Debate sobre responsabilidad penal de personas jurídicas

La presente publicación contiene opiniones y criterios cuyo único fin es orientar de forma
general a los lectores sobre aspectos generales de cumplimiento normativo y no sustituye de
forma alguna la asesoría de profesionales especializados en la atención de dudas concretas.
Para cualquier consulta sobre el evento o en materia de cumplimiento normativo, podéis
contactar a los organizadores a través de las siguientes direcciones:
Garberí Penal: info@garberipenal.com
Escudo Legal: escudolegal@escudolegal.es
GAT Intelligence: contactogat@grupogat.com
ECIX Group: info@ecixgroup.com.

Todos los que hemos asistido a las
ponencias sobre la responsabilidad penal
de las personas jurídicas impartidas por
Don José Manuel Maza, Magistrado de
la Sala Segunda del Tribunal Supremo,
le hemos escuchado decir que él es un
“converso” en esta materia. La verdad
es que no sólo él es un converso. Creo
que muchos profesionales del Derecho
y de otros ámbitos se “han convertido”
en lo que se refiere al Derecho Penal,
en general, y a la responsabilidad penal
de las personas jurídicas, en particular,
aunque evidentemente, la gran mayoría,
por razones absolutamente distintas a las
de Don José Manuel Maza.
Tras asistir a muchas ponencias, seminarios,
conferencias, cursos, charlas, etc, sobre la
responsabilidadpenaldelaspersonasjurídicas,
los abogados y expertos en compliance Alex
Garberí y Nestor Aparicio, y el que suscribe,
hemos detectado que, además de repetirse
mucho todos los argumentos, algunos de ellos
son inconsistentes cuando no una venta de
servicios jurídicos, entre ellos, de los famosos
programas informáticos.
Además de lo anterior, de la lectura de artículos
en revistas especializadas, del buceo en las
redes sociales, y de esas ponencias a las que
hacía referencia, se evidencia que muchas
empresas o profesionales de diversos ámbitos
han aprovechado la responsabilidad penal
de las personas jurídicas para impulsar sus
negocios, como por otra parte, es lógico, pero
creo sinceramente, que ven la responsabilidad
penal de las personas jurídicas como algo
sencillo y que pueden prescindir de contar en
sus equipos con abogados o despachos de
perfil penalista en la elaboración de los Planes
de Prevención de Delitos y todo lo que les
rodea, sin tener en cuenta los despachos que se
dedican al Derecho Penal y la especialización
que el mismo requiere.
Todo lo anterior, nos llevó a la idea de
organizar una serie de debates como espacios
de intercambio de opiniones e ideas sobre
la responsabilidad penal de las personas
jurídicas, tanto desde un punto de vista teórico
como desde un punto de vista práctico, con
Introducción
1er Debate entre Profesionales sobre la Responsabilidad Penal de la Persona
Jurídica y los Modelos de Prevención de Delitos
2

