El pasado 5 abril de 2013 fue remitido al Consejo de Estado el Anteproyecto de Ley Orgánica de modificación del Código Penal (“ACP”). Aun cuando son muchas y de gran calado las modificaciones que este texto introduce tanto en la Parte General como en la Parte Especial del Código Penal (“CP”), esta Circular Informativa se centra exclusivamente en las que afectan a la responsabilidad penal de las personas jurídicas introducida a través de la Ley Orgánica 5/2010 (que entró en vigor el 23 de diciembre de 2010; “LO 5/2010”) y a los denominados programas de compliance penal.
En este ámbito, las novedades más destacables del ACP son, muy resumidamente: (i) el reconocimiento expreso de la posibilidad de que los programas de compliance penal tengan virtualidad no sólo como atenuantes, sino incluso, como causa de exención de la responsabilidad penal de la persona jurídica; (ii) la enumeración por la propia norma penal de los requisitos y características que deben reunir dichos programas de compliance penal para permitir a la persona jurídica exonerarse de responsabilidad penal; (iii) la ampliación del ámbito de responsabilidad penal de la persona jurídica a los actos, no sólo de sus representantes legales, sino también de cualquier persona con capacidad decisoria o facultades organizativas o de control (suprimiéndose la referencia de la regulación actual a los administradores de hecho o de derecho); y (iv) la introducción de un nuevo tipo penal (el nuevo artículo 286 siete del CP) que castiga al representante legal o administrador de hecho o de derecho que haya omitido la adopción de las medidas de vigilancia o control exigibles (es decir, de un programa de compliance penal).
La mayor parte de estas novedades encuentra su antecedente más próximo en el ordenamiento jurídico italiano, constituyendo en muchas ocasiones traducciones literales de varios artículos del Decreto Legislativo italiano 231/2001, de 8 de junio, sobre “Disciplina de la responsabilidad administrativa de las personas jurídicas, de las sociedades y de las asociaciones incluso carentes de personalidad jurídica, según la norma del artículo 11 de la ley de 29 de septiembre de 2000, núm. 300” (publicada en la “Gazzeta Ufficiale”, Serie general, núm. 140, del 19 de junio de 2001) (“DL italiano 231/2001”).
volver al inicio
1. Novedades respecto de los delitos cometidos por los representantes legales o administradores de hecho o de derecho de la persona jurídica.
1.1. Sustitución de la referencia a los administradores de hecho o de derecho por la referencia a cualquier persona con capacidad decisoria o facultades organizativas o de control.
El párrafo primero del apartado 1 del artículo 31 bis del CP en su redacción actualmente vigente dispone que las personas jurídicas son penalmente responsables de los delitos cometidos en su nombre o por su cuenta y en su provecho por sus representantes legales y administradores de hecho o de derecho. En el ACP, este precepto pasa a integrar la letra a) del mismo apartado y artículo del CP, con las siguientes modificaciones:
- se sustituye la expresión “en su provecho” por la de “en su beneficio directo o indirecto”; y
- se suprime la actual referencia a los administradores de hecho o de derecho, reemplazándola por otra a “aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma”.
Esta segunda modificación supone ampliar significativamente el círculo de personas físicas cuya actuación puede acarrear la responsabilidad penal de la persona jurídica, dado que la amplitud de sus términos permite entender abarcados a directivos o mandos intermedios de la persona jurídica que, no siendo administradores de hecho ni de derecho, en cambio sí tendrían la capacidad decisoria u organizativa y de control a las que alude este apartado del ACP.
1.2. Configuración expresa de los programas de compliance penal tanto como posible circunstancia eximente como atenuante.
El aparente incremento del riesgo de incurrir en responsabilidad penal al ampliarse el ámbito subjetivo de transferencia desde la persona física se corregirá con la más importante novedad que el ACP trae consigo en este particular: la posibilidad de extender los efectos de los programas de compliance penal también a los delitos cometidos por los representantes legales y personas con capacidad decisoria o facultades organizativas o de control, y no sólo como circunstancia atenuante, sino incluso como eximente, a diferencia de lo que ocurre con la regulación actual.
Así lo contempla expresamente el primer párrafo del apartado 2 del artículo 31 bis del CP en la redacción prevista en el ACP[1]: si la persona jurídica es capaz de probar que concurren todas y cada una de las circunstancias o elementos que allí se enumeran, la persona jurídica podrá quedar exenta de responsabilidad penal. Si por el contrario, la persona jurídica no es capaz de acreditar más que parcialmente la concurrencia de tales circunstancias, sólo podrá beneficiarse de una atenuación. En particular, lo que la persona jurídica debe probar para poder eximirse de responsabilidad penal es lo siguiente:
“a) el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza;
b) la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control;
c) los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, y;
d) no se ha producido una omisión o un ejercicio insuficiente de sus funciones de vigilancia y control por parte del órgano al que se refiere la letra b”.
1.3. Enumeración legal de los requisitos que debe reunir un programa de compliance penal.
Adicionalmente, el ACP añade un nuevo apartado 3 al artículo 31 bis del CP[2] en el que se especifica, en contraposición con el silencio de la regulación actual, qué requisitos deben cumplir los programas de compliance penal (denominados en el ACP “modelos de organización y gestión” o “modelos de prevención”, utilizando una traducción literal de la terminología italiana):
“a) Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
b) Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
c) Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
d) Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
e) Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.”
Para las personas jurídicas de pequeñas dimensiones, entendiéndose por tales las que están autorizadas a presentar cuenta de pérdidas y ganancias abreviada, se permite que las funciones de vigilancia y control del modelo de prevención implantado las asuma directamente el órgano de administración (apartado “5” –en realidad, debería ser el “4”- del artículo 31 bis del CP conforme al ACP[3]).
1.4. Creación de un nuevo tipo penal para los representantes legales o administradores de hecho o de derecho que no hayan adoptado un programa de compliance penal.
La nueva regulación de los programas de compliance contenida en el ACP supone un incentivo para que las personas jurídicas los adopten, dados los evidentes beneficios que ello puede comportar para éstas: la exoneración de toda responsabilidad penal por los delitos cometidos por sus representantes legales o por las personas con capacidad de decisión o funciones organizativas o de control.
Sin embargo, el ACP no se queda ahí, sino que además, introduce un nuevo tipo penal en el nuevo artículo 286 siete del CP que castiga, no a la persona jurídica, sino a sus representantes legales o administradores de hecho o de derecho (en una clara falta de sintonía con la supresión de este término en la nueva letra a) del apartado 1 del artículo 31 bis, a la que ya nos hemos referido) por no haber adoptado y puesto en práctica los programas de compliance “a que estaban obligados”, según afirma literalmente el ACP al final del apartado XX de su Exposición de Motivos.
La introducción y configuración de este nuevo delito merece sin duda un importante comentario crítico que excede de esta Circular Informativa.
Sin perjuicio de ello, señalaremos aquí brevemente que este nuevo precepto especifica que dentro de dicho programa (“medidas de vigilancia y control”, en palabras textuales del ACP) se entienden incluidas “la contratación, selección cuidadosa y responsable, y vigilancia del personal de inspección y control y, en general, las expresadas en los apartados 2 y 3 del artículo 31 bis”.
De otro lado, las penas a las que se exponen las personas físicas mencionadas son la de prisión de 3 meses a 1 año o, alternativamente, multa de 12 a 24 meses, a la que se añade en todo caso la de inhabilitación especial para el ejercicio de industria o comercio de 5 meses a 2 años. Si el delito se comete por imprudencia (no se dice si grave o leve), dichas penas se sustituyen por la de multa de 3 a 6 meses (apartado 2 del artículo 286 siete del ACP).
volver al inicio
2. Novedades respecto de los delitos cometidos por las personas sometidas a la autoridad de los representantes legales o administradores de hecho o de derecho por no haberse ejercido sobre ellas el debido control.
2.1. Supresión del término “debido control” y exigencia en su lugar de un incumplimiento “grave” del deber de vigilancia que expresamente se atribuye a los representantes legales y personas con capacidad decisoria o funciones organizativas o de control en el seno de la persona jurídica.
Conforme al actual párrafo segundo del apartado 1 del artículo 31 bis del CP, la persona jurídica también responde penalmente por los delitos cometidos por subordinados sobre los que no se ha ejercido el “debido control”, habida cuenta las concretas circunstancias del caso.
El ACP suprime en la redacción dada a la letra b) del apartado 1 del artículo 31 bis del CP el término “debido control” y evita la forma impersonal (“no haberse ejercido sobre ellos...”), especificando que la realización de los hechos (delictivos) por las personas físicas subordinadas designadas en dicha letra b) debe traer causa de “haberse incumplido gravemente por aquéllos [los
mencionados en la letra a) precedente] el deber de controlar su actividad”. En otras palabras, no basta cualquier incumplimiento por parte de las personas mencionadas en la letra a) del apartado 1 del artículo 31 bis del ACP de su deber de vigilancia sobre las personas sometidas a su autoridad, sino que dicho incumplimiento ha de ser “grave” para que la conducta entre en la órbita del Derecho Penal.
2.2. Definición legal del contenido que debe tener dicho programa de compliance penal y de los requisitos que debe reunir para considerar que tiene un “funcionamiento eficaz”.
También en el caso de los delitos cometidos por las personas físicas contempladas en la citada letra b), el ACP prevé que la persona jurídica pueda quedar exenta de responsabilidad penal en los casos en los que antes de la comisión del delito, haya adoptado y ejecutado “eficazmente” un programa de compliance penal “adecuado para prevenir delitos de la naturaleza del que fue cometido” (primer párrafo del apartado “6” ‑debería ser el 5, por el error de numeración más arriba señalado- del artículo 31 bis conforme al ACP[4]). Subsidiariamente, si la persona jurídica sólo es capaz de acreditar lo anterior parcialmente, sólo podrá beneficiarse de una atenuación de la pena (párrafo segundo del mismo apartado y artículo del ACP).
El ACP concreta a continuación qué cabe entender por “adecuado”, y cuándo un programa de compliance penal funciona de manera “eficaz” [5]:
- en cuanto a lo primero, el nuevo apartado “7” –que debería ser el 6, por el indicado error previo de numeración- define qué contenido deberá tener dicho programa de compliance penal, haciéndolo de manera distinta y en términos mucho más genéricos que los expuestos en el anterior apartado 3:
“El modelo de prevención contendrá las medidas que, de acuerdo con la naturaleza y el tamaño de la organización, así como el tipo de actividades que se llevan a cabo, garanticen el desarrollo de su actividad conforme a la Ley y permitan la detección rápida y prevención de situaciones de riesgo”;
- en cuanto a qué se entiende por “funcionamiento eficaz”, en el apartado “8” –que debería ser el 7, por el motivo reiteradamente apuntado- establece:
“El funcionamiento eficaz del modelo de prevención requiere: a) de una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios; b) de un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención.”
volver al inicio
3. Novedad referente a las sociedades mercantiles estatales: éstas podrán ser penalmente responsables en determinadas circunstancias.
Conforme a la redacción actual del apartado 5 del artículo 31 bis del CP, las sociedades mercantiles estatales que ejecuten políticas públicas o presten servicios de interés económico general no pueden incurrir en responsabilidad penal, salvo en el caso de que un juez o tribunal aprecie que se han creado con el específico propósito de eludir tal responsabilidad penal.
En el ACP, la situación cambia radicalmente, al admitirse como regla general respecto de tales sociedades mercantiles estatales que ejecuten las políticas o presten los servicios mencionados precisamente lo contrario, esto es, que dichas entidades puedan ser sujetos penalmente responsables, si bien limitando el ACP las penas que en tales casos podrían ser impuestas a aquéllas a las previstas en las letras a) y g) del apartado 7 del artículo 33 del CP (multa por cuotas o proporcional e intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores por tiempo que no podrá superar los 5 años, respectivamente), limitación que sin embargo no regirá si la
creación de la sociedad mercantil estatal en cuestión ha obedecido al específico propósito de eludir una eventual responsabilidad penal.
volver al inicio
4. Previsiones del actual artículo 31 bis del CP que no sufren modificaciones en el ACP. Disfunciones que se derivan de ello por su falta de adecuación a las novedades comentadas.
4.1. Reubicación de los actuales apartados 2 (responsabilidad penal de la persona jurídica por delitos cometidos por un “autor virtual”) y 3 (no comunicación de las circunstancias modificativas de la responsabilidad penal entre persona física y persona jurídica) del artículo 31 bis del CP.
Los citados apartados 2 y 3 del artículo 31 bis se mantienen, si bien en la nueva versión se reubican en un nuevo artículo 31 ter, apreciándose algunos errores numéricos en la remisión a otros apartados.
4.2. El actual apartado 4 del artículo 31 bis (circunstancias atenuantes específicamente aplicables a la persona jurídica) se reubica en el artículo 31 quáter.
El ACP admite expresamente que los programas de compliance penal adoptados antes de la comisión del delito pueden servir a la persona jurídica para exonerarse de responsabilidad penal o también para atenuar la pena que pudiera imponérsele por la comisión de tal delito.
No es por tanto correcto continuar afirmando que “sólo” son circunstancias atenuantes las expresadas en el artículo 31 quáter del ACP, sino que éste debería tener en cuenta la atenuación indicada (prueba incompleta de la aplicación de una política de compliance).
De otro lado, las circunstancias atenuantes específicamente previstas para la persona jurídica siguen dejando fuera, sin motivo aparente, las dilaciones extraordinarias e indebidas en la tramitación del procedimiento de las que sí pueden beneficiarse en cambio las personas físicas (circunstancia 6ª del artículo 21 del CP) o la atenuante de análoga significación prevista para las personas físicas (circunstancia 7ª del artículo 21 del CP).
Sin duda, habrá que seguir con mucho detenimiento los pasos sucesivos en la tramitación legislativa del ACP. El plazo de vacatio previsto en la Disposición Final Sexta es el de seis meses desde la publicación en el BOE de la Ley Orgánica que finalmente pudiera ser aprobada.
[1]
Traducción literal del artículo 6, apartado 1, del Decreto Legislativo italiano 231/2001.
[2]
Traducción literal del artículo 6, apartado 2, del Decreto Legislativo italiano 231/2001.
[3]
Traducción literal del artículo 6, apartado 4, del Decreto Legislativo italiano 231/2001, si bien con la diferencia de que en contraposición con el silencio de la norma italiana, el ACP sí regula expresamente qué cabe entender por persona jurídica “de pequeñas dimensiones”.
[4] Traducción literal del apartado 2 del artículo 7 del Decreto Legislativo italiano 231/2001.
[5] Traducción literal de los apartados 3 y 4 del artículo 7 del Decreto Legislativo italiano 231/2001.
volver al inicio
