Visto Para Sentencia El Blog de Alex Garberi
Entendiendo el origen de la obligación legal para luego analizar la eficacia de los modelos de Compliance como solución al problema.
El presente artículo trata de la dicotomía existente entre el sentido clásico del término «Compliance» y los sistemas de «prevención de delitos» a los que alude el Código Penal en su artículo 31 bis. He de reconocer que hace tiempo que tenía ganas de escribir sobre el tema y que, el tema en sí, merece una seria y profunda reflexión dado que no es poco lo que está en juego: la eficacia de los sistemas que nuestras empresas adopten en los próximos años para tratar de evitar una responsabilidad que el Legislador Español ha introducido en escena con la categoría de «penal» a través de las últimas reformas de nuestra Ley Sustantiva, desarrollando también el estatus procesal a través de la reforma de la Ley Rituaria Criminal.
He de reconocer, por otro lado, que me motiva a escribir este artículo una profunda avidez investigadora que desde siempre pugna con mi otra vertiente profesional, la de abogado, más pragmática, lo que a su vez me ha llevado a cursar a estas alturas el Posgrado en «Compliance Penal» (atención al término) que imparte en estas fechas la Universidad de Barcelona cuyo link dejo AQUÍ, para quien le interese, con un cartel, desde luego, impecable, entre Catedráticos, Abogados, Economistas, miembros de Fuerzas y Cuerpos de Seguridad del Estado, y profesionales acreditadísimos en Compliance, Governance y Risk Management, cuyas impresiones sobre el tema que ahora planteo me permitiré compartir en este artículo y sus posibles secuelas. Por si fuera poco lo anterior, la entrada en escena de la Circular 1/2016 de la Fiscalía General del Estado, sobre la que ya se alzan numerosas voces acreditadas, ha venido a remover con fuerza un debate ya de por sí complicado.
Creo esencial para comprender el objeto del debate que aquí se plantea abordar en primer lugar, siquiera efímeramente, dadas las limitaciones del autor, algunas cuestiones que nos servirán para confrontar posteriormente la responsabilidad penal de las personas jurídicas con los postulados de la disciplina del Compliance:
1) La naturaleza «jurídica» de la responsabilidad de las personas jurídicas.
La primera parada obligatoria es el cuestionamiento de la naturaleza de la responsabilidad de las personas jurídicas, que, como apuntaba al inicio, nuestro Legislador ha elevado desde el 2010 a la categoría de «penal». Cuestión sustentada según la Exposición de Motivos de la LO 5/2010 en la creciente presión de numerosos instrumentos jurídicos internacionales en los que es imposible detenerse (Convenios, DDMM, etc.), y en el creciente número de países de nuestro entorno (Suecia, Finlandia, Noruega, Dinamarca, Portugal) que han implementado una respuesta sancionadora penal para las personas jurídicas, más propia de los países de corte anglosajón; ello, a pesar de que dichos instrumentos comunitarios «…. no obligaban a una respuesta específicamente penal en los ámbitos delictivos más preocupantes (corrupción, pornografía y prostitución, blanqueo de capitales, inmigración ilegal, etc.)…» como sostuvo Víctor Gómez Martín en la sesión inaugural del Posgrado antes citado (Cuestiones sustantivas fundamentales) el día 15 de enero de este año.
No obstante, el Legislador vino a optar por la penalización del reproche a las personas jurídicas cuando en su seno se cometieran determinados delitos como decisión de política-criminal, dando pie a no pocos e interesantes problemas como el más que posible quebranto de principios tan fundamentales del Derecho Penal en un Estado de Derecho como el de «culpabilidad», a cuyo tenor sólo las personas físicas pueden ser sujetos idóneos del reproche ético-social que suponen las penas, etimológicamente concebidas como castigo al desvalor de una acción que sólo los seres humanos pueden cometer; o el de «personalidad de las penas», manifestación del primero que supone la imposibilidad de ejecutar sobre las personas jurídicas una pena privativa de libertad o limitativa de otros derechos. En seguida se comprenderá lo anterior.
