El riesgo permitido como defensa de la persona jurídica investigada por corrupción

Doctrina

El riesgo permitido como defensa de la persona jurídica investigada por corrupción

2019/12/16

Almodóvar Puig, Borja Hernández Luque, Beatriz

El presente trabajo analiza, con un enfoque jurídico-práctico y en el ámbito de los delitos de corrupción, la posición de garante de la persona jurídica desde el punto de vista del art. 31 bis y del cumplimiento penal. A partir de lo anterior, proponemos las medidas específicas de control a establecer por parte de las compañías, tanto para ejercer una adecuada gestión de dichos riesgos en el ámbito de la responsabilidad penal corporativa, como para romper con los presupuestos de la imputación objetiva, situándolas así dentro de lo que se entiende como riesgo permitido.

- Comentario al documento En el debate sobre qué carácter dogmático tienen las medidas de control exigidas ex art. 31 bis CP, podemos concluir que efectivamente son una manifestación de lo que en términos de imputación objetiva se conoce como riesgo permitido. Aplicando los postulados de esta teoría, la persona jurídica se erige ahora en «garante» de la actividad desempeñada por sus administradores y empleados. De este modo, durante la investigación y enjuiciamiento, la sociedad será evaluada conforme a un análisis ex ante, desde una posible doble perspectiva: Para el supuesto de comportamientos activos, si la acción del autor —la empresa u organización, en nuestro caso— ha creado un riesgo jurídicamente desaprobado para la producción del resultado; en segundo lugar, para el caso de comportamientos omisivos, si la supuesta omisión de la entidad —o del órgano de cumplimiento— habría evitado el resultado desaprobado con «una probabilidad rayana a la certeza». Para determinados riesgos imprudentes regulados en otras jurisdicciones distintas de la penal, el análisis de dichos riesgos venía resultando hasta ahora relativamente fácil, pues ante lo que comúnmente muchos entienden como normas en blanco, la jurisprudencia acudía rápidamente a las normas de referencia (en el ámbito del medioambiente o del blanqueo de capitales, por ejemplo). Sin embargo, dado que en delitos de corrupción no es posible encontrar normas administrativas concretas para poder abordar los límites del riesgo, necesariamente deberemos acudir a estándares internacionales de referencia. Por último, el cumplimiento de medidas de control como las expuestas en el presente trabajo, adaptadas siempre a las particularidades y especificidades de cada entidad, deberá entenderse que rompe los presupuestos de la imputación objetiva. En otras palabras, acreditando una adecuada gestión de este tipo de actividades sensibles, en especial mediante la ejecución de controles específicos de monitorización y seguimiento, será posible verificar una actuación dentro de ámbitos razonables del riesgo y, por tanto, exonerarte en términos de responsabilidad penal corporativa.

I. INTRODUCCIÓN: ESTADO DE LA CUESTIÓN

(1) Los casos de corrupción seguidos actualmente por nuestros Jueces y Tribunales son innumerables (1) . La apertura de una causa contra agentes públicos y privados como consecuencia de supuestos delitos de cohecho, tráfico de influencias o corrupción en los negocios —así como por los correspondientes delitos fiscales, blanqueo de capitales, malversaciones, falsedades, descubrimiento y revelación de secretos, etc. que pueden acompañarlos— no puede suponer ningún tipo de extrañeza, más allá de las magnitudes o los perfiles de las personas investigadas.

Las perspectivas marcadas por la esfera internacional son aún más ilustrativas: desde el afamado caso Siemens en la década pasada —que culminaría con multas impuestas por la SEC (U.S. Securities and Exchange Commission), el DOJ (U.S. Department of Justice) y la Fiscalía General de Munich por importes conjuntos aproximados de 1.654 millones de dólares—, a los igualmente llamativos casos Odebrecht —tanto ésta como su filial petroquímica Braskem acordaron multas por 3.500 millones de dólares a favor de las autoridades brasileña, suiza y estadounidense—; al de Rolls-Royce —que acordó pagar una multa récord por importe de 671 millones de libras en el Reino Unido— (2) ; la sanción por incumplimientos de la FCPA acordada respecto de JP Morgan Chase & Co., por importe de 264 millones de dólares en el año 2016 (3) ; la multa sobre Telia por 965 millones de dólares, en 2017, por pago de sobornos a autoridades en Uzbekistán para conseguir licencias de telefonía para la compañía (4) ; o la sanción acordada pasado año sobre Panasonic Corporation y su filial estadounidense Panasonic Avionics Corporation por cerca de 144 millones de dólares (5) .

(2) Asimismo, en lo que al marco normativo español se refiere, la actual redacción del art. 31 bis CP (LA LEY 3996/1995), junto con la interpretación ofrecida al respecto por nuestro Tribunal Supremo, más allá del riesgo reputacional y de las penas a las que se enfrentan, hacen que las estrategias de defensa se centren exclusivamente en los respectivos modelos de cumplimiento de estas organizaciones y, en concreto, de las medidas de control adoptadas para prevenir estos riesgos específicos.

La presión hacia la persona jurídica ejercida por nuestro Legislador y, por extensión, por nuestros Jueces y Tribunales, es además creciente (6) . Muestra de ello son las continuas reformas del Código penal para extender y ampliar los tipos penales relativos a la corrupción. El último ejemplo lo encontramos en la operada por la LO 1/2019, de 20 de febrero (LA LEY 2044/2019), que, entre otras: (a) amplía nuevamente el concepto de funcionario público; (b) extiende el delito corrupción entre particulares a quien ofrezca o prometa el beneficio o ventaja; y (c) incorpora los delitos de malversación dentro del régimen de responsabilidad penal de la persona jurídica.

II. DELIMITACIÓN DEL RIESGO EN LOS ACTOS DE CORRUPCIÓN Y EL RÉGIMEN DE RESPONSABILIDAD DE LA PERSONA JURÍDICA

(1) En el presente análisis vamos a centrar los actos de corrupción en los delitos de cohecho, corrupción en los negocios —que abarcan tanto el ámbito privado como las transacciones comerciales internacionales de naturaleza pública— y tráfico de influencias. Con carácter general, y empezando por los dos primeros, estos ilícitos sancionan similares acciones típicas: (i) por un lado, corromper o intentar corromper —en supuestos de cohecho impropio de los arts. 420 (LA LEY 3996/1995) y 422 CP (LA LEY 3996/1995), ni tan siquiera es preciso llegar tan lejos—, mediante ofrecimientos, entregas o promesas de algún tipo, por sí mismos o por persona interpuesta, para obtener una ventaja o trato de favor; y (ii) por otro, atender las solicitudes al respecto de dichas autoridades públicas o privadas (7) . Estas modalidades, más allá de los problemas interpretativos vista la falta de claridad en la tipificación de estos delitos, constituyen en definitiva una forma de soborno cometido por un particular público o privado, nacional o extranjero, en relación a su función, puesto, cargo o mandato.

La promesa o concesión de algún tipo de beneficio o ventaja (8) indebidos obviamente deberá de tener algún tipo significación económicamente evaluable. Lo importante aquí residirá en el provecho o ventaja económica a recibir por el funcionario en cuestión. Dicho beneficio deberá tener además la capacidad para excluir la obligación de aquél de actuar de forma imparcial en el ámbito de una contratación o similar.

Por su parte, cuando hablamos de tráfico de influencias de los arts. 428 y ss. CP (LA LEY 3996/1995), si bien aquí ya no estamos ante un acto de soborno per se, en la medida en que nos encontramos igualmente ante atentados contra la integridad de la administración pública, mediante la influencia y el abuso sobre una autoridad en busca de un beneficio ilícito de carácter económico, la interrelación con los anteriores es clara (9) .

(2) Estos ilícitos se configuran como delitos de comisión dolosa, lo que implica necesariamente una actuación voluntariamente buscada por parte del actor de consumar la conducta típica, en principio, a sabiendas de su carácter delictivo. En este sentido, el dolo estaría directamente conectado con la intencionalidad de la acción. El dolo implica tener conciencia plena y conocimiento del hecho y voluntad de realizar el hecho injusto.

Tal circunstancia se deriva no sólo de la literalidad de los tipos penales en cuestión, sino también de la normativa en la que se inspira. Así, v.gr., y si pensamos en las transacciones comerciales internacionales, el Convenio de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales Internacionales de la Organización para la Cooperación y el Desarrollo Económico (OCDE) (10) , habla, literalmente del «hecho de que una persona, deliberadamente ofrezca, prometa o conceda cualquier beneficio indebido (…)». La comisión dolosa concurre, por tanto, siempre y cuando el sujeto tenga perfecta consciencia de la existencia de dicho ofrecimiento con fines ilícitos.

