En la Revista Penal número 44 de Tirant lo Blanch  se  reflexiona en torno al Compliance Penal y a la ética en la empresa. 

Autor: Juan Carlos Ferré Olivé


Cuando comenzamos a hablar específicamente del compliance penal, se debe diferenciar claramente la estructura y efectos de este tipo de compliance de las finalidades perseguidas por sus otras manifestaciones. Si bien es cierto que las responsabilidades penales de la empresa se han ido incardinado en el contexto de los modelos organizativos de gestión empresarial, no es menos cierto que las consecuencias jurídicas y extrajurídicas de las carencias e infracciones no son comparables. En otras palabras, los efectos mercantiles, éticos, reputacionales, y de cualquier naturaleza distintos a la pena no pueden confundirse con ésta.

En una aproximación básica podemos caracterizar el compliance como una serie de mecanismos de prevención de riesgos que necesitan todas las empresas para poder operar en los mercados nacionales e internacionales, cumpliendo las exigencias de las administraciones públicas, de bancos, de inversores, etc. Como afirma Bajo Fernández, con ellos se busca la creación de una cultura empresarial de fidelidad al Derecho35, dejando al mismo tiempo indicios claros a los miembros y trabajadores de la persona jurídica para que conozcan cuáles son los comportamientos correctos en su ámbito empresarial de actuación36. En este contexto se puede afirmar con seguridad que el compliance potencia el respeto al Derecho dentro de la empresa, la confirmación de la vigencia de la ley37, pero que incluso va más allá, pues abarca compromisos que las empresas eligen cumplir sin que su ausencia resulte reñida con la legalidad vigente.

La relevancia penal es, en definitiva, secundaria38. O, dicho en otros términos, el compliance en esencia no es Derecho penal, sino un mecanismo de gerenciamiento de riesgos basado en reglas técnicas de gestión corporativa, interesándose el Derecho penal por alguno de esos sectores en la medida en que exista afección a bienes jurídicos39. Para llegar a este tipo de responsabilidades penales previamente debe haberse consagrado una respuesta penal en sentido estricto para las personas jurídicas, y en este contexto, como defiende Silva Sánchez, «el compliance program conforma un marco de riesgo permitido para la persona jurídica»40. En algunos países en los que tal tipo de responsabilidad penal de las personas jurídicas no existe, se suele denominar criminal compliance a los mecanismos que neutralizan infracciones y sanciones administrativas41. Podría hablarse en su caso de administrative compliance, hasta que el legislador correspondiente se decida a criminalizar conductas de las corporaciones mercantiles, pero no de un genuino compliance penal.

A partir de aquí no debe pensarse que el simple hecho de adoptar un programa de cumplimiento puede garantizar automáticamente la impunidad en sede penal. Como ha apuntado Quintero Olivares, este tipo de precauciones no puede funcionar como una vacuna jurídica preventiva42. Es un elemento imprescindible para poder apreciar una eximente o atenuante en sede penal, pero debe sumarse a otra serie de requisitos que se exigen en el mismo marco legal43. Y obviamente, debe convencer a los juzgadores de que no se trata del cumplimiento formal de unos requisitos legales, sino de un genuino mecanismo preventivo de delitos, apto para la reducción de esta clase de riesgos.

En esta materia poseen particular influencia las pautas empresariales que proceden de los Estados Unidos. En los años ’90 se aprobaron en el ámbito federal de los Estados Unidos una serie de directrices (sentencing guidelines) dirigidas a determinar la pena en caso de responsabilidad penal de las personas jurídicas44. Estas directrices se siguen actualizando anualmente (United States Sentencing Commission Guidelines Manual)45. Se trata de una serie de pautas que permiten rebajar la pena para la persona jurídica, esencialmente si se han adoptado compliance programs, si existen procedimientos eficaces para la prevención y detección de delitos, la promoción de una efectiva cultura corporativa que favorezca el cumplimiento del Derecho y los comportamientos éticos en la empresa (Sección §8B 2.1). Fundamentalmente prevalece la idea de riesgo, que lleva a la construcción de un compliance efectivo y ético, acompañado de la exigencia de una serie de conductas por parte de la empresa (la denuncia de los hechos, la cooperación con la investigación, la designación de responsables y controladores, los canales de denuncia, la formación de los trabajadores, incluso la modificación del compliance si éste ha fracasado por la comisión de un delito, etc.)46.

