Fuente: Diario La Ley
Sobre la base de su experiencia y trayectoria profesional como socio profesional de Marca Franca, S.L., empresa especializada Corporate Compliance, miembro de la Comisión Delegada de la Asociación Española de Compliance (ASCOM) y, especialmente, por haber liderado, en su calidad de Ministro de Justicia, la propuesta y ejecución de la política del Gobierno de España para el desarrollo del ordenamiento jurídico y, en concreto, la reforma del Código Penal del año 2010, quisiéramos plantearle las siguientes preguntas:
Pregunta: En primer lugar, nos gustaría saber su opinión acerca de por qué en España se optó por regular la responsabilidad de las personas jurídicas como penal y no, como en otros países cercanos, como administrativa. De hecho, si fuera posible, nos gustaría que nos explicara cómo fue la tramitación parlamentaria de la LO 5/2010, de 22 de junio
Respuesta: La razón principal fue de política legislativa. Éramos plenamente conscientes de la reacción que iba a producir la ruptura de un principio, heredado del Derecho romano (societas non delinquere potest), tan profundamente arraigado en la cultura jurídica de nuestro país. Abandonarlo suponía abrir una impredecible caja de resistencias académicas, jurisprudenciales y de aceptación y sujeción a la nueva norma. Con la reforma, las personas jurídicas entraban por primera vez en nuestra historia en el ámbito subjetivo del ius puniendi del estado que, como se sabe, comprende tanto el Derecho penal como el administrativo-sancionador. Eso era lo verdaderamente trascendente en términos jurídicos. Tomada esa primera decisión teníamos que optar entre una de esas dos manifestaciones y nos inclinamos por la penal porque, solo así, la reforma sería tomada en serio. Había que agitar un pasado a todas luces insatisfactorio (escaso compromiso ético y social de nuestras empresas; desatención a prácticas internacionales cada vez más relevantes como la de contar con un programa de cumplimiento; desinterés por crear una cultura de la organización y por establecer prácticas internas de prevención y de resolución de conflictos de intereses…) y crear un nuevo marco en el que la función de Compliance se considerase una inversión y no un nuevo gasto. Una obligación de proactividad que produce beneficios y no solo un nuevo marco de reacción y control. La norma penal despliega una mayor persuasión, fija con mayor intensidad la atención de sus destinatarios conscientes de que una condena penal tiene mucho mayor impacto reputacional que una sanción administrativa de similar contenido o cuantía. Además, en el proceso penal no existe una presunción de legalidad de los actos de la administración ni concurren otras prerrogativas que asisten a los actos de poderes públicos, por lo que, en esa situación de cambio radical, se aseguraba mejor la defensa de los derechos y libertades de quienes pudieran verse afectados por la nueva norma.
Pregunta: Tras diez años de este régimen de responsabilidad, ¿qué cree que aporta una sanción penal en la prevención de la criminalidad empresarial? ¿Es más eficaz la sanción penal a las personas jurídicas que la sanción administrativa?
Respuesta: Fundamentalmente un importantísimo despliegue de las políticas de prevención en el seno de las organizaciones. El Derecho penal no puede ser exclusivamente concebido desde su faceta represora. La prevención general es un aspecto inherente al mismo y, desde esa perspectiva, la reforma del Código Penal del 2010 y la posterior del 2015, ofrecen un saldo muy positivo. Acaba de hacerse pública por la Confederación Española de Organizaciones Empresariales (CEOE) la primera encuesta relevante sobre la función de Compliance en nuestras empresas (octubre 2020). Si bien la muestra es para empresas de más de 200 trabajadores, el resultado pone de relieve el progresivo y acelerado proceso de implantación de los programas de cumplimiento en el ámbito empresarial, algo que antes de la reforma del 2010 quedaba reservado a un muy reducido número de grandes empresas pertenecientes a sectores muy regulados (banca, seguros, eléctricas…) y con proyección en el mercado exterior. El 62,01% de las empresas encuestadas cuentan con programas de cumplimiento, en las de menor tamaño el porcentaje se reduce al 38,9% y, en las de un gran tamaño, la consolidación de políticas de Compliance alcanza el 92,6%. Las cifras nada tienen que ver con la situación anterior a la reforma en la que las empresas con programas de cumplimiento prácticamente podían contarse con los dedos de las manos.
