"Compliance" : modelo y sistema de prevención penal

Resumo

Las últimas reformas del código penal de 2010 y 2015 ponen de manifiesto que nuestro legislador empieza a entender que el derecho penal moderno solo se legitima, si trata de igual manera cualesquiera conductas gravemente lesivas para nuestra convivencia, incluso las realizadas por los sectores poderosos de nuestra sociedad, esto sucede cuando el derecho penal deja de ser derecho, destinado solo a aplicarse a los sectores sociales más desfavorecidos. Si bien la introducción de la responsabilidad penal de la persona jurídica se realiza en 2010 , la primera regulación comprensiva se realiza en la reforma de 2015, es, en este sentido, un paso significativo, al introducir los requisitos y condiciones de la compliance. Será tras la reforma de 2015 cuando el art. 31 bis CP indique taxativamente los requisitos y condiciones para llevar a cabo esta nueva tarea que se les impone, siendo el aspecto más novedoso de la reforma del Código Penal de 2015, la completa regulación en los apartados 2, 3, 4 y 5 del art. 31 bis del CP de los programas de cumplimiento normativo o compliance guides denominados en el Código Penal como modelos de organización y gestión. En cuanto a la eficacia preventiva del sistema compliance existe acuerdo en considerar que, con carácter general, un programa de cumplimiento efectivo ha de promover tres objetivos esenciales: prevención, un programa de cumplimiento efectivo tiene que prevenir conductas ilegales que puedan enfrentar a la compañía a una responsabilidad penal; detección, tiene que conducir a una detección temprana en orden a remediarlas; y paliación, una vez que el delito se ha cometido, un programa de cumplimiento eficaz debe ayudar tanto a mitigar la responsabilidad penal (eximentes) como a reducir la posible sanción (atenuación). La responsabilidad penal de las personas jurídicas supuso un cambio de paradigma del Derecho Penal de ultima ratio del Estado a prima ratio, al anticipar la respuesta en la resolución del problema, el Derecho Penal se incorpora a la prevención empresarial. Este cambio de paradigma ha supuesto una privatización de la lucha contra la corrupción toda vez que el Estado ha obligado a las empresas a adoptar medidas preventivas internas, que por otro lado el Estado “el otro lado de la carretera” no ha adoptado como organización. La incorporación al ordenamiento jurídico español de la responsabilidad penal de las personas jurídicas se produce en tres etapas diferenciadas: 2010 con su introducción, 2012 con la incorporación de los partidos políticos y los sindicatos, siendo la alteración del Código Penal de 2015 la clave, porque en ella se concretan los requisitos compliance. Es importante asimismo en la reforma de 2015: la creación del delito de financiación del terrorismo o de financiación ilegal de los partidos políticos; además de la ampliación de delitos contra bienes colectivos de carácter socioeconómico, medioambiental, urbanístico o relacionados con nuevas tecnologías; las mejoras en los delitos contra la comunidad internacional; o la lucha contra la corrupción, en especial la mejorada regulación del delito de cohecho o la introducción del delito de corrupción entre particulares. La formulación legal o régimen jurídico de la responsabilidad penal de las personas jurídicas se concentra en el Código Penal en diversos preceptos: 31 bis, 33.7 que describe las penas imponibles a las personas jurídicas; 52 sobre la forma de imponer la pena de multa y 53 referentes a la determinación y a la forma de pago de la pena de multa, 66 bis sobre medición y determinación de las penas imponibles a las personas jurídicas, 116.3 que declara que a la responsabilidad penal de la persona jurídica irá unida la responsabilidad civil y el art. 130 que advierte que la transformación o fusión de una persona jurídica no extingue su responsabilidad. En el Libro II se indican los delitos en los que se considera posible la extensión de la responsabilidad penal de la persona jurídica mediante remisión en su caso al art. 31 bis CP. El estatuto jurídico-procesal penal de la persona jurídica se regula en la Ley de Enjuiciamiento Criminal en los artículos 119, 120, 409 bis, 544 quáter, 786 bis y 839 bis. La técnica legislativa penal empleada opta por la no remisión conceptual a la legislación mercantil, lo cual nos obliga a delimitar conceptualmente desde una perspectiva penal los conceptos tales como persona jurídica, administrador o domicilio social. La exigencia de responsabilidad penal directa a la persona jurídica nos sitúa ante la culpabilidad de la propia persona jurídica o autorresponsabilidad, fundamentada