En este estado de cosas, si bien es cierto que las modalidades de dolo eventual son difícilmente incardinables en este tipo de conductas —parece difícil pensar en pretender el pago de beneficios o ventajas indebidos y que después no se quiera el resultado corrupto—, es fácil que un juez pudiera llegar a encontrar situaciones en el ámbito de responsabilidad corporativa y terceras partes. Sería el caso clásico del agente o un socio de negocio que pudiera llegar a pensar en la utilización de sus influencias o incluso en el pago de determinada cantidad a un funcionario público, si bien quizás no con el consentimiento o la encomienda expresa y directa de la entidad en nombre de la cual actúa, sí en su provecho y beneficio; también podría darse si un directivo tomase la decisión de acceder a contratos con la administración mediante actos de corrupción, nuevamente sin el consentimiento o conocimiento de la persona jurídica, con el fin de cumplir sus objetivos, ganarse la confianza de sus superiores, o cualquier otro motivo. Estos supuestos son perfectamente extrapolables a las sanciones antes referidas por parte de la SEC estadounidense (y lo estamos viviendo en la actualidad en otros tantos casos a nivel nacional). Si bien en general estas multinacionales prohíben formalmente cualquier acto de corrupción a través de sus Códigos de Conducta y determinadas políticas y procedimientos, lo cierto es que éstos devinieron insuficientes para evitar razonablemente los sobornos que finalmente tuvieron lugar.

A mayor abundamiento, y aun cuando las conductas descritas exigirían la valoración del papel del error de la entidad ex art. 14 CP (LA LEY 3996/1995)en según qué supuestos, no podemos olvidar que en nuestra jurisprudencia abundan cada vez más las tesis tendentes a la relajación de este requisito del dolo, tales como las causaciones de riesgos jurídicos no permitidos —imputación objetiva— o la teoría de ignorancia deliberada aplicada de forma más excepcional (11) .

A partir de las anteriores teorías, y especialmente de la primera, cabría la investigación de aquellas conductas realizadas por quien, estando conectado causalmente a un potencial riesgo penal, decide no actuar preventivamente al mismo. En definitiva, estaríamos ante la necesidad de sancionar la creación de situaciones de riesgo penal no permitido, atendiendo siempre a un juicio de proporcionalidad entre la omisión de la actuación preventiva y el resultado delictivo finalmente acaecido.

III. RESPONSABILIDAD PENAL DE LA PERSONA JURÍDICA Y RIESGO JURÍDICO NO PERMITIDO

(1) Cuando hablamos de responsabilidad penal corporativa, hay aún una gran disparidad de opiniones. Entre las sentencias del Tribunal Supremo, la que resulta más ilustrativa —analizada y citada por la doctrina, por cierto, muy recurrentemente—, de fecha 29 de febrero de 2016, aboga por entender, en la misma línea previamente apuntada por parte de la doctrina científica (12) , que la persona jurídica deberá responder por su hecho propio (13) , y que los modelos de cumplimiento y formas concretas de vigilancia y control entrarían dentro de las cuestiones del tipo objetivo (14) . Dicha doctrina ya está siendo aplicada además en nuestro día a día, siendo habitual encontrar autos de jueces de instrucción acordando la investigación de personas jurídicas sobre este mismo presupuesto (15) .

Así, tanto de la literalidad del art. 31 bis como de la doctrina del Alto Tribunal podemos inferir que las personas jurídicas serán penalmente responsables de los delitos cometidos, en su seno y en su beneficio, por los trabajadores y administradores cuando se hayan superado los límites del riesgo permitido. De encontrarnos ante elementos de control suficientes y razonables, no se habría sobrepasado el umbral de lo no permitido, no estando, por tanto, ante un supuesto de responsabilidad penal en los términos exigidos por el tipo (16) . Desde este punto de vista, el establecimiento de medidas razonables y eficaces implicaría el mantenimiento de la persona jurídica en el ámbito del riesgo permitido.

(2) A lo anterior, no podemos olvidar además la importante cuestión del tipo subjetivo. Sin duda una materia igualmente trascendental y que aún no ha sido objeto de pronunciamiento por parte del Tribunal Supremo, si bien empieza a ser objeto de análisis por parte de la doctrina más autorizada (17) . Decimos que resulta de especial transcendencia para una adecuada interpretación de las dos formas de tipicidad subjetiva —dolo e imprudencia— en relación con la responsabilidad penal de las personas jurídicas, pues únicamente de apreciar un comportamiento igualmente doloso en el actuar de la persona jurídica (18) , cabría apreciar algún tipo de responsabilidad.

De este modo, la forma dolosa podría venir constituida, en primer lugar, en el caso de acreditarse una verdadera cultura empresarial criminal en el actuar de la persona jurídica. O, en el mejor de los casos, en el supuesto de acreditarse una insuficiencia clara de medidas de control —o, cuanto menos, de dejadez de funciones o responsabilidades—. Dicho en otras palabras, en la inteligencia de que cualquiera de estos delitos, como ya se hemos visto en el apartado anterior, sólo admite la comisión dolosa, sería necesario igualmente verificar algún tipo de actuación igualmente dolosa —o, cuando menos, de dolo eventual— en el actuar desde el punto de vista de las medidas de control adoptadas al respecto; no bastando con la apreciación de ningún tipo de conducta «imprudente» derivada del establecimiento de unas medidas de control no del todo suficientes.

Cuando nos encontramos ante actos de corrupción cometidos bajo el paraguas de una estructura empresarial, va a existir siempre algún tipo de «presunción de culpabilidad»

Inevitablemente, cuando nos encontramos ante actos de corrupción cometidos bajo el paraguas de una estructura empresarial, va a existir siempre algún tipo de «presunción de culpabilidad», especialmente en la opinión pública. Si un profesional sometido a la autoridad de ésta —pensemos en un apoderado, un director regional, un delegado comercial, o en cualquier tipo de representante, agente o consultor externo— toma la decisión de corromper a un tercero con la finalidad de resultar adjudicatario de cualquier tipo de contrato en beneficio de la organización, es fácil pensar que la compañía a) impulsó (dolo); b) conoció y permitió (dolo, nuevamente); o c) cuanto menos, debió albergar sospechas sin hacer lo posible por evitar (dolo eventual, en casos límite, según determinados sectores jurisprudenciales) el supuesto ilícito cometido en su beneficio.

Debemos evitar empero esta suerte de simplificaciones causales y centrar la problemática en la verificación de la existencia de un riesgo jurídico no permitido (19) . No es posible la atribución sin más de la presunción, no ya de la voluntad, sino ni tan siquiera del conocimiento, sospechas o excesiva permisividad en el actuar de la empresa por la mera existencia del acto de corrupción. Si una organización o entidad impulsa o fomenta, o incluso es excesivamente permisiva frente a determinado acto de corrupción por parte de alguno de sus administradores o empleados, deberá responder penalmente. No obstante, no cabe una atribución directa de dicha responsabilidad sobre la base de elementos exclusivamente causales. El art. 31 bis CP (LA LEY 3996/1995) exige la adopción de determinadas precauciones —identificación de riesgos y adopción de medidas de control— en previsión de que sus miembros puedan aprovechar la estructura societaria para cometer actos ilícitos.

(3) Un correcto análisis de la problemática aquí planteada nos empuja una vez más, y siguiendo la línea ya apuntada desde hace tiempo por parte de la doctrina más autorizada, por la aplicación de los postulados de la teoría de la imputación objetiva (20) y de la institución del riesgo no permitido (21) . En efecto, hemos de partir de la base de que la empresa, como no puede ser de otro modo, no está exenta de desarrollar su actividad en entornos de riesgo que pueden terminar en conductas prohibidas. Estamos por tanto ante un debate de ámbito objetivo en el que lo importante, en definitiva, es saber cuándo sobrepasamos el riesgo permitido.

Hasta ahora, y si bien enfocado a la persona física, esta teoría se venía aplicando tanto por la doctrina (22) como por nuestros jueces y tribunales respecto de determinados delitos —especialmente a los de carácter imprudente—. A partir de ahora, veremos cómo cuando hablamos de responsabilidad penal, la misma tenderá a generalizarse. Precisamente como consecuencia de esa atribución que hace el art. 31 bis de máximo garante de la prevención y control de riesgos del ámbito empresarial.