Según se describe en los criterios de evaluación de Corporate Compliance Programs que realiza periódicamente la División Criminal del Departamento de Justicia de los Estados Unidos, los fiscales deben tener en cuenta la adecuación y efectividad de estos programas cuando se decide la formulación de cargos o la negociación de conformidades (plea bargaining). Los fiscales deben decidir atendiendo a tres temáticas fundamentales: ¿Está el Corporate Compliance Program correctamente diseñado?; ¿El programa se aplica seriamente y de buena fe? (¿se ha implementado eficazmente?), y ¿El programa funciona en la práctica?47.

1. Líneas generales

El compliance penal se gesta para prevenir delitos y, por lo tanto, parece obvio que debe resultar ajustado al sistema de responsabilidad penal de las personas jurídicas48 y al marco de principios constitucionales vigentes en materia penal ya que, como afirma Lascuraín, «como es muy peligroso, disparar con cañón tiene sus reglas, sus estrictas garantías, su principios, no coincidentes en sus exigencias prácticas con las labores de artillería menos contundentes»49. Para llegar a la utilización práctica del compliance program debemos partir, por lo tanto, de la necesidad de constatar un hecho punible previo, imputable tanto a una persona física –determinada o indeterminada– como a una persona jurídica –esta sí plenamente determinada–50.

Son medidas dirigidas a evitar delitos controlando los procesos productivos y la conducta de directivos y trabajadores. En definitiva, un mecanismo que obliga a la empresa a mantenerse dentro del espacio del riesgo permitido. El compliance se basa, entonces, en la autorregulación y en la prevención. A partir de la presencia o ausencia de un compliance que sea conforme con los requisitos legales se pueden generar diferentes consecuencias jurídicas. En el caso del compliance penal, se pretenderá una mayor prevención de riesgos penales, premiando con una exoneración o atenuación de la pena que pudiera corresponder a la persona jurídica. Sin embargo, se ha generalizado entre muchos autores la idea de que el compliance deriva en una plena delegación regulatoria a las empresas que asumen códigos disciplinarios internos, pero pueden ser sancionadas si dicha autorregulación es contraria a Derecho. Se habla, por ello, de una «autorregulación regulada» o «enforced self-regulation»51, caracterizada por Sieber como «una fórmula mixta o intermedia entre la autorregulación y la regulación estatal, que se caracteriza por conceder un margen de discrecionalidad a aquellos que deben concretar el programa y por las fórmulas que emplea para estimular o presionar para su adopción»52. Este concepto debe entenderse como la concesión de libertad a las empresas para regularse, pero a la vez esa libertad que se otorga no es plena, sino sometida a controles públicos obligatorios. Se trata de actividades riesgosas de todo tipo (económico-financiero, industrias de alimentos, medicamentos, etc.) que están sometidas a importantes controles administrativos que no pueden obviarse por el hecho de contar con un buen marco organizativo de prevención delictiva. Sin embargo, la expansión internacional de las empresas exige soluciones de control multirregionales, a partir de la mutación del régimen de intervención del poder público, consagrándose por ello un sistema de gobernanza multinivel en el marco del Derecho Administrativo53.

La autorregulación en materia penal no es más que la exclusión del Derecho penal para resolver los posibles conflictos. Como acertadamente apunta González Cussac, todo se gesta en los Estados Unidos donde se ha ido logrando primeramente la desregulación administrativa y de derecho privado, eliminando controles del Estado. Pero ante los increíbles escándalos financieros generados por grandes empresas debía recurrirse a la legislación penal: «aceptaban la regulación (la posibilidad de castigo a la empresa), pero a cambio impusieron los programas de cumplimiento y prevención de delitos, una remozada traslación de los códigos de conducta al derecho penal (el incentivo)»54. El modelo se expandió posteriormente por todo el mundo occidental y más recientemente por el oriental.

2. La construcción estricta de un compliance penal

El compliance penal forma parte de la más reciente tendencia científica que se desarrolla en torno al derecho penal del riesgo55. La evolución de la economía ha llevado a la generación de innumerables nuevos riesgos, concretamente a importantísimos riesgos financieros globales56, y a una profundización de los límites entre riesgos prohibidos y riesgos permitidos. Obviamente, un nuevo riesgo puede encuadrarse perfectamente dentro del ordenamiento jurídico, pero corresponde a la empresa que lo genera preocuparse por prevenir que derive en hechos punibles. Consecuentemente, el compliance penal debe disminuir el posible daño que genera ese riesgo57.