en algo que es hecho activamente por la asociación y que es la creación de una cultura criminógena; a sensu contrario la responsabilidad penal empresarial, contrarresta la anterior, en base a la instauración de una cultura de respeto al Derecho y cumplimiento normativo. En el art. 31 bis CP se instaura la responsabilidad de la persona jurídica por hecho propio o autorresponsabilidad , lo que significa que la responsabilidad de la persona jurídica es propia e independiente, de la que corresponda a las personas físicas que hayan actuado en nombre, interés o a favor de ella. Es fácil comprender que la responsabilidad criminal de la persona jurídica no depende de la previa declaración de responsabilidad penal de la persona física, y que ni siquiera es necesario que el delito llegue a consumarse pues la expresión “delitos cometidos” permite incluir, además de las diferentes formas de autoría y participación, el delito intentado. Las asociaciones de personas como destinatarias de deberes son, por sí mismas, capaces de acción, tienen capacidad penal de acción, por esa misma razón no es suficiente responsabilizar a un integrante de la organización, porque si el defecto estructural pese a su detección sigue estando presente en la organización en su conjunto no habremos hecho nada. Acabamos de referirnos al problema de atribución de responsabilidad criminal a la organización como realidad intangible, situada entre los actores que operan en ella, porque si bien es cierto que a los individuos les corresponde el poder de la acción (acciones específicas a través de las que comunica y puede desautorizar la vigencia de una norma), también lo es, el hecho de que los entes colectivos poseen el poder de la interacción (la decisión comunica o tiene capacidad de comunicar) y todo poder debe llevar aparejada una responsabilidad. BOTTKE pone en conexión acción y organización a través de la comisión desde el punto de vista prejurídico penal lo que obliga a anticiparse, de ahí que HEINE llame al dominio de la organización, desde un punto de vista funcional sistémico mediante la coordinación de diversas tareas situadas en diversos departamentos. Licitud y legalidad son dos caras de la misma moneda que marcan la idoneidad de la acción típica en sentido amplio, siendo el objeto de la acción el cumplimiento de la ley y el respeto a las políticas internas, y el objeto de la interacción toda política preventiva que favorezca la delación, la consulta, la revisión y la participación en la toma de decisiones. Este poder de la interacción proporciona al conjunto de sus integrantes la capacidad de realizar aquello que individualmente no podrían, al tiempo que es capaz de condicionar, en un sentido o en otro, la conducta de los individuos que se incorporen a la organización. En ese sentido decimos que los sujetos colectivos no son reductibles a meros instrumentos, pues éstos considerados aisladamente carecen del poder de la “interacción” y no constituyen proyecto alguno, y en esa medida es posible considerar a la organización como sujeto de responsabilidad. La esencia de la corporación no es la mera suma de las personas individuales –el todo es más que la suma de las partes–, y es precisamente ahí donde radica la distinción entre culpabilidad (corporativa) y responsabilidad por la culpabilidad ajena. De mantener la opinión crítica tradicional a la capacidad de la persona jurídica para cometer acciones, acabaremos por llegar a la conclusión de que no pueden celebrar contratos válidos porque, al carecer de manos y del mecanismo físico impulsor del movimiento de traslado de una pluma o bolígrafo, no puede firmar ni, por tanto, comprometerse. El sistema español de regulación de responsabilidad penal de las personas jurídicas parte necesariamente de un punto central, lo injusto del hecho queda fundamentado por la organización defectuosa y la ausencia o irrelevancia de los sistemas de control. Los parámetros de los sistemas de control se centran en el cumplimiento normativo o compliance penal de los requisitos y condiciones (art. 31 bis 2. 