Como quiera que estamos ante una cuestión tantas veces tratada por nuestra doctrina (23) , a los efectos que aquí importan, quizás no sea tan interesante redundar en lo ya escrito por tantos defensores de la imputación objetiva y el riesgo permitido, como profundizar en cómo asegurar dicho riesgo cuando hablamos de responsabilidad de personas jurídicas. Todo ello, por dos motivos fundamentales.

En primer lugar, porque dicho régimen de responsabilidad penal descrito en el art. 31 bis (LA LEY 3996/1995) habla continuamente de una adecuada gestión de los riesgos empresariales. No en vano, el art. 31 bis.2 1ª (LA LEY 3996/1995) habla de idoneidad y eficacia al referirse a los modelos de organización y gestión para prevenir delitos, lo que implica que deberán ajustarse al máximo a las particularidades de cada organización. De igual modo, el apartado 5 1ª (LA LEY 3996/1995) y 2ª (LA LEY 3996/1995) de ese mismo precepto establece que dichos modelos de organización y gestión —programas de cumplimiento penal, en definitiva— cuenten, entre otras y en definitiva, con una adecuada identificación de riesgos, así como de protocolos y procedimientos que los mitiguen (24) . Qué duda cabe que, a la vista de tal redacción, la vinculación con la institución del riesgo permitido a la hora de enfrentar los retos que plantea la aplicación práctica de dicho precepto cobra aquí todo el sentido.

En segundo lugar, por tratarse de una cuestión aún no abordada por la jurisprudencia de nuestro Tribunal Supremo, más allá de algún pronunciamiento residual de Audiencias Provinciales —como el AAP Tarragona, de 23 de mayo de 2018—. En este sentido, si bien habida cuenta del tiempo transcurrido contamos ya con algunas sentencias, lo cierto es que éste aún no ha tenido la oportunidad, así como tampoco la Fiscalía General del Estado en su Circular 1/2016 (LA LEY 2/2016), de delimitar, o cuanto menos dar ejemplos o criterios orientativos, sobre el alcance de dicho riesgo. Tampoco la doctrina se ha ocupado aún de estos extremos, habiéndose centrado hasta ahora en el análisis de los requisitos esenciales de un modelo de cumplimiento penal: establecimiento de Códigos éticos o de conducta, protocolos de actuación, características de los órganos de control, canales de denuncias, etc (25) . Efectivamente, hasta ahora podemos encontrar infinidad de estudios doctrinales que redundan en los deberes de dirección, supervisión y control de las organizaciones; no obstante, no tenemos referencias aún sobre qué actividades de control resultan eficaces para mitigar cada uno de los riesgos.

IV. CRITERIOS JURISPRUDENCIALES DE REFERENCIA

(1) Nuestra doctrina jurisprudencial, tanto del Tribunal Supremo como de Audiencias Provinciales, no duda en acudir a la teoría de la imputación objetiva a la hora de abordar estas cuestiones. Conforme a lo expuesto supra, y con carácter general, ésta viene a reconocer que sin causalidad —en el sentido de la ley general de causalidad— no se puede sostener la imputación objetiva, así como que ésta no coincide necesariamente con la causalidad natural. Así, sólo es admisible establecer la relación entre la acción y el resultado cuando la conducta haya creado un peligro no permitido, es decir, jurídicamente desaprobado y el resultado producido haya sido la concreción de dicho peligro.

Indudablemente, esta teoría cobra especial relevancia en el ámbito de los delitos imprudentes, donde es precisamente el resultado lesivo lo que condiciona la relevancia penal de un comportamiento descuidado, que por muy grave que sea, sin la concreción de aquél, queda sustraída del marco de lo punible. No obstante, resulta igualmente aplicable a delitos de carácter doloso, según tiene declarado el Tribunal Supremos desde hace ya años (26) .

Dicha teoría viene estableciendo desde antiguo la posición de garante respecto de los respectivos responsables del riesgo en cuestión. Lo podemos ver muy recurrentemente, como decimos, en los atentados contra la seguridad y salud (27) , pero también en otros tantos imprudentes como los medioambientales. Un ejemplo podemos verlo en la STS de 14 de enero de 2016 (LA LEY 177/2016), recaída en el conocido como «caso Prestige» «(...) aparece estructuralmente configurado, de una parte, por la infracción de un deber de cuidado interno (deber subjetivo de cuidado o deber de previsión), que obliga a advertir la presencia de un peligro cognoscible y el índice de su gravedad; y, de otra, por la vulneración de un deber de cuidado externo (deber objetivo de cuidado), que obliga a comportarse externamente de forma que no se generen riesgos no permitidos, o, en su caso, a actuar de modo que se controlen o neutralicen los riesgos no permitidos creados por terceras personas o por factores ajenos al autor, siempre que el deber de garante de éste le obligue a controlar o neutralizar el riesgo ilícito que se ha desencadenado. A estos requisitos ha de sumarse, en los comportamientos activos, el nexo causal entre la acción imprudente y el resultado (vínculo naturalístico u ontológico), y la imputación objetiva del resultado a la conducta imprudente, de forma que el riesgo no permitido generado por ésta sea el que se materialice en el resultado (vínculo normativo o axiológico). Y en los comportamientos omisivos habrá de operarse con el criterio hipotético de imputación centrado en dilucidar si la conducta omitida habría evitado, con una probabilidad rayana en la certeza, la lesión o el menoscabo del bien jurídico que tutela la norma penal».

Esta doctrina, pasa a extenderse ahora al ámbito de la responsabilidad penal corporativa, considerando así a la persona jurídica como garante de la actividad desempeñada por sus administradores y empleados. De este modo, durante la investigación y enjuiciamiento a la sociedad se la va a evaluar desde una posible doble perspectiva: (a) en primer lugar, y para el supuesto de comportamientos activos, tanto si la acción del autor —la empresa u organización, en nuestro caso— ha creado un riesgo jurídicamente desaprobado para la producción del resultado, como si el resultado producido por dicha acción es la realización del mismo peligro (jurídicamente desaprobado) creado por la acción; y en segundo lugar (b) para el caso probablemente de comportamientos omisivos, si dicha omisión llevada a cabo por la entidad —o por el órgano de cumplimiento— habría evitado el resultado desaprobado (28) .

Ni que decir tiene que, el hecho de que la acción peligrosa tenga que producir un resultado que pueda ser imputado objetivamente a la misma, exige que éste deba ser evitable conforme a un análisis ex ante. Esta obviedad resulta de extrema importancia en nuestro caso, pues la dificultad que vamos a encontrar aquí es precisamente cómo vamos a valorar una eventual previsibilidad del resultado y, sobre todo y aún más difícil, las medias a adoptar para evitarlo dentro de unos límites razonables para la organización.

Veámoslo con un ejemplo. Si para la consecución de un contrato o una adjudicación de la administración pública, una compañía contrata los servicios de un agente de dudosa reputación y acuerda unos honorarios que exceden los habituales del mercado, de cometerse finalmente un acto de corrupción podría llegar a entenderse (a) que la empresa ha creado el riesgo contando con dicho profesional; y (b) que tal circunstancia ha traído como consecuencia un acto jurídico desaprobado traducido en el pago de una comisión ilícita para una adjudicación. Por el contrario, si la empresa hubiera contratado a un agente de profesionalidad acreditada, hubiera ajustado sus emolumentos a la realidad de los trabajos de asesoramiento a realizar, y, adicionalmente, hubiera realizado un adecuado seguimiento de las actividades realizadas por aquél en nombre de la entidad, estaríamos ante un caso de disminución del riesgo. En este caso, de producirse el resultado ilícito, efectivamente la compañía habría obrado causalmente respecto del delito producido —pago de una comisión ilícita—, pero llevando a cabo determinadas actuaciones para mitigar el riesgo en orden a evitar el resultado más perjudicial.

A este ejemplo, podríamos incluir además como supuesto de ruptura de la imputación objetiva el principio de confianza, conforme al cual, a mayor abundamiento, no cabría imputar resultados producidos por quien ha obrado confiando en que otros se mantendrán dentro de los límites del peligro permitido. Así como de las exclusiones motivadas por lo que doctrinalmente entendemos como prohibición de regreso, referidas a las condiciones previas a las realmente causales, puestas por quien no es garante de la evitación de un resultado.

