Está en la página 1de 732

© Editorial Tébar Flores.

Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
COMPLIANCE
La responsabilidad penal
de las personas jurídicas
y la mediación organizacional
Norma UNE 19601 / Formularios

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
COMPLIANCE
La responsabilidad penal
de las personas jurídicas
y la mediación organizacional
Norma UNE 19601 / Formularios

Coordinador: Jesús Lorenzo Aguilar Sáenz


Francisco Antonio Jiménez Rodríguez
Carolina de Blas Herrero

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


Datos de catalogación bibliográfica:

COMPLIANCE: La responsabilidad penal de las personas jurídicas y la mediación organizacional


Norma UNE 19601 / Formularios.
Coordinador: Jesús Lorenzo Aguilar Sáenz
Francisco Antonio Jiménez Rodríguez
Carolina de Blas Herrero

EDITORIAL TÉBAR FLORES, S.L., Madrid, año 2018


ISBN digital: 978-84-7360-662-2
Materias: LNCD. Derecho de sociedades mercantiles; LNF. Derecho y procedimiento penal;
LNAC5. Arbitraje, mediación y otras formas de resolución de conflictos.
Formato: 165 × 240 mm
Páginas: 732

www.tebarflores.com
Todos los derechos reservados.
Queda prohibida, salvo excepción prevista en la Ley, cualquier forma de reproducción, distribu-
ción, comunicación pública y transformación de esta obra sin contar con la autorización expresa
de Editorial Tébar Flores. La infracción de estos derechos puede ser constitutiva de delito contra
la propiedad intelectual (arts. 270 y siguientes del Código Penal).

COMPLIANCE: La responsabilidad penal de las personas jurídicas y la mediación organizacional


Norma UNE 19601 / Formularios.
Coordinador: Jesús Lorenzo Aguilar Sáenz
Antonio Jiménez Rodríguez
Carolina de Blas Herrero

© 2018 Editorial Tébar Flores, S.L.


C/ Matilde Hernández, 34
28019 Madrid
Tel.: 91 550 02 60
Fax: 91 550 02 61
ventas@tebarflores.com
www.tebarflores.com

ISBN digital: 978-84-7360-662-2

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


Índice

Parte I. Introducción al compliance ................................... 15


Capítulo 1. ¿Qué es el compliance? Claves para su correcta
interpretación . ..................................................... 17
1.1. ¿Qué es el compliance? .............................................. 17
1.2. Evolución histórica del compliance ............................ 19
1.3. ¿Qué no es compliance? ............................................. 23
1.4. ¿Qué materias están incluidas en la figura
de compliance? .......................................................... 29
Capítulo 2. Establecimiento de un modelo de prevención y
control en las organizaciones ................................. 33
2.1. Introducción .............................................................. 33
2.2. Diseño de un modelo de prevención y control ........... 34
2.3. Estándares internacionales ....................................... 38
2.4. Difícil aplicabilidad probatoria de los sistemas de
compliance anglosajones a entornos de
positivación del derecho ............................................ 46
2.5. ISO 19600. Compliance Management Systems
Guidelines y la guía Aenor de prevención
de delitos .................................................................. 50
2.6. COSO ........................................................................ 53
Parte II. Responsabilidad penal de las personas jurídicas:
Una nueva realidad social empresarial ................. 57
Capítulo 3. El corporate compliance y la responsabilidad
penal de las personas jurídicas (I) ............................ 59
3.1. Introducción .............................................................. 59
3.2. Consideraciones previas sobre la responsabilidad
penal de las personas jurídicas .................................. 65
Anexo I. Estudio jurídico-práctico sobre el 31 bis
del Código Penal .............................................................. 74

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


Capítulo 4. El corporate compliance y la responsabilidad penal
de las personas jurídicas (II) ................................... 83
4.1. Introducción. La reforma de la LO 5/2010 ................ 83
4.2. Novedades legislativas introducidas
por LO 1/2015........................................................... 86
4.3. Valoración de la reforma legislativa introducida
por la LO 1/2015....................................................... 88
4.4. Contenido de la reforma de la responsabilidad pena
de las personas jurídicas introducida
por LO 1/2015........................................................... 89
4.5. Penas susceptibles de imposición
a las personas jurídicas............................................. 103
Capítulo 5. El corporate compliance y la responsabilidad penal
de las personas jurídicas (III). Delitos societarios ...... 111
5.1. Introducción al delito societario ............................... 111
5.2. Elenco punitivo de responsabilidad penal para
las personas jurídicas................................................ 112
Capítulo 6. El corporate compliance y la responsabilidad penal
de las personas jurídicas (IV). Delitos societarios ..... 143
6.1. Delitos relativos a la propiedad intelectual
e industrial, al mercado y a los consumidores
(artículos 270 a 288 CP) ............................................. 143
6.2. Delitos contra la Hacienda Pública y
contra la Seguridad Social (artículos 305, 306,
307, 308, 309 y 310 CP) ............................................. 165
6.3. Delitos de tráfico ilegal o inmigración clandestina
de personas (artículo 318 bis CP) .............................. 180
6.4. Delitos contra la ordenación del territorio
y el urbanismo (artículo 319 CP) ............................... 182
6.5. Delitos contra los recursos naturales
y el medio ambiente (artículo 325 CP) ...................... 184
6.6. Delito relativo a las radiaciones ionizantes
(artículo 343 CP) ...................................................... 185
Capítulo 7. El corporate compliance y la responsabilidad penal
de las personas jurídicas (V). Delitos societarios .......... 187
7.1. Delito de estragos (artículo 348 CP).......................... 187
7.2. Delitos de tráfico de drogas (artículos 368
y 369 CP).................................................................. 190

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


7.3. Delito de falsificación de tarjetas de crédito
y débito y cheques de viaje (artículo 399 bis CP)....... 192
7.4. Delitos de cohecho (artículos 419, 420, 421, 422,
423, 424, 425, 426 y 427 CP) ..................................... 193
7.5. Delito de captación de fondos para el terrorismo
(artículo 576 CP) ...................................................... 198
Parte III. Caracterización de la figura del
compliance officer ................................................ 203
Capítulo 8. Configuración de la figura del compliance officer:
Características y responsabilidades ........................ 205
8.1. Introducción ............................................................ 205
8.2. Imbricación estructural del desempeño de la
función de compliance officer ................................... 212
8.3. Configuración de la figura del compliance officer:
Funciones, derechos y responsabilidades ................ 221
Parte IV. Implementación y puesta en marcha
de un programa de compliance ............................... 229
Capítulo 9. Fases de implantación de un programa
de compliance (I) . ................................................. 231
9.1. Ámbito, materias incluidas y alcance
del compliance.......................................................... 231
9.2. Diagnóstico y mapa de riegos.................................. 242
9.3. Plan de prevención, detección y reacción .................. 245
Capítulo 10. Fases de implantación de un programa
de compliance (II) .................................................. 253
10.1 Plan de prevención, detección y reacción ................ 253
10.2. Canal de denuncias .................................................. 268
Capítulo 11. Fases de implantación de un programa
de compliance (III): Canal de denuncias ................... 299
11.1. Derechos de acceso, rectificación, cancelación y
oposición (ARCO) en el canal de denuncias .............. 299
11.2. Establecimiento de medidas de seguridad en los
canales de denuncia interna .................................... 309
11.3. Cómo gestionar un canal de denuncias internas
para un grupo de empresas ..................................... 316

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


11.4. Consecuencias de un incumplimiento en materia
de protección de datos en un canal de denuncias ..... 320
Parte V. El compliance reactivo en las organizaciones........ 323
Capítulo 12. El compliance reactivo: Investigación y defensa
jurídica de la empresa............................................ 325
12.1. Introducción ............................................................ 325
12.2. Recepción y manejo de denuncias ........................... 326
12.3. Autonomía e independencia del
compliance officer ..................................................... 331
12.4. Métodos para la recepción de denuncias ................. 332
12.5. Cómo gestionar una denuncia ................................. 335
12.6. Investigación de la denuncia y obtención
de evidencias ........................................................... 339
12.7. Defensa jurídica de la empresa en procedimientos
administrativos ante las autoridades de control
en materia de compliance. El procedimiento
administrativo como riesgo de compliance ................ 343
Capítulo 13. Defensa jurídica de la empresa en el procedimiento
administrativo: Especial referencia a la vía contencioso-
administrativa ...................................................... 353
13.1. Planteamiento y recurso a la vía contencioso-
administrativa ......................................................... 353
13.2. Cómo afrontar el procedimiento administrativo
sancionador ............................................................. 357
13.3. Fijar una estrategia de comunicación con la
autoridad de control durante el procedimiento ........ 372
13.4. Posibles actuaciones una vez finalizado el
procedimiento administrativo ................................. 373

Parte VI. Coaching compliance .............................................. 375


Capítulo 14. Coaching compliance: Una nueva figura emergente
en la realidad empresarial ...................................... 377
14.1. El plan de formación y el coaching compliance ......... 377
14.2. Perfil del coaching compliance .................................. 380
14.3. Cómo aplicar el coaching compliance ....................... 381

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


Parte VII. Mediación organizacional ..................................... 405
Capítulo 15. Introducción al conflicto en las organizaciones ........ 407
15.1. Origen de las organizaciones laborales .................... 407
15.2. Concepto de organización laboral ........................... 412
15.3. Organización laboral y salud laboral ........................ 416
15.4. Procedimientos para resolver conflictos .................. 429
Capítulo 16. Métodos de resolución de conflictos
en las organizaciones ............................................ 435
16.1. Clasificacion de los métodos de resolución
de conflictos ............................................................ 435
16.2. El arbitraje laboral ................................................... 439
16.3. Mediacion laboral .................................................... 447
Capítulo 17. Los conflictos laborales individuales
en la empresa......................................................... 469
17.1. Mecanismos de resolución extrajudicial ................... 469
17.2. Regulación básica de los conflictos individuales
en materia de modificación de condiciones
de trabajo, movilidad funcional y geográfica ............. 478
17.3. Regulación básica de excedencias, permisos
y licencias ................................................................ 483
17.4. Impugnación individual del despido colectivo .......... 490
17.5. Administraciones Públicas, particularidades
en extinción de contratos colectivos, suspensión
y reducción de jornada ............................................ 492
Capítulo 18. Gestión de los conflictos laborales colectivos
en las organizaciones .................................................. 501
18.1. La prevención del conflicto ...................................... 501
18.2. Definición de conflictos colectivos laborales ............ 502
18.3. Condiciones que debe reunir un conflicto
colectivo .................................................................. 504
18.4. La negociación colectiva .......................................... 506
18.5. Comisión paritaria en la solución de
los conflictos derivados de la interpretación
y aplicación del convenio colectivo .......................... 512
18.6. Comisión Consultiva Nacional
de Convenios Colectivos .......................................... 515