Desde una perspectiva penal, cobra mayor auge día a día la responsabilidad penal de las personas jurídicas. El modelo de culpabilidad de la empresa o de autorresponsabilidad se basa en no estructurar la responsabilidad trasladando automáticamente la culpabilidad individual de la persona física que ha actuado hacia el ente jurídico, sino que se fundamenta sobre la base de una culpabilidad propia. Desde esta perspectiva destaca la teoría de Klaus Tiedemann que basa la culpabilidad en un defecto de organización (Organisationsverschulden) de la persona jurídica, en el sentido de una responsabilidad social58. En otras palabras, la pena se impone por haberse cometido un hecho delictivo (tipicidad penal) pero también por existir defectos estructurales en orden al cumplimiento de la legalidad penal, que normalmente se han ido gestado por decisiones defectuosas tomadas a lo largo del tiempo59. Entendida así la culpabilidad de la empresa, no es difícil admitir la atenuación de pena o incluso eximir de responsabilidad penal a la empresa que corrige esos defectos de organización, que puede llegar a darse cuando adopte programas de organización y gestión (compliance programs) que eviten la comisión de delitos en el futuro.

En los Estados Unidos, cuna del compliance y en general de las construcciones jurídicas que potencian la responsabilidad penal de las personas jurídicas60, puede afirmarse la conveniencia real y práctica de valorar positivamente el compliance penal. La idea de compensar la responsabilidad penal con medidas autorregulatorias que exoneren de pena se ha ido construyendo con el paso del tiempo y en base a una demostrada casuística. Como recuerda la doctrina, fue en el contexto de una serie de procesos penales contra compañías eléctricas norteamericanas en los años ’50 del pasado siglo cuando uno de los condenados –el gigante General Electric– alegó la existencia de instrucciones internas dentro del departamento jurídico de la empresa que velaban por el cumplimiento normativo. El argumento no fue entonces atendido, pero permitió, a partir de allí, que la idea del compliance como supuesto de exoneración de responsabilidad penal fuera desarrollándose hasta alcanzar sus más altos niveles de expansión en nuestros días61. El compliance persigue, por lo tanto, que la empresa se reafirme en el respeto al Derecho y se comprometa en identificar y evitar los delitos que se pueden cometer en su organización.

Sin embargo, no puede ignorarse que la existencia previa e ineludible de un hecho delictivo cometido en el seno de la persona jurídica, por un sujeto que pertenece a dicha persona y en provecho de la empresa supone sin duda alguna la comprobación de que el plan de compromiso con la ley y prevención contra el delito o compliance ha fracasado. De poco sirve conjeturar que desde una perspectiva ex ante era idóneo para prevenir un delito que finalmente se ha consumado. La ley española exige que los modelos de organización y gestión deben haberse adoptado y ejecutado con eficacia antes de la comisión del delito. ¿Cómo se demuestra dicha idoneidad o eficacia?62 ¿Quién debe demostrarla? Sobre el papel el programa puede ser perfecto, pero la realidad demuestra su imperfección. Para salvar esta contradicción, se habla doctrinalmente de una eficacia relativa, esto es, que la comisión del delito no implica la ineficacia del sistema. Sería suficiente con demostrar la capacidad del programa para detectar las infracciones y reaccionar adecuadamente ante ellas63, circunstancias que efectivamente no se han dado en la realidad. Hay que realizar un esfuerzo imaginativo. Por eso la doctrina habla acertadamente de un nuevo tropiezo con la misma piedra64.

