No han sido pocos los cambios legislativos en materia penal que han experimentado las empresas a lo largo de los últimos años: desde la consagración de la responsabilidad penal, introducida ya por Ley Orgánica 5/2010 de 22 de junio, hasta la reciente Ley Orgánica 1/2015 de 30 de marzo, que aclara y consagra la anterior. Estas reformas del Código Penal han introducido cambios sustanciales, pues han traído consigo la desaparición del principio de derecho penal clásico “Societas delinquere non potest”, es decir, que las empresas no podían ser consideradas responsables penalmente en el caso de que sus directivos o empleados cometieran alguna conducta delictiva. Así las cosas, el recién reformado artículo 31 bis del Código Penal establece que en los supuestos previstos, las personas jurídicas (sociedades mercantiles, asociaciones y fundaciones) serán penalmente responsables de los delitos cometidos en su beneficio por sus representantes legales, por las personas que estén por ellos autorizadas, así como por los delitos cometidos por sus empleados.

Si bien es cierto que esta modificación es de vital importancia, no ha sido percibida en la calle ni en la realidad empresarial hasta que han proliferado los últimos escándalos en los que aparecía el nombre de una gran empresa como culpable directa (Volkswagen, Vitaldent, Abengoa...). Y es que los escasos procedimientos dirigidos contra personas jurídicas, sumados a la insuficiente repercusión mediática, han hecho que el pequeño y mediano empresario desconozca casi en su totalidad que su empresa podía ser investigada y sancionada penalmente.

Las personas jurídicas penalmente responsables solo pueden serlo por los concretos delitos que expresamente señala el Código Penal que pueden dar lugar a su responsabilidad. Lejos de caer en tecnicismos propios del sector, a título meramente enunciativo, citamos a continuación cuáles son esos delitos: tráfico de órganos, trata de seres humanos, prostitución y corrupción de menores, acceso ilícito a datos y programas informáticos, estafa, insolvencias punibles, daños informáticos, delitos relativos al mercado y los consumidores y de corrupción privada, receptación y blanqueo de capitales, financiación ilegal de Partidos políticos, delitos contra la Hacienda Pública y la Seguridad Social, delitos contra los derechos de los ciudadanos extranjeros, delitos contra la ordenación del territorio, delitos contra el medio ambiente, vertido de radiaciones ionizantes. actividades relacionadas con explosivos, delitos contra la salud pública referidos a medicamentos, delitos relacionados con drogas tóxicas o estupefacientes, falsificación de moneda, falsificación de tarjetas bancarias y cheques de viaje, cohecho, tráfico de influencias. incitación al odio, etc.), pertenencia a organizaciones y grupos criminales y terroristas y financiación del terrorismo.

El criterio elegido por la Reforma para atribuir responsabilidad penal a las personas jurídicas es doble. Según el Código Penal, las empresas podrán ser consideradas penalmente responsables de cualquiera de los delitos señalados o, lo que es lo mismo, podrán ser penalmente condenadas como autoras de un delito, en dos supuestos: 1) Cuando alguno de sus representantes legales o administradores de hecho o de derecho haya cometido un delito por cuenta y en provecho de la empresa, y 2) Cuando en el ejercicio de las actividades sociales y por cuenta y en provecho de la empresa, se haya cometido el delito por uno o varios de sus empleados, siempre y cuando el hecho punible haya sido posible por no haberse ejercido el debido control sobre su persona y actividad, por los legales representantes o administradores.

Deteniéndonos en el segundo criterio o forma de responsabilidad, observamos que conlleva una serie de consecuencias de enorme relevancia para las personas jurídicas, puesto que introduce lo que denomina un sistema de debido control, que será lo que conozcamos con el nombre de Modelo o Plan de Prevención de Riesgos Penales, Corporate Compliance Penal o, en síntesis, Cumplimiento Normativo Penal.