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


18.7. La huelga ................................................................ 521
18.8. Servicios de seguridad ............................................. 528
18.9. El período de consultas ............................................ 530
Capítulo 19. El plan de mediación organizacional ....................... 537
19.1. Introducción............................................................. 537
19.2. La organización: Concepto, tipos y características
actuales ................................................................... 539
19.3. Elementos organizacionales influyentes en
la mediación organizacional .................................... 542
19.4. Establecimiento de un sistema de resolución
de conflictos en las organizaciones........................... 571
19.5. Establecimiento de un sistema de resolución
de conflictos en la empresa familiar......................... 572
19.6. La figura del mediation compliance officer
(director de cumplimiento normativo y mediación)
y el mediation compliance assistant........................... 573
19.7. Conclusiones............................................................ 578
Parte VIII. Certificación y auditoría de los planes de gestión
de sistemas de compliance penal................................ 581
Capítulo 20. La UNE 19601: Sistemas de gestión de
compliance penal. Requisitos con orientación
para su uso............................................................ 583
20.1. Introducción ............................................................ 584
20.2. Objeto y campo de aplicación .................................. 586
20.3. Normas para consultar ............................................ 588
20.4. Términos y definiciones ........................................... 588
20.5. Contexto de la organización .................................... 590
20.6. Liderazgo ................................................................ 591
20.7. Planificación ............................................................ 592
20.8. Elementos de apoyo ................................................ 593
20.9. Operación ............................................................... 594
20.10. Evaluación del desempeño ...................................... 595
20.11. Mejora ..................................................................... 596
20.12. Bibliografía .............................................................. 597
20.13. Anexo I (informativo)............................................... 597
20.14. Anexo B (informativo).............................................. 598
20.15. Anexo C (normativo) ................................................ 600

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


20.16. Anexo D (informativo) ............................................ 600
20.17. Anexo E (informativo) ............................................. 601
20.18. Anexo F (informativo) ............................................. 602
Parte IX. Implantación de un sistema de gestión.................... 603
Capítulo 21. Modelo de plan de prevención de delitos................. 605
21.1. Consideraciones previas, antecedentes
y terminología ......................................................... 605
21.2. Marco legal ............................................................. 616
21.3. Ámbito de aplicación ............................................... 620
21.4. Tipos delictivos concretos y evaluación
de riesgos ................................................................ 621
21.5. Sistemas/programas de prevención y control.
Implantación del programa de acuerdo a la
Norma UNE 19601 ................................................... 636
21.6. Medidas concretas: Delitos, actividades,
controles y registros................................................. 641
21.7. Medidas generales .................................................. 693
21.8. Plan de mediación organizacional ........................... 695
Anexo I: Procedimiento de denuncias de
“Organización ____” ........................................................ 703
Anexo II: Código ético de “Organización ____” ................ 713
Anexo III: Sistema disciplinario de “Organización ____”
por incumplimientos de los Sistemas de Control
del Plan de Prevención de Delitos .................................... 722
Anexo IV: Formulario de Hojas de Control ........................ 724
Anexo V: Actas de Asamblea General Ordinaria
para Nombramiento de Compliance Officer ...................... 726

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Parte I

Introducción al compliance

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 1
¿Qué es el compliance?
Claves para su correcta interpretación

1.1. ¿Qué es el compliance?


La palabra compliance o su traducción al castellano “cumplimiento
normativo” adquirió una nueva importancia dentro de la vida de las orga-
nizaciones empresariales en España, desde la reforma del Código Penal
que se produjo a finales de 2010, Ley Orgánica 5/2010, de 22 de junio,
por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del
Código Penal.
Esto supuso que, por primera vez en España, se introducía la regulación
de la responsabilidad penal de la persona jurídica, quitándole toda su vi-
gencia a la muy conocida expresión “societas delinquere non potest”, ya
que desde entonces las empresas sí que pueden delinquir. Esta reforma
fue muy bien recibida por algunos profesionales y sectores y muy critica-
da por otros muchos, contando ambos bandos con catedráticos, magis-
trados, reputados e insignes abogados y fiscales, auditores, consultores,
etc.
Cuando ya parece algo lejano aquel año 2010, la realidad es que, por un
lado, se ha aprobado recientemente la reforma del Código Penal a tra-
vés de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Esta Ley
incluye importantes novedades respecto a la responsabilidad penal de

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


I. Introducción al compliance

la empresa; aunque por otra parte se ha divulgado ampliamente el com-


pliance y los riesgos de cumplimiento; sin embargo no se han dictado aún
muchas sentencias condenando a compañías en este sentido.
Por otro lado, nuestra realidad empresarial más cercana muestra en la
prensa diaria graves escándalos corporativos por fraudes, malas praxis
o falta de control (Gowex, Pescanova, FC Barcelona, ERES de Andalu-
cía, Zoo de Madrid, Pujol, Púnica, tarjetas negras de Cajamadrid y, espe-
cialmente, el caso Volkswagen, etc). Ante tal realidad, los empresarios
empiezan a preocuparse por entender qué es esto del compliance y si
realmente les afecta. Se publican muchas oportunidades laborales como
compliance officer, y las empresas intentan montar sus departamentos
de compliance para vender servicios a sus clientes.
La realidad nos muestra que los asuntos relacionados con el compliance
tienen un gran impacto reputacional para las organizaciones, ya que está
muy vinculado al cumplimiento de normas, pero también a la manera de
operar en los mercados conforme a criterios éticos y de responsabilidad
social corporativa.
Una interesante reflexión sobre qué es compliance programs es este ex-
tracto del profesor Dr. Ulrich Sieber en su trabajo: Programas de com-
pliance en el Derecho Penal de la empresa: Una nueva concepción para con-
trolar la criminalidad económica. Así este autor nos refiere:
«Los conceptos mencionados de compliance programs, risk management,
value management y corporate governance, así como business ethics, in-
tegrity codes, codes of conduct y corporate social responsibility describen
nuevos conceptos de la dirección empresarial. Todos ellos definen, acen-
tuando de manera diferente, determinados objetivos y procedimientos
en la dirección de las empresas. No obstante, no se puede diferenciar
entre ellos de manera precisa y, en parte, ellos tampoco pueden ser de-
finidos claramente.
Si uno analiza el contenido de estos conceptos, se observa que apun-
tan en primer lugar a la orientación de la dirección empresarial en de-
terminados objetivos y valores. Esto es resaltado sobre todo por el con-
cepto business ethics, el cual describe la realización de valores que van
muchas veces por encima de las exigencias normadas legalmente. Un
contenido similar tiene también el concepto integrity codes el cual insi-
núa igualmente un amplio ámbito de objetivos. El concepto corporate

18
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

social responsibility atañe incluso a una más amplia responsabilidad de


las empresas, incluyendo también la realización de tareas sociales.
Sobre todo los conceptos mencionados más arriba apuntan no solamen-
te a valores sino incluso de manera más fuerte a procedimientos para su
protección organizativa o para el cumplimiento de exigencias legales: los
codes of conduct constituyen pautas generales de conducta. La fórmula,
de difícil traducción, compliance programs (de manera literal “programa
de cumplimiento” o “programa de respeto” de reglas) abarca procedi-
mientos para el respeto de objetivos trazados (sobre todo legales, pero
en parte también éticos u otros). En este sentido, en Alemania dicho con-
cepto se ha hecho conocido sobre todo en relación con departamentos
de compliance de instituciones crediticias en el marco de la lucha contra
el lavado de dinero.
El término value management, yendo más allá de las exigencias legales,
se refiere a la protección organizativa de todos los valores materiales e in-
materiales de la empresa. El concepto corporate governance (literalmen-
te “dirección de la empresa”) es referido en parte, en un sentido amplio, a
cualquier forma de dirección de la empresa, pero frecuentemente, en un
sentido más estricto, es empleado solo para describir la estructura orga-
nizativa de empresas, tal como exige el Deutsche Corporate Governance
Kodex (Código alemán de dirección de las empresas), sobre todo en rela-
ción con la transparencia de la estructura de las sociedades anónimas».

1.2. Evolución histórica del compliance


El concepto compliance no tiene una definición concreta y consensuada,
lo cual no significa que no tenga contenido. Lo cierto es que la palabra
compliance tendría inicialmente una traducción básica de “cumplimien-
to” (entendiéndose de las normas), lo cual tampoco sería ninguna nove-
dad para los abogados de empresa que llevan muchos años desempe-
ñando esta labor.
Esto nos lleva a considerar que el término compliance tiene a la vez mu-
chos significados y que dicho término es utilizado por diferentes empre-
sas y profesionales dentro del ámbito de actuación de cada uno; por eso
es fácil apreciar sus diferentes y sectoriales vertientes como finance com-
pliance, corporate compliance o IT compliance, entre otras.

19
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

El origen y desarrollo del compliance proviene del mundo anglosajón y


de los sectores especialmente regulados, como por ejemplo el financiero
y el de las telecomunicaciones. En Europa, una de las primeras norma-
tivas que dio lugar a la formalización de la figura del compliance officer,
es indubitablemente, la MiFID: “Directiva de mercado de instrumentos
financieros”.
La Directiva 2004/39/CE, conocida como MiFID (Markets in Financial
Instruments Directive), pilar del Plan de Acción de Servicios Financieros
(PASF), y sus normas de desarrollo –la Directiva 2006/73/CE, el Regla-
mento 1287/2006 de la Comisión y los textos legales de nivel III derivados
del asesoramiento del Comité de Reguladores Europeos (CESR)–, serán
de aplicación a todas las personas y entidades que actúen en los mer-
cados de valores. MiFID afectará a la forma de operar de las empresas
de servicios de inversión (ESI), a su organización y a cómo se relacionan
dichas entidades con sus clientes.
Esta establecía tres principios fundamentales que debían regirla actua-
ción de los intermediarios:
• Actuar de forma honesta, imparcial y profesional, en el mejor
interés de sus clientes.
• Proporcionar información imparcial, clara y no engañosa a sus
clientes.
• Prestar servicios y ofrecer productos, teniendo en cuenta las cir-
cunstancias personales de los clientes.
Señala Almudena de la Mata Muñoz que «En MiFID se introduce una
distinción fundamental en el marco del cumplimiento normativo, ya
que se diferencia la “función” de cumplimiento del “órgano” o la “uni-
dad” de cumplimiento». Y prosigue la misma autora señalando: «con
objeto de que el órgano de verificación del cumplimiento funcione de
forma adecuada e independiente, se deberán cumplir las siguientes
condiciones:
• El órgano de verificación del cumplimiento deberá tener la auto-
ridad, los recursos y la experiencia necesarios, y acceso a toda la
información pertinente.
• Deberá designarse a un funcionario encargado del cumplimien-
to (oficial de cumplimiento/compliance officer) que será respon-