Pregunta: En relación con lo anterior, ¿por qué motivo se optó por un numerus clausus de delitos por los que pueden responder las empresas privadas con personalidad jurídica? Es más, ¿por qué se dejaron fuera delitos como, por ejemplo, los delitos contra los derechos de los trabajadores?
Respuesta: Dada la falta de tradición y experiencia en la persecución penal de personas jurídicas en nuestro país, se pensó que era prudente comenzar con un catálogo cerrado (pero no reducido) de delitos, que incluye todos aquellos cuya sanción es objeto de recomendación por las estancias internacionales. En el caso concreto de los delitos contra los derechos de los trabajadores, existía ya una importante intervención administrativa contra los entes colectivos, y los supuestos más problemáticos de «irresponsabilidad organizada» eran objeto de atención por la cláusula de extensión de la autoría del art. 318 del Código penal (LA LEY 3996/1995). En estas condiciones, no parecía necesario acudir a la intervención penal, que, de hacerlo, podría infringir el principio de ultima ratio.
Pregunta: ¿Qué opina sobre la investigación e imputación de personas jurídicas unipersonales? ¿La LO 5/2010, de 22 de junio estaba pensando en este tipo de formas societarias? Si estas pueden ser, cuando menos formalmente, sujetos destinatarios del régimen de responsabilidad del 31 bis CP, (LA LEY 3996/1995)¿tiene sentido incentivar también a esta clase de sociedades a que adopten y ejecuten modelos de Compliance penal?
Respuesta: La persecución de personas jurídicas unipersonales no es desde luego un objetivo relevante para la LO 5/2010 (LA LEY 13038/2010), excepto cuando el delito haya debido de cometerse por alguien que trabaja para dicha sociedad, pero cuya identidad no se ha podido determinar, en los términos del actual art. 31 ter.1 CP (LA LEY 3996/1995) (primera frase). De hecho, sería contrario al bis in ídem imponer una sanción a una persona jurídica unipersonal y al tiempo a la (única) persona física que la integra. Para otros casos, como los de sociedades de pocos integrantes pero no unipersonales, está la previsión de modulación de la multa del actual art. 31 ter.1 CP (LA LEY 3996/1995) (segunda frase) que, debe recordarse, si bien no se refiere a otras penas, estas no son de obligada imposición excepto en los casos en los que el ente es un mero instrumento para la comisión de ilícitos.
Pregunta: Nos gustaría conocer su opinión sobre la supresión del artículo 286.6 CP que estaba en el Proyecto de reforma del Código Penal (1) ¿El art. 31 bis CP estaba pensado para ir de la mano con ese art. 286.6 CP? (Entendemos que se trata de algo muy relevante, ya que implicaba imponer deberes a los administradores)
Respuesta: El art. 286.6 CP (LA LEY 3996/1995) integraba el proyecto del Partido Popular que desembocaría en la LO 1/2015 (LA LEY 4993/2015), pero finalmente cayó. Entiendo que era una disposición de refuerzo del sistema de responsabilidad penal de las personas jurídicas, pero convertía la existencia de un programa de cumplimiento en una obligación para los administradores, lo cual suponía un cambio importante de perspectiva: de la «zanahoria» de la exención de responsabilidad penal por cumplimiento se pasaba al «palo» por no tener un programa de cumplimiento. Dado el poco recorrido de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento, posiblemente se pensó que era una opción prematura.
Pregunta: La cultura corporativa se está convirtiendo en un elemento al que se hace referencia desde distintas disciplinas, incluso desde la penalista. ¿Cree que tiene sentido hablar de cultura corporativa desde el Derecho e, incluso, desde el Derecho penal? ¿Qué significa para usted la cultura corporativa?
Respuesta: Por «cultura corporativa» o «cultura de la organización» —expresión más amplia y que no se circunscribe al universo de las grandes compañías mercantiles— entiendo el ideario propio y la específica misión de una entidad, es decir el conjunto de principios, valores y políticas que constituyen su razón de ser, cuando se es consciente de que una «empresa» , que un proyecto colectivo es mucho más que un negocio y que el beneficio es un concepto que no se circunscribe a lo estrictamente económico. Se puede crecer en la cuenta de resultados y decrecer en honestidad. La cultura de Compliance trata de impedir esa descompensación, con el fin de procurar un proyecto social y económicamente sostenible; un proyecto con vocación de ganarse el respeto ajeno y asegurar su confiabilidad y perdurabilidad. En no pocas ocasiones, los juristas nos olvidamos de que el derecho es un sistema de «deber ser» confundiendo la eficacia con la normatividad. Por eso, es del todo coherente abordar la cultura del cumplimiento normativo desde la lógica del Derecho, incluida la del Derecho penal. Que la «justicia» de la ley penal dependa de su legitimidad democrática y no de posicionamientos éticos, no significa que las personas o las organizaciones no puedan disponer de una segunda línea de defensa orientada a promover el respeto a las normas con el fin de evitar desviaciones no deseadas o daños a la organización o a terceros. Obviamente, Compliance no es ni pretende ser sinónimo de Derecho, pero el Derecho —y sus instrumentos de garantía— pueden respaldar los objetivos de Compliance cuando son considerados socialmente útiles por el legislador democrático.
