La reciente reforma del Código Penal crea la responsabilidad penal de las personas jurídicas. Ahora le toca a las empresas diagnosticar la situación, analizando qué instrumentos de Compliance pueden servir para recorrer el camino que se plantea, y en qué medida habrá que desarrollar otros nuevos para cubrir el vacío existente y para eliminar o minimizar el riesgo.
La perspectiva de un cambio normativo siempre crea un cierto grado de inquietud: nos planteamos un nuevo camino de cumplimiento a recorrer, y buscamos mapas, puntos de referencia, coordenadas GPS? ¿Cuál es la hoja de ruta de cara a la modificación del Código Penal que entró en vigor el pasado 23 de diciembre y que atribuye responsabilidad penal a las personas jurídicas?
Ciertamente, en este caso, vamos teniendo más información pero todavía no mucha: se crea una figura que hasta ahora no existía, las personas jurídicas nunca habían tenido responsabilidad penal. Lógicamente los puntos de referencia son prácticamente nulos, aunque haya pasado un mes desde la entrada en vigor (muy poco tiempo para la Justicia española) y las coordenadas GPS que podrían venir por vía de Jurisprudencia no existen.
Se nos exige además que ante la simple posibilidad, mayor o menor, de que sucedan determinados delitos, adoptemos medidas preventivas (¿derecho penal preventivo?) sobre nuestros trabajadores. Y para colmo la Ley de Enjuiciamiento Criminal no se ha modificado en correlación con el "nuevo" Código Penal (¿cómo se le leen los derechos a una persona jurídica?).
Otras incertidumbres
Las incertidumbres están ahí, pero hay una certidumbre mayor y absolutamente inevitable: hay que cumplir, hay que dar los pasos para cumplir.
La cuestión no es baladí, ya que, por un lado, el tradicional principio societas delinquere non potest ha dejado de tener aplicación en nuestro ordenamiento jurídico desde dicha fecha, y por otro, es incuestionable el impacto que ya está teniendo dentro de las empresas.
El legislador español ha optado por imputar responsabilidad penal a las personas jurídicas desde una doble vertiente:
1. Cuando los delitos sean cometidos por sus representantes legales y administradores de hecho o de derecho.
2. Cuando los delitos sean cometidos por los trabajadores de la empresa, si ésta no ha ejercido sobre ellos el debido control.
En ambos casos se requiere que el delito se cometa en nombre y por cuenta de la organización, en su provecho y en el ejercicio de sus actividades sociales.
El 'debido control'
La redacción es aparentemente sencilla, pero automáticamente nos surge una duda en particular: ¿qué se considera debido control? Pregunta a la que el Código Penal no da respuesta, ciñéndose a establecer de forma genérica la obligación de establecer el debido control por la organización, imponiendo un deber de Corporate Compliance que puede considerarse excesivamente extenso.
Lo cierto es que ese "debido control" sólo se está consiguiendo si combinamos, en su justa medida y con las necesarias eficiencias operativas y económicas, medidas tanto de carácter jurídico, como de carácter organizativo y técnico. Y ello porque no existirá un debido control si, por ejemplo, no modificamos nuestros códigos internos de conducta (quizá prohibiendo cometer ciertos actos por los que la persona jurídica puede ser responsable penalmente), al tiempo que hacemos vinculante tales códigos o sus modificaciones con los instrumentos jurídicos adecuados, y los ponemos en práctica a través de herramientas tecnológicas cuyos estado y resultados verificamos para saber qué está pasando y si estamos evitando o no realmente que se comentan los delitos.
¿Tenemos que empezar desde cero para crear tales medidas? Aunque posiblemente ninguna organización tiene implantadas estas medidas de control "penales" de las que hablamos, simplemente, porque hasta ahora no existía esta regulación, muchas de ellas ya tienen un largo camino recorrido en Compliance y Control interno y probablemente tendrán que empezar a trabajar no en crear sino en adaptar las medidas que ya tienen. Y así está ocurriendo en el breve plazo de aplicación de la norma que llevamos. Todas las entidades empiezan este camino con herramientas para cumplir en su mochila, lo más o menos llena que esta esté, o lo más o menos que tendrán que trabajar en adaptar tales herramientas depende de cada caso.
A pesar de ello, permítannos insistir, no hay que olvidar que el nuevo Código Penal exige expresamente un "debido control" dentro de la empresa, al objeto de que sus empleados no delincan o, si lo hacen, no se haga también responsable penalmente a la organización, por lo que, aunque muchas de las medidas que tengan implantadas serán válidas en el ámbito penal e incluso muchas de estas medidas serán iguales, lo cierto es que cada organización (desde una PYME hasta una multinacional) debería estar desarrollando elementos de cumplimiento específicos en materia penal.
Y, lo que es más importante, estas medidas de control deberían haber estado implantadas antes de la entrada en vigor de la reforma, de modo que si un empleado comete un delito en el ejercicio de su actividad social, en nombre de la sociedad y en su provecho, ésta no responda penalmente. ¿Se ha llegado al 23 de diciembre con el "debido control" que se exige a las personas jurídicas? Y, en caso negativo, ¿se están adoptando las medidas necesarias para la implantación de ese Corporate Compliance? Bueno, cada sociedad deberá pensar si ha sido capaz, esperemos que el análisis se haga con suficiente realismo.
Cambios con el nuevo CP
Y ello sin perder de vista las nuevas penas que impone el Código Penal a las organizaciones, que, aunque con carácter general es una multa, puede llegar a la inhabilitación para gozar de beneficios e incentivos fiscales o de Seguridad Social, prohibición de contratar con la Administración hasta, incluso la disolución de la sociedad. A lo que habrá que añadir la responsabilidad civil ex delicto que seguirá existiendo.
En conclusión, el 23 de diciembre entró en vigor el nuevo Código Penal que crea la responsabilidad penal de las personas jurídicas y hay que cumplirlo. Ahora estamos analizando, si no lo hemos hecho ya, nuestras empresas, para saber qué instrumentos de Compliance que ya tenemos nos pueden servir para recorrer el camino que se plantea y en qué medida, y una vez lo anterior, qué plan tenemos que desarrollar para dotarnos de lo que no tengamos y cubrir ese camino con garantías de eliminación o minimización del riesgo.
Por tanto, en el periodo desde la entrada en vigor, los pasos de cumplimiento que se vienen dando se centran fundamentalmente en el diagnóstico de situación con respecto a la nueva regulación, y la vista del resultado del mismo, en la elaboración de los planes de acción que nos digan qué tenemos que hacer. El panorama se clarifica en base a que las empresas "se ponen en marcha", conscientes de la necesidad que se plantea.
Corporate Defense puede mitigar la responsabilidad penal