El elenco de penas aplicables a las empresas se establece en el apartado 7 del artículo 33 del Código Penal. Se trata de siete tipos de penas creadas para imponerse específicamente a las personas jurídicas con la consideración de penas graves, independientemente de su duración, y son las siguientes: multa por cuotas o proporcional, disolución de la persona jurídica, suspensión de sus actividades por un plazo que no podrá exceder de cinco años, clausura de sus locales y establecimientos por no más de cinco años, prohibición definitiva o temporal de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito, inhabilitación por no más de 15 años para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios fiscales o de Seguridad Social e intervención judicial por no más de cinco años a favor de acreedores o trabajadores.

Dentro del nuevo régimen de responsabilidad penal de las empresas, el reformado artículo 31 bis exime de responsabilidad penal a la empresa que hubiere instalado un Modelo o Plan de Prevención de Delitos, también denominado “Programa de Compliance Penal”, con anterioridad a su comisión, o con posterioridad para que pueda llegar a existir al menos una atenuación de la pena, en los términos señalados por la ley. Con ello, el Código Penal apela a la necesidad de que las personas jurídicas (PYMEs incluidas) cuenten con una estructura de cumplimiento de la legalidad o Compliance programs, de forma que las que instalen un Plan de Prevención de Riesgos Penales puedan demostrar su compromiso con la legalidad y no ser sancionadas en el supuesto de que aconteciesen conductas delictivas en su seno.

En este sentido, podemos definir un Programa de Compliance Penal como el conjunto de normas de carácter interno, establecidas en la empresa a iniciativa del órgano de administración, con la finalidad de implementar en ella un modelo de organización y gestión eficaz e idóneo que le permita mitigar el riesgo de la comisión de delitos y que la exonere de la responsabilidad penal de los delitos cometidos por sus directivos y empleados.

Pero el Compliance Penal supone algo más que eso. Constituye, sobre todo, la implementación en la organización empresarial de un valor añadido de suma importancia cual es la contribución a la consolidación de principios de ética y conducta que generen y consoliden en la empresa una cultura de la legalidad y de buenas prácticas; algo que resulta necesario para garantizar la supervivencia y continuidad de la empresa y que, a mayor abundamiento, le da prestigio y seguridad jurídica, a la vez que ayuda a preservar su reputación.

En resumen, y traducido a un lenguaje más empresarial: el Compliance Penal no consiste en un simple maquillaje. Debe ser debidamente implementado, lo que equivale a asignarle recursos, ya que existen una serie de riesgos que, en primer lugar, no son trasladables, porque no son asegurables por ninguna compañía de seguros, y en segundo lugar, tampoco son asumibles, habida cuenta que pueden suponer hasta la desaparición de la propia empresa, con lo que deberán ser gestionados a través de una política adecuada que defina “el qué” y de un manual o programa que defina “el cómo”.

El proceso de implementación de un Programa de Compliance presupone el manejo de ciertos conocimientos especializados en Derecho Penal, debiendo transitar por distintas fases con el objetivo de prevenir, detectar y responder ante los diversos riesgos penales existentes. Siguiendo el propio artículo 31 bis del Código Penal, los programas de Compliance: identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos, establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos, dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos, impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención, establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo, y por último realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Por tanto, para implementar un programa de cumplimiento, se deberá llevar a cabo ex ante un análisis de la persona jurídica, de su actividad, su trayectoria y de los riesgos a los que se encuentra expuesta, ya que no se podrá implantar el mismo programa de cumplimiento a una empresa que se dedica al diseño, al reciclaje, a la venta online, que a otra empresa especializada en la importación de productos textiles o de construcción.

En suma, un modelo de Compliance debe analizar las conductas que pueden ser llevadas a cabo por la persona jurídica y que pueden suponer un incumplimiento normativo, establecer las probabilidades de su comisión e imponer las medidas necesarias para evitar su materialización. Por ello, es necesario conocer bien la compañía para confeccionarle un traje a medida que, con independencia del tiempo que transcurra, pueda ser revisado y actualizado.