(2) Sentado lo anterior, y volviendo nuevamente a la responsabilidad penal de la persona jurídica y a los modelos de cumplimiento regulados por el art. 31 bis (LA LEY 3996/1995), el reto ante el que se encuentran nuestros Jueces y Tribunales reside, una vez más, en la determinación del alcance de la gestión del riesgo permitido (del riesgo penalmente permitido). Resulta necesario fijar, para una situación concreta —la del objeto de enjuiciamiento, corrupción en nuestro caso—, el nivel máximo de riesgo que puede derivarse de una conducta sin que la misma se convierta en prohibida, y traduciendo esa concurrencia de necesidades sociales diversas en una interpretación del tipo penal y en la subsunción o no de un caso en el mismo (29) . Aplicada esta tradicional teoría al ámbito de la persona jurídica, es una cuestión de gran complejidad habida cuenta del amplio elenco de riesgos penales a los que nos enfrentamos, así como de la dificultad de identificar para cada caso concreto, atendiendo a las circunstancias concretas del supuesto de hecho, de la de sociedad y sus empleados, del ámbito social y de las actividades de control necesarias para mitigar el riesgo dentro de unos parámetros razonables.

Para determinados riesgos regulados en otras jurisdicciones más allá de la penal, la labor es relativamente fácil, pues para la concreción del ámbito de gestión la jurisprudencia, aprovechando que nos encontramos ante lo que comúnmente muchos entienden como normas en blanco, acude rápidamente a la norma de referencia:

(a) En los delitos contra el medioambiente, al ser considerados por parte de la jurisprudencia normas penales en blanco, son muchas las sentencias que optan por ir a la legislación administrativa de referencia a la hora de verificar algún tipo de incumplimiento (30) .
Es por ello por lo que el auto de la Audiencia Provincial de Tarragona de 23 de mayo de 2018, no dudó a acudir a la norma administrativa a la hora de sobreseer a una compañía energética investigada el pasado año por un delito contra el medioambiente tras realizarse determinados vertidos que generaron diversos daños al medioambiente. En efecto, a pesar de la existencia del riesgo, y tomando como referencia la regulación del RD 2060/2008, de 12 de diciembre (LA LEY 21663/2008), de equipos a presión e instrucciones técnicas complementarias, de aplicación al caso concreto, la Audiencia terminó confirmando el archivo habida cuenta de que: (i) la compañía contaba con un manual de procedimientos; (ii) llevó a cabo inspecciones visuales y de control cada 2,5 y 5 años —cuando la ley exigía cada 10 años—; (iii) llevó también pruebas hidráulicas y de mantenimiento de las líneas afectadas (tubería de acero y carbono); y (iv) efectuó una rápida actuación tendente a la minimización, control y eliminación del vertido.
(b) Si analizamos el delito de blanqueo de capitales, resulta especialmente ilustrativo el ya citado auto de 18 de abril de 2018 dictado por el Juzgado Central de Instrucción n.^o 2 que acordaba dirigir el procedimiento contra determinada entidad financiera. Tanto por (a) hacerlo ex art. 31 bis (LA LEY 3996/1995) al carecer «de un sistema efectivo de control implementado para anular o, al menos, disminuir eficazmente el riesgo de comisión en el seno de la empresa ese delito», siguiendo por tanto los criterios de imputación establecidos por el pronunciamiento mayoritario de la STS 154/2016 (LA LEY 6573/2016); como por (b) justificar dichos defectos estructurales de los modelos de gestión en la contravención de las disposiciones de la Ley 10/2010 (LA LEY 8368/2010)de PBC y FT y recomendaciones como la guía europea EBA (31) .
(c) Desde el punto de vista de la responsabilidad corporativa ex art. 129 CP (LA LEY 3996/1995), si nos centramos con que en el ámbito de la seguridad laboral ex arts. 316 (LA LEY 3996/1995) y 317 CP (LA LEY 3996/1995), es también muy habitual encontrar sentencias que evalúan la posición de garante de los responsables sobre la base del cumplimiento de las normas seguridad e higiene en el trabajo de aplicación (32) .

Lo mismo podríamos decir respecto de otros tantos delitos como los de intimidad personal y familiar, o los bursátiles, o incluso otros mucho más específicos como la manipulación de alimentos —delitos contra la salud— en los que sí sería posible, y así de hecho lo está haciendo la doctrina más autorizada, acudir a determinadas normas sectoriales a partir de los cuales identificar la frontera entre lo permitido y lo prohibido (33) .

V. AUSENCIA DE REFERENCIAS NORMATIVAS APLICABLES AL RIESGO DE CORRUPCIÓN

(1) Lamentablemente, en delitos de corrupción no es posible encontrar normas administrativas concretas —ni de ninguna otra naturaleza— a las que poder acudir para abordar los límites del riesgo permitido objeto del presente trabajo (34) . Es por ello por lo que resulta difícil identificar aquí los límites aún a título de mera referencia. El Tribunal Supremo, v.gr., lleva años remitiendo a los usos y costumbres del momento para determinar los comportamientos tolerables a este respecto. Ya en su sentencia de 13 de junio de 2008 (LA LEY 96479/2008) reconocía que no es tarea fácil la delimitación del alcance del delito de cohecho pasivo impropio, a la hora de decidir la relevancia típica de determinadas acciones; en este caso concreto, entendía dicha resolución que la existencia de módulos sociales generalmente admitidos en los que la aceptación de regalos o actos de cortesía forma parte de la normalidad de las relaciones personales, obligan a un esfuerzo para discernir cuándo determinados obsequios adquieren carácter típico y cuando, por el contrario, pueden inscribirse en el marco de la adecuación social.

A la vista de la imposibilidad de encontrar normativa de aplicación directa, a lo más que ha llegado el Tribunal Supremo es a apoyarse, si bien a meros efectos orientadores, en determinada normativa de referencia. Entre los más ilustrativos, podemos destacar su auto de 17 de marzo de 2017: (LA LEY 12830/2017) «En este ámbito de los usos y costumbres sociales la STS. 362/2008 de 13.6 (LA LEY 96479/2008), reconoce que no es tarea fácil la delimitación del alcance del delito de cohecho pasivo impropio del art. 426 CP (LA LEY 3996/1995), a la hora de decidir la relevancia típica de determinadas acciones. La existencia de módulos sociales generalmente admitidos en los que la aceptación de regalos o actos de cortesía forma parte de la normalidad de las relaciones personales, obligan a un esfuerzo para discernir cuándo determinados obsequios adquieren carácter típico y cuando, por el contrario, pueden inscribirse en el marco de la adecuación social. / Como fórmula orientadora, algún autor considera que puede considerarse, por ejemplo, lo recogido en el art. 54.6 Ley 7/2007 de 12.4 (LA LEY 3631/2007), del Estatuto Básico del Empleado Público (EBEP) al incluir, entre los deberes de los empleados públicos, el siguiente principio de conducta "se rechazará cualquier regalo, favor o servicio en condiciones ventajosas que vaya más allá de los usos habituales, sociales y de cortesía, sin perjuicio de lo establecido en el Código Penal. Fórmula esta anticipada en el denominado Código del Buen Gobierno de los miembros del Gobierno, los altos cargos de la Administración del Estado, aprobado por acuerdo del Consejo de Ministros de 18.2.2005, en el número 6 del apartado 3 (Principios de conducta) del Código puede leerse: / '6. se rechazará cualquier regalo, favor o servicio en condiciones ventajosas que vaya más allá de los usos habituales, sociales y de cortesía o prestamos u otras prestaciones económicas que puedan condicionar el desempeño de sus funciones, sin perjuicio de lo establecido en el Código Penal'. / En el caso de obsequios de mayor significación de carácter institucional se incorporan al patrimonio del Estado, en los términos previstos en la Ley 33/2003 de 3.11 (LA LEY 1671/2003) del Patrimonio de las Administraciones Públicas, de acuerdo con lo que se determine reglamentariamente"».

(2) Sentado lo anterior, el problema ante el que nos encontramos reside en que ni en nuestro Derecho en general, ni en el penal ni en ningún otro orden, existen normas reguladoras de la corrupción. Podemos encontrar alguna normativa reguladora de la competencia —como la Ley 15/2007, de 3 de julio, de Defensa de la Competencia (LA LEY 7240/2007), la Ley 3/1991, de 10 de enero (LA LEY 109/1991), de Competencia Desleal, o el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios (LA LEY 11922/2007)—, pero en ningún caso que regulen, desde el punto de vista de la corrupción, tanto pública como privada, los límites concretos de conductas prohibidas y jurídicamente desaprobadas.

