La lucha contra la criminalidad empresarial interna, aunque con afección a intereses y bienes jurídicos ajenos, ha vivido una gran transformación en los últimos años. Este recorrido de progresiva criminalización de conductas surgidas en el entorno empresarial culminó con la aprobación de la LO 1/2015, de 30 de marzo de reforma del Código Penal que introdujo el artículo 31 bis relativo a la responsabilidad penal de las personas jurídicas.

En dicho artículo se establece que corresponde a los administradores de sociedades mercantiles el control y vigilancia de los focos de riesgo y peligro que operan dentro del ámbito material y organizativo de la sociedad, como los riesgos delictivos. Se pone el foco en el denominado “deber de control” del administrador, y se trata de garantizar mediante el requerimiento a este de que implemente programas de cumplimiento o de prevención de delitos denominados también compliance penal o compliance program, cuya eficacia además llevará aparejada la exoneración de la persona jurídica de toda responsabilidad penal.  

El Tribunal Supremo ha considerado suficiente para acreditar la infracción de los deberes de control y vigilancia el hecho que todas las empresas condenadas carecían de sistemas o programas eficaces de cumplimiento destinados a la prevención de delitos en el seno de la empresa. Es decir, el establecimiento de compliance programs constituye un deber jurídico-penal exigible al administrador en la medida en que una ausencia de programas de cumplimiento equivale a un incumplimiento de los deberes de vigilancia y control de los administradores. De ahí que se pueda aseverar que el compliance, hoy día, tiene carácter obligatorio para las empresas.

No todo delito cometido por un subordinado o sujetos incardinados en la estructura organizativa de la empresa puede ser reprochado al administrador omitente, sino solo aquellos que pertenecen a la esfera de dominio del administrador y que se derivan del ejercicio de las funciones que el autor del delito tiene en la organización.

En relación al contenido del compliance program, éste deberá contener un conjunto de herramientas de carácter preventivo, que tienen por objeto garantizar que la actividad que realiza la empresa y quienes la conforman y actúan en su nombre lo hagan de conformidad a las normas legales, políticas internas y Códigos Éticos sectoriales.

También existen distintas normas nacionales e internacionales que sirven para diseñar un modelo óptimo y que se adecúe a las necesidades de cada organización tales como la Norma ISO 19600 sobre gestión de sistemas de Compliance; la Norma UNE 19601 sobre Compliance Penal y la Norma ISO 37001 sobre prevención del soborno y la corrupción.

Lo más importante, en todo caso, es que el programa se adapte a cada organización y adopte los elementos estructurales que prevé el artículo 31 bis del Código Penal el cual establece una serie de requisitos que debe contener todo sistema de compliance, y son los siguientes:

(1) Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

(2) Establecimiento de los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica.

 (3) Disponer de modelos de gestión de los recursos financieros adecuados.

 (4) Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

(5) Establecimiento de un sistema disciplinario.

(6) La verificación periódica del modelo.

Sin embargo, no basta con disponer de programas adecuados sino también corroborar la eficacia de estos programas. Una gestión inexistente o defectuosa puede originar, por tanto, responsabilidades penales conforme a las reglas generales de la comisión por omisión u omisión impropia.

La responsabilidad penal de la sociedad no exonera a las personas físicas que lo hayan cometido materialmente sino que  éstos serán condenados penalmente como responsables, tanto la persona jurídica como la persona física.

Las consecuencias de la apreciación de responsabilidad penal en las personas jurídicas, son las penas previstas en el art. 33.7 del CP, y son calificadas todas ellas como graves. En concreto pueden ser las siguientes: la disolución de la persona jurídica; la suspensión de actividades o clausura de locales por un plazo de hasta 5 años; multas por cuotas o proporcional, que pueden llegar a 10 veces el supuesto beneficio obtenido; la prohibición temporal (hasta 15 años) o definitiva de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito; la inhabilitación por un plazo de hasta 15 años para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social o la intervención judicial por un periodo de hasta 15 años.

En caso de condena a la persona jurídica, pueden llegar a ocasionarse enormes daños colaterales, reputacionales y económicos. Por lo tanto, disponer de un compliance program conlleva no sólo la exoneración de la responsabilidad penal de la empresa sino que permite acreditar ante las autoridades y terceros el grado de cumplimiento de la empresa; demostrando no sólo su compromiso con la legalidad sino con las buenas prácticas del sector y aquellos que asuma voluntariamente.

Este tipo de garantías es cada vez más exigido por clientes y en procesos de contrataciones públicas, en un entorno global en donde la lucha contra la corrupción y el blanqueo de capitales adquiere cada vez más protagonismo.