20
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

sable del órgano de verificación del cumplimiento y de cualquier


información en lo relativo al cumplimiento exigida por MiFID.
• Las personas competentes encargadas de la verificación del
cumplimiento no deberán participar en la realización de los ser-
vicios o actividades que controlan.
• El método de determinación de la remuneración de las personas
encargadas de la verificación del cumplimiento no deberá com-
prometer su objetividad, ni real ni potencialmente».
Es una realidad que la función de compliance adquiere gran relevancia
en los entornos que se encuentran hiperregulados, donde coexisten una
gran cantidad de leyes y, creando en grandes compañías y multinacio-
nales un complejo contexto donde gestionar todos los requerimientos y
obligaciones que vienen exigidos por la normativa legal vigente.
Interesante reflexión pronuncia José María Elguero: «El buen gobierno
corporativo es muy loable y necesario, como lo son las buenas prácticas
y la transparencia en la empresa, pero no puede ni debe asfixiar la ges-
tión corporativa hasta el punto de que el negocio quede desatendido y
consista únicamente en cumplir, cumplir y cumplir. Sin negocio no hay
empresa, pero sin buen gobierno tampoco». Se insiste, por tanto, en los
riesgos de una imposición normativa y de requerimientos, cuando pu-
diera afectar a la propia esencia y supervivencia de la actividad empre-
sarial.
Sin embargo, en la función de compliance no solo se engloban las leyes
y directrices de derecho positivo, cuyo cumplimiento resulta obligatorio
por parte de todos los sujetos obligados a ello (conocido como hard law),
sino que también se suelen englobar recomendaciones y estándares de
voluntaria adopción (conocidos como soft law). El desarrollo de los es-
tándares lo profundizaremos en temas posteriores.
No obstante, uno de los ejemplos de “soft law” es la propia ISO 19600
sobre sistemas de gestión de compliance. En el texto introductorio de la
ISO ya se hace constar «un sistema de gestión de compliance eficaz y que
abarque a toda la organización permite que la organización demuestre
su compromiso de cumplir con la normativa, incluyendo los requisitos
legales, los códigos de la industria y los estándares de la organización,
así como con los estándares de buen gobierno corporativo, las mejores
prácticas, la ética y las expectativas de la comunidad en general».

21
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

Dentro de la función de compliance, se vislumbra la existencia de una


relación directa e indivisible con el gobierno corporativo y la gestión de
riesgos dentro de las compañías. A este respecto, Alain Casanovas Ysla
opina: «Ello se debe a que, siendo conceptos distintos, existen entre ellos
áreas de actuación comunes y sinergias evidentes, de forma que resulta
muy difícil tratarlos aisladamente, sin hacer referencia a los restantes en
algún momento. Si se toman, por ejemplo, las recomendaciones con-
cretas en materia de derechos humanos de las líneas directrices OCDE
para empresas multinacionales, se pueden identificar tanto principios
de buen gobierno como referencias explícitas a normas internacionales
que deberían respetarse y el modo de prevenir o mitigar los riesgos de
incumplimiento. Se conjugan de este modo materias propias de gober-
nanza, cumplimiento y gestión del riesgo».
De ahí la justificación y origen del concepto de GRC (Governance, Risk
& Compliance) y los sistemas integrales de gestión corporativa del GRC,
existiendo múltiples instituciones y organizaciones que estudian y desa-
rrollan metodologías para implantarlos de forma eficaz. Cuestión esta
que desarrollaremos posteriormente.
Un último inciso sería mencionar que en España, a pesar de existir mucha
normativa previa que podría catalogarse y encuadrarse dentro de com-
pliance (competencia desleal, protección de datos, prevención de blan-
queo, etc.), no ha sido hasta la modificación del Código Penal por Ley Or-
gánica 5/2010 cuando se introduce en nuestro ordenamiento jurídico el
instituto penal de la responsabilidad penal de persona jurídica, lo que ha
actuado de revulsivo para activar o reactivar una preocupación general
por los asuntos de compliance y controles para la prevención de delitos
en las organizaciones.
A este creciente interés por estas cuestiones, se le suma la reciente mo-
dificación del Código Penal por la Ley Orgánica 1/2015, en la cual no se
regula de forma específica la figura del compliance officer, sino que se
aborda «un modelo de organización y gestión que resulte adecuado para
prevenir delitos» y de un «organismo encargado de vigilar el funciona-
miento y observancia del modelo de prevención».

22
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

1.3. ¿Qué no es compliance?


Conocemos ya que es compliance; sin embargo, como cualquier otra ma-
teria cuyo desarrollo es aún joven, dentro del mundo del compliance con-
curren algunos falsos mitos y algunas ideas fundamentadas con carácter
general en argumentaciones parciales y/o comerciales, que suelen con-
fundir a los profesionales y las empresas que tienen que cumplir dichas
obligaciones.
Existen, por ende, una serie de confusiones, que debemos de desentra-
ñar, sobre lo que no es compliance:
A) La función de compliance en la empresa debe dedicarse exclusiva-
mente a la prevención de delitos del código penal para evitar la res-
ponsabilidad penal de persona jurídica.
La primera vez que una norma establece la obligación de contar con un
compliance officer es en la Directiva MiFID, mediante la cual se estable-
cen los controles adecuados que las empresas de instrumentos financie-
ros deben cumplir dentro de su actividad.
A partir de este momento, la función de compliance aparece bastante
asentada y definida en entornos financieros, sin embargo no es así en
otro tipo de compañías de otros sectores. De hecho, existen multitud
de empresas que aún no han establecido formalmente una función de
cumplimiento normativo, o que han aprobado algún tipo de normativa
interna sin hacer ningún seguimiento especial sobre la misma. Error este
que debería ser subsanado a la mayor brevedad posible.
Aunque la prevención de delitos es la base de una función de compliance
con carácter general, esta no suele ser la única responsabilidad que suele
tener encomendada. Desde el prisma de cumplimiento legal, la función
de compliance puede tener competencias para el cumplimiento de la
normativa de protección de datos, prevención de blanqueo de capitales,
derecho de la competencia, mercado y consumidores, sociedad de la in-
formación, etc.
Si tomamos en consideración el punto de vista organizativo y de ries-
gos corporativos, la función de compliance está muy asociada en otras
compañías con materias de buen gobierno corporativo, gestión de ries-
gos corporativos, ética y responsabilidad social corporativa. Valga como
ejemplo que en grandes multinacionales, particularmente de origen

23
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

anglosajón, cada vez es más frecuente encontrarse con áreas de ética y


compliance, donde al componente normativo (cumplimiento) se le suma
un importante componente cultural y de comportamiento empresarial
que va más allá de la vinculación de la empresa a las leyes.
Por su parte, a este respecto la Ley Orgánica 1/2015 ya citada, no impide
que la función de compliance, personalizada en la figura del compliance
officer, pueda extender sus competencias más allá de la implantación del
Programa de Prevención de Delitos (PPD).
B) En el corporate compliance de lo que se trata es de que la empresa
establezca controles para evitar que se cometa cualquier delito den-
tro de la misma.
Esta es otra confusión habitual. Debemos hacer presente que el actual
artículo 31 bis del Código Penal, reformado por Ley 1/2015 establece que
«las personas jurídicas serán penalmente responsables de los delitos co-
metidos, en el ejercicio de actividades sociales y por cuenta y en benefi-
cio directo o indirecto de las mismas, por quienes, estando sometidos a
la autoridad de las personas físicas mencionadas en el párrafo anterior,
han podido realizar los hechos por haberse incumplido gravemente por
aquellos los deberes de supervisión, vigilancia y control de su actividad
atendidas las concretas circunstancias del caso».
Ante esta formulación del nuevo artículo 31 bis, cabe aclarar tres cuestio-
nes fundamentales para entender la filosofía y la finalidad que persigue
la norma en relación con la responsabilidad penal de persona jurídica:
• «En el ejercicio de actividades sociales» dice el artículo 31 bis,
esto es, si los actos que se cometen no tienen relación con las
actividades sociales de la compañía, podrá haberse cometido un
ilícito o un delito por parte del autor material, pero en principio
no existirá responsabilidad penal de persona jurídica.
• «Por cuenta y en beneficio directo o indirecto de las mismas»
prosigue el artículo 31 bis, por tanto, puede hablarse de respon-
sabilidad penal de la empresa si los actos cometidos redundan en
su provecho, aunque existen muchos casos donde precisamente
se comete un delito por un trabajador de la empresa, donde esta
no solo no obtiene beneficio, sino que además puede ser víctima
de tales actos. (Véase como ejemplo el reciente caso publicado
sobre el Zoo de Madrid).

24
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

• La responsabilidad penal de persona jurídica solo existe si con-


curren los requisitos previstos ante la comisión de determinados
delitos, menos de 30 tipos, no todos los delitos que integran el
Código Penal. No sería aplicable a un compliance program, val-
ga de ejemplo de esta realidad, prever medidas concretas para
evitar un asesinato, ya que no es uno de los delitos que puedan
conllevar responsabilidad penal de la empresa.

C) Basta con enviar el código ético que la empresa ha elaborado a to-


dos los empleados para cumplir con las obligaciones de compliance.
Sin duda, el código ético o código de conducta es uno de los elementos ver-
tebradores en la comunicación a empleados, dentro del plan de compliance
que la empresa desee implantar, ya que contendrá un resumen de las prin-
cipales pautas de comportamiento que se esperan de los empleados.
Pero este Código, sin embargo, es solo una tarea más dentro de un aba-
nico de actuaciones tendentes a crear una auténtica cultura corporativa
del cumplimiento normativo. Los pasos para implantar un programa de
compliance podríamos resumirlos en:
• Definición del alcance y del ámbito de las materias a incluir.
• Estructura organizativa, nombramiento de la función de com-
pliance, colocación en la estructura jerárquica de la compañía,
dotación de competencias y recursos, etc.
• Establecimiento y aprobación del marco normativo, procedi-
mientos, cláusulas y guías que van a regir con empleados, pro-
veedores, accionistas, etc.
• Implantación de controles concretos que en los procesos de ne-
gocio se van a implantar para detectar actuaciones que contra-
vengan el programa de compliance.
• Definición de las funciones de revisión y auditoría para compro-
bar la eficacia de las medidas de control adoptadas, e implanta-
ción de mejoras en el sistema.
• Esquematización de los niveles y periodicidad de los informes
(report) a la dirección de la compañía.
Como puede inferirse, hablamos de algo que va más allá de redactar un
código ético y distribuirlo. Merece la pena resaltar la Circular 1/2011 de

25
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

la Fiscalía General del Estado, relativa a la responsabilidad Penal de las


Personas Jurídicas conforme a la reforma del Código Penal efectuada
por Ley Orgánica número 5/2010, donde expresamente se contempla
«lo importante no es la adquisición de un código de autorregulación»,
sino la acreditación de que «los gestores o los órganos de gobierno de la
persona jurídica han ejercido por sí o por delegación en otras personas
todas las medidas exigibles para la prevención, detección y reacción ante
posibles delitos».
Asimismo, la circular exhorta a las empresas a contar con planes de con-
trol propios para su caso, haciendo hincapié en que no serán eximente
de responsabilidad los protocolos “al peso”, esto es, aquellos realizados
simplemente a través de un modelo, sin haber considerado las caracte-
rísticas específicas de cada empresa.