y las sentencias dictadas hasta el momento
en cuanto a la responsabilidad penal de las
personas jurídicas, y muy especialmente, la
Sentencia “bisiesta” nº154/2016. Tras esta
primera ponencia y como consecuencia de
ella, se inició un interesante debate entre
todos los asistentes, en el que se sacaron
nuevos asuntos que serán tratados en futuros
debates como, por ejemplo, cuál debía ser
la estrategia a seguir en el juzgado una vez
detectado la comisión de un delito en el seno
de la empresa.
En segundo lugar, Nestor Aparicio, abogado
y experto en Compliance se encargó de
lanzar al debate quién debe realizar los
planes de prevención de delitos y quien debe
implementarlos. Entre muchos extremos,
Nestor Aparicio dejó claro que el compliance
es “control, control, control”, “que las normas
ISO, con especial referencia a la norma ISO
19600, son una buena guía para realizar los
planes”, y “que el compliance debe ser tratado
de manera multidisciplinar, pero que debían
ser dirigidos por un abogado penalista”. Como
no podía ser de otra manera se generó otro
interesante debate, surgiendo discrepancias
en cuanto a la importancia o no de las
certificaciones que derivarían de las normas
ISO y en cuanto a la figura del abogado
penalista en el “compliance”.
En tercer lugar, Alex Garberi, abogado
penalista y experto en Compliance, trató
sobre qué son y cuáles son las funciones del
órgano de supervisión y control, exponiendo
el objetivo no sólo aprender sino también de
situar la responsabilidad penal de las personas
jurídicas en su debido contexto, debatiendo en
un formato ágil y completamente participativo
todas las posturas y criterios existentes para,
en la medida de lo posible, encontrar puntos en
común y, como no, generar sinergias siempre
positivas en cualquier materia.
Así, se celebró el día 30 de junio de 2016 en
la sala Constanza del Hotel NH de Príncipe
de Vergara, Madrid, el primer debate entre
profesionales sobre la Responsabilidad Penal
de las Personas Jurídicas y los Modelos de
Prevención de Delitos, organizado por CGA
ABOGADOS (Madrid), GARBERI PENAL
(Barcelona), GARRIDO ABOGADOS (Madrid),
GRUPO GAT (Madrid) y la ASSOCIATION OF
CERTIFIED FRAUD EXAMINERS (ACFE), al
que acudieron abogados, “compliance officers”
e interesados en la materia.
El debate moderado por el que suscribe,
comenzó con la intervención del Ilmo.
Magistrado–Juez Don Eduardo Gutiérrez
Gómez, miembro de la sección 23ª de la
Audiencia Provincial de Madrid, sobre la
“Circular 1/16 de la Fiscalía General del Estado
frente a sentencias recientes del Tribunal
Supremo” y quien ya desde un primer momento
consideraba que “era suficiente la regulación
anterior a la reforma” en lo que se refiere a
la responsabilidad de las personas jurídicas
cuando por medio de ellas o en su seno se
cometían delitos, pasando a continuación a
desgranar las diferencias entre la Circular 1/16
Introducción
3

clarísimos ejemplos de cómo debían ser esos
órganos según la estructura que pudiera tener
cada sociedad, dejando claro que “si el delito
se comete en el seno del Consejo, burlando al
compliance officer, habrá sanción” y lanzando
nuevas cuestiones que fueron objeto de
un encendido debate: ¿Qué debe hacer el
compliance officer cuando tenga conocimiento
de que un delito se está cometiendo o se puede
cometer por el órgano de administración? y
¿Qué debe hacer el compliance officer si informa
al órgano de Administración y éste decide no
hacer nada?.
En último lugar, y no por ello menos importante,
habló Gertrudis Alarcón, CEO de GAT
INTELLIGENCE y Presidenta en España de
la “Asociación de Examinadores contra el
Fraude”, sobre las investigaciones internas
empresariales, destacando la importancia de
tener establecidos dentro de la empresa “canales
de denuncia”, y una vez conocido un hecho
iniciar una eficaz investigación interna, dirigida,
para el caso de detectarse la comisión de un
delito, por un abogado penalista, siendo esencial
que toda la investigación quede perfectamente
documentada para evitar problemas para el
compliance officer .
Dado el éxito del debate y su formato, en
próximas fechas se espera la realización de
más debates en otras localidades de España.
Introducción
4

Mi intervención no puede comenzar sino con una
breve mención al concepto de “responsabilidad”,
puesto que –prima facie– debemos buscar en la
empresa al responsable de realizar los planes
de prevención e implementarlos y ejecutarlos.
Resulta clásico entonces acudir a la dogmática
y al análisis de la palabra “responsabilidad” que
en la conceptualización anglosajona se refiere a
los términos de responsibility (“the state or fact
of having a duty to deal with something or of
having control over someone”) y liability (“the
state of being legally responsible for something”);
división que nos resulta de cierta utilidad para
hacer mención de aquellas responsabilidades
del consejo de administración que son
delegables y de aquellas otras que puede
delegar materialmente sin que ello signifique
renunciar a la responsabilidad que tiene sobre
su resultado.
En el ámbito legal civil, las responsabilidades
de los administradores (y consejos de
administración) son claras y bien definidas,
expresándose nítidamente las obligaciones
que pueden delegarse y aquellas otras
que son propias de los administradores por
exigencia legal. Cabe aquí la cita de los arts.
236 y 249 bis de la Ley de Sociedades de
Capital para apreciar la responsabilidad de los
administradores sobre sus acciones u omisiones
y la conceptualización del deber de vigilancia
como una labor indelegable (al menos respecto
de la responsabilidad legal o liability).
Conelbagajedelatradicióncivilista,ellegislador
penal ha pretendido en el art. 31 bis 2 1ª regla la
involucración exclusiva y absoluta del consejo
de administración, que debe adoptar y ejecutar
con eficacia modelos de organización y gestión
“que incluyen las medidas de vigilancia y control
idóneas para prevenir delitos de la misma
naturaleza o para reducir de forma significativa
el riesgo de su comisión”.
La obligación de los administradores
(responsibility-liability) de liderar la
implementación de un sistema de compliance
es, por lo tanto, inexcusable por expreso
mandato legal, surgiendo de forma inmediata
la cuestión acerca de la responsabilidad penal
6
“ Para determinar el alcance del sistema de
compliance será necesario identificar el contexto
interno y externo, social y cultural, situación
económica de la empresa y del entorno competencial,
identificar las partes interesadas y comprometer a la
alta dirección con principios de buen gobierno…”