Pregunta: Compliance es hoy en día un término que se utiliza de forma cotidiana tanto por parte del sector empresarial como también por muchos académicos. ¿Cree que podría considerarse el compliance como una nueva disciplina o ciencia social?
Respuesta: No soy amigo de las continuas reparcelaciones del conocimiento, ni tampoco de ese afán, tan español, por crear reservas de profesión, del que tantas veces nos advierten las autoridades europeas. La función de Compliance es el resultado de una combinación de saberes, habilidades y experiencias (capacidad de negociación, auctoritas, liderazgo, autonomía, dominio de las metodologías sobre el riesgo, evaluación de la responsabilidad, técnicas de trazabilidad, conocimiento de las normas, comunicación…) que dependen de cada contexto organizativo, y no una actividad vinculada al ejercicio de una concreta profesión. Más que una disciplina académica o un saber científico autónomo, es la realización práctica de un conjunto de ellos.
Pregunta: Es habitual traducir compliance como cumplimiento. Pero, ¿no sería más adecuado traducirlo como «colaboración»? La práctica está demostrando que el compliance nace con la vocación de asistir a las autoridades y, de hecho, en EEUU las personas jurídicas no tienen derecho a no confesarse culpables
Respuesta: «Compliance» no siempre es colaboración, pues los valores de una persona jurídica no siempre tienen por qué coincidir con los previstos en las normas. Que las normas no puedan contradecirse, no significa que no puedan ser «corregidos» en una determinada dirección (incrementando las exigencias en materia de medio ambiente, o promoviendo la conciliación de la vida familiar y laboral cuando se considera que la legislación se queda corta o no le confiere la prioridad que merece en criterio de los miembros de la organización…). El Compliance pretende que las conductas sean asumidas porque coinciden con lo que se piensa y no porque lo ordene una ley bajo la amenaza de una sanción jurídica. Entre uno y otro límite hay un espacio para «colaborar» o para «resistir» dentro de la legalidad. En todo caso, no creo que deba imponerse a las personas jurídicas una obligación de colaborar que convierta su responsabilidad penal en una suerte de responsabilidad objetiva como, en su día lo entendió la Fiscalía General del Estado en su conocida Circular 1/2016. Creo que la doctrina de la Sala Segunda del Tribunal Supremo ha interpretado mucho mejor la voluntad del legislador, reconociendo a las personas jurídicas la plenitud de los derechos del art. 24 CE. (LA LEY 2500/1978) Evitar esa objetivización de la responsabilidad fue, precisamente, una de las razones por las que se optó por la senda penal y no por la administrativa. Si la colaboración no es enteramente libre y voluntaria, se abre paso a un modo encubierto de sanción, como lo hace nuestra normativa administrativa cuando sancionada al propietario de una embarcación o de un vehículo a motor por no identificar a la persona que lo conducía en el momento de producirse la infracción.
Cuestión distinta de la anterior es que se considere que ciertos derechos son personalísimos y que, por tanto, no pueden aplicarse a las personas jurídicas. Pero ese es otro debate. Con todo, conviene no olvidar que la jurisprudencia constitucional ha reconocido a las empresas mercantiles el personalísimo derecho al honor del art. 18 CE (LA LEY 2500/1978), por lo que no debe sorprender que también les reconozca el derecho a no declarar contra sí mismas.
Pregunta: En el marco de la gestión de riesgos empresariales es necesario atender a lo dispuesto en una innumerable cantidad de regulaciones, jurídicas y no jurídicas. Incluso aunque una empresa quiera ser diligente, se hace complicado definir qué es la diligencia empresarial. ¿Cómo definiría usted la diligencia empresarial? E, incluso, ¿cuál es la diligencia que le debería interesar al juez penal en el marco de la posible atribución de responsabilidad penal a las personas jurídicas?
