Resumen: Se explica el modelo de transferencia de responsabilidad penal en la empresa, para acabar recomendando la implantación de un modelo de prevención de riesgos penales.
Autor del artículo Colaboración
José Luis Colom Planas
Actualizado
1 de septiembre
de 2016
Índice
1. Obligatoriedad de los programas de Compliance Penal 2. Transferencia de responsabilidad de la PF a la PJ
3. Transferencia de responsabilidad de la PJ al administrador
4. El triángulo de responsabilidad penal en la persona jurídica
5. Epílogo
6. Bibliografía consultada
7. Control de cambios del artículo
8. Derechos de autor
0. Artículo disponible en vídeo
Pulsar para ver el vídeo
1. Obligatoriedad de los programas de Compliance Penal
He tenido ocasión de leer titulares de artículos donde se señala la obligación de implantar un programa de prevención de delitos en las empresas. Nada más lejos de la realidad.
Otro si es que su implantación, habitualmente en forma de Sistema de Gestión del Cumplimiento Penal (SGCP), sea, en la coyuntura actual de nuestro ordenamiento jurídico, muy recomendable y casi imprescindible, como veremos más adelante.
La confusión surge del entonces proyecto de Ley Orgánica por la que se modificaba la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, de fecha 4 de octubre de 2013, [2] en el que, los que por aquel entonces ya nos dedicábamos a Compliance Penal recordaremos que se proponía introducir un nuevo artículo 286 seis CP que penaba directamente al representante legal o administrador de cualquier sociedad, con el siguiente redactado:
“1. Será castigado con pena de prisión de tres meses a un año o multa de doce a veinticuatro meses, e inhabilitación especial para el ejercicio de la industria o comercio por tiempo de seis meses a dos años en todo caso, el representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa, organización o entidad que carezca de personalidad jurídica, que omita la adopción de las medidas de vigilancia o control que resultan exigibles para evitar la infracción de deberes o conductas peligrosas tipificadas como delito, cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la diligencia debida (…)”.
Este artículo se consideraba por aquel entonces de efectos devastadores ya que, partiendo del deber de garante del representante o administrador societario, se le castigaba como sujeto activo por un delitode omisión respecto a las medidas de vigilancia y control exigibles para evitar la comisión de determinados delitos en la empresa.
Dicho artículo 286 seis CP se cayó del texto definitivo y, en consecuencia, ya no consta en la vigente Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
No obstante, se verá más adelante en este artículo que el Código Penal en vigor dispone de mecanismos para suplir la ausencia del referido artículo 286 seis CP.
2. Transferencia de responsabilidad de la PF a la PJ
Un segundo error que suelo apreciar es que todavía hay quien considera que el modelo español de transferencia de Responsabilidad Penal de la Persona Jurídica (RPPJ) le transfiere la culpa del acto delictivo cometido por la PF a la PJ, cuando lo único que se transfiere es la responsabilidad penal del mismo y, en consecuencia, con penas graves, pero distintas. De ahí que pueda haber exención de esa responsabilidad transferida a la PJ si en base a la debida diligencia se ha implantado un modelo de prevención penal.
Podemos afirmar que si por ejemplo una PF sometida al control de la PJ comete en provecho de la sociedad y durante las actividades societarias uno de los delitos catalogado como susceptible de acarrear RPPJ, será también la PJ penalmente responsable y castigada con las penas que en el CP se determinen, a no ser que la PJ disponga implantado un modelo eficaz de prevención de delitos, como dice la Circular 1/2016 de la Fiscalía General del Estado (FGE), arraigado en la cultura de la organización.
En el caso de la PJ las penas pueden oscilar desde una sanción económica, pasando por clausura de locales o intervención judicial, hasta la disolución de la organización.
3. Transferencia de responsabilidad de la PJ al administrador
En relación a la RPPJ se habla mucho del artículo 31 bis CP y concordantes, pero el gran olvidado es el artículo 31 CP, que además permanece casi invariable desde que entró en vigor el 23 de noviembre de 1995 el Código Penal que, con sucesivas reformas en 2010 y 2015, ha llegado a nuestros días.
Dicho artículo 31 CP dispone: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se den en la entidad o persona en cuyo nombre o representación obre”.
Lo que señala este artículo es la transferencia de responsabilidad desde la entidad o persona jurídica que representa, hacia el administrador, por el mero hecho de serlo. [3]
4. El triángulo de responsabilidad penal en la persona jurídica
La relación matemática transitiva implica que cuando un elemento se relaciona con otro, y éste con un tercero, entonces el primero se relaciona con el tercero.
Si este simple razonamiento lo aplicamos a las transferencias de responsabilidad tratadas en los apartados anteriores, obtenemos el que se me ha dado por llamar triángulo de responsabilidad penal en la PJ, [1] que a continuación se representa gráficamente:
5. Epílogo
El resultado del triángulo de responsabilidad penal en la PJ provoca un efecto análogo, aunque indirecto, al que se pretendía con el desaparecido artículo 286 seis del proyecto de reforma del Código Penal de 2013.
Si una PF comete un delito en la organización que ocasione RPPJ, si se acredita la inexistencia de un modelo de prevención penal, la PJ será penalmente responsable por lo dispuesto en el art. 31 bis CP y, en consecuencia, también lo será el administrador por lo dispuesto en el art. 31.
Esto explica mi afirmación inicial de que la implantación en las empresas de un modelo de prevención de delitos penales en base a un Sistema de Gestión de Compliance Penal, pese a no ser obligatorio en base a normativa jurídica, si que es muy recomendable, casi imprescindible.
6. Bibliografía consultada
- [1] José Luis Colom. PPT de la ponencia “Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo con los sistemas basados en la norma ISO 19600”. Programa de actualización INBLAC. Barcelona, julio de 2016. Programa INBLAC PBCyFT
- [2] Boletín Oficial de las Cortes Generales. Congreso de los Diputados. ”Proyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal”. 121/000065. 4 de octubre de 2013. Proyecto de reforma del CP 2013
- [3]José Luis Colom. “Responsabilidad por deber de garante: Aplicación al CCO y al DPO”. Blog Aspectos Profesionales. 3 Mayo de 2015. Responsabilidad por deber de garante
- [4] Jesús María Silva Sánchez. “El delito de omisión. Concepto y sistema”. Editorial B de F. Colección maestros del Derecho penal nº 12. 2ª edición. Buenos Aires, 2010. ISBN: 9974-578-30-2.
7. Control de cambios del artículo
Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha Cambio Responsable
01/09/2016 Redacción inicial del artículo Autor
8. Derechos de autor
Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas creadas por el autor.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificaciónCDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.