D) El compliance es lo mismo que la asesoría jurídica de una empresa,


al final se trata de cumplir leyes.
La aparición e irrupción del compliance en todo tipo de empresas y secto-
res se está haciendo de modo muy diverso a nivel organizativo. Podemos
encontrarnos su configuración como un área independiente, dentro del
área legal y vinculado a auditoría interna, control interno o gestión de
riesgos, e incluso dentro de las áreas de responsabilidad de ética y res-
ponsabilidad social corporativa (RSC).
Más adelante abordaremos la figura del compliance officer, que en mu-
chos casos suele tratarse de un abogado o un profesional con formación
jurídica. Con carácter general, las diferencias del compliance con las fun-
ciones que con carácter tradicional vienen realizando las asesorías jurídi-
cas de las compañías son:
• Conllevan la implantación de controles internos en los procesos
de producción y/o comercialización de la empresa (p.e. informa-
ción en la web para consumidores, firma de aceptación de políti-
cas por empleados, implantación de un canal de denuncia inter-
no, obligaciones en comunicaciones comerciales, uso de firma
electrónica corporativa, etiquetado de productos, work flow de
toma de decisiones, medidas de seguridad, respeto de plazos de
devolución, etc.).
ȃȃ Son normas cuyo cumplimiento normalmente está sometido a algún
tipo de auditoría.

26
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

ȃȃ La propia ley específica así lo prevé (p.e. protección de datos, pre-


vención de blanqueo de capitales, Sarbanes – Oxley, etc.).
ȃȃ La revisión de su cumplimiento se suele incluir en el alcance de otras
auditorías (p.e. Buen Gobierno Corporativo, control interno de infor-
mación financiera SCIIF, etc.).
ȃȃ Figura en auditorías de cumplimiento de políticas internas (p.e. po-
líticas de uso y clasificación de información, código de prevención
de delitos, FCPA, auditorías SAM Software Assests Management,
etc.).
ȃȃ Aparece en el cumplimiento de estándares internacionales, códigos
de conducta o compromisos contractuales (PCI DSS para el trata-
miento de datos de tarjetas de crédito, Binding Corporate Rules, ISO
27000 sobre Seguridad de la Información).
Junto a las diferencias ya expuestas, existen dos características que po-
drían considerarse como diferentes a la habitual función de la asesoría
jurídica de una empresa y, son:
• Carácter autónomo e independiente del área de compliance. Es
este espíritu de independencia el necesario para que cualquier
conducta pueda ser investigada de forma límpida y transparen-
te, sin interrupciones ni impedimentos por otras áreas o intere-
ses dentro de la organización.
• Carácter más preventivo y vinculado al análisis y gestión de ries-
gos. Mientras que en muchas empresas el papel de la asesoría
es en muchos casos contractual primero y después contencioso,
la función de compliance se ocupa de realizar análisis de riesgos,
evaluaciones de impacto de nuevos requisitos normativos, estu-
dio del retorno de inversión antes de acometer un proyecto de
cumplimiento normativo (objetivización o cuantificación econó-
mico-financiera), medición de los niveles de cumplimiento ante
una norma, etc.
Una diferencia fundamental en este conjunto de distinciones es la capa-
cidad de investigación interna, por ejemplo ante una denuncia interna,
con el propósito de esclarecer los hechos acaecidos y evaluar si los mis-
mos suponen un quebrantamiento de las normas o políticas corporati-
vas; así como los riesgos que los mismos suponen para la compañía.

27
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

E) Esto del compliance es un invento, y aquí no funcionará.


Producida la reforma del Código Penal por Ley Orgánica 5/2010 que in-
trodujo en España la responsabilidad penal de las personas jurídicas, han
existido muchas voces escépticas sobre la aplicación de esta responsabi-
lidad en las empresas. Estos críticos estiman y opinan que el sistema de
responsabilidades que ya existía para los administradores y empleados
podía considerarse suficiente y adecuado.
Aunque es cierto que aún no hay muchas sentencias por las que se haya
condenado a una empresa con responsabilidad penal, sí existe alguna ju-
risprudencia a este respecto:
• Juzgado Central de Instrucción (Audiencia Nacional -AN-) que
en Auto de 13 de febrero de 2015 resuelve el Procedimiento
Abreviado (PA): Medidas cautelares para el aseguramiento de
responsabilidades pecuniarias (caso Bankia), donde se exigía
una fianza de 800 millones de euros a Bankia, a su expresidente
y a otros ex directivos imputados por la comisión de un presunto
delito de «estafa de inversores».
• Audiencia Nacional (Sala de lo Penal, Sección 4ª) que en Auto
de 17 de diciembre de 2014 resuelve sobre la imputación de una
«sociedad mercantil estatal» por los delitos de corrupción en
transacciones comerciales internacionales, contra la Hacienda
Pública y blanqueo de capitales: ante la posible existencia de in-
dicios que acreditan que sus directivos se concertaron con fun-
cionarios angoleños para, a través del contrato de suministro de
material a la Policía, llevar a cabo apropiación patrimonial ocul-
tada, desviada al extranjero mediante un complejo entramado
societario desde paraísos fiscales.
• Juzgado Central de Instrucción (AN) que en Auto de 20 de febre-
ro de 2015 resuelve sobre la imputación al «Fútbol Club Barce-
lona» por existir indicios suficientes para la investigación de la
presunta comisión de un delito de fraude fiscal en el fichaje de
su jugador Neymar.
• Tribunal Superior de Justicia de Andalucía (Granada–Sala de lo
Civil y Penal) que en Auto de 16 de enero de 2014 resuelve sobre
el asalto a Mercadona recogiendo que resulta imposible impu-

28
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

tar al «Sindicato Andaluz de Trabajadores» como autor, porque


cuando se produjeron los hechos, el Código Penal consideraba
que no se podía aplicar a sindicatos y partidos políticos la res-
ponsabilidad penal de personas jurídicas.
• Audiencia Provincial de Sevilla (Sección 4ª) que en Sentencia
núm. 562/2013 de 5 noviembre resuelve sobre falta de estafa.

1.4. ¿Qué materias están incluidas en la figura de compliance?


Cada compañía es un mundo, podemos decir sin temor a equivocarnos
que cada empresa es un “micromundo” y, a pesar de la existencia de di-
ferentes modelos de organización empresarial, cada empresa gestiona
sus recursos y talento de manera diferente a otra. Por ende, la forma en
que la figura y función de compliance irrumpe en una empresa también
puede ser muy diferente a otra, aunque compartan un volumen similar y
un mismo sector de actividad o empresarial.
Los gestores y dirección de las organizaciones a menudo se preguntan
cuestiones tales como ¿cuántas personas deben formar el área de com-
pliance?, ¿qué competencias deben tener?, ¿a quién reportan?, ¿quién les
audita su función?, ¿cómo interactúan con otras áreas de la compañía?
No obstante, a pesar de que existen riesgos comunes para las empresas
que trabajan dentro de un mismo sector, son muchos, sin duda alguna,
los factores que influyen a la hora de decidir cómo se va a establecer un
área o una función de cumplimiento normativo dentro de la organiza-
ción.
A modo introductorio, estos factores podrían ser:
• Accionariado y órganos de gestión de la empresa: Una em-
presa con accionariado familiar, una con accionistas muy dis-
tribuidos y atomizados, un consejero delegado, un consejo de
administración, etc… Sin duda, serán criterios que influirán no-
tablemente a la hora de nombrar un compliance officer, así como
su inserción en nuestra compañía.
• Empresas cotizadas: Estas están más vinculadas con las normas
de buen gobierno corporativo, obligaciones de transparencia,
obligaciones de establecer controles internos para garantizar los

29
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

derechos de accionistas, etc… Ello supone una mayor influencia


de los factores éticos e independencia de la función.
• Volumen y distribución de centros de trabajo: Cuanto mayor
sea la empresa y mayor el mapa de lugares en los que se deben
implantar los controles de cumplimiento, deberá destinar una
mayor cantidad de recursos para garantizar el cumplimiento de
tales obligaciones.
Y si además somos compañías multinacionales, no puede obviarse el te-
ner presente la normativa local y las diferencias culturales que existen
entre diferentes países y continentes:
• Sector de actividad: Dentro de nuestra realidad empresarial, exis-
ten sectores extraordinariamente regulados, como el financiero o
el energético, y al mismo tiempo otros que adolecen de claridad
normativa o que su actividad está regulada sectorialmente.
• Alcance de las competencias: Es imprescindible definir exac-
tamente y con precisión cuáles son las competencias del área
de compliance al objeto de no provocar choques competenciales
con otros departamentos de nuestra organización (p.e. revisio-
nes de la política de anticorrupción o auditorías de protección de
datos) y evitar una innecesaria duplicidad de esfuerzos; así como
situaciones que conduzcan a equívoco dentro de la corporación.
• Mapa normativo: Hay que definir el mapa normativo del que se
encargará el área de compliance, al igual que otras competencias
que tenga en materia de ética, contratos, autorregulación, etc.
En caso de compañías con establecimientos en diferentes paí-
ses, ese mapa normativo se complicará ya que se crearán pro-
ductos o servicios que se distribuirán en países donde será ne-
cesario considerar las diferentes normativas locales aplicables.
• Compliance y ética: Muchas empresas de origen anglosajón
y, particularmente norteamericanas, tienen implantado, y han
extendido entre sus filiales por el mundo, un área donde cum-
plimiento normativo y ética se funden (GRC). La función de
compliance traspasa el estricto cumplimiento de las normas
cumplimiento estrictamente de las normas, y también se cir-
cunscribe a la decisión y valoración de riesgos ante dilemas
éticos; que aunque por sí mismos no conducen a un incumpli-

30
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
¿qué es el compliance?