de los administradores de una empresa
condenada por no disponer de un sistema de
compliance. Es obvio que pueden derivarse las
correspondientes acciones civiles, pero ¿no
es cierto que podrían ser imputados ex arts.
11 y 27 del Código Penal? En efecto, con el
modelo constructivista de autoresponsabilidad
empresarial aclarado por la sentencia del
Tribunal Supremo de 29 de febrero de
2016, parece obvio que los administradores
son cómplices de la falta de organización
corporativa (hecho propio punible) y, por tanto,
responsables penales si omiten los deberes
legalmente impuestos de adoptar y ejecutar
un sistema de compliance.
Aclaradas las cuestiones sobre la
responsabilidad legal en la realización e
implementacióndelossistemasdecompliance,
parece aconsejable que los administradores
deleguen la responsabilidad de realizar
materialmente los programas en despachos de
abogados especializados y multidisciplinares,
por cuanto que el compliance se proyecta
necesariamenteendiversosaspectossobrelos
que es necesario un examen laboral, mercantil,
fiscal y penal. Debemos llamar la atención, en
este sentido, que los administradores serán
igualmente responsables de la elección e
idoneidad de los especialistas que elaboren el
plan de prevención de delitos y, en aplicación
de la clásica culpa in eligendo.
Con el cuadro de responsabilidades definido,
llega el momento de adoptar y ejecutar con
eficacia modelos de organización y control,
cuestión que necesariamente debe ser objeto
de una planificación específica, por cuanto
que se trata de dotar a la empresa de un
verdadero sistema transversal de control del
cumplimiento corporativo. Recomiendo seguir
el hilo ofrecido por la ISO 19600, porque se
trata de un modelo internacionalmente válido
y constitutivo de una suerte de soft law.
En un primer momento, habrá que determinar
el alcance del sistema de compliance,
aclarando cuáles son los límites y la
aplicabilidad. El Tribunal Supremo ya aclara
que es exigible a una empresa pequeña el
mismo nivel de vigilancia (modelo de máximos
establecido en el Código Penal) que a una
empresa grande. Así, en una empresa de
cincuenta trabajadores y una única sede lo
esencial será poder determinar que existe un
compromiso de cumplimiento normativo y no
tanto disponer de un compliance officer, un
canal de comunicaciones, un código ético y
protocolos de gobierno corporativo, compras,
proveedores y de política fiscal. Compliance,
para estas empresas, significará valorar los
riesgos y acreditar medidas que lo mitiguen:
cumplimiento normativo laboral, control de
materias primas, formación de empleados
y subcontratación de especialista fiscal, por
ejemplo.
En cualquier caso, para determinar el alcance
del sistema de compliance será necesario
identificar el contexto interno y externo, social
y cultural, situación económica de la empresa y
del entorno competencial, identificar las partes
7

interesadas (propietarios, administradores,
directivos, empleados, stakeholders, etc.) y
comprometer a la alta dirección con principios
de buen gobierno básicos (como la autonomía
del compliance officer, su acceso al comité de
dirección y la necesaria asignación de recursos).
8