En el sistema norteamericano, cuna también de las sentencias de conformidad o plea bargaining65, se admite invocar con éxito en el proceso negociador con la fiscalía –previo al juicio– que no existe plena culpabilidad de la empresa –sin perjuicio de la responsabilidad penal de la persona física que ha actuado– en la medida en que los sistemas internos de control existían, pese a que fallaron. Se han desarrollado ampliamente estas etapas negociadoras, estructuradas en torno a determinadas causas de suspensión del proceso o Deferred Prosecution Agreements (DPA), que comprenden el enjuiciamiento aplazado y los acuerdos de no procesamiento (Non-Pros o NPA), que benefician tanto a la empresa como a la Fiscalía66. En definitiva, dentro del modelo federal norteamericano el compliance no garantiza la impunidad de la empresa, pero la posibilita en la medida en que pueda convencer a la fiscalía del compromiso general de la empresa con el marco jurídico67. Obviamente ese es el contexto: delito de empresa, actor perteneciente a la entidad y provecho para la propia empresa. Y todo ello acontece en la cuna del compliance, los Estados Unidos, país en el que las personas jurídicas no suelen ver exonerada sino meramente atenuada su responsabilidad penal en caso de acuerdo, porque suelen recibir al menos una multa al reconocer su culpabilidad68. En el Derecho vigente en España, la conformidad de la persona jurídica supone el allanamiento de ésta a la pretensión penal aceptando una pena menor negociada y renunciando al juicio oral y a la práctica de pruebas69.

Debemos reiterar que en el caso de comisión de un hecho delictivo en el ámbito empresarial existiendo en la entidad un «modelo de organización y control» (compliance), es evidente que dicho mecanismo preventivo ha fallado, es decir, su diseño no era correcto o por algún motivo no ha servido. Por ese motivo, pese a que se cuente con todas las certificaciones posibles acerca de la calidad del mecanismo preventivo, la exoneración de responsabilidad penal –que exige la prueba de la existencia y eficacia del modelo– será muy excepcional e insignificante70. Así lo certifican datos recientes acerca de la escasísima valoración por parte de los tribunales de Justicia de los programas de cumplimiento para graduar o excluir las sanciones penales (en Estados Unidos, Italia, España y un largo etcétera)71.

3. El mapa de riesgos

La implementación de un compliance penal requiere necesariamente la elaboración de un mapa de riesgos, esto es, un documento que refleje la realidad organizativa y económica de la empresa, y cómo se desarrollará el control interno. El Código Penal español, establece como primer requisito del compliance, en su art. 31 bis 5.1 que las empresas «Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos». En otras palabras, se debe consignar una hoja de ruta que incorpore una descripción detallada de lo que se hará para autorregularse favoreciendo el cumplimiento de la ley y el respeto de la ética empresarial. Obviamente no existe total libertad para desarrollar estos documentos, si se pretende que cumplan los objetivos exonerantes o atenuantes que consagra el Código Penal. Debe respetarse el marco normativo general, conciliando las peculiaridades de la actividad y procesos productivos de la empresa –su riesgo específico– y las reglas de la ordenación estatal. Pero también influyen otras regulaciones sectoriales (sector financiero, bancario, etc.) o incluso, según el ámbito de actividad, los marcos normativos señalados por determinados organismos técnicos internacionales, como por ejemplo el GAFI si se analiza el blanqueo de capitales72. Aunque no es obligatorio cumplir con las normas de estandarización (AENOR, ISO, normas DIN en Alemania, etc.) y sus certificaciones, pueden ser tenidas en cuenta y resultar de utilidad.

Dentro del mapa de riesgos deben diferenciarse dos aspectos: el control interno o autocontrol, y el control externo o heterocontrol. El control interno de la propia empresa exige identificar la forma en que se vigilarán las fuentes de riesgo, que se mueve en distintas direcciones73:

– control financiero (aspectos mercantiles, fiscales, prevención de la corrupción, del blanqueo de capitales, de la financiación del terrorismo, etc.). El control de riesgos financieros es un control general o transversal, más o menos exigente según la actividad específica de la empresa, pero que en todo caso deben comprender los riesgos propios que derivan de los delitos económicos fundamentales: los delitos contra la Hacienda Pública y el blanqueo de capitales, como infracciones que pueden materializarse en cualquier empresa en funcionamiento74. Debe puntualizar las unidades organizativas que dentro de su estructura asumen estos riesgos financieros (departamentos de contratación pública o privada, de control interno, de pagos, de tributos, etc.) y establecer, en su caso, procedimientos específicos de control75.

