? ¿Acaso no hay aquí también una...