Una vez establecida la política de compliance
deberemos identificar los requisitos y
compromisos de compliance, acudiendo a
las normas imperativas externas (normas
legales, permisos, sentencias, etc.) y a las
internas (acuerdos y pactos voluntarios,
políticas propias de la empresa) y mapear
los riesgos de conformidad con el alcance
que nos hemos definido. Con los riesgos
identificados y definidos debemos acudir a
una planificación de los objetivos a lograr:
un sistema de compliance exige entonces el
9
diseño de acciones dinámicas para minimizar
riesgos y aprovechar las oportunidades. Como
consecuencia lógica de la planificación, el
compliance necesitará del establecimiento de
controles y procedimientos concretos, con el fin
de alcanzar de forma sostenible los objetivos
corporativos. Como es obvio, de nada sirve
si las políticas diseñadas y planificadas no
disponen de controles concretos: es necesario
hacer que la ética de cumplimiento llegue
hasta el último de los empleados, en forma
de controles específicos que además puedan
medirse y evaluarse.

Para terminar, debo llamar la atención sobre dos
cuestiones: compliance no se reduce a disponer
de modelos escritos más o menos adecuados
para la empresa, sino a disponer de verdaderos
controles para objetivar el cumplimiento ético
y normativo en la empresa. Por lo tanto, el
sistema de compliance corporativo debe ser
dinámico y actualizado y actualizable, con el fin
de adaptarse a las necesidades y entorno de
la empresa, y ofrecer respuestas rápidas a los
incumplimientos del modelo, con el fin de crear
una verdadera cultura de cumplimiento en la
empresa.
10

Para que los modelos de organización y
gestión que deben instaurar las personas
jurídicas a los que se refiere el artículo 31
bis desplieguen su verdadera eficacia,
como eximentes, la supervisión de su
funcionamiento y cumplimiento debe haber
sido otorgado a lo que define como órganos
del ente con poderes autónomos de iniciativa
y control o que tengan encomendada
legalmente la función de supervisar la
eficacia de los controles internos de la
persona jurídica.
Dada la falta de sustantividad de la norma,
surgen numerosos interrogantes que deben ser
despejados para atender los requerimientos de
un buen modelo de organización y gestión ¿a
qué se refiere el Código con poderes autónomos
de iniciativa y control? ¿Autónomos respecto
de quién o de qué? ¿Quién o qué órgano/s
tienen encomendada legalmente la función de
supervisar los controles internos en la persona
jurídica?
Tradicionalmente se ha definido el «control
interno» como el conjunto de normas,
controles, procedimientos, actividades y
procesos establecidos con el fin de regular
y controlar la eficiencia de las operaciones
en una organización. Consecuentemente, la
supervisión y vigilancia se ha orientado siempre
al cumplimiento de unas metas u objetivos
específicos; financieros principalmente, de
transparencia en la contabilidad, de prevención
del fraude y protección de los activos de
la sociedad, y, ulteriormente pero con gran
importancia, la verificación del cumplimiento
normativo. A ello se han dedicado normas
y estándares internacionales (COSO, ISO),
estableciendo toda una doctrina soft law de
cómo deben organizarse los entes jurídicos
y sus controles. El marco de las Tres Líneas
de Defensa nos da un buen ejemplo teórico
comúnmente empleado por innumerables
empresas de todo el Globo.
“…hablar de poderes autónomos de iniciativa y
control no es más que afirmar que la delegación
debe expresar claramente la funciones de control a
todos los niveles ”
12

estatutos o por los realizados incumpliendo
los deberes inherentes al desempeño de su
cargo mediando dolo o culpa. Unos deberes
que, recogidos en el Capítulo III de dicha Ley,
comprenden esencialmente el de diligencia
debida (artículo 225), el de no discriminación
empresarial (artículo 226), el de lealtad
(artículo 227) y la evitación del conflicto de
intereses (artículo 229). En síntesis, pues,
corresponde al órgano de administración la
implementación de un sistema de compliance;
o para que quede más claro, la decisión de
Pero la cuestión sigue sin resolverse sino
se acude a los conceptos básicos y sus
previsiones legales, toda vez que sólo ellos
nos darán la clave para entender qué es y a
quién corresponde la función de supervisión
del modelo en las personas jurídicas.
Acudiendo a la inevitable LSC, resulta que
su artículo 236 establece claramente la
responsabilidad de los administradores –ante
la propia sociedad, sus socios, y terceros- por
actos u omisiones contrarios a la ley o a los
13