Por este motivo, necesariamente deberemos acudir a otras normas y estándares internacionales de referencia, como la establecida por la UNE-ISO 37001:2017 sobre Sistemas de Gestión Antisoborno; así como otras tantas recomendaciones que se pueden consultar con facilidad públicamente a través de Internet como son la Guía Práctica para Programas anticorrupción de ética y cumplimiento para las empresas establecido por la Oficina de las Naciones Unidas contra la Droga y el Delito (35) , o las recomendaciones establecidas por Transparencia Internacional en su Managing Third Party Risk (36) , por citar algunas de ellas.

Todas ellas abordan desde un punto de vista operativo, que no legislativo, los diferentes elementos o mejores prácticas a tener en cuenta por las organizaciones en materia de lucha contra la corrupción. La conformidad con dichas normas y estándares no garantiza que el ilícito no haya ocurrido o no vaya a ocurrir, sin embargo, puede ayudar a la organización a implementar medidas razonables para prevenir, detectar y enfrentar el consiguiente riesgo penal.

VI. POSIBLES MEDIDAS DE CONTROL: PREVENCIÓN DE LA PERSONA JURÍDICA EN EL ÁMBITO DE LA CORRUPCIÓN

(1) El art. 31 bis (LA LEY 3996/1995) refuerza sensiblemente el rol de la empresa como garante del aseguramiento de los riesgos que afectan a la actividad empresarial y, en definitiva, del cumplimiento normativo (37) . En general respecto de todos y cada uno de los riesgos que le son de aplicación al generar responsabilidad penal, pero especialmente respecto de aquellos más relevantes o de mayor trascendencia, como sucede con los delitos de corrupción. Consecuentemente, la empresa deberá cumplir con las expectativas depositadas por la comunidad; únicamente en el supuesto de llevar a cabo conductas desviadas de dicho rol, podrán resultar merecedoras de sanción penal.

Adicionalmente, el ejercicio de una adecuada supervisión, vigilancia y control del modelo conforme al art. 31.bis.1 (LA LEY 3996/1995) y.2 CP (LA LEY 3996/1995) requiere, entre otras (i) un deber de supervisión y verificación periódica de que el modelo de prevención de delitos se cumple y es adecuado a las necesidades de la empresa; y, adicionalmente (ii) deber de investigar los hechos de los que tenga conocimiento que puedan representar una conducta ilícita o antijurídica (38) .

Para un adecuado cumplimiento de tales obligaciones, y habida cuenta de la inexistencia de normativa extrapenal de referencia, cada organización deberá adoptar medidas de control de carácter preventivo, detectivo y reactivo —al estilo de las utilizadas por el ya señalado AAP Tarragona, de 23 de mayo de 2018— específicamente ajustadas a sus riesgos y actividades concretas respecto de conductas que puedan implicar la materialización de un delito de corrupción. Ya hemos visto además que no es suficiente con la adopción de meras políticas y manuales de procedimientos, pues ni fueron los únicos elementos tenidos en cuenta por dicha resolución a la hora de acordar su archivo, ni tampoco suelen ser suficientes en el ámbito internacional para evitar sanciones millonarias como las que ya hemos expuesto en la introducción de este trabajo.

Un ejemplo claro lo encontramos en el caso Panasonic, a quien, recordemos, se terminó condenando, no por no contar con dichas políticas o procedimientos, sino por no estar adecuadamente implantadas y monitorizadas. De este modo, se terminó condenando a la entidad por haber fallado, a pesar de contar con un modelo teórico, en el funcionamiento real de esos controles contables internos, auditorías —sobre los agentes y consultores, en este caso—, y demás actividades de control a las que hacían referencias sus procedimientos.

Otro caso especialmente significativo, máxime por versar sobre una entidad financiera de reconocido prestigio en España (cuyo régimen regulado invita a su estudio y análisis), es el auto de 18 de abril de 2018 dictado por el Juzgado Central de Instrucción n.^o 2 que acordaba dirigir el procedimiento contra aquella por un presunto delito de blanqueo de capitales. A los efectos que aquí interesan, la extensión de la responsabilidad penal a la persona jurídica radica sobre tres ejes centrales de argumentación: (i) la inconsistencia en la aplicación de las medidas de diligencia debida como sujeto obligado según la LO 10/2010 (LA LEY 8368/2010) (o lo que es lo mismo, el incumplimiento de la normativa de carácter extrapenal a la que estaba legalmente sujeta); (ii) la existencia de defectos estructurales en su modelo de gestión, vigilancia y supervisión; y (iii) la desatención a los requerimientos oficiales en relación con la prevención y reacción ante operaciones especialmente sospechosas. En definitiva, el inadecuado establecimiento de medidas que permitiesen una actuación diligente y eficaz por parte de la entidad a la hora de prevenir y reaccionar ante comportamientos, al menos a priori, irregulares.

(2) Comoquiera que no es posible estandarizar estas medidas, así como que en el ámbito de la corrupción la casuística podríamos decir que es ilimitada, a continuación analizaremos, a título ejemplificativo, tres modalidades paradigmáticas de enjuiciamiento sobre la llamada corrupción, al estilo de los enunciados al inicio de este trabajo, así como algunos de los principales escenarios de control que permitirían, cuando menos evitar de forma razonable el resultado desaprobado en los términos ya explicados supra: (a) pagos encubiertos de la organización a funcionarios públicos; (b) pagos a través de socios o agentes; (c) otros pagos en especie.

a. Pagos encubiertos a funcionarios públicos
El primer supuesto prototípico consistente en la adjudicación fraudulenta de contratos públicos a empresas privadas de todo tipo de sectores, principalmente energético, medioambiental y de construcción. Generalmente mediante pagos supuestamente canalizados, entre otras, a través de la contratación a determinadas empresas de consultoría que, sin embargo, no realizaban servicio alguno y servían únicamente para generar facturación instrumental en favor de las autoridades y funcionarios con facultades de adjudicación.

Pues bien, hemos de asumir en primer lugar que, transcurrida casi una década desde la incorporación de la responsabilidad penal de las personas jurídicas, toda empresa tendrá adoptado ya, con mayor o menor desarrollo, algún tipo de modelo de cumplimiento que incluya un código ético o de conducta y determinadas políticas anticorrupción —que incluyan a su vez procedimientos de regalos, viajes; pautas de relaciones con funcionarios públicos, procedimientos de contratación y selección de proveedores, etc.—, así como otros tantos sistemas automatizados como los relativos a la gestión y liquidación de gastos, procedimientos operativos de control de costes y flujos de caja, o aquellos derivados de la Sarbanes-Oxley Act acaecida tras el escándalo Enron, si son entidades cotizadas en los EE.UU. o, en el caso de cotizadas en mercados españoles, los derivados de los Sistemas de Control Interno sobre la Información Financiera (39) .

