Download Compliance Officers: ISO 19600...
ISBN: 978-84-608-4082-4
EDITA: Ampell Consultores Asociados, S.L. © Juan Carlos Bajo Albarracín © Ampell Consultores Asociados, S.L.
Todos los derechos reservados. No se permite la reproducción total o parcial de este libro, por cualquiera de los sistemas de difusión existentes, sin la autorización previa por escrito de Ampell Consultores Asociados, S.L.
Ampell Consultores Asociados, S.L. C/ de los Pirineos, 45 – 28040 Madrid T. 918713683
[email protected]
1
COMPLIANCE OFFICERS ISO 19600
Juan Carlos Bajo Albarracín
2
Índice LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS ................................................. 8 Introducción ............................................................................................................................ 8 Antecedentes .......................................................................................................................... 8 Contenido de la reforma ..................................................................................................... 10 •
Sujetos responsables ................................................................................................ 10
•
Responsabilidad ........................................................................................................ 11
•
Delitos aplicables ..................................................................................................... 13
•
Criterios de atribución ............................................................................................ 15
•
Sistema de penas ...................................................................................................... 15
Responsabilidad Penal de Administradores y Directivos ............................................... 16 Corresponsabilidad entre las personas físicas y jurídicas ............................................. 17 Modelos de gestión ............................................................................................................... 23 LA NORMALIZACIÓN INTERNACIONAL Y COMPLIANCE ......................................................... 26 Organización Internacional de Normalización (ISO) ....................................................... 26 ¿Cuáles son las normas? ....................................................................................................... 27 Estructura y gobernanza ..................................................................................................... 27 ¿Qué es una norma?.............................................................................................................. 29 ¿Cuáles son los beneficios de las Normas Internacionales ISO? .................................... 29 ¿Cómo desarrolla la ISO sus estándares? .......................................................................... 30 Principios clave en la elaboración de normas ................................................................. 30 ¿Qué es la evaluación de la conformidad? ....................................................................... 31 La norma ISO 19600.............................................................................................................. 32 CONTEXTO DE LA ORGANIZACIÓN .......................................................................................... 37 La organización y su contexto ............................................................................................ 37 Comprensión de las expectativas de las partes interesadas ........................................ 42 Sistemas de gestión de compliance y principios del buen gobierno ........................... 44 Identificación de las obligaciones de compliance .......................................................... 45 IDENTIFICACIÓN, ANÁLISIS Y EVALUACIÓN DE RIESGOS DE COMPLIANCE ........................ 49 Riesgos de compliance......................................................................................................... 49 Identificación de los riesgos de compliance .................................................................... 53 Análisis de riesgos ................................................................................................................ 54 Valoración de los riesgos ..................................................................................................... 55 Evaluación de riesgos........................................................................................................... 60 La evaluación de riesgos de compliance y su relación con otras evaluaciones de riesgos .................................................................................................................................... 65 3
Planificación y respuesta al riesgo .................................................................................... 66 LIDERAZGO ................................................................................................................................. 69 Liderazgo y compromiso...................................................................................................... 71 Política de compliance ........................................................................................................ 73 Roles, responsabilidades y autoridades en la organización .......................................... 75 Los incumplimientos de compliance ................................................................................. 78 PLANIFICACIÓN .......................................................................................................................... 80 Objetivos de compliance..................................................................................................... 80 Planificación .......................................................................................................................... 82 APOYO ........................................................................................................................................ 84 Recursos ................................................................................................................................. 84 Competencia y formación ................................................................................................... 85 Toma de conciencia ............................................................................................................. 86 Comunicación ........................................................................................................................ 88 Información de incumplimientos ....................................................................................... 89 Información documentada .................................................................................................. 90 OPERACIÓN ................................................................................................................................ 93 Control operacional ............................................................................................................. 93 Procedimientos ..................................................................................................................... 94 Externalización ..................................................................................................................... 94 EVALUACIÓN DEL DESEMPEÑO ................................................................................................ 96 Seguimiento, medición, análisis y evaluación ................................................................. 96 Indicadores ............................................................................................................................ 98 Informes de compliance ...................................................................................................... 99 Registros............................................................................................................................... 100 Auditoría interna ................................................................................................................ 101 Revisión por la dirección ................................................................................................... 101 LA FUNCIÓN COMPLIANCE ..................................................................................................... 103 Independencia..................................................................................................................... 103 Funciones ............................................................................................................................. 106 Comité compliance ............................................................................................................ 108 Perfil del compliance officers .......................................................................................... 110 ¿Quién es el propietario del riesgo de incumplimiento?.............................................. 111 Sistema disciplinario .......................................................................................................... 111 Aspectos clave en el desarrollo de la función compliance ......................................... 112 PROCESO DE IMPLANTACIÓN DE UN SISTEMA COMPLIANCE ............................................. 128 4
Fases para la implantación ............................................................................................... 128 Fake Compliance ................................................................................................................ 132 LA AUDITORIA COMPLIANCE .................................................................................................. 134 Conceptos básicos .............................................................................................................. 134 ¿Por qué una auditoría compliance?................................................................................ 135 Auditoría interna o externa .............................................................................................. 136 El proceso de auditoría ..................................................................................................... 136 RIESGOS DELITOS DE FRAUDE ............................................................................................... 139 Corrupción ........................................................................................................................... 139 1.