Respuesta: Permítase organizar brevemente mi respuesta. La diligencia en Compliance de una empresa no tiene por qué tener un estándar sustancialmente distinto del de el «buen comerciante» que se fija en el Código de Comercio, el «buen padre de familia» del que nos habla nuestro Código Civil, o el «buen ciudadano corporativo» que recogen ciertos textos internacionales que tienen por referencia el Pacto Mundial de Naciones Unidas (Global Compact).
Obviamente, la diligencia en Compliance no se identifica con la diligencia empresarial, concepto más amplio que abarca múltiples ámbitos en los que pueden existir y concurrir especificaciones particulares. Por tanto, para determinar la responsabilidad por Compliance se requiere, en primer lugar, de una correcta evaluación del programa de cumplimiento, de sus sistemas de seguimiento y control, así como de la autonomía decisional del órgano de cumplimiento o de la persona que asuma las funciones de officer compliance. A tal fin se pueden utilizar desde hace tiempo diversos marcos de referencia a nivel internacional, algunos muy consolidados en sus respectivos países (así las US Federal Sentencing Guidelines for Organizations, el entorno metodológico COSO —Committee of Sponsoring Organizations of the Treadway— o el Australian Standard, la ISO 19600, entre otros) y que permiten realizar una evaluación por contraste. En segundo lugar, después de ese primer examen, será necesario utilizar estándares y métodos más próximos a la realización de auditorías con el fin de evaluar el grado de eficiencia de las políticas de Compliance y la eficacia de los controles y mecanismos de prevención y mejora que se hubiesen establecido.
Otra perspectiva es la concerniente a la prueba en el proceso penal, puesto que su substanciación y valoración viene muy predeterminada tanto por la legislación procesal como por lo expresamente dispuesto en el Código penal para que pueda apreciarse la concurrencia de una atenuante o de una eximente. Con todo, es de destacar la especial relevancia que tendrá la prueba pericial, pues el juez o tribunal conocen el Derecho, pero no, necesariamente, la calidad y eficacia de un concreto programa de cumplimiento.
Pregunta: Imaginemos que tiene que hacer un modelo de prevención a una empresa. ¿Cree que revisando/auditando «sus papeles» es suficiente para poder evaluar o medir su «clima de riesgo»?
Respuesta: Todo lo contrario. Eso sería manifiestamente insuficiente. En primer lugar, debe conocerse la organización —su estructura, sus principales líneas de actividad, cómo se gestiona el talento, que sistemas de prevención y de control tiene establecidos…— y, a partir de esa información individualizar las principales áreas de riesgo. Existen diversas técnicas para elaborar los mapas de riesgo de una organización. En nuestro caso, a las fórmulas tradicionales típicas de la consultoría de riesgos añadimos otros dos escenarios de evaluación. Uno que nos indica qué riesgos, especialmente de carácter penal, han tenido proyección en la jurisprudencia de los tribunales españoles en los últimos diez años respecto de organizaciones que desempeñan la misma o similar actividad. Esto nos permite saber qué aspectos vinculados a esa actividad sectorial han sido objeto de una mayor litigiosidad y, por tanto, se han manifestado más conflictivos, con independencia de la estructura de cada puntual organización. Otro que consiste en hacer un histórico de los asuntos que han resultado conflictivos en esa concreta organización (sanciones administrativas, condenas penales o de responsabilidad civil por daños, sentencias dictadas por la jurisdicción social…). La suma de todos estos componentes nos ofrece una visión razonable y suficientemente objetiva acerca de las principales áreas de riesgo de la organización. En segundo lugar, tras ese proceso de identificación, es necesario articular el modo en que se pretende mitigar ese riesgo, para lo que habrán de implantarse los procedimientos y los sistemas de control y fiscalización necesarios para alcanzar el objetivo. Y, por último, debe realizarse una labor de seguimiento y de comprobación de la eficacia de cada una de las medidas adoptadas con el fin de ponderar su idoneidad y eficiencia y, cuando sea preciso, cambiarla o sustituirla por una fórmula alternativa que ofrezca mejores resultados. Mientras la fase de evaluación requiere un diálogo intenso y sincero con la organización, las de implantación y seguimiento exigen, en paralelo, un intenso programa de formación que, explique a todas las personas vinculadas a la organización, el modelo de cumplimiento y los instrumentos y técnicas que lo integran.