Este último punto es, si cabe, el que habría que tener más en cuenta a la hora de redactar un programa de cumplimiento normativo, ya que en la práctica, una vez estemos en sede judicial, la cuestión más trascendental será precisamente el poder acreditar que el modelo es idóneo al tipo de empresa, a sus propios riesgos y a la actividad que desempeña, resultando desechables los modelos copiados de otras empresas, de acuerdo con lo dispuesto en la Circular de la Fiscalía 1/2016 y en las recientes Sentencias del Tribunal Supremo de fecha 29 de febrero y 16 de marzo de 2016, donde se considera que la carga de la prueba de la idoneidad del modelo corresponde a la empresa, por lo que la forma ideal de hacerlo será que previamente formase ya parte de su propio ADN. Del mismo modo, las certificaciones sobre la idoneidad del modelo expedido por terceros se consideran, a juicio de la Fiscalía, un elemento adicional más de la adecuación del modelo.

Las primeras interpretaciones jurisprudenciales apuntan ya la necesidad de que cada empresa implante una cultura ética de cumplimiento corporativo sin importar el tamaño de la misma. Ahora bien, ¿es o no es obligatorio?

Cualquier persona versada en derecho responderá que, efectivamente, lo es, especialmente si observamos lo que puede suceder si no se implementa. La empresa debe saber que no hacerlo conlleva la exposición a importantes riesgos, principalmente de carácter económico. Por ende, no incorporar un modelo de cumplimiento penal es colocar a la empresa y al órgano de administración en un altísimo grado de exposición al riesgo.

No obstante lo anterior, muchos empresarios seguirán preguntándose por qué deben implementar el Compliance Penal en su empresa si en ella no se cometen delitos. La respuesta es sencilla. Lejos de generar desconfianza en sus integrantes, nunca se puede estar seguro, y no siempre las conductas que muchos podrían considerar como normales, en realidad pueden constituir ilícitos penales cuyo desconocimiento no exonera a nadie de la responsabilidad penal. Para muestra varios ejemplos: pregúntese cuántos empleados o directivos conocen a ciencia cierta que descargarse una copia pirata de un software informático, deshacerse en un contenedor público de papeles con información contable de terceros o grabar sin consentimiento imágenes en un evento corporativo y subirlas a la propia web de la empresa o a redes sociales pueden suponer delitos de los que se deriva responsabilidad penal empresarial. Con ello queremos llamar la atención de que un Manual de Cumplimiento Normativo, elaborado y adaptado a cada sector de actividad empresarial, puede prevenir fácilmente estas situaciones al advertir a toda la plantilla de forma metódica, ordenada y comprensible de lo que se puede y no se puede hacer.

Asimismo, desde un punto de vista mercantil, la contratación entre empresas hace que sea obligatorio y que su inobservancia pueda ser invocada como causa de resolución ante los Tribunales. En este sentido, podemos hacer referencia al Grupo Inditex, quien no solo cuenta con un Programa de Cumplimiento, sino que exige a sus proveedores que lo conozcan y lo respeten.

Por tanto, podemos observar que no solo se trata de evitar que nuestra empresa se vea inmersa en un procedimiento penal, sino que va a ser un requisito imprescindible para operar en el mercado, pues nuestros competidores y colaboradores nos exigirán la implantación de un Compliance eficaz para entablar relaciones comerciales con nuestra empresa.

Pero al margen de términos legales, partimos de la idea de que un empresario que se precie no toma decisiones estratégicas pensando si son o no obligatorias, sino haciendo un análisis costes-beneficios, de manera que lo que habría que preguntarse sería, más bien, qué beneficios podría reportar implantar en su empresa un sistema de Cumplimiento Normativo.

Pues bien, hay que tener en cuenta, en primer lugar, que el Cumplimiento Normativo evita el coste reputacional que una simple imputación penal podría suponer, ya que podría acabar con el esfuerzo y el renombre labrado a lo largo de los años. Igualmente, al recoger el legislador una auténtica “pena de muerte” empresarial, como es la disolución, así como cuantiosas multas, se trata de una mera cuestión de supervivencia de la propia empresa, que tan solo tendrá que implantar algo que no le va a trastocar en lo más mínimo su ritmo habitual de actividad.

