Cerco al delincuente de empresa: del blanqueo al compliance

Antes de la introducción en nuestro sistema jurídico de la responsabilidad penal de las personas jurídicas en el año de 2010 (LO 5/2010, de 22 junio 2010, con vigencia desde 23 de diciembre de ese año), la lucha contra la delincuencia vehiculada a través de empresas -y muy particularmente contra los comportamientos de blanqueo de capitales- se encontraba con muy importantes obstáculos. En verdad, la regulación se dirigía a la persecución de personas físicas:

Artículo 31 del Código Penal:

1. El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito o falta requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre.

2. En estos supuestos, si se impusiere en sentencia una pena de multa al autor del delito, será responsable del pago de la misma de manera directa y solidaria la persona jurídica en cuyo nombre o por cuya cuenta actuó.

Como vemos, quien tenía el dominio operativo de la empresa era quien podía ser perseguido y sancionado penalmente, y a quien se le iba a buscar el dolo o la imprudencia exigido por el tipo penal que se hubiera cometido en cada concreto supuesto. Para ello, los criterios que se utilizaban eran los previstos en la normativa administrativa de blanqueo de capitales (identificación, análisis de racionalidad, operativa, control y custodia documental, instrumentalización del canal de información y denuncias, etcétera).

Para ilustrar lo que venimos diciendo, utilicemos un ejemplo que de seguro que a todos nos parecerá familiar:

Una empresa fabricante de vehículos manipula su software de manera tal que ahorra en I+D, y aplica ese ahorro a la rebaja del precio de su producto. Con ello, aumenta sus ventas en perjuicio de sus competidores, compitiendo en el mercado deslealmente. Este comportamiento puede llegar a eliminar de facto a la competencia. A la hora de buscar al responsable resulta que es imposible hallarlo por la desfragmentación de la toma de decisiones. La imputación subjetiva y objetiva del delito no es posible, pues la responsabilidad parece diseminada a lo largo de toda la organización. Si caemos en la cuenta de que el mayor problema es que el autor del ilícito o delito sabía de ello antes de cometer el acto, coincidiremos en que el anonimato que promueven las estructuras societarias impiden la desincentivación del delito, e incluso lo favorecen.

En el ejemplo, la organización puede promover conscientemente el ilícito por un beneficio propio directo o indirecto (aumento de cuota de mercado, mejora de la cuenta de resultados, mayor dividendo para el socio, etcétera). Además, los directivos y empleados entenderán que se afianzan sus puestos de trabajo gracias a la conducta del infractor, con los beneficios inherentes para las familias que dependen de ello, por lo que debe protegerse al buen compañero que así actúa. Para quien piense en denunciar no existe, en cambio, incentivo, siendo que puede experimentar represalias y elegir mirar para otro lado convenciéndose de que su función no es la denuncia de otros colegas en la empresa.

Es todo este juego de intereses e inercias lo que la responsabilidad penal de la empresa trata de neutralizar.

Como se aprecia en el ejemplo, la persona jurídica ciertamente facilita el encubrimiento del delito, dificulta la identificación de sus partícipes e impide las más de las veces la persecución y recuperación de los efectos de dicho delito, siquiera sea ello consecuencia de la natural actividad empresarial de la organización en cuyo seno o entorno se haya dado el hecho.

¿Por qué se introduce la responsabilidad penal de las personas jurídicas?

Si estamos de acuerdo en que la delincuencia cometida mediante la utilización de empresas adultera el mercado en que todas compiten entre sí, se entenderá que se busque mejorar la capacidad competitiva de las empresas, al menor coste posible, reduciendo la criminalidad empresarial.

Si el Estado carece de medios económicos con los que regular y controlar directamente el riesgo de criminalidad en el seno de grandes y complejas estructuras empresariales, parece inteligente que las propias entidades creadoras y beneficiarias del riesgo de criminalidad asuman la responsabilidad de prevención, control y denuncia a su propia costa. En el conocimiento de su propia estructura, medios y objetivos, la empresa es quien mejor puede establecer las mejores medidas de autorregulación, lo que, por otra parte, casa mejor con el derecho constitucional de libertad de empresa (art. 37 de la CE). Al Estado, entonces, le basta con reservarse la potestad de sancionar penalmente el incumplimiento basado en la falta de consecución de un determinado resultado jurídico, a saber: el de la neutralización de los riesgo de criminalidad en su seno o alrededor de su estructura societaria.