En este sentido, la concepción clásica de la teoría del delito como acción u omisión típica, antijurídica y culpable se tambalea ante la penalización de la responsabilidad de las personas jurídicas porque respecto de ellas no podría predicarse, por lo menos, el elemento de la culpabilidad, dada la imposibilidad de comisión material de delitos por su parte como entes morales que son. Lo anterior ha supuesto de nuevo el cuestionamiento de si la responsabilidad que debía atribuírseles es verdaderamente penal o acaso de naturaleza civil, administrativa, etc., para lo que ya estaba bien entonces el régimen (y el nomen iuris) de consecuencias accesorias previsto en el artículo 129 del C.P. y el sancionador previsto en otras normas de distinta naturaleza de nuestro ordenamiento.
Estos problemas se han pretendido superar, como afirma Bernardo Feijoo Sánchez (El Delito Corporativo en el Código Penal español), con el recurso a una nueva teoría del delito corporativo que trata de fundamentar el fenómeno de la Responsabilidad Penal de la Persona Jurídica en la necesidad de que estos entes coadyuven a la evitación de delitos, utilizando como criterio de imputación objetiva el «debido control» que les sería exigible con el fin de estimular políticas de cumplimiento de la legalidad. Siguiendo esta concepción, el delito pertenecería propiamente a la empresa por un «defecto de organización», pero la teoría del delito corporativo contendría en sí misma una evidente contradicción ya que, dicho criterio de imputación, no obedece sino a una estructura vicarial respecto del delito cometido por otro que será siempre, ineludiblemente, una persona física, como veremos a continuación.
2) ¿Autorresponsabilidad o heteroresponsabilidad? El modelo español.
Como ya anunciábamos, esa nueva responsabilidad penal de los entes se asentaría en criterios de imputación objetiva de la responsabilidad radicalmente distintos a los tradicionales postulados (dominio del hecho, fin de protección de la norma, creación del riesgo, etc.) como son la comisión del delito en nombre o por cuenta de, y en su beneficio, o el incumplimiento de los deberes de supervisión, vigilancia y control de otros, que indefectiblemente nos llevarían a concebir esa responsabilidad por hechos propios como una responsabilidad de transferencia o vicarial, dado que las personas jurídicas no cometen -no pueden cometer- delitos sino que se las responsabilizaría del delito de otro (empleado, representante o, últimamente, persona con facultades de gestión y control).
Lo siguiente es cuestionarnos con urgencia si en el caso español nos encontramos ante un modelo de «autorresponsabilidad» en el que la persona jurídica respondería por un hecho propio o, por el contrario, se trata de su antónimo: el de «heterorresponsabilidad», vicarial o de transferencia, en el que respondería por hechos ajenos, pues como veremos la respuesta no es intrascendente a la hora de aplicar el derecho material. Sin embargo, no resulta la respuesta fácil de obtener Código Penal en mano, pues si bien el artículo 31 bis parece reflejar un modelo vicarial o de transferencia en el que la persona jurídica respondería de los delitos de sus trabajadores o directivos -y sucedáneos, permítaseme la expresión-, dicho modelo colisionaría con el principio de culpabilidad o de imputación subjetiva a cuyo respeto no podrían transferirse el dolo ni la culpa de la persona física que comete el delito. Como consecuencia, al quedarnos sin «delito» (no hay delito sin dolo ni culpa) y situándonos ante una clarísima responsabilidad objetiva, se adicionan al modelo como punto de conexión los criterios de imputación objetiva ya citados (en provecho de o incumplimiento de deberes de supervisión, vigilancia y control) con los que se pretende salvar el sistema pero que llevan de vuelta el modelo de autorresponsabilidad al de transferencia (responder por el delito de otro). En palabras del Catedrático antes citado, estamos ante un modelo de «… heterorresponsabilidad que debe ser interpretada como autorresponsabilidad para regresar inevitablemente a la responsabilidad vicarial…». El engendro, pues, está servido y con él vamos a tener que convivir los que aprendimos que el derecho penal era un derecho personal, intransferible, por hechos propios.
Como veremos seguidamente, la perversión no es sólo dialéctica sino que implica de forma absolutamente relevante la aplicación práctica del derecho sustantivo penal.