hacerlo y hacerlo de forma comprometida en
su contenido, alcance, y hasta en la correcta
elección de profesionales para ello.
Sin embargo, no es esta la incógnita que
queremos despejar de la ecuación, sino la que
dice relación con quién vigila y/o supervisa
el cumplimiento del sistema; y qué es eso de
poderes autónomos de iniciativa y control y/o
función legal atribuida de supervisión de los
controles internos, ya que de tales enunciados
parece desprenderse que dichas competencias
corresponderían a persona/órgano distinto
del de administración. Lo que no es tanto así
sino que, a tenor del artículo 249 LSC, existe
la posibilidad de su delegación en miembros
del Consejo de Administración concretos bajo
la figura de la Comisión Ejecutiva o la del
Consejero Delegado, por ejemplo, quienes
serán entonces aquellos órganos a quienes
deberá darse poderes autónomos de iniciativa
y control mediante un contrato de delegación
claramente definido (delegable, a su vez, salvo
estipulación en contra, en Directivos), con el
límite marcado por el apartado a) del artículo
249 bis LSC que convierte en indelegable la
facultad de supervisión del funcionamiento de
los órganos delegados y directivos designados.
A partir de ahí, nombres, los que queramos.
Desde el Compliance Officer strictu sensu
hasta el de Comité de Auditoría, pasando por el
de Comité de Compliance, encontramos tantos
órganos delegados de supervisión y control
como empresas existen. Su configuración
es lo importante y dependerá tanto de la
estructura societaria a la que nos enfrentemos
como de las necesidades de la empresa,
siendo deseable, en entidades ya adultas, su
configuración por profesionales de distinto
corte (finanzas, auditoría, legal y propiamente
especialistas en compliance) pero semejante
perfil: el del control. No nos cansaremos de
repetir que el compliance es control. Y no
dejaremos de destacar la conveniencia de que,
entre sus integrantes o asesores externos,
se halle la figura del abogado especialista en
Derecho Penal. Porque en nuestro país existe la
Responsabilidad Penal de la Persona Jurídica a
diferencia de otros ordenamientos y, mal que le
pese a algunos, ello supone una nueva era en
la que el abogado penalista va a ostentar un rol
de suma relevancia en el mundo empresarial.
Ulteriormente, hablar de poderes autónomos
de iniciativa y control no es más que afirmar la
autonomía en el desarrollo de sus funciones,
por un lado, y que la delegación debe expresar
claramente la funciones de control a todos los
niveles por otro; que el delegado controller debe
tomar parte en las sesiones del Consejo y tener
como mínimo voz en ellas; y que, en respeto
a una verdadera cultura de cumplimiento,
las decisiones relevantes de la sociedad
deben hacerse eco de los planteamientos o
recomendaciones del Órgano de de Supervisión
y Control del modelo de cumplimiento normativo.
14

En línea con el correcto establecimiento
de un Plan de prevención de delitos y
habiéndose definido las funciones del
Órgano de Supervisión y Control se hace
imperativo abordar el papel que juegan las
investigaciones internas en la empresa.
Las investigaciones internas son una parte de
los Planes de Acción ante incumplimientos.
Esto significa que las investigaciones
son inherentes a todos los Programas de
Cumplimientos.
Un plan de acción desde el punto de vista
de la investigación tiene tres componentes
esenciales, y su eficacia dependerá de:
• Las decisiones internas
• La comunicación con la organización y
• La gestión de la información e informes
Enlosartículosprecedentessehanmencionado
lasresponsabilidadesyrolesdedistintospuestos
en la organización vinculados al cumplimiento.
Y será este equipo de cumplimiento o control,
o integridad (llámese como se quiera), quien
tendrá responsabilidades sobre la eficacia de
algunas herramientas necesarias para prevenir
riesgos.
Las más básicas e imprescindibles son aquellas
que se refieren a la diligencia debida y la
evitación del conflicto de intereses, los canales
de denuncia y las investigaciones.
Alineados con los controles internos,
estos mecanismos son una herramienta
complementaria a otros mecanismos de control
que tiene una empresa. Es decir son un medio
que sirve para perfeccionar el entorno de control.
Cuando hablamos de complementariedad se ha
de entender que no es accesorio o que puede
prescindirse de ello.
Esta herramienta, que se materializa en alguna
forma comunicación bidireccional y directa
entre los órganos de gobierno de la empresa
y el resto de la empresa y el entorno cercano,
tiene la finalidad de la permitir la identificación
de comportamientos inapropiados o irregulares
dentro del marco de la política empresarial.
“Las investigaciones internas son una parte de los
Planes deAcción ante incumplimientos. Esto significa
que las investigaciones son inherentes a todos los
Programas de Cumplimientos.”
16