– control operacional o sectorial de evitación de riesgos implicados en la producción (singularidades de la empresa: calidad de productos, de procesos de producción, del riesgo laboral específico, etc.). Cada empresa debe describir los propios riesgos posibles, de cara al catálogo de delitos que según el Código Penal habilitan la responsabilidad penal de las personas jurídicas. Se pregunta la doctrina si se debe valorar en detalle y con una graduación más o menos estricta el grado de peligro que la actividad empresarial desarrolla de cara a una hipotética lesión de bienes jurídicos. Trasladando aquí el planteamiento que se formula en la prevención de riesgos laborales, que distingue distintos riesgos (triviales, moderados, importantes, intolerables, etc.) se pregunta si el compliance debe trazar una ecuación que relacione medidas concretas de prevención según el grado de riesgo, de tal forma que un peligro trivial no requerirá medidas preventivas, y el intolerable las requerirá al máximo. Palma Herrera señala al respecto que el Código Penal no introduce estos matices, sino que exige simplemente que el riesgo esté identificado y previsto en el modelo de compliance. Por lo tanto, todos los riesgos posibles deben estar contemplados, sin perjuicio de una necesaria ponderación de las medidas que se prevean para neutralizarlo y que se corresponderán con la entidad de dicho riesgo de cara a la actividad empresarial76.

– Control externo. El instrumento escrito que describe el compliance que se aborda debe incluir la forma en la que se evaluará externamente por examinadores imparciales el autocontrol emprendido por la empresa.

4. El deber de vigilancia

El deber de vigilancia está directamente relacionado con el riesgo que genera la empresa, que está a su vez condicionado por el tipo de actividad, el número de trabajadores y la entidad de los procesos productivos que se gestionan. Los propios trabajadores se convierten en un factor de riesgo para los directivos y para la propia empresa77.

Existe un debate abierto en la ciencia penal para identificar la medida y los interlocutores de los deberes de vigilancia dentro de la empresa. En este contexto, habrá un garante del bien jurídico, que será el superior jerárquico que debe ejercitar el deber de vigilancia. Pero ¿Quién es en concreto este sujeto? Sin duda puede adoptar distintas formas: el administrador de la sociedad, los socios, los directivos, el compliance officer o aquel en quien hubieran delegado estas competencias. ¿Sobre quien pesa el deber de garantía? Dependerá de muchos factores. Del tipo de empresa o sociedad de que se trata, y también si estamos ante un delito común o especial. En todo caso, como apunta Silva Sánchez, tratándose de una delegación de competencias se aprecia un doble mecanismo: transferencia y transformación. Transferencia porque el delegado asume la posición de garantía. Transformación porque ambos –delegante y delegado– se mantienen ligados a estos deberes específicos78.

5. Los papers compliance

Dentro de las hipótesis que se presentan de cara a la responsabilidad penal de las personas jurídicas aparecen extrañas figuras, como los llamados «papers compliance». Se trata de una mera apariencia de compliance, un compliance «cosmético» que exterioriza una voluntad fingida pero no real de tomar en serio la prevención de delitos dentro de la empresa79. El compliance debe ser individualizado, es decir, debe ser único, trazado a la medida exacta del riesgo que asume la empresa, su objeto social, el número y características de trabajadores, sus relaciones de negocio, la idiosincrasia de la organización, etc. ya que se trata de un documento técnico complejo80. Ello no impide que a nivel legislativo (penal o administrativo) puedan fijarse una serie de contenidos mínimos de deberes de prevención, que aportarían seguridad jurídica81, tal como ocurre en el Código Penal con algunas causas de justificación o exculpación, fundamentalmente atendiendo a la complejidad de esta materia82. Así ocurre, de manera bastante imperfecta y salvando las distancias, en materia de blanqueo de capitales.

Cada empresa debe reflejar en su compliance un amplio abanico de intereses empresariales: los de los propietarios, los de los directivos, los de los trabajadores, intereses sociales, etc83. Al tener importantes consecuencias penales, el compliance debe materializarse contando con asesores técnicos que dominen las peculiaridades de la responsabilidad penal de las personas jurídicas84 pues puede apreciarse en esta materia un frecuente intrusismo, que puede llevar fácilmente al mentado compliance cosmético, con total desconocimiento del empresario que lo abona como si fuera un instrumento riguroso.

6. La exclusión del delito corporativo

Se puede manejar un concepto amplio de delitos corporativos, es decir, un importante catálogo de delitos que pueden cometerse dentro de la empresa y en su beneficio (estafas, delitos contra la propiedad intelectual e industrial, delitos contra los mercados y consumidores, delitos contra la Hacienda Pública y la Seguridad Social, múltiples formas de corrupción, blanqueo de capitales, delitos societarios, etc.). Sin embargo, cuando se habla de delito corporativo en sentido estricto se está haciendo referencia a criminalizar el hecho de no contar con un compliance penal dentro de la empresa.