3) La llamada «eximente de Compliance» del artículo 31 bis 1 CP
Como es sabido, los apartados 2 y 4 del artículo 31 bis C.P. contemplan una causa de exención (y subsidiariamente, de atenuación) de la responsabilidad para las personas jurídicas consistente en la acreditación de la eficacia del modelo de organización y gestión adoptado por la empresa, que dependerá del cumplimiento de los requisitos descritos, respectivamente, en los apartados 2 y 4 del precepto y sobre los que no pretendo detenerme ahora (pero que espero abordar en otro post, dada la existencia de posiciones enfrentadas respecto de si se trata o no del mismo modelo).
Pero ¿a quién corresponde la carga de la prueba de la eficacia del modelo? Ahí está la diablura.
En efecto, de encontrarnos ante un modelo de estricta autorresponsabilidad la persona jurídica respondería de un hecho propio (defecto de organización) y, por tanto, la carga probatoria del defecto organizacional correspondería a la/s acusación/es. Sobre esto no hay discusión. Si Vd. afirma que soy responsable porque mi modelo es ineficaz, deberá probarlo.
Por el contrario, en un sistema de transferencia en el que se respondiera por el hecho ajeno bastaría con la acreditación de la comisión del delito por la persona física –con su dolo o culpa- para transferir la responsabilidad a la jurídica, cuestionando con ello la eficacia del modelo y debiendo entonces la defensa de la persona jurídica cargar con la exigencia probatoria de la bondad del sistema de gestión y supervisión adoptado. Esto es, se produce una inversión del onus probandi en una suerte de prueba diabólica en la que deberá acreditarse un hecho negativo: que no existió ese defecto organizacional esgrimido a modo de causa de exención de la responsabilidad criminal. Ahí nos tienen cogidos, amigos, y como no podía ser de otra manera esta es la interpretación que la Circular 1/2016 de la Fiscalía acoge, decantándose claramente hacia un modelo español vicarial de transferencia, por lo que tocará a las defensas la prueba de la eficacia del sistema, debiendo demostrarse no sólo la existencia de un modelo de prevención de delitos suficiente para atajar conductas que se encuentran en el catálogo cerrado del Código Penal, sino un entorno de cumplimiento que refuerce la cultura corporativa, lo que nos lleva al siguiente punto.
4) Corporate Compliance o cultura de Compliance vs Modelos de Prevención de Delitos
Como sabemos, los postulados del «Compliance» concebido como cultura corporativa se basan en una concepción de los negocios comprometida con la ética empresarial, asumida desde las altas esferas de la empresa (tone at the top) y trasladada por toda su estructura y en sus relaciones con los stakeholders. No cabe conceptualmente hablar de una cultura de Compliance si lo que se pretende es cumplir la ley para no ser sancionados. Existe cultura de Compliance cuando ésta nace por el compromiso ético voluntario frente a la sociedad y que deriva subsidiariamente en un cumplimiento normativo por convicción, imponiéndose obligaciones en la empresa que en muchas ocasiones exceden a las regulaciones legales. Eso es lo que subyace, se adorne como se adorne, en la disciplina del Compliance y otras por extensión de las que se nutre, como el Governance o Gobierno Corporativo (conjunto de principios y normas que regulan el diseño, integración y funcionamiento de los órganos de la empresa) o hasta el Risk Management, si me apuran, aunque esta última tiene mayor relación con la gestión operativa y la toma de decisiones estratégicas.
Pero todas ellas son disciplinas nacidas en el ámbito privado, empresarial, y crecidas a la vista de entornos regulatorios esencialmente mercantiles, civiles, fiscales y administrativos que pretenden establecer reglas para los entes que interactúan en un sistema de mercado capitalista. Son disciplinas nacidas desde dentro de la empresa para ser proyectadas hacia fuera, hacia el entorno, y en ellas el compromiso ético no puede dejar de existir para la buena salud mental de la sociedad. Son disciplinas basadas en autorregulaciones positivas: voluntaria en la mayoría de los casos, como ocurre con los compromisos en materia de Responsabilidad Social Corporativa (RSC); o regulada en el caso de la implementación de mecanismos y controles asociados a los bloques normativos que derivan en una cultura de Compliance.
Sin embargo, el Derecho Penal es algo distinto. Se trata de prohibiciones que la sociedad impone porque regula conductas cuyo desvalor afecta a una convivencia civilizada de las personas, las físicas, las que sí existen corpóreamente si se permite la expresión. Y en este sentido, su enfoque será siempre coactivo (prohibiciones) del mayor grado.