Pregunta: A diferencia de otras regulaciones europeas, en la regulación española no contamos con un organismo de vigilancia equiparable jerárquicamente al órgano de administración. Así las cosas, ¿cree que los modelos de organización y gestión sirven para supervisar que también el órgano de gobierno y la alta dirección de la empresa cumplan con las exigencias en materia de compliance?
Respuesta: En toda organización el principio de jerarquía es un elemento imprescindible sobre el que ordenar los procesos de decisión. Por tal motivo, la sensibilización del órgano de gobierno (sea el Consejo de Administración de una mercantil o la Junta Directiva de una asociación), lo que en el mundo anglosajón se conoce como «tone from the top» es un elemento fundamental sin cuya concurrencia toda política de compliance está abocada al fracaso. Ahora bien, ello no significa que los órganos de gobierno no puedan autolimitarse y sujetar su conducta a límites. De hecho, cuando en él concurren intereses y perspectivas diversas, las políticas de compliance son un factor de seguridad adicional que a todos interesa, con independencia de quién ostente la mayoría en un determinado momento. Un buen modelo de compliance debe utilizar ese interés compartido para, precisamente, habilitar un espacio de no injerencia, un ámbito básico de fair play, atribuyendo a un tercero (órgano de cumplimiento o compliance officer) la competencia para velar y defender esos principios y valores asumidos por todos. Por tanto, si el modelo ha sido bien diseñado y se respetan los controles establecidos es perfectamente posible que pueda «sujetar» a la alta dirección en aquellos aspectos típicamente de compliance, que nunca deben confundirse con los relativos a la operativa de la organización.
Pregunta: En su opinión, ¿qué tipo de perfil profesional es idóneo para el diseño de los modelos de prevención? y, ¿qué opina de la evaluación de los riesgos? ¿Considera que se trata de una tarea de auditoría alejada de la tarea que pueda hacer un jurista?
Respuesta: Siempre he defendido que las funciones de compliance y las de asesoramiento y defensa jurídica no sólo son distintas, sino que, además, como ocurre en los países anglosajones, son incompatibles. Una práctica puede ser legal y, sin embargo, resultar poco recomendada desde la óptica de la atención al cliente, la política de proveedores, la selección de personal o, por terminar la enumeración, en el plano reputacional. Además, la defensa de compliance y la defensa jurídica son muy distintas, hasta el punto de que la segunda comienza cuando la primera ha fracasado.
Como he dicho anteriormente, la función de compliance requiere conocimientos diversos y, por tanto, las personas que la ejerzan deben presentar determinadas aptitudes que muestren su dominio de la materia, pero también capacidad de diálogo, una voluntad propositiva orientada a la búsqueda de soluciones y, sobre todo, una visión multidisciplinar de la organización y de su proyecto a medio y largo plazo.
Pregunta: Y llega, pese a todo, el momento de un posible proceso penal contra una persona jurídica. ¿Cuáles creen que deben ser los estándares de prueba respecto de los programas de cumplimiento? ¿Cómo es posible acreditar que un programa es eficaz pese a la comisión de un delito?