A mi entender, el moderno compliance debe enmarcarse en una específica teoría de la motivación para el cumplimiento de las normas jurídicas y éticas, que comprende la prevención de delitos. Sin embargo, no considero defendible que la ausencia de esta autorregulación pueda derivar en sanciones penales o administrativas85. Pues se corre el peligro de desviarse hacia la teoría del palo y la zanahoria (the Carrot and the Stick Approach) atribuida acertadamente a Jeremy Bentham. Desde esta perspectiva, el compliance y sus premios se habrían convertido en la zanahoria, la recompensa exonerante de responsabilidad, que se coloca ante los ojos de la empresa mientras se la amenaza con consecuencias negativas –que pueden llegar a materializarse en castigos penales– si no se posiciona dentro del marco de pleno respeto a la legalidad vigente. Pero de utilizar la zanahoria como premio, se iría en el camino de construir un delito de no tener zanahoria (delito corporativo).

Obviamente aún no existe ni debería existir un tipo penal específico que sancione la ausencia de autorregulación, pues con ello se llegaría a un inaceptable punitivismo extremo. Aún existe para las empresas el beneficio de la libertad organizativa y, por lo tanto, pueden planificar como deseen su estrategia de cumplimiento normativo, siempre que cumplan las leyes86. Considero, como ha afirmado Feijoo Sánchez, que «A las personas jurídicas no se les castiga por no disponer de un programa de cumplimiento, sino que se les hace responsables de un delito»87. Existe una vía más artificial o forzada, según la cual a través de la interpretación se habilitaría sancionar penalmente a aquel que no ha implementado un programa de compliance en determinados supuestos de delitos cometidos por subordinados. Según Silva Sánchez, en esos casos la implantación de un compliance formaría parte de la «sistematización y procedimentalización formalizadas de un modelo de vigilancia de lo superiores sobre los subordinados». Se trataría de sancionar penalmente al órgano de administración, por no haber implementado un compliance program si conforme a las características de la empresa dicho procedimiento fuera necesario desde una perspectiva ex ante, en la medida en que equivalga a la infracción de un deber de vigilancia. Desde este punto de vista se podría sancionar penalmente también a dichos órganos de administración por la gestión defectuosa del compliance program88.

La preocupación por que puedan extenderse estos puntos de vista no es menor. La polémica y significativa sentencia de 16 de marzo de 2016 de la Sala Segunda del Tribunal Supremo (STS 221/2016, de 16 de marzo) señala una expresa tendencia a aceptar una nueva figura caracterizable como delito corporativo, que se manifestaría a través de la penalización a la persona jurídica por el mero hecho de no contar con un programa de compliance eficaz. En otras palabras, la ausencia de control interno dentro de la empresa agotaría el tipo penal en lo que a ella se refiere, si se da el presupuesto del delito cometido por una persona física dentro de la empresa y en beneficio de la propia entidad. Esta solución, que se basaría en asumir jurisprudencialmente la teoría de los sistemas autopoiéticos, supone atentar seriamente contra el principio de legalidad penal89. Desde el punto de vista de la fundamentación de la intervención penal, considero que el defecto de organización de la persona jurídica puede incidir en el tipo penal (a través de la teoría del riesgo) pero fundamentalmente lo hará en la culpabilidad, vertebrando así esta nueva forma de responsabilidad penal, sin que pueda ni deba existir un delito corporativo autónomo para las personas jurídicas fundamentado en la ausencia de un compliance penal.

7. El blanqueo de capitales y la financiación del terrorismo

Particular atención merecen los delitos de blanqueo de capitales y financiación del terrorismo, y en particular los riesgos de delitos que se materializan dentro del sector financiero y bancario. Podemos destacar, por ejemplo, que la primera exteriorización del compliance (no penal) en la legislación china se refiere al sector bancario90. La evolución internacional de estas modalidades delictivas ha venido marcada por las recomendaciones del Grupo de Acción Financiera Internacional (GAFI) que se han convertido en Derecho positivo en la mayor parte del mundo. Se trata de la manifestación más evidente de la expansión del Derecho penal, y de la consagración de algunos elementos del compliance de forma obligatoria para una serie de empresas. La regulación internacional del blanqueo de capitales y financiación el terrorismo identifica una serie de sujetos encargados de advertir y denunciar estos delitos, actividades profesionales del sector privado sobre las que pesa un importante número de deberes que asumen la forma de tareas preventivas (vigilancia y control de clientes, conservación de documentos, identificación de identidad y origen de los fondos, etc.). Son los gatekeepers, quienes operan en distintos sectores mercantiles (bancarios, seguros, casinos, joyas) y profesionales (abogados, notarios, registradores, asesores y auditores) entre otros. Tratándose de empresas, deben contar obligatoriamente con compliance officers para detectar operaciones sospechosas de blanqueo de capitales, al margen de auditorías internas y externas de carácter obligatorio.