Definición de corrupción ........................................................................................... 140
2.
Legislación internacional .......................................................................................... 141
3.
La legislación sobre corrupción en España ............................................................ 143
4.
Estrategia corrupta, estrategia insostenible: riesgos .......................................... 145
5.
Enfoque estratégico ................................................................................................... 146
6.
¿Cómo diseñar un plan anticorrupción en la empresa? ........................................ 147
7.
Glosario de conceptos relacionados con la corrupción........................................ 151
Conflictos de interés .......................................................................................................... 153 1.
¿Qué es un conflicto de intereses? .......................................................................... 153
2.
¿Cuándo ocurre un conflicto de intereses? ............................................................ 154
3.
Valoración moral del conflicto de intereses .......................................................... 156
4.
Las soluciones a los conflictos de intereses .......................................................... 157
5.
Algunas estrategias para la organización o institución........................................ 160
Información fraudulenta ................................................................................................... 161 1.
Fiabilidad de la información ..................................................................................... 161
2.
Evaluación de riesgos de la información financiera ............................................. 164
3.
Actividades de control información financiera ..................................................... 165
4.
Información y comunicación información financiera ........................................... 167
5.
Supervisión del funcionamiento del sistema ......................................................... 168
RIESGOS LEY ORGÁNICA DE PROTECCIÓN DE DATOS ........................................................ 171 ¿Quién es responsable? ...................................................................................................... 172 ¿Quién es el encargado? .................................................................................................... 173 ¿Cuándo se tratan los datos personales? ........................................................................ 173 La Agencia Española de Protección de Datos ................................................................ 175 Notificación de ficheros .................................................................................................... 176 Requisitos de ámbito público y privado ......................................................................... 177 Los ficheros no automatizados ......................................................................................... 178 5
Recoger y tratar datos ....................................................................................................... 179 Pedir su consentimiento .................................................................................................... 180 Datos especialmente protegidos ...................................................................................... 183 Calidad y proporcionalidad de los datos ........................................................................ 184 En transferencias internacionales ................................................................................... 189 Medidas de seguridad ........................................................................................................ 191 Niveles de seguridad .......................................................................................................... 191 Divulgar y controlar ........................................................................................................... 193 Deber de guardar secreto ................................................................................................. 193 Sanciones ............................................................................................................................. 194 RIESGOS CIBERNÉTICOS ......................................................................................................... 196 Delito cibernético............................................................................................................... 196 1.
Herramientas sowfware............................................................................................. 198
2.
Legislación ................................................................................................................... 199
3.
Tipos de delitos .......................................................................................................... 200
4.
Prevención ................................................................................................................... 206
Uso de software ilegal ....................................................................................................... 211 1.
Riesgos legales del uso de software sin licencia................................................... 211
2.
¿Cuáles son los medios de control?.......................................................................... 216
3.
Las denuncias de uso de programas piratas tienen recompensas...................... 217
Gestión de la información (ISO 27001) ........................................................................... 217 1.
Riesgos .......................................................................................................................... 218
2.
Controles ...................................................................................................................... 219
RIESGO DE PRÁCTICAS EMPLEO INDEBIDAS ......................................................................... 222 Despidos nulos ..................................................................................................................... 222 a.
Causas del despido ................................................................................................. 222
b.
