Socio director y gerente de Broseta Compliance en Broseta

La introducción del régimen de responsabilidad penal a las personas jurídicas en España, por Ley 1/2015 reformando nuestro Código Penal, está cambiando el paradigma legislador de Derecho Penal, ya que ha dejado de ser exclusivamente aplicable a las personas físicas.

En este contexto, todas las empresas, excluyendo entidades de derecho público, sociedades mercantiles estatales o empresas de tamaño muy pequeño, deben contar con programas de Compliance proporcionales al volumen de su actividad, naturaleza y procesos, con el objetivo de evidenciar que no logran sus objetivos mediante la realización de actos delictivos que podrían tener como consecuencia desde multas hasta penas más graves como la propia disolución de la compañía, la pena de muerte empresarial.

En este punto, es preciso destacar algunas cuestiones que deben plantearse las compañías a la hora de entender su grado de exposición al riesgo penal.
1. ¿El delito cometido beneficia a la empresa?
La introducción del régimen de responsabilidad penal a las personas jurídicas no trata de detectar delitos cometidos contra la empresa –que se asume debería tener controles para ello–, sino de detectar conductas delictivas que favorecen a la misma, ya sea a través de un ingreso o de un ahorro en costes, y a sabiendas del riesgo de comisión del delito. Por ejemplo, el delito de falsear las cuentas anuales causa un perjuicio a la empresa o socios, pero al no beneficiar a la empresa, no es un delito imputable a la misma.

2. ¿El delito cometido es por cuenta de la empresa?
El delito debe cometerse en nombre o por cuenta de la empresa, o bien por los representantes o personas con capacidad de decisión y control, o bien por los empleados. Si el delito se comete en el seno de la empresa y como consecuencia de un comportamiento delictivo propio del empleado –por ejemplo ver o poseer pornografía infantil con el ordenador de empresa–, no existe como tal una vinculación con la misma ni un beneficio a la empresa, que será por ello responsable civil pero no imputable “por lo penal”.

3. ¿Es idóneo el control interno?
Solo hay responsabilidad penal si la empresa ha fallado en su modelo de control interno, por no haber adoptado medidas preventivas adecuadas y eficaces para evitar el delito. Medidas genéricas de prevención, directrices de conductas o código éticos por sí solos son bellas declaraciones de intenciones en un papel, pero insuficientes como pruebas para la exención del delito.

4. ¿El delito está dentro del “numerus clausus”?
El numerus clausus es un catálogo cerrado que contiene la categoría de delitos imputables a empresas y se determina con el artículo 31º bis en los delitos tipificados en la reforma del Código Penal. Dicho artículo tipifica delitos como la corrupción, revelación de secretos, estafas, plagio de marca, blanqueo de capitales y así hasta 26 categorías. Es relevante conocer en detalle dicha lista de delitos, pero sobre todo evidenciar de forma práctica las conductas que pueden generar la comisión de los mismos en el seno de la empresa.

Pasos precisos para adaptar un programa de Compliance a una pyme
El primer elemento a tener en cuenta es identificar el grado de madurez que tiene la empresa en el cumplimiento regulatorio que le es aplicable. Para ello es preciso plantearse cuestiones como: ¿Cuántas leyes, reglas y normas de relevancia aplican a las actividades que desarrolla mi empresa? ¿Cuántas personas están dedicadas a vigilar su cumplimiento? ¿Cuánto se invierte al año en supervisar el cumplimiento? ¿Es razonable esta inversión? ¿Existe un órgano de vigilancia independiente para supervisar a los administradores y consejeros delegados? ¿Es robusto el modelo para supervisar a los empleados? ¿Son proporcionales los ingresos de la empresa con la inversión en cumplimiento? ¿Conozco a detalle el “coste” de los posibles incumplimientos?

Compliance no es un coste, como muchos piensan, Compliance es una inversión, teniendo en cuenta el coste potencial al que, por no cumplir de forma adecuada, podríamos incurrir en forma de sanciones… o de prisión.

Centrarse en lo relevante: análisis basado en riesgos-RBA
Difícilmente todos los delitos pueden ser susceptibles de ser cometidos en una misma empresa, ya que dependerá de la actividad de la misma, número de empleados, sedes, entornos físicos y digitales, etc., de ahí la importancia de un análisis basado en riesgos penales (RBA-Risk based Approach) como punto de partida.
Entender hasta qué punto se está expuesto a los riesgos penales empresariales de la citada reforma ayuda a enfocar la supervisión en lo “importante y urgente”. Ejemplo, si una empresa produce alimentos para animales o productos farmacéuticos, el RBA debe enfocarse en supervisar el control interno de delitos contra la salud pública, antes que el tráfico de órganos o la prostitución.
La clave: supervisar el control interno del
cumplimiento de las normas
Nadie se libra. No es cuestión de tamaño. El control interno en la pyme debe ser idóneo, ya que un “fallo organizativo” implica una imputación a la misma por no haber adoptado medidas preventivas para evitar el delito. Se debe diseñar el control interno basándose en los riegos penales muy altos y posteriormente cruzar los comportamientos delictivos de la persona física con los procesos empresariales.

El legislador no espera que un modelo de organización y control de una pyme sea idéntico o similar al de una empresa cotizada o del Ibex. Espera que el delito cometido cuente con un control efectivo antes de la comisión del mismo y que tenga trazabilidad. Solo así la empresa quedará exenta de responsabilidad penal, o al menos podrá atenuar dicha responsabilidad.

En las pymes, los programas de Compliance no precisan necesariamente de un desarrollo informático complejo, ni de estructuras ajenas a la realidad de la compañía. Necesitan un primer paso de reconocimiento de la función de cumplimiento, un análisis basado en riesgos penales, asignación de responsables y un programa de supervisión que permita prevenir y documentar que la empresa no logra sus objetivos a través de conductas delictivas.
Suerte y a desarrollarlo.