Como en breve veremos, una simple modificación del Código Penal incentivará fuertemente a las personas jurídicas para que eviten estructuras defectuosas o falta de transparencia que supongan un riesgo de criminalidad del que saquen provecho propio, castigándolas, en último término, con la expulsión del mercado si el delito finalmente llega a materializarse por causa de su inactividad respecto de las medidas de prevención y control que debiera haber implantado.

La reforma del Código Penal de  2010

Mientras que la normativa administrativa de prevención de blanqueo de capitales tenía un enfoque preventivo-represivo de las conductas a las que iba referida, hasta 2010 el marco penal únicamente era represivo, en el entendido de que entraba en juego cuando ya se había producido una conducta de blanqueo.

Tras la reforma de 2010, el artículo 31 del Código Penal se modifica, incluyendo entre sus apartados, en lo que nos interesa, lo siguiente:

1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso.

2. La responsabilidad penal de las personas jurídicas será exigible siempre que se constate la comisión de un delito que haya tenido que cometerse por quien ostente los cargos o funciones aludidas en el apartado anterior, aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella. Cuando como consecuencia de los mismos hechos se impusiere a ambas la pena de multa, los Jueces o Tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos.

El enfoque penal es a partir de entonces preventivo-represivo, toda vez que lo que determinará una condena de la persona jurídica, o la exención de responsabilidad penal, será la implantación de un eficaz programa de prevención de delitos capaz de frenar la comisión de los mimos en su estadio de tentativa, o de ser consumados, haya generado tanta prueba contra el autor (persona física) que se elimine el riesgo de que el ilícito no se descubra o de que se desconozca el delincuente autor del mismo y, además, pueda repararse el riesgo o daño generado.

Serán precisamente las políticas de diligencia debida, control interno, custodia de documentos, y de información y denuncia, elementos todos que ya se recogían en la normativa administrativa de prevención de blanqueo de capitales, las que llevarán a la exención de responsabilidad penal de la empresa a partir de la reforma del Código Penal.

Veamos con un ejemplo cómo el escenario anteriormente examinado se revierte a partir de la citada reforma del Código Penal:

Consideremos una empresa que puede comprarle a un proveedor un producto a un precio muy rebajado respecto del precio que obtendría acudiendo a los restantes proveedores. El interés para la empresa es evidente, pues comprando a menor precio puede vender más y acaparar mayor cuota de mercado, expulsando de dicho mercado a todos sus competidores (que, aunque más competitivos, no comparten ese proveedor tan bueno, bonito y barato).

La empresa puede sospechar que la estructura de su proveedor no es razonable, o que la racionalidad del negocio no existiría en su concreto proveedor si compitiera en igualdad de condiciones con el resto de proveedores, pero quizá le interesa mirar para otro lado. Es evidente que si lo denuncia se queda sin el producto a un precio rebajado y por ende sin esas mayores ventas. A corto plazo, el mercado se está viendo distorsionado, y el interés general que representa la Hacienda Pública o la Seguridad Social perjudicado; a medio plazo, la eliminación de competidores más competitivos repercutirá negativamente en el cliente o consumidor final.

La responsabilidad penal de las empresas viene a paliar este horizonte de sucesos. La forma en que ello se produce es bien sencilla. Si la falta de implementación de medidas de control y vigilancia debida puede llevar a responsabilidad penal de las empresas y de ello derivar en los administradores de las mismas la obligación de responder frente a los socios y accionistas de las consecuencias de ello, ningún administrador o consejero tendrá interés alguno en arriesgar su patrimonio personal presente y futuro a resultas de no haber implantado las oportunas medidas de vigilancia y control. De esta forma, la simple reforma penal se convierte en instrumento por el cual el propio mercado expulsará de su seno aquellas empresas que no implanten un sistema eficaz de cumplimiento normativo.

¿Cuál será el estándar de compliance adecuado?

La redacción actual del artículo 31 del Código Penal es aún más concreta que la que introdujo la reforma de 2010, abundando en lo que debe entenderse por el debido control que la empresa es responsable de implantar.

Reproduciremos en gran parte el precepto, por su utilidad para cuanto en relación con el mismo diremos:

Artículo 31 bis:

1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

3ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

4ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2ª

En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.

3. En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2ª del apartado 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.

4. Si el delito fuera cometido por las personas indicadas en la letra b) del apartado 1, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.

En este caso resultará igualmente aplicable la atenuación prevista en el párrafo segundo del apartado 2 de este artículo.