Así, si el desvalor del delito de la empresa es consentir que el personal que la conforma cometa delitos, el cumplimiento penal residirá precisamente en hacer todo lo posible para que ello no suceda, es decir, una conducta activa dirigida a conseguir conductas omisivas (que no se cometan delitos), estableciendo un sistema de control para impedir el delito dentro de la corporación que deberá organizarse como desvela el artículo 31 bis 5 del C.P.
Allí es quizás donde surge el mayor conflicto entre la cultura de Compliance o Corporate Compliance, como noción que deviene de la voluntad libre de la empresa y que abarca el cumplimiento normativo; y los modelos de prevención de delitos, que surgen como una quimera consecuencia de la imposición de la responsabilidad vicarial de la persona jurídica en el Código Penal y la vía de la eximente previa comprobación de la eficacia del modelo.
Una eficacia que no sólo tendrá que demostrar que se toman las medidas prohibitivas típicas dentro de la empresa (el llamado a no delinquir), sino que tendrá que echar mano de los elementos propios de la cultura corporativa para poder alcanzar el Santo Grial de la eximente. Todo este cúmulo de elementos, culturales y de prevención de la responsabilidad penal de la persona jurídica es lo que viene a dar forma a un nuevo modelo de Compliance Penal, que tendrá que romper paradigmas en el Derecho Penal y en el entorno de Corporate Compliance para ser realmente eficaz.
CONCLUSIONES:
1.- En definitiva, pues, y se otorgue el fundamento que se quiera, lo cierto es que desde el punto de vista dogmático se ha creado una nueva responsabilidad penal que mal se compadece con los postulados tradicionales. Y si la teoría del delito conocida hasta hoy no sirve para justificar su existencia, creamos la teoría del delito corporativo; y si los criterios de imputación objetiva tampoco, los redefinimos. ¿Pero entonces, estamos ante una verdadera responsabilidad penal? Habrá que entender que sí, puesto que así lo establece el Legislador, pero también habrá que redefinir profundamente nuestros conocimientos adquiridos hasta hoy en materia de autoría, fundamento de las penas, o criterios de imputación objetiva de la responsabilidad penal, entre otras. Como afirmó Juan Antonio Lascuraín en su sesión La responsabilidad penal individual en la empresa y la delegación del día 29 de enero «… en Derecho Penal no podemos decir que la responsabilidad penal se transfiere; la responsabilidad penal es personal y por tanto, la persona jurídica, como ficción que es, debería responder por lo que haga mal: tolerar dolosa o imprudentemente a través de su organización los delitos de los suyos…», esto es su propio delito (autoresponsabilidad), un delito de propia actividad por omisión que choca frontalmente con los postulados de la Fiscalía y en el que «hacer las cosas bien, esto es, disponer de un buen sistema de Compliance, nunca podría ser considerado como una causa de exención sino, directamente, de atipicidad«. Como no quiero extenderme más en esto, sólo añadiré que todos sabemos en qué fase procesal opera cada circunstancia y lo que dice el artículo 637 L.E.Crim., lo que traigo a colación porque se ha dicho que no existirían problemas para apoyar la desimputación de la persona jurídica en fase de instrucción si posee un modelo eficaz.
2.- La responsabilidad de las personas jurídicas por los delitos cometidos en su nombre y/o por su cuenta no debía concebirse como una responsabilidad de carácter penal, ante el riesgo de crear un verdadero artificio de difícil explicación (sistema vicarial de autorresponsabilidad (Sic!). Sin embargo, siendo esta la vía escogida por el legislador y más allá de nuestro deber como teóricos de ser críticos, nos corresponde a los penalistas traer a la práctica los elementos que nos permitan desarrollar las soluciones en el entorno y con las “reglas del juego” que nos han dado.