Por otro lado, volviendo con lo que decíamos con anterioridad, el Cumplimiento Normativo es algo que tanto clientes como proveedores vienen exigiendo cada vez más, por lo que no tenerlo incrementa sobremanera el riesgo de quedarse pronto fuera de mercado. Del mismo modo, quien decide apostar por la internacionalización de la empresa o por contratar con la Administración Pública, le va a resultar algo no opcional, ya que lo habitual es que le sea exigido un certificado de antecedentes penales societarios favorables.

Y por último, aunque resulte obvio, un Plan de Prevención de Riesgos Penales va a prevenir la comisión de ilícitos penales y, en el caso de que aun así sucedieran, probaría ante las autoridades judiciales que la empresa hizo todo lo posible por evitarlo y eludir así la correspondiente responsabilidad penal.

El 'Compliance Officer' o Director de Cumplimiento Normativo es el órgano adecuadamente estructurado y dotado de autonomía e independencia designado por la empresa para asegurar el Cumplimiento Normativo. Esta figura apareció por primera vez en el sector financiero, por ser uno de los que más regulación y normativas exigen. Sin embargo, su presencia en el mundo empresarial, especialmente en las grandes empresas, se ha convertido en imprescindible, aportando, además del cumplimiento de la ley, la cultura de la legalidad a las empresas. No obstante, desde la Reforma del Código Penal de 2015, el Director de Cumplimiento Normativo ha ido ganando peso en el ámbito de la pequeña y mediana empresa, haciendo surgir varias dudas acerca de su acuñación en las mismas, como por ejemplo cuáles son las funciones exactas que lleva a cabo, si la persona designada como tal ha de tener necesariamente conocimientos jurídicos o si cualquier persona de la organización puede serlo, por lo que seguidamente trataremos de desgranar las respuestas a estas preguntas del modo más práctico y esclarecedor posible.

Dicho esto, y antes de pasar a explicar las funciones, según el Código Penal las pequeñas y medianas empresas pueden hacer la designación del Compliance Officer en el administrador de la sociedad. Para poder disfrutar de esta simplificación es necesario que la persona jurídica tenga la consideración de “persona jurídica de pequeñas dimensiones“, que según el art. 31 bis apartado 3 del Código Penal serán las empresas autorizadas a presentar cuenta de pérdidas y ganancias abreviadas.

Por tanto, para conocer el concepto de “persona jurídica de pequeñas dimensiones”, y poder así asignar la función de Compliance Officer al órgano de administración, tenemos que acudir a la legislación mercantil, concretamente al artículo 258 Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, que establece que podrán formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes: a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros, b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros, y c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta.

El hecho de que las PYMEs puedan elegir crear la figura del Compliance Officer dentro del órgano de administración reduce, indudablemente, el coste económico y administrativo a la hora de implantar un Plan de Compliance Penal, ya que se evita el coste de externalizar la figura al quedar dentro del gobierno de la propia empresa. Por tanto, los directivos y administradores de estas empresas deberán añadir esta responsabilidad a su conjunto de atribuciones, no teniendo que reestructurar el organigrama ejecutivo y pudiendo buscar ayuda especializada que les guíe en las funciones que la Ley ha reservado para ellos, que son: supervisión del funcionamiento y cumplimiento del modelo de Compliance Penal, información y formación a los empleados sobre el modelo de Compliance Penal, vigilancia y control del personal de la empresa mediante el seguimiento de una matriz de riesgos penales, revisión y modificación del modelo de prevención penal y gestión del canal de denuncias e investigaciones internas.

A modo de conclusión, la pequeña y mediana empresa no sólo debe protegerse frente al riesgo penal, sino que además, y dado que por lógica contará con menos medios y recursos internos de prevención y control, es mucho mayor aún la importancia que cobra en tales entidades la necesidad de una auditoría jurídica especializada acompañada de un asesoramiento jurídico externo como medios idóneos para garantizar una óptima y eficaz implantación del modelo de organización y gestión requerido, así como para facilitar y agilizar los procesos de control, actualización normativa, seguimiento, formación, prevención y, en definitiva, el acceso al Cumplimiento Normativo y a una potencial exención de la responsabilidad penal de la persona jurídica correctamente asesorada en materia de Compliance.