Consecuencias ......................................................................................................... 223
c.
Indemnización ......................................................................................................... 224
d.
Consecuencias si el empresario recurre la sentencia ...................................... 224
e.
Plazo para incorporarse a la empresa ................................................................ 224
f.
Cuándo no es posible readmitir al trabajador................................................... 225
Despidos Improcedentes.................................................................................................... 225 a.
Consecuencias y efectos ....................................................................................... 225
b.
Fijación del importe de la indemnización ......................................................... 227
Negativa injustificada de empleo o promoción laboral ............................................... 228 Acoso Sexual ........................................................................................................................ 232 6
Acoso moral en el trabajo: mobbing ............................................................................... 236 Invasión a la Privacidad ..................................................................................................... 242 RIESGOS DE SEGURIDAD ......................................................................................................... 266 Seguridad Industrial ........................................................................................................... 266 Seguridad en los productos ............................................................................................... 273 Seguridad y Salud en el trabajo ....................................................................................... 277 CÓMO ELABORAR UN CÓDIGO DE CONDUCTA .................................................................... 279 Principios básicos del código ............................................................................................ 279 Planificación, diseño y desarrollo ................................................................................... 280 Análisis del código de otras organizaciones................................................................... 281 Aspectos a incluir dentro del código............................................................................... 282 Mecanismos para fomentar el cumplimiento del código ............................................. 283 Ejemplos de aspectos a incluir en un código de conducta ......................................... 285
7
LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS
Introducción
La Ley Orgánica 5/2010 de 22 de junio, de reforma del Código Penal, que entró en vigor el 23 de diciembre de 2010, introdujo en la legislación penal española una de las modificaciones más sustanciales en el derecho penal empresarial desde la aprobación del Código Penal de 1995. La modificación legal más relevante consistió en la abolición de nuestro ordenamiento jurídico penal del viejo aforismo romano societas delinquere non potest, según el cual una persona jurídica no podía cometer delitos. Con ello, la reforma convierte a las personas jurídicas en sujetos inmediatos del Derecho Penal susceptibles de cometer delitos, al margen de las concretas personas físicas que las integren, y de ser por ello sancionadas con auténticas penas. La responsabilidad penal de las personas jurídicas se modula en torno a diferentes artículos que vienen a establecer un verdadero estatuto penal – un cuasi Código Penal - de las personas jurídicas. Este estatuto abarca el ámbito subjetivo o posibles sujetos penalmente responsables, los concretos delitos que van a poder activar esta responsabilidad penal y, entre otros, el sistema de penas previstas para las personas jurídicas penalmente responsables.
Antecedentes
Modernamente no ha sido objeto de discusión ni debate la atribución de responsabilidad a las personas morales o jurídicas en el ámbito del Derecho civil, en particular porque la responsabilidad civil (contractual y extracontractual) puede tener carácter objetivo1; la misma aseveración es predicable de la responsabilidad civil derivada del delito cuando se pone a cargo de las personas jurídicas. En el ámbito del Derecho administrativo se reconoce de igual modo responsabilidad de tipo administrativo a dichas entidades y la posibilidad de imponerles sanciones administrativas; ello es así a pesar de que en este sector del ordenamiento jurídico los principios sancionadores coinciden en buena medida con los que vienen requeridos por el Derecho penal para la responsabilidad de naturaleza penal, aunque 8