miento normativo, si pueden tener un impacto reputacional y de


comportamiento corporativo.
• Cultura empresarial y pasado: Existen organizaciones que
han conseguido potenciar entre sus empleados un fuerte senti-
miento de pertenencia y fidelidad, allí donde es difícil implantar
nuevos métodos de trabajo o procedimientos. Por el contrario,
en aquellos lugares donde se han vivido importantes tensiones
laborales, se origina una cierta sospecha ante cualquier movi-
miento o nuevo procedimiento que la empresa quiera implantar.
De este modo, el área de compliance lo tendrá más o menos fácil a la
hora de implantar algunas de las políticas asociadas a su función en base
a esta cultura corporativa, particularmente las tareas de control inter-
no. Junto a esto, es muy importante tener presente si la empresa ya ha
tenido algún problema importante de compliance en su pasado, más o
menos reciente (sanción importante, escándalo reputacional, etc…). Ello
deberá ser tenido en cuenta para medir el nivel de sensibilidad hacia es-
tos temas, tanto de la dirección como por los empleados.
• Estructura ya existente: Para determinar la inserción del com-
pliance en la empresa, habrá que valorar también otras áreas
existentes como auditoría, control interno y asesoría jurídica,
que más allá de rivalidades, deberán ser sus aliados para desa-
rrollar con éxito gran parte de sus tareas.
Ya hemos insistido en el modelo GRC que la función principal del
compliance officer es el cumplimiento normativo y prevención de los
delitos. Anteriormente hemos expuesto que una de las confusiones más
habituales era que “en el corporate compliance lo que se pretende es que
la empresa establezca controles para evitar que se cometa cualquier de-
lito dentro de la misma”, matizando que en el nuevo artículo 31 bis de la
Ley Orgánica 1/2015 se establece que «las personas jurídicas serán pe-
nalmente responsables de los delitos cometidos, en el ejercicio de ac-
tividades sociales y por cuenta y en beneficio directo o indirecto de las
mismas…».
Por todo ello, conviene realizar una serie de aclaraciones a este respecto:
• Un programa de compliance no necesita contener medidas para
prevenir la comisión de todos los delitos del Código Penal, solo
aquellos que aparecen recogidos en el Libro II, listado definido y

31
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

cerrado, que son susceptibles de ser cometidos por las personas


jurídicas.
• Existen supuestos ante la comisión de diversos delitos (incluidos
en el “numerus clausus” de los posibles que pueden ser respon-
sables las personas jurídicas) por parte de empleados de una
empresa, donde esta no solo no saca beneficio alguno de dichas
acciones, sino que puede llegar a ser víctima de los mismos. In-
cluso para estos supuestos, la función de compliance puede in-
tentar regular la prevención de dichas acciones dentro de sus
políticas e implantando las medidas de control adecuadas para
protegerse de actos inapropiados.
Valga como ejemplo un caso típico de corrupción, donde un comercial
entrega una cantidad de dinero a su interlocutor en la empresa clien-
te para “incentivar” que la decisión de adjudicarlo sea a dicha empresa
proveedora. En este supuesto de hecho, la empresa proveedora puede
ganar un contrato y tener una responsabilidad penal por no implantar
controles para que sus comerciales no cometan cohecho, pero en el caso
de la empresa cliente, el interlocutor ha obtenido un dinero para su pro-
vecho ilícitamente y la empresa realmente puede considerarse víctima,
al haber contratado a un proveedor sin saber si era el que mejor servicio
ofrecía o al mejor precio.
Corolario de lo expuesto anteriormente es que la determinación de las
funciones de compliance presentan un contenido muy variable por los
factores que hemos desarrollado anteriormente. En cualquier caso, den-
tro de los entornos integrados de cumplimiento, apunta Casanovas «no
solo se tomarán en consideración las normas de derecho positivo que
les afectan, sino también las obligaciones derivadas de los compromisos
asumidos voluntariamente por la organización tanto en términos con-
tractuales como de normas autoimpuestas».

32
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 2
Establecimiento de un modelo de preven-
ción y control en las organizaciones

2.1. Introducción
La reforma del Código Penal por L.O. 1/2015, de 30 de marzo, cuya entra-
da en vigor tuvo lugar el 1 de julio del citado año, establece el contenido
mínimo que deben tener los modelos de organización y gestión dirigidos
a prevenir los delitos o a reducir de forma significativa el riesgo de su co-
misión (Modelo de Prevención de Responsabilidad Penal). A su vez, esta
Ley 1/2015 modifica el régimen penal de las personas jurídicas, que fue
introducido por L.O. 5/2010, de 22 de junio cuya exposición de motivos,
apartado séptimo expresamente señala:
«Se regula de manera pormenorizada la responsabilidad penal de las per-
sonas jurídicas. Son numerosos los instrumentos jurídicos internaciona-
les que demandan una respuesta penal clara para las personas jurídicas,
sobre todo en aquellas figuras delictivas donde la posible intervención de
las mismas se hace más evidente (corrupción en el sector privado, en las
transacciones comerciales internacionales, pornografía y prostitución in-
fantil, trata de seres humanos, blanqueo de capitales, inmigración ilegal,
ataques a sistemas informáticos...). Esta responsabilidad únicamente po-
drá ser declarada en aquellos supuestos donde expresamente se prevea».
El nuevo artículo 31 bis del Código Penal establece que la persona jurídi-
ca quedará exenta de responsabilidad si se cumplen varias condiciones,

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


I. Introducción al compliance

entre las que destaca que el órgano de administración haya adoptado


y ejecutado con eficacia, antes de la comisión del delito, modelos de
organización y control que incluyan las medidas de vigilancia y control
idóneas.
Así, el artículo 31 bis 2º parágrafo 1º letra A de forma expresa recoge:
«2. Si el delito fuere cometido por las personas indicadas en la letra a) del
apartado anterior, la persona jurídica quedará exenta de responsabilidad
si se cumplen las siguientes condiciones:
1.ª El órgano de administración ha adoptado y ejecutado con eficacia,
antes de la comisión del delito, modelos de organización y gestión que
incluyen las medidas de vigilancia y control idóneas para prevenir delitos
de la misma naturaleza o para reducir de forma significativa el riesgo de
su comisión».
Aunque lo desarrollaremos posteriormente, ¿qué personas son las refe-
ridas en la citada letra a), que suponen exención de responsabilidad a
la persona jurídica? Sus representantes legales o aquellos que actuando
individualmente o como integrantes de un órgano de la persona jurídica
están autorizados para tomar decisiones en nombre de la persona jurídi-
ca u ostentan facultades de organización y control dentro de la misma.

2.2. Diseño de un modelo de prevención y control


2.2.1. Contenido del modelo de prevención y control
El modelo de prevención y control debe contener una descripción de los
elementos clave, tanto humanos como organizativos y documentales,
que la empresa aplica para evitar que se produzcan infracciones de la ley
y, de modo particular actos que puedan estar tipificados como delito en
el Código Penal.
El objetivo prioritario e irrenunciable es que desde todos los niveles de la
empresa se dé la aplicación real y efectiva de las medidas de prevención
y control previstas en el modelo, de manera que este sistema de autorre-
gulación consiga la eliminación de comportamientos que puedan poner
en riesgo la reputación en el mercado y los activos materiales e inmate-
riales de la empresa y de sus componentes. Autorregulación es la esencia
de cumplimiento del modelo.

34
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

2.2.2. Estructura del modelo de prevención y control


La estructura básica del modelo de prevención y control deberá incluir
necesariamente:
• Mapa de riesgos: Identificación de las actividades en cuyo ám-
bito puedan ser cometidos los delitos que deben ser prevenidos.
• Protocolo de decisiones: Establecimiento de protocolos o pro-
cedimientos que concreten el proceso de formación de la volun-
tad de la persona jurídica, de adopción de decisiones y de ejecu-
ción en las mismas con relación a aquellos.
• Recursos financieros: Disposición de modelos de gestión de los
recursos financieros adecuados para impedir la comisión de los
delitos que deben ser prevenidos.
• Canal ético: Imposición de la obligación de informar de posibles
riesgos e incumplimientos al organismo encargado de vigilar el
funcionamiento y la observancia del modelo de prevención.
Podemos incluir dentro del canal ético los siguientes instrumentos:
ȃȃ Código ético.
ȃȃ Código de buenas prácticas.
ȃȃ Plan de prevención de delitos.
ȃȃ Sistema disciplinario.
• Sistema disciplinario: Establecimiento de un sistema discipli-
nario que sancione adecuadamente el incumplimiento de las
medidas que establezca el modelo.
• Verificación periódica (actualización): Realización de una verifi-
cación periódica del modelo y de su eventual modificación cuan-
do se pongan de manifiesto infracciones relevantes de sus dis-
posiciones, o cuando se produzcan cambios en la organización.
Toda esta estructura básica que hemos desarrollado aparece contempla-
da en el artículo 31 bis en su parágrafo 5, donde se señalan cuáles son los
requisitos que debe presentar el modelo:
«5. Los modelos de organización y gestión a que se refieren la condición
1.ª del apartado 2 y el apartado anterior deberán cumplir estos requisitos:

35
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los


delitos que deben ser prevenidos.
2. Establecerán los protocolos o procedimientos que concreten el pro-
ceso de formación de la voluntad de la persona jurídica, de adopción de
decisiones y de ejecución de las mismas con relación a aquellos.
3. Dispondrán de modelos de gestión de los recursos financieros adecua-
dos para impedir la comisión de los delitos que deben ser prevenidos.
4. Impondrán la obligación de informar de posibles riesgos e incumpli-
mientos al organismo encargado de vigilar el funcionamiento y obser-
vancia del modelo de prevención.
5. Establecerán un sistema disciplinario que sancione adecuadamente el
incumplimiento de las medidas que establezca el modelo.
6. Realizarán una verificación periódica del modelo y de su eventual mo-
dificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los hagan nece-
sarios».