mecanismo que sea, debe ir seguida de una
investigación. Estas investigaciones serán de
distintos tipos.
La empresa se encontrará con investigaciones
sobre asuntos muy concretos cuya
investigación será rápida, con lo que tendrá
un coste menor y la empresa tendrá también
una involucración menor. Y donde los riesgos
de perder información o que se destruyan
evidencias también serán menores.
También tendrá que enfrentar investigaciones
basadas en informaciones poco claras y con
los involucrados trabajando en la empresa, con
lo que la misma tendrá una duración mayor,
mayor coste, más personas involucradas, y
por lo tanto mayores riesgos de destrucción
de evidencias.
En cualquiera de estos casos la empresa
tendrá que seguir un procedimiento
previamente elaborado en el Plan de Acción
mencionado al principio de este capítulo.
Para iniciar dicho Plan la empresa habrá de
valorar las posibilidades que se le pueden
plantear según el tamaño y características de
la misma, sobre el tipo de equipo que realizará
las investigaciones (interno, externo o mixto).
Poniendo por caso las investigaciones que son
parte de mi experiencia, como equipo externo
o como parte de un equipo mixto. Sea cual sea
la decisión de la empresa en relación al equipo,
recomiendo conocer bien los antecedentes
con los que se cuenta antes de tomar ninguna
medida.
Menciono únicamente de política empresarial
y no Leyes vigentes, porque esa política tiene
que estar alineada con la legislación vigente,
ya de no estarlo sería una organización criminal
que marca sus propias reglas del juego.
Las empresas toman conocimiento de si algo
marcha mal por distintos canales como los
Controles Externos e Internos, por accidente,
Quejas de proveedores y clientes, sospechas
y denuncias de empleados. Siendo las
denuncias recibidas a través de los canales
de denuncias puestos a disposición de los
empleados, los mayores proveedores de
información por encima del resto.
Desde que se idearon los canales de denuncia
en el 2002, se ha mantenido consistentemente
como la forma más común de detectar
situaciones irregulares dentro de la empresa.
Ademásalolargodelosaños,sehademostrado
que son los mecanismos más eficaces para
la detección de los asuntos más graves que
puedan afectar a una empresa, como son la
corrupción, la apropiación indebida o el fraude
en los estados financieros.
Además, como muestra el Report to the
Nations on Occupational Fraud desde hace
una década, con independencia del tamaño
de la compañía, los canales de denuncia son
los preferidos por los usuarios a la hora de
reportar irregularidades.
Todas las irregularidades de las que toma
conocimiento la empresa, sea por el
17

No hay nada más importante para la empresa
que una investigación por un posible delito ya
que del resultado de la investigación dependerán
las decisiones que afecten de forma importante
tanto a la propia empresa como a las personas
que trabajan en ella.
Una de las consecuencias de una investigación
es que despierta el interés de los empleados
y la ansiedad de los involucrados por lo que el
manejo de la información será un aspecto clave
del impacto y los resultados de la misma.
Los errores graves en muchas investigaciones
internas es el desconocimiento de las técnicas
de investigación, el desconocimiento de
la legislación en esta materia y la falta de
experiencia, con lo que las consecuencias
suelen tener un impacto en el coste de la
investigación y una pérdida de tiempo valioso.
Del resultado de la investigación puede
depender que la empresa se embarque en un
proceso judicial largo en el tiempo y costoso en
lo económico.
18

Debate sobre responsabilidad penal de personas jurídicas

Debate sobre responsabilidad penal de personas jurídicas

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Debate sobre responsabilidad penal de personas jurídicas

Semelhante a Debate sobre responsabilidad penal de personas jurídicas (20)

Último

Último (20)

Debate sobre responsabilidad penal de personas jurídicas