tal reconocimiento se debe al hecho de que la responsabilidad de naturaleza administrativa para las personas jurídicas es también de carácter objetivo. Sin embargo, por lo que respecta a nuestra legislación penal, dado que la responsabilidad penal es de carácter subjetivo, había encontrado tradicionalmente reconocimiento el principio “societas delinquere non potest” o, expresado también de otro modo, “universitas delinquere nequit”. Es decir, se rechazaba la responsabilidad penal de las personas jurídicas y se consideraba que en los casos de comisión de un delito en el seno de una persona jurídica, la responsabilidad “criminal” alcanzaba únicamente a las personas físicas que actuaban por la jurídica, a través de la previsión de determinadas cláusulas como la contenida en el artículo 31.1 del Código penal de 1995 —preexistente en nuestra legislación penal desde 1983—, que tiene como finalidad la ampliación del círculo de la autoría de los delitos especiales a determinados “extranei” (personas físicas), que actúen como administrador de hecho o de derecho de una persona jurídica (o en nombre o representación legal o voluntaria de otro). De este modo se lograba además evitar la impunidad en que se incurría cuando la persona jurídica no era penalmente responsable y el hecho delictivo era cometido en su nombre o beneficio por parte de quien no reunía las condiciones de la autoría establecidas por los tipos delictivos. No obstante, la situación legislativa en nuestro país sobre la responsabilidad de las personas jurídicas con relación a hechos delictivos ha ido evolucionando en las últimas décadas para terminar cuestionando o negando abiertamente el tradicional principio de la incapacidad de las personas jurídicas para delinquir o, más precisamente, para ser penalmente responsables de los delitos. Ya el Código penal de 1995 representó un paso importante respecto a los Códigos penales anteriores, al establecer de forma sistemática (y no aislada como hasta entonces) consecuencias jurídicas del delito aplicables a las personas jurídicas —consecuencias accesorias—, sin la denominación de penas ni el reconocimiento expreso de que las personas jurídicas podían incurrir en una responsabilidad jurídica de carácter penal. Sin embargo, ese cambio hacia la previsión sistemática de consecuencias jurídicas aplicables a las personas jurídicas en razón de hechos delictivos se transformó sustancialmente al reconocerse de forma expresa la responsabilidad penal de las personas jurídicas mediante la Ley Orgánica 5/2010, de 22 de junio, de reforma del Código penal. En su virtud se instituyó y reglamentó por primera vez en nuestra legislación penal la responsabilidad penal de las personas jurídicas (art. 31 bis), con un catálogo de penas aplicables directamente a las mismas (art. 33.7) y un sistema de aplicación de estas penas igualmente singular (art. 67 bis)5. Ahora bien, 9
semejante modificación legal no dio lugar a la desaparición de las consecuencias accesorias, puesto que se siguen aplicando a empresas, organizaciones, grupos o cualquier otra clase de entidades o agrupaciones
cuando las mismas carecen de
personalidad jurídica (art. 129). La reforma incide en la misma cuestión, introduciendo precisiones en algunos aspectos de la regulación vigente (en el ámbito de la autoría) y nuevas previsiones en cuanto a dicha responsabilidad penal de las personas jurídicas (regulación expresa y detallada de las circunstancias que determinarían una posible exención de responsabilidad). Por lo tanto, se estaría consolidando el cambio de paradigma iniciado en 2010, aunque la forma de proceder del legislador resulte sumamente criticable, al dar la impresión de improvisación permanente6, a falta de claridad de ideas, generando incertidumbre acerca de la determinación del concreto modelo establecido.
El nuevo modelo constituye la traslación al ordenamiento jurídico español de una tendencia legislativa de origen anglosajón que ha cuajado en gran parte de Europa (con la relevante excepción de Alemania)7. Sin embargo, no había una obligación internacional que vinculara jurídicamente al Estado para incorporar a nuestro ordenamiento jurídico la responsabilidad penal de las personas jurídicas, como señalaba el legislador en la Exposición de Motivos de la LO 5/20108. Es cierto únicamente que existían recomendaciones de organismos internacionales (Naciones Unidas, Consejo de Europa) favorables a dicho reconocimiento, pero no por ello eran de obligatoria recepción. Del mismo modo las iniciativas de la Unión Europea de los últimos años, requiriendo a los Estados miembros para que establecieran en sus respectivas legislaciones sanciones contra las personas jurídicas en relación con diversos grupos de delitos, no prejuzgaban ni determinaban la naturaleza jurídica que dichas sanciones debían poseer.
Contenido de la reforma
•
Sujetos responsables El artículo 31 bis del Código Penal establece que cualquier persona jurídica, incluidas las Sociedades Mercantiles Estatales, pueden ser sujetos responsables. Se excluyen expresamente de esta nueva responsabilidad penal: o
El Estado 10
o
Administraciones Públicas territoriales o institucionales
o
Organismos Reguladores
o
Agencias y Entidades Públicas Empresariales
o
Organizaciones internacionales de derecho público
o
Otras personas jurídicas que ejerzan potestades públicas de soberanía, administrativas o cuando se trate de Sociedades mercantiles Estatales que ejecuten políticas públicas o presten servicios de interés económico general
o
Salvo que cualquiera de las anteriores hubiera sido creada con el propósito de eludir una eventual responsabilidad penal.