8. Compliance y delitos «ad intra»

Preocupa que desde el Tribunal Supremo español se fomente la necesidad de adoptar programas de cumplimiento criminal, incluso para evitar delitos que no generan responsabilidad penal para las personas jurídicas, sino que la prevén exclusivamente para los directivos a título individual (delitos ad intra).

La STS 365/2018, de 18 de julio (Ponente Magro Servet (Tol 6677017)) manifiesta que «Cuestión distinta es que en el caso de delitos de apropiación, como aquí ocurre, o de administración desleal se tenga que adoptar con antelación suficiente por las empresas medidas de compliance interno, ya que junto con el conocido Código Olivenza fue capital para el buen gobierno de la administración en las empresas la introducción de los programas de compliance en las mismas que evitarían casos como el que aquí ha ocurrido, ya que el control interno en las empresas mediante la técnica anglosajona del compliance programe como conjunto de normas de carácter interno, establecidas en la empresa a iniciativa del órgano de administración, con la finalidad de implementar en ella un modelo de organización y gestión eficaz e idóneo les permita mitigar el riesgo de la comisión de delitos y exonerar a la empresa y, en su caso, al órgano de administración, de la responsabilidad penal de los delitos cometidos por sus directivos y empleados. De haber existido un adecuado programa de cumplimiento normativo, casos como el aquí ocurrido se darían con mayor dificultad, ya que en la mayoría de los supuestos el conocimiento de actividades, como las aquí declaradas probadas de apropiación no se hubieran dado, y no habría que esperar a detectarlo tardíamente por razón de la confianza; de ahí, la importancia de que en las sociedades mercantiles se implanten estos programas de cumplimiento normativo, no solo para evitar la derivación de la responsabilidad penal a la empresa en los casos de delitos cometidos por directivos y empleados, que serían los casos de ilícitos penales ad extra, que son aquellos en los que los perjudicados son terceros/acreedores que son perjudicados por delitos tales como estafas, alzamientos de bienes, etc., sino, también, y en lo que afecta al supuesto ahora analizado, para evitar la comisión de los delitos de apropiación indebida, es decir, ad intra. Estos últimos, aunque no derivan la responsabilidad penal a la empresa por no estar reconocido como tales en sus preceptos esta derivación y ser ad intra, sí que permiten obstaculizar la comisión de delitos como los aquí cometidos por el recurrente y que cometen irregularidades, que en algunos casos, como los aquí ocurridos, son constitutivos de ilícitos penales. Y ello, sin que sea asumible y admisible que por el hecho de no incorporar medidas de autocontrol se exonere la responsabilidad criminal. Por ello, una buena praxis corporativa en la empresa es la de implementar estos programas de cumplimiento normativo que garanticen que este tipo de hechos no se cometan, o dificulten las acciones continuadas de distracción de dinero, que un buen programa de cumplimiento normativo hubiera detectado de inmediato».

Obviamente, el delito dentro de la empresa es motivo de importantes reflexiones político-criminales y dogmáticas, debiéndose individualizar claramente la responsabilidad de la persona física y la de la persona jurídica91. El daño que puede sufrir la propia empresa y la sociedad por este género de delitos es evidente. Por eso se analizan estrategias preventivas y de gestión del comportamiento desviado dentro de la empresa92. Pero nada de esto lleva a la responsabilidad penal de la persona jurídica que será imputada exclusivamente si obtiene beneficios por el delito cometido, y el delito concreto se enmarca en el numerus clausus de infracciones penales que pueden cometer las personas jurídicas, legalmente previsto. En los demás casos, la existencia del criminal compliance será indiferente de cara a una atenuación o exoneración de pena de la persona física actuante.