Ahora bien, seguimos aún en el marco de controles más bien teóricos, siendo necesario que la empresa acredite además, más allá de los mismos, adecuados modelos de delegación y distribución de responsabilidades (40) y demás: (i) su grado de implantación real en la compañía; así como (ii) con qué tipo de elementos adicionales contaba en el momento de los hechos para verificar su cumplimiento real. Es por ello por lo que, para supuestos como los expuestos, un modelo de cumplimiento apto para romper con los criterios de la imputación objetiva, podría ser (sin ánimo de exhaustividad):
- i. Desde el punto de vista preventivo de la contratación del proveedor en cuestión, habrá que verificar qué actividades de control previas ha llevado la persona jurídica respecto de aquél. A título ejemplificativo, la Norma UNE-ISO 37.001:2017 —muy en relación con socios de negocios, pero igualmente extrapolables a supuestos de proveedores—, y en la misma línea también la Foreign Corrupt Practices Act estadounidense (FCPA), apuntan a la aplicación de actividades de control de distinta naturaleza.
  Por ejemplo:
  - (1) Desde el punto de vista de la diligencia debida, la organización deberá evaluar el alcance, la escala y la naturaleza de la relación comercial en concreto. Para ello, se podrán tomar en consideración los siguientes factores o indicadores: análisis de los documentos mercantiles que acrediten la legitimidad del proveedor, tales como los estados financieros, el número de identificación fiscal, domicilio social, número de empleados, documentos registrales expedidos por la autoridad competente, etc.; evaluación de la cualificación, experiencia y recursos para llevar a cabo el servicio por parte del potencial proveedor; identificación de los miembros del órgano de administración, directivos, accionistas y beneficiarios reales, así como la verificación de su nivel reputacional y/o posibles antecedentes; recomendaciones contrastadas de otros clientes con quien el proveedor haya mantenido o mantenga relaciones comerciales o de negocios; revisión de su sistema de gestión antisoborno, así como posibles vínculos y conflictos de interés con la entidad contratante, sus directivos, clientes, etc.
  - (2) La implantación de controles de tipo financiero también resulta fundamental a efectos de impedir la comisión de posibles ilícitos en el seno de la actividad de la organización. Por ello, dependiendo del tamaño y estructura de la organización, ésta deberá contar con, entre otros, los siguientes mecanismos de control de naturaleza financiera: una adecuada segregación de funciones entre la previa autorización del proveedor en cuestión, y la autorización o aprobación de los pagos; establecimiento de firmas mancomunadas en la toma de decisiones; requerimientos y verificaciones de documentación previos a la realización de los pagos; revisiones y monitorizaciones de transacciones, tanto previas a la contratación, como a posteriori en función del nivel de riesgo detectado; establecer restricciones para el uso de dinero en efectivo, incluso en aquellos casos en los que exista la posibilidad de pagos en metálico (aun a cuenta de una caja chica), etc.
  - (3) Finalmente, conviene identificar e implementar otros controles de naturaleza no financiera centrados en aspectos comerciales o relacionados con la propia actividad de la compañía (i.e. compras, operaciones y transacciones, comercialización, y otros procesos no financieros): uso de proveedores que hayan sido sometidos a un proceso de homologación previo, que acredite el establecimiento de un procedimiento de adjudicación en competencia justa y transparente con otros potenciales adjudicatarios; justificación de la necesidad de la contratación por parte de la unidad solicitante; documentación de una adecuada segregación de funciones entre quien requiere el servicio y quienes finalmente lo aprueban; control de la proporcionalidad de los honorarios fijados para el servicio, especialmente en relación con los estándares de mercado.
  - (4) Ni que decir tiene que, aplicados al caso concreto —contratación de sociedades meramente instrumentales—, una adecuada ejecución de dichos controles respecto de proveedores, puede ayudar a evidenciar, con un alto grado de probabilidad: (i) si el proveedor es una entidad legítima desde el punto de vista mercantil; (ii) si está siendo administrada por personas expertas en la materia a contratar; (iii) por supuesto, si el proveedor realiza una actividad real y su evolución en el mercado; (iv) la razonabilidad y proporcionalidad de su contratación, etc. A la vista de lo anterior, en aras a acreditar el adecuado control por parte de la persona jurídica, habrá que acreditar de la forma más ajustada posible si la empresa pasó por adecuado procedimiento de compras en virtud del cual se evaluó, entre otras, la necesidad de la prestación del servicio que se pretendía contratar, la idoneidad de la compra, así como el régimen de aprobaciones internas al que fue sometido. En caso de no verificarse el caso anterior, y tratarse de una adjudicación directa de un departamento concreto, el motivo concreto por el cual se adjudicó de forma extraordinaria y el proceso de aprobaciones y documentación —evidentemente de mayor exigencia que el habitual— por el que pasó.
- ii. La labor de monitorización o evaluación en materia de cumplimiento y prevención penal va a ser siempre, desde el punto de vista de la acreditación de una adecuada implantación del modelo, el elemento fundamental. No en vano, salvo supuestos extremos, la condena llegará por lo general, no por una inexistencia de procedimientos referidos en el punto anterior, si no por inexistencia de verificación de su funcionamiento (41) . Desde el punto de vista de la obligación de supervisión del funcionamiento y del cumplimiento, algunas de las medidas a adoptar por el órgano de cumplimiento, o quien corresponda:
  - ○ Habida cuenta que la corrupción puede llegar a materializarse a través de nuestras relaciones profesionales con proveedores, ello debe de ser considerado siempre un riesgo crítico desde el punto de vista de su utilización para encubrir actos de corrupción. No en vano, el órgano de cumplimiento debe llevar a cabo las monitorizaciones necesarias respecto de la contratación con terceros, tanto en el momento previo a aquélla, como una vez el contrato o acuerdo profesional se encuentre ejecutándose.
    No obstante, la naturaleza de la monitorización a realizar por el órgano de cumplimiento variará tanto en función del riesgo de la transacción, como del nivel de tolerancia de la organización al mismo — i.e. riesgo en función del país, del sector de actividad, de la tipología de la transacción/operación, etc.—
  - ○ Así, éste debería estar en disposición de acreditar qué tipo de monitorizaciones había llevado a cabo respecto de los proveedores, y en especial, respecto de aquellos especialmente sensibles por aspectos tales como: (a) ser el resultado de adjudicaciones directas por no haber pasado por el procedimiento habitual de contratación; (b) figurar como proveedores cuyos titulares o socios puedan levantar algún motivo sospecha, bien por no ser de reconocido prestigio, por llevar a cabo actividad quizás no necesaria para el departamento que esté contratando, satisfacción de honorarios o comisiones por encima del mercado, etc.; (c) en función del país o ubicación en el que operen; (d) en función del sector de actividad; (e) en función de la detección de otros incumplimientos, sanciones —propias o a terceros—, previos, etc.
  - ○ Dentro del ámbito de supervisión, dichas monitorizaciones deberían estar diseñadas, además, para identificar patrones fraudulentos como: pagos pequeños pero repetitivos a proveedores; pagos sobre servicios o productos excesivos en relación con el mercado habitual; proveedores no recurrentes en la compañía; proveedores únicamente contratados por departamentos o geografías específicas; proveedores de servicios extraordinarios, no recurrentes en la compañía o prestadores de servicios de difícil justificación; etc.
  - ○ De igual modo, deberán monitorizarse otro tipo de aspectos igualmente críticos como, v.gr., las gestiones de los presupuestos directos de departamentos especialmente sensibles para la organización.
- iii. Finalmente, desde el punto de vista del departamento de auditoría interna, será necesario acreditar qué tipo de análisis han llevado a cabo respecto de esos proveedores desde el punto de vista de las cantidades satisfechas, trabajos efectivamente realizados, etc. La FCPA, en línea con lo apuntado supra, prevé la posibilidad de llevar a cabo auditorías internas respecto del control de gastos de los empleados, entendiendo éstos como un vehículo para canalizar posibles desviaciones irregulares.
  En este punto debemos tener en cuenta que dichas auditorías internas, necesariamente, deberán tener en cuenta las particularidades del riesgo de corrupción. Un ejemplo claro podemos encontrarlo en los sistemas de control interno SOX o SCIIF, que actúan como mecanismos de detección de las organizaciones a la hora de encontrar desviaciones o posibles irregularidades. No obstante, v.gr., mientras en las auditorías de carácter financiero contemplan unos criterios de materialidad muy elevados en función de la cifra de negocio de la organización, dichos umbrales deberán de ser completamente distintos para el ámbito del cumplimiento penal, habida cuenta que los pagos o desviaciones, dado su menor importe, son de muy difícil justificación.
b. Pagos a través de socios o agentes
Otro de los supuestos paradigmáticos en el ámbito de la corrupción es la utilización de terceros —en sentido amplio: socios, consultores, intermediarios, representantes de ventas, agentes aduaneros, etc.— para el pago de comisiones ilícitas o la realización de alguna otra actividad delictiva por cuenta de la entidad. En el ámbito internacional ya hemos expuesto a lo largo de estas páginas varios de los innumerables ejemplos que fácilmente podemos encontrar, de entrada, en los acuerdos de conformidad negociados entre la SEC y multitud de entidades responsables de la contratación de dichos profesionales (42) . Estos casos los tenemos igualmente a nivel nacional, pudiendo destacar, entre otros, Auto de 6 de marzo de 2019, del Juzgado de lo Central Nº5 de la Audiencia Nacional, en seno de una investigación por un presunto delito de corrupción en las transacciones económicas internacionales en el marco de contratos celebrados, entre otros, con el gobierno de Arabia Saudí entre los años 2005 y 2014:

«(…) la pieza separada de Arabia Saudí tiene por objeto la investigación de la relación comercial mantenida (…) con las autoridades gubernamentales de Arabia Saudí desde el año 2005 hasta 2014, apreciando presuntas irregularidades en la gestión y contabilidad de la empresa pública, y en su actividad comercial, en este caso, respecto a los contratos celebrados con el gobierno de Arabia Saudí, al haberse computado como verdaderos gastos los pagos en concepto de comisiones a sociedades consultoras que no se corresponderían con trabajos reales o verdaderos, o que no han resultado justificados, y pagos a terceros identificados, en algunos casos, con siglas o con la graduación militar que podrían referirse a personas pertenecientes o relacionadas con el gobierno de Arabia Saudí.»
- (a) Al igual que en el caso anterior, son muchas las actividades de control a acreditar por la compañía para acreditar un adecuado nivel de riesgo. Por ejemplo, y adicionalmente a los expuestos en el caso anterior, que resultarían igualmente aplicables:
  - ○ En cuanto a las medidas preventivas adoptadas en la contratación de agentes o intermediarios, si tomamos como referencia la Guía Práctica para Programas anticorrupción de ética y cumplimiento para las empresas establecida por la Oficina de las Naciones Unida: diligencia debida llevada a cabo (que incluya evaluación de potenciales conflictos de interés, de estructuras y dependencia, trayectoria desde el punto de vista de la corrupción, etc.); procesos llevados a cabo respecto de la remuneración; documentación de gatos y mantenimiento; adhesión a políticas de la compañía y compromisos del agente, etc.
  - ○ Respecto de medidas extraordinarias en supuestos de especial riesgo (por actividad, por país, o por el motivo de aplicación que corresponda): sistema de aprobación del agente establecido por la entidad; medidas de diligencia reforzada llevadas a cabo para una mejor supervisión y seguimiento de la actividad del agente en cuestión.
- (b) Desde el punto de vista de la obligación de supervisión del funcionamiento y del cumplimiento del modelo por parte del órgano de cumplimiento, nuevamente, y con carácter adicional a las referidas respecto de los proveedores:
  - ○ Establecimiento de un sistema específico de alertas para situaciones de especial riesgo (43) (red flags). Alguno ejemplos orientadores, podrían ser: cuando nos encontramos ante socios o agentes recomendados por administraciones públicas; cuando el socio presta asesoramiento en procesos de contratación con muchas trabas burocráticas o con alto grado de discrecionalidad por parte de la administración contratante; cuando el socio subcontrata parte de los servicios con otros agentes; cuando existentes sospechas respecto de los pagos, v.gr., porque se realizan a países distintos a la prestación del servicio o a la sede social.
  - ○ Evaluaciones llevadas a cabo respecto del modelo anticorrupción del socio de negocio (i.e. existencia de un Código Ético, política de regalos, política anticorrupción, cláusulas contractuales específicas en materia anticorrupción, procedimientos de gestión de conflictos de interés, sistemas de control interno específicos, etc.).
  - ○ Evaluaciones llevadas a cabo por terceros independientes.
  - ○ Supervisión y seguimiento de la actividad del agente por cuenta de la entidad: alcance, frecuencia y enfoque de dicha monitorización.
- (c) Auditorías internas llevadas a cabo por la entidad respecto del agente. En este sentido, resulta ilustrativo que, uno de los motivos por los que resultó condenada Panasonic, fue precisamente por, a pesar de impuesto a sus agentes y consultores cláusulas específicas para posibilitar la auditoría de los trabajos, no llevar a cabo ningún tipo de verificación. Todo ello, a pesar de que estos proveedores estaban clasificados como de alto riesgo habida cuenta de la actividad desempeñada en nombre de la multinacional.
c. Otros pagos en especie
De entre todas sanciones impuestas por incumplimientos y violaciones de las disposiciones normativas previstas en la FCPA, incluyendo la imposición tanto de multas, como penas de posibles penas privativas de libertad (44) , desde el punto de vista de pagos en especie podemos traer a colación el supuesto de la entidad financiera JP Morgan. El presupuesto de dicha condena residió en la verificación, durante un período de más de seis años, de determinados actos de soborno mediante la oferta de empleos de trabajo a familiares y amigos de sus principales clientes, incluyendo funcionarios públicos extranjeros de la región Asia-Pacífico, con el fin de obtener y/o mantener inversiones de negocio u otros beneficios para la compañía.

Para este caso, los controles que podrían ayudar a las compañías a gestionar y prevenir este tipo de situaciones, entre otros:
- (a) Desde el punto de vista de la contratación de los candidatos:
  - ○ Definición de una política de selección de candidatos, al hilo de las recomendaciones derivadas de los estándares normativos —en este caso, podemos acudir a la UNE 19.601 de Sistemas de gestión de compliance penal—. A través de la misma, se establecerán unas pautas básicas, principalmente dirigidas al departamento de Recursos Humanos, para la contratación de nuevos empleados, incluyendo el sistema de evaluación de los mismos conforme a requisitos objetivos: i.e., necesidades técnicas, adaptación al puesto y retribución.
    Asimismo, resultará especialmente relevante la regulación de la selección y contratación de candidatos estratégicos —socios y directivos—, en los mismos términos que el párrafo anteriormente referenciados.
  - ○ Definición de un adecuado procedimiento de contratación de referidos. En entidades privadas, la contratación de personal referido no es, per se, una conducta prohibida, si bien puede llegar a entenderse como un indicador de riesgo. Por ello, siempre deberá atenderse a criterios objetivos de contratación, realizándose un adecuado seguimiento de la conducta profesional de aquéllos. A través de este procedimiento, la compañía definirá, por un lado, los criterios a tener en cuenta para su contratación, y por otro, el proceso de diligencia debida para acreditar una adecuada adaptación a los requerimientos técnicos necesarios para el desempeño profesional.
  - ○ Para los casos de administradores o alta dirección, mediante la cumplimentación de procesos de diligencia debida de honorabilidad en función del cargo a ocupar: administradores, CEOs, directores generales y asimilados; responsables de las funciones de control interno y otros puestos clave para el desarrollo diario de la actividad; etc. En este sentido, v.gr., de las páginas web del Banco de España o la CNMV podemos extraer ejemplos de los criterios a considerar en los mismos, tanto para este tipo de perfiles, como incluso para grupos de interés (socios o accionistas).
  - ○ Seguimiento de las evaluaciones de desempeño que se han tenido que ir realizando respecto de dichos empleados a lo largo de los años.

Si bien la corrupción puede llegar a existir en todos los ámbitos de la actividad empresarial, la persona jurídica puede confiar en que no le serán imputadas las cometidas por terceros

(3) A la vista de lo anterior, qué duda cabe que, si bien la corrupción puede llegar a existir en todos los ámbitos de la actividad empresarial, la persona jurídica puede confiar en que no le serán imputadas las cometidas —principio de confianza— por terceros llegado el caso de haber adoptado medidas de prevención razonables para prevenirlos. El problema que encontramos aquí es que las obligaciones ex lege derivadas del art. 31 bis (LA LEY 3996/1995)son abiertamente insuficientes para conocer las medidas a adoptar, así como que, a la postre, la eficacia de un programa de cumplimiento pasará necesariamente por acreditar que la organización ha hecho todos los esfuerzos posibles por crear una cultura de cumplimiento eficaz estableciendo medidas de control adecuadas (45) .

Ahora bien, el cumplimiento de todas las medidas de control como las expuestas, amparadas en estándares y recomendaciones de organismos internacionales, adaptadas siempre a las particularidades y especificidades de cada entidad deberá poner en disposición de romper con los presupuestos de la imputación objetiva. En efecto, acreditando una adecuada gestión de este tipo de actividades sensibles, en especial mediante la ejecución de actividades específicas de monitorización y seguimiento, será posible verificar una actuación dentro de ámbitos razonables del riesgo (46) .

Seguiremos hablando de riesgos, porque la posibilidad de que un empleado o un tercero aproveche la estructura o actividad de la persona jurídica para cometer el acto de corrupción, subsistirá. Sin embargo, dichos riesgos habrán de entenderse como permitidos, al haberse establecido los mecanismos de prevención establecidos para mitigarlo. La imputación del resultado criminalmente reprochable, de este modo, únicamente deberá alcanzar a quien ha llevado a cabo tal actividad —persona física—, pero no a quien ha sido instrumentalizado para realizarla —persona jurídica—.

VII. CONCLUSIONES

(1) En el debate sobre qué carácter dogmático tienen las medidas de control exigidas ex art. 31 bis CP (LA LEY 3996/1995), podemos concluir que efectivamente son una manifestación de lo que en términos de imputación objetiva se conoce como riesgo permitido. Aplicando los postulados de esta teoría, la persona jurídica se erige ahora en «garante» de la actividad desempeñada por sus administradores y empleados.

(2) De este modo, durante la investigación y enjuiciamiento, la sociedad será evaluada conforme a un análisis ex ante, desde una posible doble perspectiva: (a) en primer lugar, y para el supuesto de comportamientos activos, si la acción del autor —la empresa u organización, en nuestro caso— ha creado un riesgo jurídicamente desaprobado para la producción del resultado; en segundo lugar (b) para el caso de comportamientos omisivos, si la supuesta omisión de la entidad —o del órgano de cumplimiento— habría evitado el resultado desaprobado con «una probabilidad rayana a la certeza».

