[Blog]

“Sí, soy una empresa y quiero ser penalmente diligente”

abril, 2019

Desde que la responsabilidad penal de las personas jurídicas ha aterrizado en el Código penal español -hace ya casi una década-, el uso de términos propios de la gestión empresarial se ha hecho extensivo también a la comunidad jurídica, incluso a la penal (¡!). Y es que la regulación penal actual, además de establecer las denominadas vías de imputaciónde responsabilidad a la persona jurídica (vid. art. 31 bis1 CP), desde el año 2015 prevé su posible exención (art. 31 bis2,3,4 y 5 CP). Precisamente, a partir de aquí se hacen famosos términos como el de compliance o el de (criminal) compliance program.

Sin duda, la exención de responsabilidad penal de una persona jurídica por un hecho delictivo cometido por alguna de las personas a las que se refiere el art. 31bis 1 CP pasa por la toma en consideración de si ha cumplido con una serie de estándares de diligencia. La cuestión es, pues, en qué se concretan estos estándares de diligencia.

En este sentido, cabe señalar que el vehículo más cómodo y seguro para transportar a la empresa por el camino de la diligencia es el compliance program. La cuestión es que, como todo medio de transporte, su elección debe tener en cuenta si es el mejor atendiendo a las características del viaje que quiere emprenderse. En este mismo sentido, un programa de cumplimiento no es un todoterreno, sino un medio apropiado para una empresa singular con unas características propias. Esto implica, por un lado, atender a las dimensiones de la empresa, a su objeto social, a su estructura organizativa, al número de empleados, a sus socios de negocio y a su ámbito territorial de actuación, entre otros aspectos. Por otro lado, y teniendo en cuenta la regulación penal actual, el programa de cumplimiento no solamente tiene que ser adecuado a la empresa, sino que debe incorporar medidas de control y vigilancia idóneas para la prevención de los riesgos delictivos específicos de aquélla.

Para empezar, la idoneidad de estas medidas debe tener en cuenta el perfil de la persona física con la que se vincula el riesgo delictivo -aspecto que deberá concretarse en la identificación de riesgos de la empresa o risk assessment-. En efecto, la valoración de la idoneidad de la medida será diferente en función de si se trata de prevenir riesgos delictivos vinculados directamente con actuaciones de los directivos, o si más bien los riesgos delictivos se refieren a conductas de empleados sometidos a la autoridad y vigilancia de aquéllos. A partir de aquí, y en tanto se trata de valorar la diligencia de la empresa en relación con concretos riesgos delictivos, deberá estarse a la existencia de medidas y controles específicos en relación con los que sean los riesgos delictivos identificados en la empresa.

Más allá de las condiciones y requisitos generales establecidos en el propio Código penal e incluso en la normativa jurídica extrapenal -de enorme incidencia en algunos sectores regulados-, para la concreción de los estándares de diligencia de la persona jurídica se tendrá en cuenta lo establecido en normas no jurídicas. En esta medida, se pone de manifiesto la posible incidencia de las denominadas normas técnicas en la concreción de la diligencia de las personas jurídicas. Entre ellas, cabe mencionar, por ejemplo, la UNE 19601, la ISO 37001 o la reciente UNE 19602 sobre Sistemas de gestión de compliance tributario.

Son diversas las consecuencias jurídicas de la toma en consideración de esta clase de normas procedentes de la denominada autorregulación normativa. Ahora bien, en lo que respecta a la concreción de la “diligencia penal” debe tenerse en cuenta lo siguiente:

  • Algunas de estas normas técnicas son normas eminentemente procedimentales. Por ello, más que incidir en las concretas medidas de diligencia frente a posibles riesgos penales, su operatividad se manifiesta desde un punto de vista de la estructura o procedimientos generales de prevención.
  • Los estándares técnicos pueden ser más exigentes que los establecidos jurídicamente. En ocasiones, y atendiendo a la complejidad técnica y tecnológica del sector, la regulación jurídica no está en condiciones de ofrecer pautas de actuación detalladas. Esta función, en cambio, puede ser asumida por los propios sectores empresariales que, entre otras cosas, tienen el conocimiento científico y tecnológico requerido.
  • Se trata de normas técnicas y, por tanto, no son jurídicamente vinculantes. Pese a la relevancia empresarial del cumplimiento de estos estándares de actuación, no existe una obligación jurídica de cumplirlas. Del mismo modo, su incumplimiento no genera automáticamente consecuencias jurídicas.
  • Algunas de estas normas técnicas son certificables. Si bien el cumplimiento y su certificación puede ser un indicio de la diligencia de la persona jurídica, no es algo que vincule al órgano jurisdiccional penal. En todo caso, deberá tenerse en cuenta cuál es el objeto de la certificación y si ello se relaciona con la prevención del concreto riesgo delictivo a prevenir.

En suma, la concreción de la diligencia penal de la persona jurídica no es una tarea sencilla que pueda ser asumida de forma aislada por el Derecho. Ello se explica, en parte, por la proliferación sectorial de normas jurídicas y, en especial, de normas provenientes de la autorregulación normativa. A través de estas últimas, incluso,  pueden establecerse estándares de actuación más exigentes que los previstos jurídicamente. Desde luego, el Derecho penal de las personas jurídicas es una muestra de la aproximación entre el Derecho y la Técnica.