Aunque inicialmente los partidos políticos y los sindicatos se encontraban incluidos en la relación de personas jurídicas excluidas, tras la reforma operada por L.O. 7/2012, de 27 de diciembre, se elimina dicha exclusión, por lo que los partidos políticos y sindicatos pueden ser ya sujetos penalmente responsables.
•
Responsabilidad En los supuestos previstos en el Código, las personas jurídicas serán penalmente responsables: a. De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma. La persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: 1. el órgano de administración ha adoptado y ejecutado con eficacia, antes
de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión; 2. la supervisión del funcionamiento y del cumplimiento del modelo de
prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga 11
encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; 3. los
autores
individuales
han
cometido
el
delito
eludiendo
fraudulentamente los modelos de organización y de prevención y 4. no se ha producido una omisión o un ejercicio insuficiente de sus
funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2. En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena. En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada. Según el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, en su artículo 258 “Cuenta de pérdidas y ganancias abreviada”, podrán formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes: a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros. b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros. c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta.
b. De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
12
La persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. La persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: 1. el órgano de administración ha adoptado y ejecutado con eficacia, antes
de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión; 2. la supervisión del funcionamiento y del cumplimiento del modelo de
prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; 3. los
autores
individuales
han
cometido
el
delito
eludiendo
fraudulentamente los modelos de organización y de prevención y 4. no se ha producido una omisión o un ejercicio insuficiente de sus funciones
de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2 del artículo 31 bis. En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.
•
Delitos aplicables Las personas jurídicas penalmente responsables solo pueden serlo por los concretos treinta y un delitos que expresamente señala el Código Penal que pueden dar lugar a su responsabilidad. El elenco de delitos que pueden ser cometidos por una persona jurídica puede dividirse en dos grupos, atendiendo a su habitualidad en el ámbito empresarial. Entre los delitos propios o más habituales del ámbito empresarial: o
Delitos contra la intimidad y allanamiento informático (art. 197) 13
o
Estafas propias e impropias (art. 251 bis)
o
Insolvencias punibles: alzamientos y concursos punibles (art. 261 bis)
o
Daños informáticos y hacking (art. 264)
o
Delitos contra la propiedad intelectual e industrial (art. 288)
o
Delitos contra el mercado y los consumidores (art. 288). Incluyen a su vez: Descubrimiento y revelación de secretos de empresa (arts. 278 a 280) Desabastecimiento de materias primas (art. 281) Publicidad engañosa (art. 282) Fraude de inversores y de crédito (art. 282 bis) Facturación fraudulenta (art. 283) Manipulación de cotizaciones en los mercados (art. 284.1 y 2) Abuso de información privilegiada (arts. 284.3 y 285) Facilitación ilegal de acceso a servicios de radiodifusión y televisión (art. 286). Corrupción entre particulares y deportiva (art. 286 bis)
o
Blanqueo de capitales (art. 302)
o
Delitos contra la Hacienda Pública y la Seguridad Social (art. 310 bis)
o
Delitos contra los derechos de los ciudadanos extranjeros (art. 318 bis)
o
Delito sobre la ordenación del territorio (art. 319)
o
Delitos contra los recursos naturales y el medio ambiente (art. 327 y 328)
o
Delitos relativos a la energía nuclear y a las radiaciones ionizantes (art. 343)
o
Delitos de riesgo provocado por explosivos (art. 348)
o
Cohecho (art. 427)
o
Tráfico de influencias (art. 430)
o
Corrupción de funcionario extranjero (art. 445)
Resulta llamativo que un ámbito propicio para el reconocimiento de la responsabilidad penal de la empresa, como es el de resultados lesivos contra la vida o la salud de las personas en el curso de actividades o explotaciones peligrosas, que tanta consideración merecen en el Derecho comparado, resulte excluido de este cuadro de previsiones delictivas societarias. Tal vez semejante ausencia pueda explicarse tanto por haberse optado por un sistema vicarial (la responsabilidad vicaria se produce cuando la ley tiene una persona o entidad responsable de las acciones de otro), como porque la regulación española no diferencie claramente en los delitos societarios entre la imputación dolosa (cultura o filosofía empresarial) y la imputación por imprudencia (organización
14
defectuosa), como tampoco lo hace entre la responsabilidad corporativa derivada de no evitar la comisión de infracciones penales por parte de alguno de sus miembros y la emanada de los riesgos generados directamente por la actividad empresarial. •
Criterios de atribución El criterio elegido por la reforma para atribuir responsabilidad penal a las personas jurídicas es doble. De esta forma, las personas jurídicas podrán ser consideradas penalmente responsables de cualquiera de los delitos señalados o, lo que es lo mismo, podrán ser penalmente condenadas como autoras de un delito, en dos supuestos: I.