Respuesta: Antes he señalado algunos de los modelos y estándares internacionales útiles para llevar a cabo ese contraste y cotejar la idoneidad de un modelo de compliance. Pero, además, las nuevas tecnologías nos permiten disponer de sistemas de preconstitución de prueba, de registro y de captura de evidencias contextuales, así como sistemas de almacenamiento seguro que garantiza la intangibilidad de la información, a modo de «caja negra» de la organización en la que registrar la trazabilidad de las principales decisiones de riesgo garantizando la intangibilidad de la información allí depositada a través de un tercero. Por hablar de mi propia experiencia, Marca Franca ha elaborado un sistema informatizado de cumplimiento (SIC) de uso muy sencillo, y ajeno a los sistemas informáticos de la empresa, que permite recoger evidencias, determinar con absoluta precisión, la hora, el lugar y la persona responsable de la decisión, aportar imágenes, audio o documentos, y, mediante sistemas de encriptado, de firma digital y terceros de confianza, acreditar no solo la fehaciencia y veracidad de los contenidos incorporados, sino también la aplicación real y efectiva de las medidas y de los controles instaurados, así como su continuidad y seguimiento. Expresado de otro modo: una buena programación que aproveche las posibilidades que nos ofrece la era digital, permite a una organización presentar una prueba muy sólida sobre la realidad de su programa de cumplimiento, identificando incluso a la persona o personas físicas directamente responsables del hecho pretendidamente delictivo (algo similar a las ya conocidas como «Yates bilders»). Es aquí donde entra en juego la voluntad de colaboración de la organización. Corresponde a la persona jurídica, según su estrategia de defensa, aportar o no esa información y, en su caso acortar la fase de investigación, acotando el ámbito de los sujetos responsables y, por tanto, aminorando el alto impacto reputacional a que suele dar lugar la culpa in vigilando o in eligendo, en cuya virtud, la instrucción se dirige en su fase inicial contra toda la cadena de personas intervinientes en los hechos, desde el operario, pasando por el directivo, el consejero delegado o el presidente del consejo de administración. Un programa de cumplimiento siempre ha de ser concebido para que pueda suministrar en el menor plazo posible una prueba de altísima fiabilidad y —por tanto, con datos no discutibles—, acerca del conocimiento por todos los miembros de la organización de las normas y procedimientos internos, de la realidad de su efectiva y continuada aplicación, y de la trazabilidad en la toma de decisiones en las principales áreas de riesgo. Por eso el diseño de los controles, el registro y el modo en que se ha de custodiar esa información es tan importante como contar con una buena base documental, (normas y procedimientos internos) coherente con los riesgos evaluados.
Pregunta: ¿Qué opina del Yates Memo? Parece que en los Estados Unidos están siguiendo justamente el camino contrario al que emprendimos nosotros en 2010 y no pocos autores insisten en que lo importante es llegar a sancionar a las personas físicas.
Respuesta: Les agradezco especialmente la pregunta. El «Individual Accountability Policy» del Departamento de Justicia de los Estados Unidos, de septiembre del 2015, ha tenido bastante repercusión no sólo académica sino también en la práctica judicial norteamericana, como lo ponía de manifiesto la Adjunta a la Fiscalía General del Estado y autora de este, Sally Quillian Yates en una reciente conferencia.
En ella, advertía que la verdadera intención del Yates Memo era impulsar las políticas de prevención porque —y reproduzco, en lo que recuerdo, sus palabras— es mucho mejor disuadir la mala conducta que tener que castigarla después de haberse producido. Su éxito ha consistido en que los oficiales de cumplimiento utilizan e invocan ese memorando para persuadir a los directivos de las compañías de la necesidad de implementar mejores prácticas. Por la misma razón el mayor impacto del Yates Memo no se ha producido en el ámbito penal sino en las causas civiles por responsabilidad (ella hablaba de un «cambio filosófico») porque los abogados han comprendido que no solo deben centrarse en combatir la mayor multa posible, lo que los llevaba a defender a las empresas, sino también conseguir el mayor valor disuasorio dirigiendo sus acciones contra los individuos, aunque tenga una menor «capacidad de pago».
A la vista de esas manifestaciones no creo que en los Estados Unidos se esté retrocediendo y abandonando el principio de responsabilidad penal de las personas jurídicas que, por cierto, ya existía mucho antes que la noción de compliance cuyo origen se produce en el ámbito de la responsabilidad de los agentes y el derecho de torts, y no en el del proceso penal. Que la persona jurídica corporativa no deba ni pueda utilizar su mayor capacidad de pago y poder de negociación con la fiscalía para «apantallar» y encubrir las conductas ilícitas de algunos de sus directivos, de suerte que acaben pagando los accionistas por conductas individuales, no significa, en mi opinión, que el principio de responsabilidad penal de las personas jurídicas haya perdido su tradicional vigor en el sistema jurídico de aquel país.
Pregunta: Ahora nos gustaría irnos a las penas del 33.7 CP (LA LEY 3996/1995): ¿Son un «corta y pega» de las consecuencias accesorias del art. 129 CP? ¿Por qué es la multa la sanción obligatoria y no, en cambio, otros que parecen más adecuada para «afligir» a la empresa condenada —como, por ejemplo, la intervención—?