2.2.3. La teoría de las ventanas rotas


Esta teoría defiende que si un edificio aparece con una ventana rota y
nadie la repara, los vándalos empezarán a romper otras ventanas. Y final-
mente alguien forzará la puerta y entrará en el edificio. Esta percepción
de abandono y de falta de control hará que se inicien pequeñas infraccio-
nes y que, si no sucede nada, se pase de pequeñas faltas a delitos.
Esta reacción del ser humano ante la ausencia de control sirve de base
para sostener la tesis de que el control debe ser mostrado de forma clara
y desde un primer momento. Esta teoría de las ventanas rotas está basa-
da en un artículo de James Q. Wilson y George L. Kelling, que apareció en
1ª edición de marzo de 1982 de “The Atlantic Monthly”.
Merece la pena unos breves apuntes sobre los autores que formularon
esta teoría:
James Quinn Wilson fue un politólogo, criminólogo y una autoridad en
administración pública estadounidense. Es famoso por ser el coautor del
artículo de la 1ª edición de marzo de 1982 de “The Atlantic Monthly”, re-

36
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

lativo a la Teoría de las ventanas rotas, que provocaría un cambio radical


en la forma de entender y actuar contra la criminalidad en los Estados
Unidos, y el programa de tolerancia cero en ciudades como Nueva York.
Arreglando Ventanas Rotas, por George L. Kelling y Catherine Coles, es
un libro de criminología y sociología urbana publicado en 1996, que ha-
bla acerca del crimen y las estrategias para contenerlo o eliminarlo de
vecindarios urbanos. Dicho libro está basado en el artículo titulado Ven-
tanas Rotas de James Q. Wilson y George L. Kelling.
El título del libro viene seguido del siguiente ejemplo:
«Consideren un edificio con una ventana rota. Si la ventana no se repara,
los vándalos tenderán a romper unas cuantas más. Finalmente, quizás
hasta irrumpan en el edificio; y, si está abandonado, es posible que lo
ocupen ellos y que prendan fuego dentro.
O consideren una acera o una banqueta: se acumula algo de basura;
pronto, más basura se va acumulando; con el tiempo, la gente acaba de-
jando bolsas de basura de restaurantes de comida rápida o hasta asal-
tando coches».
Según los autores del libro, una buena estrategia para prevenir el van-
dalismo es arreglar los problemas cuando aún son pequeños. Repara las
ventanas rotas en un período corto, digamos un día o una semana, y la
tendencia es que será menos probable que los vándalos rompan más
ventanas o hagan más daños. Limpia las aceras todos los días y la ten-
dencia será que la basura no se acumule (o que la basura acumulada sea
mucho menor). Por consiguiente, los problemas no se intensifican y se
evita con ello que los residentes huyan del vecindario.
En conclusión, esta teoría hace referencia a dos hipótesis:
• Que los crímenes menores y el comportamiento antisocial dis-
minuirán.
• Que los crímenes de primer grado, como resultado, se preven-
drán. Las críticas a la teoría tienden a focalizarse en la segunda
hipótesis.
Por ello podemos hablar de una evidencia de control, que puede tradu-
cirse del modo siguiente:
• Un 10% nunca cometerán infracciones.

37
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

• Un 80% no cometerán infracciones aunque haya control.


• Un 10% cometerán infracciones aunque haya control.
Desde la teoría de las ventanas rotas se demuestra la importancia de
definir un modelo de prevención y control en las empresas. Como pode-
mos inferir de las afirmaciones que hemos establecido con anterioridad,
en todas las organizaciones habrá siempre un grupo de personas que
nunca cometerá infracciones, aunque no haya control, y otro grupo que
cometerá infracciones aunque haya control. La existencia de un mode-
lo de prevención y control efectivo tendrá como resultado que la gran
mayoría de las personas no cometerá infracciones al percibir que hay
control.

2.2.4. Actualización del modelo de prevención y control


El contenido del modelo deberá ser adaptado a las tendencias jurispru-
denciales y a las modificaciones que sufra el Código Penal en relación
a los requisitos de prevención y control, que se exijan en materia de
responsabilidad penal. Una exigencia lógica e ineludible de constante
y permanente atención, de cara al cumplimiento normativo legal de la
empresa.
También deberemos adaptarlo en los siguientes casos:
• Cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones.
• Cuando se produzcan cambios en la organización, en la estruc-
tura de control o en la actividad desarrollada por la empresa.

2.3. Estándares internacionales


Las empresas y organizaciones disponen de numerosos marcos de refe-
rencia en todos los ámbitos de cumplimiento. Estos marcos de referen-
cia han nacido generalmente al abrigo de organizaciones internacionales
y de acuerdos entre países. Ello nos permite realizar comparaciones o
benchmarks de la situación de la empresa respecto a estos marcos de re-
ferencia. Aquí aparece ya un concepto muy importante: benchmarking,
que no debemos olvidar.

38
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

Sobre este contexto, esta técnica consiste en comparar la actividad de


la empresa con los valores, normas, principios éticos y buenas prácticas
existentes en el sector y en el ámbito internacional, con el fin de identifi-
car áreas de mejora.
La importancia del benchmarking no se encuentra en la detallada mecá-
nica de la comparación, sino en el impacto que pueden tener estas com-
paraciones en el proceso de mejora de los comportamientos en todos los
niveles de una empresa.
Se puede considerar como un proceso útil y necesario para llegar a reali-
zar mejoras y cambios en un modelo de prevención y control.
Entre ellos destacamos los siguientes:
• Estándares internacionales de derechos humanos:
ȃȃ Declaración universal de los derechos humanos.
ȃȃ Pacto internacional de derechos civiles y políticos.
ȃȃ Pacto internacional de derechos económicos, sociales y culturales.
ȃȃ Convención sobre los derechos de las personas con discapacidad.
ȃȃ Convenios de la OIT ratificados por España.
ȃȃ Convención de los derechos del niño.
ȃȃ Convención sobre la eliminación de todas las formas de discrimina-
ción contra la mujer.
ȃȃ Convención internacional sobre la protección de los derechos de los
trabajadores migratorios.
ȃȃ Convención internacional sobre la eliminación de todas las formas
de discriminación racial.
• Estándares internacionales de compliance:
ȃȃ ISO 31000 – Risk Management.
ȃȃ ISO 19600 – Compliance Management Systems Guidelines.
ȃȃ ISO 26000 – Social Responsibility.
ȃȃ OECD – Principles of Corporate Governance.
ȃȃ OECD – Guidelines for Multinational Enterprises.

39
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

ȃȃ COSO.
ȃȃ OCEG.
ȃȃ SOX – Sarbanes–Oxley Act.
ȃȃ SAS 70.
• Estándares internacionales de contabilidad:
Las Normas Internacionales de Contabilidad NIC o IFRS (Internatio-
nal Financial Reporting Standards) son un conjunto de estándares
creados en Londres por el IASB, que establecen la información que
deben presentarse en los estados financieros y la forma en que esa
información debe aparecer en dichos estados.
Las NIC no corresponden leyes físicas o naturales que esperaban su
descubrimiento, sino más bien normas establecidas por el conjunto de
las personas de acuerdo a sus experiencias comerciales y que ha consi-
derado de importancia en la presentación de la información financiera.
Son normas contables de alta calidad, orientadas hacia el inversor,
cuyo objetivo es reflejar la esencia económica de las operaciones
del negocio, y presentar una imagen fiel de la situación financiera de
una empresa. Las NIC son emitidas por el International Accounting
Standards Board (IASB, anterior International Accounting Standards
Committee, IASC).
Estas normas se conocen con las siglas NIC y NIIF dependiendo de su
fecha de aprobación y se matizan a través de las “interpretaciones”
que se conocen con las siglas SIC y CINIIF.
Las NIC han sido creadas oficialmente por la Unión Europea como
sus normas contables, después de pasar por la revisión del EFRAG,
por lo que para comprobar cuáles son aplicables en la UE hay que
comprobar su estatus.
El EFRAG (European Financial Reporting Advisory Group) o Grupo
Europeo de Información Financiera (EFRAG) fue creado en junio de
2001 por un amplio grupo de organizaciones que representan a la
profesión contable europea, preparadores, usuarios y emisores de
normas nacionales con los siguientes objetivos:
ȃȃ Proporcionar conocimientos técnicos a la Comisión Europea sobre el
uso de las NIC en Europa.

40
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

ȃȃ Participar del proceso de establecimiento de normas del IASB.


ȃȃ Para coordinar en la UE el desarrollo de puntos de vista en relación
con las normas internacionales de contabilidad.
En Estados Unidos, por su parte, las entidades cotizadas en bolsa
tendrán la oportunidad de elegir si presentan sus estados financieros
bajo US GAAP (el estándar nacional) o bajo las NIC.
• Estándares internacionales de información financiera:
En este punto nos remitimos a lo expresado en el anterior, debido a
las grandes similitudes que presenta.
• Estándares internacionales de calidad:
La Organización Internacional de Normalización o ISO (etimológica-
mente del griego iσος, «isos», que significa «igual»), surgida tras la
Segunda Guerra Mundial, el 23 de febrero de 1947, es el organismo
encargado de promover el desarrollo de normas internacionales de
fabricación (tanto de productos como de servicios), comercio y co-
municación para todas las ramas industriales. Su función principal es
la de buscar la estandarización de normas de productos y seguridad
para las empresas u organizaciones (públicas o privadas) a nivel in-
ternacional.
Las normas ISO son una serie o familia de normas creada por el or-
ganismo ISO para el aseguramiento de la calidad. Estas describen los
requisitos que debe cumplir el sistema de calidad de una organización
según la situación aplicable cualquiera sea el modelo adoptado para
una empresa, este pasa a afectar a cada uno de los miembros de di-
cha empresa, pasando a ser una norma de organización de empresa.
Dentro de los estándares internacionales voluntarios elaborados por
esta organización:
ȃȃ Familia ISO 9000, referidos a la gestión y aseguramiento.Incluye a su
vez distintos estándares, que pasamos a mencionar:
•• ISO 9001, sobre diseño, producción, instalación y servicio pos-
tventa.
•• ISO 9002, referente a la instalación y servicio postventa.
•• ISO 9003, inspecciones y ensayos finales.