2, 4 y 5 CP) que han de cumplir los modelos de organización o gestión, y que conlleva para la persona jurídica la necesidad de realizar cambios estructurales internos. De la obligación del plan se deriva el deber de reorganizar la empresa por lo que se ve afectada la libertad de organización. La base legal de la responsabilidad penal de la persona jurídica se fundamenta en un defecto estructural en su modelo de organización, por no ajustarse a la regulación del Código Penal. Estamos ante una concepción de la persona jurídica como un ámbito espacial o un “campo de juego” que propicia la comisión de delitos y que es necesario prevenir y cumplir . Cuestión distinta es determinar si ha de ser el Código Penal o la Ley de Sociedades de Capital la que tendría que prever todas estas cuestiones, teniendo en cuenta que la persona jurídica ya venía obligada por el derecho mercantil a establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitieran la identificación, gestión, control y comunicación de los riesgos reales y potenciales derivados de sus actividades. No puede ser criterio fundamentador de la responsabilidad penal, afirmar que un Consejo de Administración ha tenido el conocimiento y control de lo que ha hecho un directivo o empleado, argumentándolo desde la simple base de que el Consejo es el máximo órgano de decisión en la empresa, porque esto sería una muestra de responsabilidad penal objetiva . Asimismo, será dificultoso exigir la responsabilidad personal de los empleados en la vida interior de las empresas , más factible sin embargo en el interior de las Administraciones públicas que aun estando sometidas al principio de jerarquía , también tienen exceptuada la obediencia a las órdenes de contenido antijurídico. La exclusión de responsabilidad objetiva por la producción de resultados imprevisibles, en un derecho penal propio de un Estado social y democrático de Derecho, significa que es imposible castigar lo que no es doloso ni culposo, que ni se puede retribuir, ni puede justificarse . La exención de responsabilidad penal para las personas jurídicas es consecuencia de una conducta de la persona jurídica que ha de ser justificada o excusada, no es una exclusión de tipicidad porque lo cierto es que la investigación respecto al delito concreto se ha iniciado, siendo que el cumplimiento de los requisitos y condiciones, que a continuación vamos a analizar indican que el Código Penal excluye la responsabilidad o la atenúa en gran medida. El debido control es la pieza clave de todo sistema de cumplimiento normativo de tal manera que puede existir un programa específico de compliance en el que se infringe el debido control, y a la inversa puede darse este comportamiento social correcto, pese a no tener programa de cumplimiento, por lo que lo realmente importante es la adaptación, de las políticas de cumplimiento que se instauren, a cada ámbito de la empresarial, en esto consiste la prevención penal tanto desde el punto de vista de la prevención general que consiste en amenazar o motivar para que no se produzcan los resultados fortuitos e imprevisibles, como desde el punto de vista de la prevención especial que consiste en la necesidad de resocialización o prevención individual para quien ha causado objetivamente un resultado dañoso, fortuito e imprevisible. Para poder entender la llamada culpabilidad por defecto de organización y control tenemos que tener claro dos conceptos: En primer lugar, que no se trata una especie de responsabilidad de comisión por omisión de la persona jurídica “garante”, la persona jurídica no es garante , lo que no impide que para el desarrollo de su actividad adopte las medidas preventivas que le indica el código penal. Si se produce la delegación, del mismo modo que la persona jurídica no es garante, tampoco lo es el compliance officer por lo que no podrá responder como autor mediato al no ser garante. Podríamos encontrar un supuesto de persona jurídica garante en los delitos de resultado (art. 330 en relación con el art. 11 CP), cuando con la no delegación de la facultad de control en el compliance officer se está cometiendo una conducta omisiva de la persona jurídica. Si se infringe el deber de evitar que la actividad de la empresa se concrete en la realización de hechos delictivos, cuando el órgano de administración con esta no delegación ha creado intencionadamente el espacio de descontrol para que la infracción pueda cometerse. En segundo lugar, que la exención de la responsabilidad individual que podría comportar el simple traslado de responsabilidad penal a la persona jurídica se evita, previendo la acumulación de responsabilidades: la de la persona jurídica no debe implicar la exención de la de la persona física, sin que ello suponga, en absoluto, la infracción del principio non bis in idem . Basta con recordar que no se daría en este caso la necesaria unidad de sujeto, dado que, por definición, persona física y jurídica son independientes. Para concluir, decir que en la aplicación de las sanciones administrativas deben imperar las formas del ámbito penal, esto es, se debe exigir también en este ámbito la culpabilidad de la persona jurídica y su imposición debe estar rodeada de las mismas garantías.