Cuando alguno de sus representantes legales o administradores de hecho o de derecho, haya cometido un delito por cuenta y en provecho de la persona jurídica.
II.
Cuando en el ejercicio de las actividades sociales y por cuenta y en provecho de la persona jurídica, se haya cometido el delito por uno o varios de sus empleados, siempre y cuando el hecho punible haya sido posible por no haberse ejercido el debido control sobre su persona y actividad, por los legales representantes o administradores.
Es por ello, que el segundo criterio o forma de responsabilidad conlleva una serie de consecuencias de enorme relevancia para las personas jurídicas. Este sistema de debido control se conoce como “Corporate Compliance”.
•
Sistema de penas El elenco de penas aplicables a las personas jurídicas se establece en el apartado 7 del artículo 33 del Código Penal. Se trata de siete tipos de penas creadas para imponerse específicamente a las personas jurídicas con la consideración de penas graves, independientemente de su duración. o
Multa por cuotas o proporcional.
o
Disolución de la persona jurídica.
o
Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
o
Clausura de sus locales y establecimientos por no más de cinco años.
o
Prohibición definitiva o temporal de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito. 15
o
Inhabilitación por no más de 15 años para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios fiscales o de Seguridad Social.
o
Intervención judicial por no más de cinco años a favor de acreedores o trabajadores. II.
Responsabilidad Penal de Administradores y Directivos
Con independencia de la responsabilidad penal directa por posibles delitos cometidos por éstos, el nuevo Código Penal establece una responsabilidad de prevención y control a los directivos, administradores de hecho o de derecho. Esta responsabilidad queda establecida en el propio Art. 31, 31 bis, el Art.10 y 11 y el nuevo Art. 286 seis. Adicionalmente el código penal establece unas categorías de delitos que son directamente imputables a los administradores de hecho o de derecho de la Entidad Los aspectos más relevantes de los mismos son los siguientes: •
Los Administradores de hecho o de derecho responderán penalmente, aunque no concurran en éstos las condiciones para poder ser imputados penalmente, si tales condiciones sí se dan en la Entidad o persona jurídica en cuyo nombre o representación obren ( Art. 31).
•
Serán imputados penalmente con pena de prisión, multa e inhabilitación profesional los representantes legales, administradores de hecho o de derecho que omitan la adopción de medidas de vigilancia o control de prevención de delitos en la empresa. Dentro de estas medidas se incluyen la contratación, selección cuidadosa y responsable, vigilancia del personal de control, y en general las expresadas en el artículo 31 bis. (Art 286.6).
•
Los administradores de hecho o de derecho responderán penalmente de los delitos societarios, delitos contra los derechos de los trabajadores y delitos contra la salud pública (Arts. 294, 318, 366).
•
El artículo 10 tipifica como delito la omisión dolosa o imprudente. En el artículo 11 se especifica que existe delito por omisión en aquellos delitos producidos como consecuencia de no aplicar una obligación legal o contractual de actuar.
•
La Ley de Sociedades establece que los administradores de hecho o de derecho responderán frente a la sociedad, frente a los accionistas y frente a los acreedores sociales del daño que causen por actos u omisiones contrarios a la ley o a los estatutos, o por los incumplimientos inherentes al desempeño del cargo. 16
•
El P. de Ley de reforma de la Ley de Sociedades de Capital incorpora y amplia las responsabilidades en materia de gestión, control y prevención de posibles riesgos (penales y fiscales) a los Administradores de hecho y de derecho (Directivos). Asimismo estipula nuevos y más detallados elementos para realizar y acreditar el nuevo marco de funciones y responsabilidades de los Administradores, Consejeros y Secretarios del Consejo, todo ello para definir adecuadamente el nuevo marco de referencia y de posibles responsabilidades personales de carácter civil y penal.