41
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

•• ISO 9004-1, que se constituye como una guía para el desarrollo de


un sistema de calidad.
ȃȃ Familia ISO 14000, sobre la gestión ambiental.
Hemos de reiterar que junto a las normas ISO, ya citadas, existen
otros órganos normalizadores:
ȃȃ AENOR: Es el organismo español autorizado para realizar normas
españolas y referenciadas como normas UNE. A su vez, es el organis-
mo autorizado para adaptar y adoptar a normas UNE las normas de
organismos supranacionales.
España está representada por AENOR en ISO, por esta razón las nor-
mas elaboradas por ISO y conocidas como “normas ISO” no son obli-
gatorias de adoptar como normas nacionales, salvo decisión de cada
país.
ȃȃ CEN: Es la Comisión Europea de Normalización. El representante es-
pañol en ella es AENOR. El objetivo de la CEN es sustituir las normas
nacionales de los países europeos por normas europeas comunes.
Para el caso de los países europeos miembros de la Unión Europea, en-
tre ellos España, las normas hechas por la CEN bajo la petición y pos-
terior aprobación de la Comisión Europea pasan a ser normas armo-
nizadas, de obligatoria adopción como normas oficiales en cada país.
En cambio, si la norma hecha por la CEN es elaborada por iniciati-
va propia, pero no tiene nada que ver con decisiones de la Comisión
Europea, entonces debe ser obligatoriamente adoptada por el orga-
nismo de normalización autorizado en cada país (AENOR en España
como norma UNE), pero no tiene el carácter de oficial, salvo que lo
reciba posteriormente. Las normas hechas por la CEN tienen la refe-
rencia de normas “EN”.
Vamos a desentrañar esta aparente confusión:
En primer término señalar que aunque estamos refiriéndonos a cali-
dad, sería aplicable a todas las normas normalizadoras para España.
El único órgano que puede aprobar en España normas normalizado-
ras es AENOR; si bien actúa dentro de una esfera multinivel.
A nivel supranacional es el representante de España. En este ámbi-
to AENOR es el organismo autorizado para adoptar y adaptar nor-

42
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

mas “ISO” como normas “UNE” (normas nacionales). Estas normas


“ISO” no son obligatorias, salvo que cada Estado voluntariamente
las adopte.
A medida que se crean acuerdos mundiales entre mayor número de
países, las normas ISO van teniendo mayor influencia. Este es el caso
de las normas sobre calidad que, además fueron las elaboradas en
primer lugar por ISO.
En el ámbito de la Unión Europea, España está representada por
AENOR. Las normas normalizadoras de la CEN (Comisión Europea
de Normalización) presentan, como ya hemos visto, 2 posibilidades
para España:
ȃȃ Si la iniciativa parte de la Comisión Europea, son obligatorias y AE-
NOR deberá transponerla como norma “EN”
ȃȃ Si la iniciativa parte de la propia CEN, son obligatorias de igual modo;
aunque no tendrán carácter oficial; salvo voluntad expresa de cada
Estado miembro. Pasarán al ordenamiento interno como norma
“EN”.
Podemos decir que existe una interrelación entre ISO, CEN y AENOR,
de forma que además de los acuerdos de adopción de las normas
elaboradas por la CEN (sustituir las normas nacionales de los países
europeos por normas europeas comunes), se está trabajando para
evitar duplicación de normas sobre las mismas materias, lo cual re-
sulta fácil porque hay muchas personas comunes implicadas en es-
tos tres organismos.
• Estándares internacionales de seguridad en el trabajo:
La Organización Internacional de Normalización (ISO), el pasado
mes de julio de 2014, publicó el primer borrador de la llamada ISO/
CD 45001 sobre el sistema de gestión de seguridad y salud ocupa-
cional. Hasta que sea aprobada definitivamente, en esta materia las
normas aplicables son OSHAS 18001 y OSHAS 18002.
Las siglas OHSAS en inglés (Occupational Health and Safety Assess-
ment Series) pueden ser traducidas como “Sistemas de gestión de
seguridad y salud ocupacional”, se refieren a una serie de especifica-
ciones sobre la salud y seguridad en el trabajo, materializadas por Bri-
tish Standards Institution (BSI) en la OHSAS 18001 y OHSAS 18002.

43
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

Un sistema de gestión en seguridad y salud ocupacional (SGS36)


ayuda a proteger a la empresa y a sus empleados. OHSAS 18001 es
una especificación internacionalmente aceptada que define los re-
quisitos para el establecimiento, implantación y operación de un sis-
tema de gestión en seguridad y salud ocupacional efectivo.
Para complementar OHSAS 18001, BSI ha publicado OHSAS 18002,
la cual explica los requisitos de especificación y muestra cómo traba-
jar a través de una implantación efectiva de un SGSSL. OHSAS 18002
proporciona una guía; sin embargo no está pensada para una certifi-
cación independiente.
• Estándares internacionales de seguridad informática:
Todo procedimiento informático debe apoyarse en estándares y/o
normas referentes a tecnología de información para dotar de segu-
ridad a la organización. Destacamos como normas o estándares in-
ternacionales, siguiendo a Ronald Richard en su artículo Seguridad
informática basado en las normas y estándares internacionales COBIT
e ISO 17799:
ȃȃ COBIT (Objetivos de control para tecnología de información y tec-
nologías relacionadas). En inglés: “Control Objectives for Informa-
tion and related Technology”, es una guía de mejores prácticas que
constituye un conjunto estandarizado de conceptos, prácticas y cri-
terios para afrontar problemas de control de tecnologías de la infor-
mación (TI). Mantenido por ISACA (en inglés: Information Systems
Audit and Control Association) y el IT GI (en inglés: IT Governance
Institute), dispone una serie de recursos que pueden servir de mode-
lo de referencia para la gestión de las tecnologías de la información
(TI).
Aparece alineado con estándares de control y auditoria (COSO, IFAC,
IIA, ISACA, AICPA). El COSO se integra como un estándar específico
de compliance, lo hacemos presente de nuevo.
ȃȃ Norma ISO/IEC 17799. Es una norma internacional que ofrece reco-
mendaciones para realizar la gestión de la seguridad de la informa-
ción dirigida a los responsables de iniciar, implantar o mantener la
seguridad de una organización. Toma su antecedente en la BS 17799
(BSI-British Standard Institution).

44
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

ISO/IEC 17799 define la información como un activo que posee valor


para la organización y requiere por tanto de una protección adecua-
da. El objetivo de la seguridad de la información es proteger ade-
cuadamente este activo para asegurar la continuidad del negocio,
minimizar los daños a la organización y maximizar el retorno de las
inversiones y las oportunidades de negocio.
Por todo ello, la seguridad de la información se define como la pre-
servación de:
•• Confidencialidad: Aseguramiento de que la información es accesi-
ble solo para aquellos autorizados a tener acceso.
•• Integridad. Garantía de la exactitud y completitud de la informa-
ción y, de los métodos de su procesamiento.
•• Disponibilidad. Aseguramiento de que los usuarios autorizados
tienen acceso cuando lo requieran a la información y sus activos
asociados.
Esta norma ha sido rebautizada como ISO/IEC 27002.
• Estándares internacionales de medio ambiente:
En materia de medio ambiente figura la ISO 14000. La ISO 14000 se
basa en la norma británica BS7750, que fue publicada oficialmente
por la British Standards Institution (BSI) previa a la Reunión Mundial
de la ONU sobre el Medio Ambiente (ECO 92).
Cabe resaltar dos vertientes de la ISO 14000:
ȃȃ La certificación del Sistema de Gestión Ambiental, mediante el cual
las empresas recibirán el certificado (SGA).
ȃȃ El Sello Ambiental, mediante el cual serán certificados los productos
(“sello verde”).
La norma ISO 14000 es un conjunto de documentos de gestión am-
biental que, una vez implantados, afectará a todos los aspectos de la
gestión de una organización en sus responsabilidades ambientales.
Los estándares son voluntarios, no tienen obligación legal por tanto.
La ISO 14000 se centra en la organización proveyendo un conjunto
de estándares basados en procedimiento y en unas pautas, desde las
que una empresa puede construir y mantener un sistema de gestión
ambiental (SGA).

45
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

La norma se compone de 8 elementos, que pasamos a identificar:


ȃȃ Sistemas de gestión ambiental (14001 Especificaciones y directivas
para su uso; 14004 Directivas generales sobre principios, sistemas y
técnica de apoyo).
ȃȃ Auditorías Ambientales (14010 Principios generales; 14011 Procedi-
mientos de auditorías, auditorías de sistemas de gestión ambiental;
14012 Criterios para certificación de auditores).
ȃȃ Evaluación del desempeño ambiental (14031 Lineamientos; 14032
Ejemplos de evaluación de desempeño ambiental).
ȃȃ Análisis del ciclo de vida (14040 Principios y marco general; 14041
Definición del objetivo y ámbito y análisis del inventario; 1404).

2.4. Difícil aplicabilidad probatoria de los sistemas de com-


pliance anglosajones a entornos de positivización del derecho
¿Por qué los sistemas de compliance anglosajones encuentran dificulta-
des probatorias en España? Debemos responder a esta pregunta apor-
tando un artículo de gran interés de Xavier Ribasque, que transcribimos
a continuación:
«¿Por qué los sistemas de corporate compliance norteamericanos no fun-
cionan en España?
Los modelos de prevención de la responsabilidad penal norteamerica-
nos, y los anglosajones en general, están basados en auditorías, investi-
gaciones, documentos e informes realizados internamente por la empre-
sa o por auditores externos.
En caso de querella, las pruebas que se utilizarán en la defensa de la em-
presa y de sus directivos han sido creadas bajo su control y han permane-
cido en un estado que permite su modificación, lo cual podría afectar su
fiabilidad o credibilidad y, por ello, su fuerza probatoria.
Sin embargo, los modelos de prevención y control, y las normas que ins-
piran el compliance en EEUU, se basan en ellas porque normalmente se
presume que no han sido modificadas.
Podríamos decir que los sistemas jurídicos anglosajones están basados
en la confianza en la persona y en que dice la verdad. La mentira cons-

46
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

tituye por lo tanto una circunstancia agravante o cualificadora del dolo.


Por eso al viajar a EEUU tenemos que responder a preguntas como “¿Pla-
nea usted asesinar al Presidente?”, que serían impensables en la Europa
continental.
Nuestro Derecho, en cambio, está basado en la desconfianza, en que las
personas mentimos y ello se traduce en una mayor carga probatoria y
burocrática en nuestras relaciones con las Administraciones Públicas,
ante las que tenemos que demostrar constantemente que decimos la
verdad. Por eso no podemos constituir una sociedad plenamente opera-
tiva en unas horas.
En mi primer empleo en un despacho de abogados me ofrecí, para ganar
puntos, a pasar las actas de los clientes a los libros de actas, que estaban
todos vacíos. Mi jefe me explicó que estaban vacíos a propósito ya que el
cliente podía tener que inventarse un acuerdo o una Junta y si las actas ya
estaban pasadas a los libros esa manipulación del pasado a favor de los
intereses del cliente no sería posible. Incluso se comentaba entonces que
los notarios guardaban habitualmente números de protocolo sin utilizar
para clientes especiales. Como los hoteles hacen con algunas habitacio-
nes.
Esta ligereza moral contrastaba con la rectitud, casi autista a los ojos
de esa época, de los clientes norteamericanos del despacho, que nunca
aceptaron firmar actas o contratos predatados. Estamos hablando de los
años ochenta, pero también de dos culturas distintas, cuyas diferencias
se van difuminando, pero todavía persisten en la actualidad.
No me extraña por lo tanto la desconfianza de nuestro legislador. Somos
mediterráneos. Tanto nosotros como él.
También será mediterráneo el abogado que interpondrá la querella que
obligará a la empresa y a sus directivos a defenderse de una posible res-
ponsabilidad penal. Como experto depredador de pruebas, este aboga-
do pondrá en duda la credibilidad y la fecha de las pruebas utilizadas por
la defensa porque muy probablemente él mismo habrá preparado en
otros casos la defensa de sus clientes sobre los débiles cimientos de unas
pruebas creadas tras la notificación de la querella. Dicen que el auditor se
debe a la verdad y el abogado se debe a su cliente.
Perdón por la crudeza, pero lamentablemente estamos en un país en el
que no hay cultura de preconstitución de prueba. En vez de ir creando