Llegados a este punto, entendemos que es necesario hablar con claridad de los costes que tendrá para las empresas adaptarse a la nueva legislación penal. Más allá de todos los beneficios y ventajas que hemos comentado, nos encontramos con un sentimiento de hastío en el pequeño y mediano empresario, cansado ya de continuas reformas y de excesivas regulaciones, que no deja de preguntarse por cuánto me va a salir esto ahora.

Pues bien, respondiendo a esta cuestión, los costes de implantación dependerán, como es lógico, del tamaño de cada empresa, ya que no es lo mismo implantar un sistema de control para una micropyme o una 'startup', como puede ser una desarrolladora de software para móviles, que para una empresa que cuente con numerosos departamentos y trabajadores, ya que sus estructuras y procesos no son los mismos y los riesgos penales en los que puede incurrir se multiplican. Del mismo modo, hay que añadir que esos costes se desglosan de un modo concreto, ya que, por un lado, existirán costes de implementación, costes de mantenimiento, costes de revisión y mejora del sistema y, si fuera necesario, costes relativos a la formación dentro de la empresa. Hablando en términos estrictamente monetarios, es habitual que el cómputo total de costes ascienda, como mínimo, a los tres mil euros en empresas pequeñas, y no menos de cinco mil euros para empresas medianas, habida cuenta que los operadores jurídicos que se suelen encargar de ello realizan una facturación por horas.

Ahora bien, nosotros no dejamos de ser también empresarios, de modo que hemos intentado acercarnos lo máximo posible a la mentalidad del pequeño y mediano empresario y, sabedores de los riesgos a los que se expone por no contar con algo cuya implantación, bajo nuestro punto de vista, puede resultar apriorísticamente costoso, al no tarifar por horas nos encontramos en una posición de poder ofrecer unas tarifas sustancialmente alejadas de las reflejadas, con unos costes flexibles y adaptados a cualquier tipo de PYME, y sin disminuir por ello ni un solo ápice la calidad técnica del servicio prestado.

El Código Penal no establece cómo debe ser configurado un Manual de Compliance. Ante la ausencia de criterios normativos específicos, hemos optado por acogernos a la Norma Internacional de Normalización ISO 19600 sobre “Sistemas de gestión de Compliance y directrices”, no solo por ser la referencia internacional en el ámbito del Compliance al recoger las directrices para implantar, evaluar, mantener y mejorar un sistema de gestión de Compliance eficaz, sino también porque será la utilizada como baremo de diligencia en el Sistema Penal Español, dado que en su confección participaron grupos de trabajo tanto del Tribunal Supremo como de la Fiscalía, por lo que fija un estándar que marcará el nivel a la hora de medir la causa de exoneración de responsabilidad penal en personas jurídicas.

La Norma ISO 19600 es aplicable a todo tipo de organizaciones, independientemente de su tamaño y actividad, aunque en la misma norma se asumen las grandes diferencias que puede haber entre unas y otras empresas en función de volumen de operaciones, dispersión geográfica, mercados de referencia, etc. Dicho esto, no se trata de una norma rígida, ya que articula una metodología común, medible y comparable, pero con suficiente capacidad como para resolver las necesidades del Cumplimiento Normativo y adaptarlas a la operativa, distribución competencial, idiosincrasia, cultura de cumplimiento, momento económico, estrategia comercial, etc., de cada empresa.

En resumidas cuentas, la implantación de la norma ISO 19600, al eliminar la discrecionalidad y la arbitrariedad en el Compliance Penal, facilita el proceso de adaptación en dicho ámbito a la vez que genera una reputación digna de confianza para la organización, por lo que resulta más que apta para ser utilizada por todas las PYMEs que así lo requieran.