Por todo ello es necesario que el equipo directivo se asegure del adecuado cumplimiento normativo en la Entidad y de disponer de un Plan de Prevención para evitar la responsabilidad penal y civil a nivel personal.
Corresponsabilidad entre las personas físicas y jurídicas •
Personas física que responde del delito Según el modelo previsto por la LO 5/2010, la responsabilidad de la persona jurídica no sustituye necesariamente a la de la correspondiente persona física, sino que puede acumularse a ésta. Es decir, por la comisión de un delito pueden responder tanto la persona física como la persona jurídica, pero también es posible, conforme a la regulación prevista en el art. 31 bis 2 y 3, que responda únicamente la persona jurídica a pesar de la exención de responsabilidad que pudiera corresponder a la persona física. Del mismo modo, pueden responder de un mismo delito una pluralidad de personas físicas y/o de personas jurídicas, porque, aunque el Código no lo dice expresamente en el art. 31 bis, tampoco excluye la codelincuencia (incluso entre personas físicas aparece mencionada en el párrafo segundo del apartado primero del art. 31 bis) y es fácil concebir estas situaciones fácticas en la realidad. El fundamento de la responsabilidad penal de las personas jurídicas, tal y como se contempla en el art. 31 bis 1 CP, parece residir en una supuesta “culpabilidad” de éstas, basada, por un lado, en el caso de personas con poder de representación o directivos (representantes legales y administradores de hecho o de derecho) en haberse cometido el delito “en nombre o por cuenta de las mismas y en su provecho”, y, por otro lado, en el supuesto de empleados su fundamento residiría en que actúen “en el ejercicio de las actividades sociales y por cuenta y en provecho de las personas jurídicas”, cuando, estando sometidos a la autoridad de las personas físicas mencionadas anteriormente, hayan podido 17
realizar los hechos “por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso”. Tales datos no integran en realidad una verdadera culpabilidad de la persona jurídica, sino que aparecerían como elementos fundamentadores de la tipicidad referida a esta clase de responsabilidad penal de los entes colectivos con personalidad jurídica. Sin embargo, y según se desprende del art. 31 bis 2 CP, la responsabilidad penal de la persona jurídica no es directa (no realiza un tipo), sino que requiere que una persona física haya cometido un delito, pero no se exige que ésta sea responsable penalmente del mismo (responsabilidad por hechos ajenos, aun cuando en nombre o por cuenta de la persona jurídica y en su provecho). Así las cosas, esta regulación vendría en realidad a confirmar el axioma de que las personas jurídicas no pueden delinquir, ya que tienen que ser otras (las personas físicas) las que lo hagan por ellas35. Por lo tanto, no se reconoce la responsabilidad penal de las personas jurídicas porque ahora puedan delinquir (directamente), sino porque otras personas (las físicas) delinquen por, para o a través de ellas. Es decir, estamos ante un sistema de heterorresponsabilidad, de responsabilidad vicarial o por transferencia. La tipicidad en las hipótesis de responsabilidad penal de las personas jurídicas viene dada por el tipo realizado por la persona física en conjunción con los hechos de conexión que también están a cargo de la persona física (cometerse el delito en nombre, por cuenta, en provecho o con fallos de control de las actividades sociales de una persona jurídica). Luego no hay hecho típico propio de la persona jurídica, únicamente entra en juego el hecho típico de la persona física en conexión con aquélla. Ahora bien, en el sistema de responsabilidad por transferencia del Código penal se introducen limitaciones a dicha transferencia, así como ciertos rasgos de independencia entre unas y otras responsabilidades. A este respecto se prevé que la responsabilidad penal de las personas jurídicas será exigible siempre que se constate la comisión de un delito que haya tenido que cometerse por quien ostente los cargos o funciones aludidos en el art. 31 bis 1, aun cuando la persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella (art. 31 bis 2). Es más, la concurrencia, en las personas que materialmente hayan realizado los hechos o en las que los hubiesen hecho posibles por no haber ejercido el debido control, de circunstancias
que
afecten
la
culpabilidad
del
acusado
o
agraven
su
responsabilidad, o el hecho de que dichas personas hayan fallecido o se hubieren sustraído a la acción de la justicia, no excluirá ni modificará la responsabilidad 18