[El estándar del programa de compliance viene pautado en el siguiente apartado del precepto:]

5. Los modelos de organización y gestión a que se refieren la condición 1ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:

1º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

6º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Este concreto apartado 5 del artículo 31 bis nos demuestra cómo el seguimiento de las pautas administrativas en materia de blanqueo nos revelará si un programa de compliance es adecuado, eficaz, o sencillamente hemos comprado humo.

Desde luego que no será con la simple exhibición de un manual de compliance -como nunca lo fue con el simple manual de prevención de blanqueo de capitales- como se salvará la empresa de su responsabilidad. Será en cambio la prueba generada a partir de un programa correctamente implementado, actualizado y vivo el instrumento con el que llegado el caso ni siquiera cabrá hablar de pena de banquillo para la persona jurídica.

Si rescatamos el sistema de prevención y control previsto en materia de prevención de blanqueo de capitales concluiremos que se adapta como un guante a los requerimientos del Código Penal. Para demostrarlo, volvamos al apartado 5º del artículo 31 bis del Código Penal:

(1) Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

Equivaldrá a la realización de un análisis de riesgos jurídico-penales, que se materializará en:

La identificación adecuada de los clientes y proveedores, antes de establecer una relación negocial con ellos.

La identificación del propósito de la relación o negocio, y seguimiento de continuo del negocio.

El análisis del riesgo y la creación de un sistema de alertas y denuncias.

La conservación de documentos como elementos de prueba del cumplimiento de los niveles de diligencia exigidos.

La implantación de un sistema de control interno capaz de gestionar los riesgos y la información obtenida (política de admisión de clientes y proveedores, canales de información y denuncia, formación de miembros de la estructura, procesos de verificación periódica de las políticas, etcétera).

(2) Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

La empresa concretará los procesos de adopción y ejecución de sus decisiones, la información previa de que se dispondrá para ello, la política de elección y promoción de directivos, etcétera.

(3) Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

Se requiere un modelo que permita la identificación de la causa de los pagos y cobros, así como su trazabilidad, su control en todo instante que evite el delito fiscal, la corrupción el blanqueo o las apropiaciones indebidas.

(4) Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

El modelo debe contener una estructura de información, comunicación y denuncia interna.

(5) Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

El manual debe, también, establecer prevenciones relativas a las consecuencias laborales que se derivarán en caso de que los empleados delincan, dificulten el descubrimiento del delito o infrinjan sus deberes de información.

(6) Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

El manual debe tenerse por un instrumento vivo, en continua adaptación y perfeccionamiento, pues en otro caso no podrá satisfacer su objetivo.

¿Cómo exonerar de responsabilidad penal a la empresa una vez que el hecho delictivo se ha cometido?

La culpabilidad de la persona jurídica pasa por:

(a) La comisión del hecho delictivo por una persona física integrada o vinculada a la empresa.

(b) La obtención de beneficio directo o indirecto de la persona jurídica con motivo del ilícito acaecido.

(c) La existencia de un defecto de organización previo en la persona jurídica que se demuestra por la incapacidad en la desincentivación, prevención, detección y reacción frente al delito.

Se deduce fácilmente de los citados presupuestos que el mero hecho de que el delito se haya consumado coloca a la persona jurídica en una difícil situación de la que no podrá escapar si no ha implantado verdaderamente un sistema de cumplimiento normativo eficaz.

Cierto es que el artículo 31 quater del Código Penal contempla una atenuación de la responsabilidad de la empresa en los siguientes casos:

Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:

a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades.

b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.

c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.

d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.

Pero se trata de atenuantes, que no de eximentes, por lo que no liberarán a la persona jurídica de una responsabilidad penal en la que ya ha incurrido.

Como hemos visto hasta aquí, pues, la exención de responsabilidad solamente se dará cuando la empresa haya desplegado una conducta activa previa; conducta que forzosamente habrá generado prueba documental y testifical si no se ha limitado a la mera elaboración de un manual que ha quedado olvidado en un cajón.

El delito cometido en el seno o entorno de la empresa, entonces, únicamente habrá sido posible por la elusión intencionada de los modelos de prevención implantados, sin que tal cosa implique una omisión o dejadez de la empresa en sus funciones de vigilancia, supervisión y control.

El riesgo cero no existe, por lo que no podrá exigírsele un resultado así a ninguna organización, pero el mensaje al delincuente potencial se habrá puesto en circulación: es mejor que la conducta proyectada la lleve a cabo en otra parte, pues en caso contrario el plan de cumplimiento contribuirá a esclarecer la identidad de autor y partícipes, las circunstancias del delito y el destino de los efectos del mismo.