Respuesta: Ninguna institución jurídica se crea de la nada, y también la RPPJ tenía antecedentes en nuestro Derecho, como las consecuencias accesorias del art. 129 CP (LA LEY 3996/1995) y el ya derogado art. 31.2. Pero obviamente no se trata de un corta y pega como demuestra la decisión fundamental de establecer la pena de multa como única pena obligatoria. Esto se hizo siguiendo la experiencia comparada, que acredita que otras penas, como las suspensiones de actividad o el cierre total o parcial de establecimientos, generan problemas de implementación y daños a terceros. Por lo que se refiere a la intervención, nuevamente la experiencia reciente muestra que esta es resistida por las empresas y ha desembocado en dificultades prácticas que han llevado a una menor utilización, como muestra el giro que se ha dado en EEUU, donde tras algunos años de auge de la utilización de monitores externos de cumplimiento, en los últimos tiempos existe una tendencia claramente a la baja.
Pregunta: ¿Estaría de acuerdo con eximir de pena a una persona jurídica en la que concurrieran las cuatro atenuantes del art. 31 quater CP? En caso de que entienda que no, ¿qué sentido tendría para usted la sanción penal de la persona jurídica en este caso?
Respuesta: Es una posibilidad interesante, pero hay que recordar que una de las atenuantes en cuestión presupone que la persona jurídica en el momento en el que se cometió el hecho no tenía un programa de cumplimiento o éste no era efectivo. Otorgar la exención total en estos casos podría debilitar los incentivos existentes a disponer de dicho programa.
Pregunta: En cuanto al art. 130 CP (LA LEY 3996/1995), ¿cree que la responsabilidad penal se hereda? ¿A qué criterios se refiere la cláusula de moderación?
Respuesta: No. Sería inconstitucional defender esa transmisión. En este sentido me parece acertada la decisión de la Audiencia Nacional cuando, mediante Auto retiró la condición de investigado del Banco de Santander por la compra del Banco Popular. No se pueden trasladar sin más a una persona jurídica los posibles defectos de organización de la entidad absorbida o fusionada.
Pregunta: Y en relación con la pregunta anterior, ¿por qué no se incluyeron en el art. 130 CP los casos de disolución no fraudulenta?
Respuesta: De nuevo estamos ante un juicio de necesidad. Si la disolución se produce de forma no fraudulenta parece que debiera ser suficiente con el recurso a los mecanismos del Derecho privado (para la persona jurídica) acompañada de la persecución penal de las personas físicas responsables.
Pregunta: Actualmente, las universidades están llenas de estudiantes que, además de por el Derecho y el Derecho penal, están interesados en estudiar y en especializarse en compliance penal. ¿Qué consejo/s les daría?
Respuesta: En primer lugar, me esforzaría en explicarles que compliance no es derecho penal sino mucho más. Que el llamado compliance penal solo es una puntual consecuencia vinculada al ejercicio del ius puniendi del estado y que esa asociación de conceptos se debe exclusivamente al modo en que fue introducida en nuestro país la responsabilidad penal de las personas jurídicas, al atenuarse o eximirse esa responsabilidad si se acredita que se cuenta con un programa de cumplimiento eficaz. El compliance es sobre todo la voluntad proactiva fraguada en el seno de una organización con el fin de asegurar que su honorabilidad y buen hacer no se vean empañados (y, a veces hasta empeñados) por la conducta individual y reprobable de una o varias personas que pueden hacer peligrar esos valores colectivos y poner en riesgo el proyecto común. El compliance es una cultura de la responsabilidad y de las fronteras, no siempre fáciles, entre lo individual y lo colectivo. En él se entremezcla el análisis de las organizaciones, la metodología de riesgos, el derecho, las ciencias económicas y empresariales, la informática, las técnicas de consultoría…y un conjunto de saberes que dependerán en muchos casos de la naturaleza jurídica y la actividad de la organización.
En segundo lugar, el compliance es una función del presente con un gran futuro, dado el incremento de los entornos regulatorios y la mayor conciencia sobre la ética y la responsabilidad social de las organizaciones en un mundo transfronterizo y global.
Y, por último, fórmate y busca tu propio espacio. Cada organización tiene su propio universo de necesidades. A veces, ser distinto es la mejor oportunidad.
(1)
«1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida. Dentro de estas medidas de vigilancia y control se incluye la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control y, en general, las expresadas en los apartados 2 y 3 del art. 31 bis. 2. Si el delito hubiera sido cometido por imprudencia se impondrá la pena de multa de tres a seis meses. 3. No podrá imponerse una pena más grave que la prevista para el delito que debió haber sido impedido u obstaculizado por las medidas de vigilancia y control omitidas».