penal de las personas jurídicas (art. 31 bis 3). Consecuentemente, no existen delitos específicos de la persona jurídica, sino que ésta responde del delito cometido por la persona física, aun cuando de forma totalmente autónoma de ella, hasta el punto de no precisarse que la misma esté individualizada, bastando la sospecha (“un delito que haya tenido que cometerse…”) de que alguien perteneciente al ámbito de la persona jurídica, en virtud de su cargo o de su función, habría debido realizar el delito por ella o para ella. Si bien la explicación de dicha exoneración de las necesidades de prueba incriminatoria es que no queden excluidos supuestos en los que la complejidad de la corporación, de su organización y funcionamiento, no permitan determinar o identificar con exactitud la autoría de la conducta delictiva36. Por tanto, se parte de un modelo general de corresponsabilidad tanto de la persona física como de la persona jurídica, en el que es común el título de imputación jurídico-penal (el tipo delictivo), pero tal corresponsabilidad puede ser excepcionada en aras de una responsabilidad autónoma y primaria —no subsidiaria— de la persona jurídica, en la medida en que ya no se precisa la concurrencia de responsabilidad penal de la persona física para poder responder penalmente la jurídica. De ese modo decae la accesoriedad de la pena como elemento limitador de la imposición a las personas jurídicas de consecuencias accesorias previstas y reguladas antes de la reforma de 2010 en el art. 129 CP37, pues, a la vista de las disposiciones legales en que se albergaba esta posibilidad, resultaba precisa para su aplicación en la mayor parte de las ocasiones la existencia previa de una condena de la persona física. En el Código penal español vigente no se establecen restricciones sobre la responsabilidad de las personas jurídicas vinculadas a la representatividad de las personas físicas que cometen delitos en su nombre o por su cuenta y en su provecho, esto es, autores de los delitos corporativos pueden ser tanto directivos, administradores o personas con poder de representación como empleados, aunque en este último caso la responsabilidad penal tendrá que derivar de no haberse ejercido sobre ellos el debido control por parte de las personas que tuvieran autoridad sobre las mismas. Por ello, en principio y dado que las empresas se organizan de manera jerárquica y funcional, la responsabilidad corporativa podría venir generada por cualquiera de sus miembros. A su vez, la referencia legal común de actuar en provecho de la persona jurídica alude a una mera tendencia en la persona física que comete el delito, sin necesidad de que la persona jurídica haya obtenido efectivamente dicho beneficio o provecho. El 19
provecho puede ser directo (beneficio empresarial) o indirecto (ahorro de costes). Esto último se pone expresamente de manifiesto en el Anteproyecto de reforma del Código penal de abril de 2013, que sustituye el término provecho por el de beneficio, añadiendo que el mismo puede ser directo o indirecto. Por lo que respecta a actuar en nombre de la sociedad, dicha circunstancia se dará cuando el comportamiento de la persona con poder de representación se acomode a la política y directiva de la empresa previamente fijadas. Mientras que actuará por cuenta de la sociedad si persigue los intereses de ésta determinados autónomamente en el marco de sus funciones sociales. a. Personas con poder de representación, administradores de hecho o de derecho: son las personas que ejercen de facto o de derecho la dirección, la representación o el gobierno de la persona jurídica. Se tratará igualmente de personas que gozan de autoridad sobre el resto de miembros del ente societario. El Código penal de pretende modificar esa primera referencia, especificando más detalladamente el círculo de sujetos a quienes se designa en este apartado: por un lado, se mantiene la alusión formal a los “representantes legales”; por otro lado, se elimina la mención de carácter material a los “administradores de hecho o de derecho” —de por sí susceptible de abarcar amplias situaciones de gobierno y dirección de la empresa— y se sustituye por otra más descriptiva e igualmente material que cierre el paso a posibles lagunas o dudas hermenéuticas, puesto que se incluyen en este lugar a “aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma”. Destaca sobre todo el hecho de que tales personas pueden actuar bien individualmente, bien colectivamente como integrantes de un órgano de la persona jurídica, siendo que esta última forma de actuación no se encuentra claramente contemplada en la regulación actual; en cambio, las facultades de decisión, organización y control a las que se alude en la propuesta de reforma no suponen en realidad una ampliación del elenco de sujetos, ya que se corresponden obviamente con las funciones de los administradores de hecho o de derecho de la persona jurídica.
20