(3) Para determinados riesgos imprudentes regulados en otras jurisdicciones distintas de la penal, el análisis de dichos riesgos venía resultando hasta ahora relativamente fácil, pues ante lo que comúnmente muchos entienden como normas en blanco, la jurisprudencia acudía rápidamente a las normas de referencia (en el ámbito del medioambiente o del blanqueo de capitales, por ejemplo). Sin embargo, dado que en delitos de corrupción no es posible encontrar normas administrativas concretas —ni de ninguna otra naturaleza— para poder abordar los límites del riesgo, necesariamente deberemos acudir a estándares internacionales de referencia, como la establecida por la UNE-ISO 37001:2017 sobre Sistemas de Gestión Antisoborno, u otras tantas recomendaciones de organizaciones de prestigio como la Guía Práctica para Programas anticorrupción de ética y cumplimiento para las empresas establecido por la Oficina de las Naciones Unidas contra la Droga y el Delito (47) , o las recomendaciones establecidas por Transparencia Internacional en su Managing Third Party Risk.

(4) El cumplimiento de medidas de control como las expuestas en el presente trabajo, adaptadas siempre a las particularidades y especificidades de cada entidad, deberá entenderse que rompe los presupuestos de la imputación objetiva. En otras palabras, acreditando una adecuada gestión de este tipo de actividades sensibles, en especial mediante la ejecución de controles específicos de monitorización y seguimiento, será posible verificar una actuación dentro de ámbitos razonables del riesgo y, por tanto, exonerarte en términos de responsabilidad penal corporativa.

VIII. BIBLIOGRAFÍA

1. ALONSO GALLO, J. Los programas de cumplimiento, en Estudios sobre las reformas del Código Penal (operadas por las LO 5/2010, de 22 de junio, y 3/2011, de 28 de enero (LA LEY 767/2011)) (Dir. DIAZ-MAROTO Y VILLAREJO, J., Pr. RODRÍGUEZ MOURULLO, G.), Ed. Aranzadi, Cizur Menor, 2011; GIMENO BEVIÁ, J., Compliance y proceso penal. El proceso penal de las personas jurídicas, Thomson Reuters, Cizur Menor, 2016.

2. ARTAZA VARELA, O., Programas de cumplimiento, en Responsabilidad de la empresa y compliance (Dir. MIR PUIG, S., CORCOY BIDASOLO, M. y GÓMEZ MARTÍN, V.), Ed. Edisofer, Madrid, 2014.

3. BACIGALUPO, E., Principios del Derecho penal. Parte General, 4ª Ed., Akal, Madrid, 1997.

— Derecho penal. Parte General, ARA Editores, Lima, 2004.

— Compliance y Derecho penal, Aranzadi, Cizur Menor, 2011.

4. BAJO FERNÁNDEZ M. / BACIGALUPO SAGESSE, S., Derecho penal económico, Centro de Estudios Ramón Areces, 2010, Madrid.

5. BAJO FERNÁNDEZ, M., La persona jurídica en la mente del legislador penal¸ Discurso de ingreso como Miembro Honorario de la Real Academia Asturiana de Jurisprudencia, 2015, http://www.bajo-trallero.es/publicacion/La%20persona%20juridica%20en%20la%20mente%20del%20legislador%20penal%202015.doc%20(1)%20(1).pdf.

6. CASTAÑÓN, J. M., El límite entre imprudencia y riesgo permitido en Derecho Penal: ¿es posible determinarlo con criterios utilitarios?, ADPCP, VOL. XLIX, FASC. 111, 1996.

7. FEIJOO SÁNCHEZ, B., Imputación objetiva en el Derecho penal económico y empresarial, INDRET, mayo de 2009, disponible en Internet en: http://www.indret.com/pdf/627_1.pdf.

— Imputación objetiva en el Derecho penal económico: el alcance del riesgo permitido. Reflexiones sobre la conducta típica en el Derecho penal del mercado de valores e instrumentos financieros y de la corrupción entre particulares, en Perspectiva Penal Actual. Revista de investigaciones jurídico-penales. Centro de Estudios Penales y Penitenciarios. Facultad de Derecho Universidad mayor, n.^o 1 año 2012.

8. GIMBERNART ORDEIG, E. Delitos cualificados por el resultado y causalidad, B de F, Buenos Aires, Argentina, 2ª Ed., 2007.

9. GÓMEZ-JARA DÍEZ, C., Fundamentos de la responsabilidad de las personas jurídicas, en Tratado de la responsabilidad penal de las personas jurídicas, 2ª Ed. Thomson Reuters, Cizur Menor, 2015.

— El injusto típico de la persona jurídica (tipicidad), en Tratado de la responsabilidad penal de las personas jurídicas, en Tratado de la responsabilidad penal de las personas jurídicas, 2ª Ed. Thomson Reuters, Cizur Menor, 2015.

— El pleno jurisdiccional del Tribunal Supremo sobre responsabilidad penal de las personas jurídicas: fundamentos, voces discrepantes y propuesta reconciliadora , Diario La Ley, N.^o 8724, Sección Documento on-line, 17 de marzo de 2016.

10. JAKOBS, G., Derecho Penal. Parte General. 2 ª Ed., Traducida por CUELLO CONTRERAS, J. y SERRANO GONZÁLEZ DE MURILLO, J. L., Marcial Pons, Madrid, 1997.

11. LASCURAIN SÁNCHEZ, J.A., Salvar al Oficial Ryan, en Responsabilidad de la empresa y compliance (Dir.

MIR PUIG, S., CORCOY BIDASOLO, M. y GÓMEZ MARTÍN, V.), Ed. Edisofer, Madrid, 2014.

12. LIÑÁN, A., La Responsabilidad Penal del Compliance Officer, Aranzadi, Cizur Menor, 2019.

13. MIR PUIG, S., Significado y alcance de la imputación objetiva en el Derecho penal, Revista Electrónica de Ciencia Penal y Criminología, 24 de octubre de 2003, disponible en Internet en: http://criminet.ugr.es/recpc/05/recpc05-05.pdf.

14. NEIRA PENA, A. M., La efectividad de los criminal compliance programs como objeto de prueba en el proceso penal, Política criminal, Vol. 11, N.^o 22, diciembre de 2016.

15. NIETO, A. Problemas fundamentales del cumplimiento normativo en el Derecho penal, en Compliance y teoría del Derecho penal (Eds. KUHLEN, L, MONTIEL, J.P., ORTIZ DE URBINA JIMENO, I.), Marcial Pons, 2013.

— De la ética pública al public compliance: sobre la prevención de la corrupción en las administraciones públicas, en Public compliance. Prevención de la corrupción en administraciones públicas y partidos políticos (Dir. NIETO MARTÍN, A. y MAROTO CALTAYUD, M.), Ediciones de la Universidad Castilla-La Mancha, Cuenca, 2014.

— La prevención de la corrupción, en Manual de cumplimiento penal de la empresa (Dir. NIETO MARTÍN, A.), Tirant lo Blanc, Valencia, 2014.

16. ORTIZ DE URBINA, I., Delitos contra la Administración Pública, en Memento penal económico y de la empresa (Coord. OLIVA AYALA ABOGADOS), Francis Lefebre, Madrid, 2016.

— ORTIZ DE URBINA, I., Lecciones de Derecho Penal. Parte Especial. Altelier, Barcelona, 2015.

17. QUERALT JIMÉNEZ, J., Derecho penal español. Parte Especial, 5ª Ed., Atelier, Barcelona 2008.

18. SÁNCHEZ-VERA GÓMEZ-TRELLES, J., Blanqueo de capitales y abogacía, INDRET, enero de 2008, disponible en Internet en: http://www.indret.com/pdf/502.pdf.

— Cuestiones abiertas en los delitos de las personas jurídicas¸ en Estudios de Derecho penal (homenaje al Profesor Miguel Bajo), Editorial Universitaria Ramón Areces, Madrid 2016.

19. SERRANO ZARAGOZA, O., Compliance y prueba de la responsabilidad penal de las personas jurídicas; cómo conseguir la exención de la responsabilidad penal de una persona jurídica en el curso de un procedimiento penal, Revista Aranzadi Doctrinal, núm. 6/2016 Parte Estudio, Ed. Aranzadi, Cizur Menor, 2016.

Volver a página de inicio

Volver a página de inicio