3.- Da igual si estamos ante una responsabilidad penal netamente objetiva porque ¿había que criminalizar? la responsabilidad de las personas jurídicas. Y ello pese a que la responsabilidad penal tradicionalmente concebida como la consecuencia derivada de la comisión de un acto típico antijurídico imputable y sancionable con una pena, no podría ser jamás de corte vicarial, sino personal. Hasta ahora, la única responsabilidad de corte vicarial -y puramente objetiva- existente ha sido la responsabilidad civil subsidiaria del artículo 120 C.P) a partir del principio cuis comoda, eius incommoda esse debet o a partir del principio del riesgo (SSTS 237/2010, de 17 de marzo o la más reciente 811/2014, de 3 de diciembre, por citar algunas)
4.- Independientemente de cuál sea el origen del modelo de gestión y de cómo haya decidido implementar la empresa su modelo de Compliance; sea porque viene dado por su cultura corporativa a través de decisiones voluntarias; o porque ha decidido llevar a cabo su implementación a través de un modelo de prevención de delitos, ambos deberán combinarse y desarrollar elementos propios y novedosos que formarán parte de eso que ahora llamamos «Compliance Penal», y que no es otra cosa que la adopción de medidas propias del Corporate Compliance adaptado a las exigencias legales del nuevo régimen de responsabilidad penal de la persona jurídica. Por esta razón, cuando se habla de un buen modelo de prevención de delitos no puede quedarse en la mera exigencia de no cometer los delitos que pueden generar responsabilidad penal a la persona jurídica, sino que resulta esencial que contemplen y respeten principios y sistemas adoptados del Corporate Compliance y de los compromisos voluntarios de la compañía, como es el caso de la Responsabilidad Social Corporativa, entre otras, como defendió José Ramón Agustina Sanllehí (profesor de Derecho Penal de la UIC) en su ponencia del 30 de enero sobre Estructuras y Elementos del Compliance Penal. Los dictados de la cultura de Compliance son absolutamente útiles y adaptables en el escenario de la responsabilidad penal de la persona jurídica, siempre que, desde ya, contemplen análisis de riesgos penales (ad intra y ad extra) como medida para paliar una responsabilidad, la penal, cuyas normas imponen prohibiciones y cuyas consecuencias desbordan las meras sanciones para convertirse en auténticas penas de mayor contundencia (cierre de establecimientos, suspensión de actividades) y daño reputacional, si se quiere. Ello sin perjuicio de que la empresa mitigue el resto de sus riesgos dentro de un sistema integral de Compliance.
4.- Desde la órbita del abogado defensor ya puede uno ir pensando cómo se prueba el hecho negativo de que el sistema implementado por el cliente no era ineficaz (se imputa por «defecto de organización»), puesto que la comisión de un delito en el seno corporativo ya es considerado como indicio de ineficacia por la Fiscalía. Y, desde la órbita del asesor en Compliance, hay que poner el acento claramente en el sistema de evidencias físicas de los protocolos y controles de la empresa llamados a evitar la comisión de delitos y/o instaurar una cultura de cumplimiento normativo.
5.- Los postulados de la Fiscalía a la hora de interpretar la responsabilidad penal de las personas jurídicas configuran una verdadera estrategia procesal que pretende la disociación entre los intereses del individuo (trabajador, directivo) y de la empresa, como elemento desincentivador (enfoque negativo) de la criminalidad. Solamente sometiendo al mismo proceso -penal- a ambos y vinculando la responsabilidad penal de la empresa con la de quienes la integran, se disocian sus estrategias procesales promoviendo el afloramiento del delito, el «yo no soy responsable, sino el otro». Por desgracia, se ha olvidado que objetivamente un modelo vicarial incentiva esconder el delito del otro para no ser responsable por «defectos de organización» por bueno que sea el sistema de cumplimiento/prevención adoptado dada la inversión de la carga de la prueba que opera, mientras que un modelo de autoresponsabilidad, por el contrario, fomenta la colaboración: si el delito me pertenece, más vale que ponga remedios cuanto antes o que colabore, en su caso, desde el principio. En ello coincido plenamente con el Profesor Iñigo Ortiz de Urbina.
El debate es apasionante, como puede verse, pero creo que a estas alturas habré colmado la paciencia de la mayoría. Ahí lo dejo, pues, sometiéndome como siempre al criterio de voces más reputadas.
Branded.me: Alex Garberí – Twitter: @GarberiAbogados
Un comentario
Pingback: Garberi Penal » ¿Es el «Corporate Compliance» suficiente para abordar la Responsabilidad Penal de las Personas Jurídicas?: