Por si todavía quedase algún ápice de duda, el Tribunal Supremo, en sentencia de 28 de junio de 2018, ha remarcado en clave de obiter dicta cuán relevante es que las empresas integren en su seno, como muestra de una buena praxis corporativa, medidas internas dirigidas hacia la prevención, detección y reacción frente a los hechos de trascendencia penal, bautizadas en su conjunto con la expresión “programa de cumplimiento”[1]. Lo más curioso es que en esta ocasión el Tribunal Supremo ha subrayado la importancia de dicha práctica de orígenes norteamericanos a partir de un caso anómalo que no versa sobre ninguno de los delitos contenidos en el catálogo cerrado del articulado penal por los que la persona jurídica puede ser considerada responsable. En concreto, en el supuesto de hecho planteado, el ex administrador de una empresa dedicada a la importación de carbón de Ucrania se apoderó, sin el consentimiento de su socio italiano, de dinero en efectivo de la caja y realizó, además de otras irregularidades, transferencias a su cuenta personal sin justificar su destino que acabaron ocasionando a la organización un perjuicio de 2 millones de euros. Con base en ello, fue condenado por un delito continuado de apropiación indebida y otro de administración desleal.

La Sala II es consciente de que el caso abordado se aparta del tenor habitual y sabe perfectamente que la expansión del fenómeno del compliance a escala global surge a la par que la introducción de la responsabilidad penal de las personas jurídicas[2]. Por ello, procede a distinguir una doble perspectiva de la criminalidad corporativa: la ad intra y la ad extra. Semejante distinción coincide respectivamente con la popularizada clasificación impulsada por Schünemann entre delincuencia en la empresa (Betriebskriminalität) y delincuencia de empresa (Unternehmenskriminalität)[3]. La primera tiene que ver con los delitos cometidos en el seno de la organización, incluyéndose tanto aquellos que amenazan a los bienes jurídicos de los que son titulares sus integrantes (acoso sexual, mobbing, etc.) como aquellos otros en los que la víctima del ilícito penal es la propia empresa (administración desleal, apropiación indebida, hurto, etc.). El segundo tipo de delincuencia, en cambio, abarca el conjunto de hechos antijurídicos cometidos en virtud del potencial desplegado por la sociedad mercantil (delito medioambiental, blanqueo de capitales, insolvencias punibles, etc.). Es decir, se trata de una modalidad de delincuencia perpetrada a través de la corporación y con ocasión del desarrollo de su actividad social susceptible de reportarle algún tipo de beneficio.

Pues bien, centrándonos ahora en la primera clase de delincuencia, la ad intra, que es donde se enmarca el supuesto de hecho analizado, resulta evidente que ninguna persona jurídica podrá ser condenada por un delito del que ella misma haya sido víctima: faltaría, para empezar, el requisito legal de que el ilícito penal se cometa en su beneficio directo o indirecto. Ahora bien, es cierto que, tal como apunta el Tribunal Supremo, la introducción de un programa de cumplimiento puede ser capaz de reducir igualmente el riesgo de comisión de hechos antijurídicos ad intra como los sucedidos en el caso. Y ello sin perjuicio de su virtualidad para evitar, dentro de un estándar de seguridad razonable, la derivación de responsabilidad penal en la corporación para los delitos ad extra así como de responsabilidad civil ex delicto por la vía del artículo 120.4 del Código Penal (en adelante, CP)[4] con base en esta misma clase de eventos penales. En realidad, no existe ningún óbice legal que impida que las organizaciones, en virtud de criterios de prudencia, incluyan herramientas oportunas para combatir además esta clase de ilícitos u otros de naturaleza similar. De hecho, si bien en la matriz de riesgos suelen tomarse como parámetro los diversos tipos penales por los cuales la persona jurídica puede ser condenada penalmente, situando en un eje la probabilidad de materialización y en otro el impacto económico y reputacional en caso de producirse, nada habla en contra de incluir, a su vez, otros ilícitos que puedan conllevar o bien otro tipo de consecuencias igual de gravosas para la persona jurídica o bien responsabilidades personales.

La relevancia que los programas de cumplimiento recaban a ojos del Tribunal Supremo no puede hacernos caer, sin embargo, en el equívoco de colegir su obligatoriedad. En España el impulso a la introducción de un programa de cumplimiento de la mano de los administradores sociales y su correlativo compromiso tanto con su exitoso funcionamiento como con el cumplimiento de la legalidad (el llamado tone from the top) no se articula, en términos generales, como un deber jurídico-penal (Pflicht)[5] sino, más bien, como una incumbencia[6] (Obliegenheit)[7]. Su mera omisión dolosa o imprudente no comporta per se ninguna clase de consecuencia penal ni para la empresa ni para los administradores[8]. No obstante, su omisión sí imposibilita que la persona jurídica pueda posteriormente escudarse en el manto de la eximente de responsabilidad penal del artículo 31bis CP, siempre y cuando se acabe probando la realización en su beneficio directo o indirecto de alguno de los tipos penales incluidos en el numerus clausus antes aludido. Y ello tanto por parte de alguno de sus representantes legales o integrantes de la dirección y gestión corporativa nombrados en el apartado a) del precepto citado (primera vía de imputación) como por cualquiera de los sujetos subordinados referidos en el apartado b) del mismo precepto legal (segunda vía de imputación).

Por lo demás, no puede soslayarse que en el campo civil/mercantil la ausencia de un programa de cumplimiento podría ser enjuiciada en sociedades de determinado tamaño y estructura como una infracción del deber de diligencia de un ordenado empresario exigible a los administradores ex artículo 225 de la Ley de Sociedades de Capital (en adelante, LSC). En efecto, los socios estarían capacitados para interponer contra estos una acción social de responsabilidad (artículo 238 LSC) debido a los perjuicios económicos sufridos por una condena penal de la persona jurídica que podría haberse sorteado de haberse incorporado diligentemente y con carácter previo un programa de cumplimiento eficaz[9]. Hipótesis que se hizo realidad en Italia, toda vez que la Sala Civil del Tribunal de Milano en sentencia de 13 de febrero de 2008 acordó condenar al Presidente del Consejo de Administración y Consejero Delegado de la sociedad actora a indemnizarla por los daños sufridos precisamente como correlato de la ausencia de adopción de un adecuado modelo de organización y de gestión acorde a las disposiciones del Decreto Legislativo 231/2001.

En este orden de cosas, no puede pasar desapercibido el breve homenaje que la Sala II rinde al llamado “Código Olivencia” de 1997 como pieza clave en la reestructuración del buen gobierno corporativo en las sociedades mercantiles. Esta referencia normativa de soft law es capital, pues demuestra cuán necesario es consolidar un buen gobierno corporativo a fin de garantizar el cumplimiento del Derecho en la empresa. Uno y otro ámbito se retroalimentan entre sí: sin una adecuada gestión social, una óptima estructuración societaria y una debida transparencia en la organización difícilmente podrá garantizarse que la actividad comercial no traspasa las fronteras de la legalidad. En el plano normativo semejante vinculación queda demostrada desde el momento en que nos percatamos de que la profusa reforma legislativa operada en el artículo 31bis CP de la mano de la Ley Orgánica 1/2015 tuvo lugar casi al mismo tiempo que la modificación de la LSC realizada a tenor de la Ley 31/2014, de 3 de diciembre, para la mejora del buen gobierno corporativo. Para esta última reforma, fue de suma trascendencia el aún vigente Código de buen gobierno corporativo de las sociedades cotizadas que introduce una serie de recomendaciones de cumplimiento voluntario guiadas por el principio cumple o explica: a pesar de que las sociedades cotizadas no están obligadas a acatarlas sí deben justificar suficientemente en su preceptivo informe de buen gobierno corporativo su falta de adopción[10]. 

En resumidas cuentas, la sentencia examinada no aporta ningún avance o novedad en la materia, a diferencia de otros pronunciamientos judiciales previos, como la pionera STS de 29 de febrero de 2016, por la que se condenó, por primera vez en España, a una persona jurídica[11]. La Sala II vuelve a resaltar, si bien desde una inusual óptica ad intra, la importancia de que las empresas integren herramientas oportunas para asegurar el cumplimiento de la normativa aplicable en la consecución de sus respectivas actividades comerciales, a pesar del tremendo énfasis que ya se ha puesto en el fenómeno del compliance durante estos últimos años no sólo desde la jurisprudencia penal sino también por parte de la Fiscalía (Circular 1/2016) y de ciertas entidades privadas en sede de normalización y certificación (normas ISO 19.600 y 37.001, norma UNE 19.601). Sin embargo, por el momento, falta aún por disipar la mayor incógnita de todas: sabido cuán relevantes son los programas de cumplimiento en opinión del Tribunal Supremo, ¿cuál será a la hora de la verdad su grado de valoración y exigencia a efectos de conceder la eximente de responsabilidad penal del artículo 31bis CP? Para saberlo, no nos queda más que esperar.

[1] Aunque válida, soy partidario de promocionar otra distinta, una de carácter técnico manejada recurrentemente por las normas ISO 19.600 y UNE 19.601, que responde a las siglas de CMS (Compliance Management System). Es cierto que ambas referencias pretenden reflejar materialmente lo mismo y, en el fondo, esto no deja de ser una cuestión de mero corte formalista. Sin embargo, a mi entender, la nomenclatura CMS consigue alejarse con mayor éxito de una concepción del compliance consistente en un mero compendio documental formado por toneladas de papeles carentes de una mínima implementación práctica (los denominados cosmetic compliance programs) para aproximarse hacia otra centrada en la implementación real de un auténtico sistema compuesto por una serie de herramientas internas conectadas entre sí que comparten el propósito de alcanzar el cumplimiento legal en el seno de la organización a través de dos clases de vectores. Primero, la vigilancia y control de los comportamientos penalmente relevantes (integración de controles financieros, instalación de canales de whistleblowing, llevanza de investigaciones internas, etc.). Segundo, el fomento e integración de una cultura de cumplimiento (redacción y distribución del Código de Conducta de la compañía, realización de campañas de sensibilización, impartición de cursos de formación, etc.). Pese a todo, en lo que sigue, haré uso de la expresión programa de cumplimiento para mantener una armonía con la sentencia objeto de examen.

[2] Me refiero a la expansión del compliance y no a su nacimiento porque años antes de la superación por el legislador penal español del principio societas puniri non potest ya existían empresas operativas en sectores regulados (principalmente el bancario) que, a tenor de sus respectivas regulaciones sectoriales, contaban con mecanismos internos para combatir actos ilícitos.

[3] Vid. Schünemann, B: “Cuestiones básicas de dogmática jurídico-penal y de política criminal acerca de la criminalidad de empresa”, Anuario de Derecho Penal y Ciencias Penales, Vol. 41, nº 2, 1988, págs. 529-558. Págs. 529-530.

[4] Es en este punto donde la sentencia pone de relieve el impacto de los programas de cumplimiento a la hora de modular la cuantía de la prima de las pólizas de seguro contratadas.

[5] Distinto es, por ejemplo, en Francia. El artículo 17 de la llamada Loi Sapin II (2016) impone expresamente a las empresas con sede en este país que cuenten con más de 500 empleados y una facturación de 100 millones de euros la obligación de implantar programas de cumplimiento contra la corrupción bajo la amenaza de hacer frente a una sanción por valor de hasta 1 millón de euros.

[6] De esta opinión, Silva Sánchez, J.M: Fundamentos del Derecho penal de la empresa; Edisofer, Madrid, 2016. Págs. 400-401. Robles Planas, R: “El “hecho propio” de las personas jurídicas y el informe del Consejo General del Poder Judicial al Anteproyecto de Reforma del Código Penal del 2008”; Indret 2/2009, págs. 1-12. Págs. 10-11. Coca Vila, I: “¿Programas de cumplimiento como forma de autorregulación regulada?”. En Silva Sánchez, J.M., (dir.): Criminalidad de empresa y compliance; Atelier, Barcelona, 2013, págs. 43-76. Pág. 71. Goena Vives, B: Responsabilidad penal y atenuantes de la persona jurídica; Marcial Pons, Barcelona, 2017. 362-363.

[7] Este concepto fue introducido en la obra de Hruschka, J: Strafrecht nach logisch-analytischer Methode. Systematisch entwickelte Fälle mit Lösungen zum Allgemeinen Teil; W de G, Berlin, 2. Auflage, 1988. Págs. 415-419.

[8] A una conclusión diversa debería llegarse de haber prosperado el non nato artículo 286.6 CP.

[9] Sobre este extremo, vid. Serrano Zaragoza, O; Gollonet Teruel, L. A; Perez-Playa Moreno, C: Compliance penal y responsabilidad civil y societaria de los administradores; Bosch, Barcelona, 2018. Passim. Flores Segura, M: “Cumplimiento normativo, deber de diligencia y responsabilidad de los administradores”; Almacén de Derecho, 2018. Passim. Enlace: http://almacendederecho.org/cumplimiento-normativo-deber-diligencia-responsabilidad-administradores/ 

[10] Véase, en este sentido, el Anexo I adjunto al Apéndice II contenido en la Circular de la Comisión Nacional del Mercado de Valores 2/2018, de 12 de junio.

[11] En esta sentencia el Tribunal Supremo, también a modo de obiter dicta, se posicionó acerca de algunos aspectos claves de este campo tales como el modelo de responsabilidad penal de la persona jurídica acogido en España y la virtualidad de los programas de cumplimiento en calidad de eximente de responsabilidad penal.