47
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

pruebas del esfuerzo de control realizado por la empresa, como los bue-
nos estudiantes que estudian cada día, lo habitual es preocuparnos de
recopilar pruebas el día después de la querella, como el mal estudiante,
que solo estudia los días anteriores al examen.
La metodología anglosajona de compliance es buena como base, pero
hay que adaptarla a nuestra cultura y a las características de la estrategia
procesal penal de nuestro probable adversario. Dado que en sede penal
se produce un nivel de impugnación de la prueba superior al de otras
jurisdicciones, tenemos que blindar la prueba, cronológicamente y en
cuanto a su contenido.
Nuestros modelos de corporate compliance tienen que estar orientados
irremediablemente a la querella. Tenemos que aplicar un esquema de
“litigation readiness” pero defensivo, y basado en la certeza de que nues-
tras pruebas van a ser impugnadas, o al menos, puestas en duda.
Por ello, un proyecto de corporate compliance no estará acabado hasta
que se hayan creado las evidencias del cumplimiento y de la eficacia de
los controles, y hasta que cada una de esas pruebas tenga una garantía
de integridad y una fecha indubitada».
Incidiendo sobre la misma dificultad de aplicación, reproducimos el
preámbulo de la Sentencing Guidelines For Organizations:

«SENTENCING GUIDELINES FOR ORGANIZATIONS VIGENTE»


2014. MANUAL DE DIRECTRICES
Capítulo ocho - Guía: pautas para organizaciones
Las Directrices Federales sobre dictado de sentencias de los Estados
Unidos para organizaciones establece el criterio mínimo que debe se-
guir una organización para crear un programa de cumplimiento eficaz.
Adecuando el lenguaje de la Sentencing Guidelines For Organizations a
nuestro ordenamiento jurídico español, podríamos cifrar el mensaje de
la siguiente manera:
Comentario introductorio:
Las directrices y declaraciones de política de responsabilidad penal que
aborda este capítulo se aplican cuando el acusado condenado es una
organización (persona jurídica).

48
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

Las organizaciones solo pueden actuar a través de sus empleados y, se-


gún la legislación penal federal, generalmente son responsables indirec-
tos de los delitos cometidos por sus empleados. Al mismo tiempo, los
agentes individuales son responsables de su propia conducta criminal.
Por tanto, los enjuiciamientos se realizan llamando al proceso tanto a los
empleados que componen la organización, como a los responsables de
la misma con facultades de representación en su órgano de dirección.
Los empleados que sean culpados por la comisión de un delito en el
seno de la empresa son condenados de acuerdo a las directrices y de-
claraciones de política de la organización, las cuales están basadas en
estándares internacionales adecuados al ordenamiento jurídico de cada
país, como se ha expuesto en capítulos anteriores.
Este capítulo está diseñado para que las sanciones impuestas a las orga-
nizaciones y a sus empleados (o agentes individuales, si somos fieles a la
traducción de la propia Sentencing Guidelines For Organizations) propor-
cionen, en conjunto, un “castigo justo” a través de un régimen sancio-
nador incluido en su sistema disciplinario. Además, promueve la pues-
ta en marcha de incentivos que fomenten la implantación de métodos
internos dentro de las propias organizaciones para prevenir, detectar y
denunciar las conductas delictivas, actuando así de forma disuasoria.
Este capítulo refleja los siguientes principios generales:
En primer lugar, el órgano sentenciador debe, siempre que sea posible,
requerir al órgano de gobierno de la organización (es decir, a la directiva
de dicha entidad) que remedie las conductas que se han dado y han oca-
sionado perjuicio. Para ello, debe destinar los recursos necesarios. El fin
último es reforzar la visibilidad de los daños causados a las víctimas.
En segundo lugar, si la organización opera principalmente con fines en
sí mismos contrarios al derecho, la multa debe de fijarse lo suficiente-
mente alta como para que la organización se desprenda de todos sus
activos.
En tercer lugar, la sanción para cualquier otra organización debe consi-
derar o basarse en la gravedad del delito y en el hecho de la culpabilidad
(es decir, en su responsabilidad para con la infracción). La gravedad de la
falta de diligencia debida de la organización se debe considerar en fun-
ción de la pérdida o ganancia pecuniaria, esto es, en relación a la suma

49
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

monetaria implicada, marcada por las directrices de la alta dirección en


el seno de la organización.
Los cuatro factores que aumentan el castigo final de una organización
son los siguientes:
• La participación en la actividad delictiva, o tolerancia a la misma;
• la historia previa de la organización;
• el incumplimiento de una orden;
• la obstrucción a la justicia.
Los dos factores que mitigan la pena máxima de una organización son
los siguientes:
• La existencia de un programa de cumplimiento y ética eficaz;
• la presentación de denuncias por iniciativa propia de la empresa,
la cooperación, o la aceptación de la responsabilidad.
En cuarto lugar, la libertad condicional es un dictamen de sentencia apro-
piada para un imputado de una organización cuando sea necesario ase-
gurar que otra sanción se aplicará plenamente, o para asegurar que se
tomarán medidas dentro de la organización para reducir la probabilidad
de una futura conducta delictiva.
Estas directrices ofrecen incentivos a las organizaciones para reducir y
finalmente eliminar la conducta criminal, proporcionando una base es-
tructural con la que una organización puede auto-controlar su propia
conducta a través de un programa de cumplimiento y ética eficaz. La
prevención y detección de conductas delictivas, facilitado por un progra-
ma de cumplimiento y ética efectiva, asistirán a una organización en el
fomento de una conducta ética y el pleno cumplimiento de todas las le-
yes aplicables».

2.5. ISO 19600. Compliance Management Systems Guideli-


nes y la guía AENOR de prevención de delitos
En diciembre de 2014 fue aprobada la Norma ISO 19600:2014, sobre
compliance management systems guidelines. Esta Norma ISO, aunque no
es certificable por las entidades que la observen, contiene directrices y

50
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

metodologías para definir, implantar, mantener y mejorar un programa


de compliance en una organización.
La propia introducción ya recoge expresamente «esta norma internacio-
nal no especifica requisitos, sino que proporciona una guía para los siste-
mas de gestión de compliance y prácticas recomendadas».
Así, esta reciente ISO se convierte en un marco internacional de referen-
cia que incide de nuevo en la importancia del compromiso de la dirección
para lograr el éxito en compliance, estableciendo que «el enfoque ideal
de una organización hacia el compliance consiste en que su dirección
aplique los valores fundamentales y los estándares de gobierno corpora-
tivo, de ética y de relaciones con la comunidad generalmente aceptados.
El que se interiorice a compliance en el comportamiento de las personas
que trabajan en una organización depende, sobre todo, de sus directivos,
en todos los niveles, y de que existan unos valores claros en la organiza-
ción, así como de la aceptación y aplicación de medidas que promuevan
un comportamiento de cumplimiento. Si eso no sucede así en todos los
niveles de la organización, existe riesgo de incumplimiento». Clarificado-
ras palabras acerca de la extensión e implicación de la organización.
Aunque la Norma fija unos criterios comunes y medibles, es admisible te-
ner en consideración el volumen de la entidad y su idiosincrasia particular,
propia y concreta a la hora de implantar el compliance, siguiendo a Javier
Carbayo cuando afirma: «el cumplimiento normativo no admite una in-
corporación a las organizaciones basada en modelos industrializados que
no permiten más adaptación que la puramente nominal, ni acepta la clo-
nación de experiencias y resultados, porque aunque todas las empresas
pudieran parecer iguales (a la vista de un observador inexperto o que las
observe desde la estratosfera), cada una es diferente de cualquier otra».
Por otra parte, un hecho relevante antes de la ISO, es la publicación en
2014 por AENOR de un “modelo de gestión del riesgo para la prevención
de delitos” que establece requisitos para:
• Prevenir la comisión de delitos que puedan afectar a la persona
jurídica.
• Detectar, reparar y disminuir los efectos del delito cometido.
• Mejorar continuamente, intentando reducir el riesgo penal de
las organizaciones.

51
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

Existe constancia de que varias organizaciones ya se han sometido a la


auditoría de AENOR, obteniendo esta certificación; empero aún no exis-
ten precedentes legales donde se haya intentado hacer valer esta acre-
ditación ante un supuesto de responsabilidad penal que haya llegado a
los tribunales.
Vistas las circunstancias precedentes, todo parece indicar que se traba-
jará en una norma UNE que sí será certificable y que estará alineada a
la ISO 19600 (reiteramos que no es certificable). Por ello, será preciso
y muy recomendable conocer el alcance de dichos cambios, trabajando
en las organizaciones para alinear sus programas de compliance a dichas
directrices.
Desconocemos por el momento cuál será la reacción de los tribunales
ante este tipo de certificaciones, cuando se esté juzgando a una empre-
sa, y cuando se produzca su valoración en términos de exención de res-
ponsabilidad, atenuante o ninguna de las dos.
La ISO 19600 se presenta, por ende, como una guía a seguir en el diseño
e implantación de un sistema de gestión del compliance en las empresas.
Incluye una serie recomendaciones sobre los elementos con los que una
organización debería contar para asegurar que cumple su política de com-
pliance y que tiene capacidad para asumir sus obligaciones en tal ámbito.
Entre las recomendaciones de esta ISO destacan las siguientes:
• Análisis de nuevas necesidades de formación en materia de
compliance para el personal involucrado en este campo cuando
se produzcan cambios organizativos, legislativos o en los com-
promisos con los grupos de interés.
• Integración de un apartado relativo a compliance en la evalua-
ción del desempeño de los empleados.
• Supervisión de los contratos con clientes y proveedores para
asegurarse de que recogen obligaciones en materia de com-
pliance.
A través de lo expuesto, podemos destacar los siguientes elementos cla-
ve del sistema de gestión ISO 19600:
• Obligaciones en materia de compliance.
• Identificación, análisis y evaluación de riesgos.

52
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

• Diseño del CMS.


• Política de compliance.
• Roles y responsabilidades.
• Planificación y objetivos del CMS.
• Recursos de soporte.
• Formación y sensibilización.
• Comunicación.
• Información y documentación.
• Controles y procedimientos.
• Procesos externalizados.
• Evaluación, monitorización, medición y análisis.
• Auditoría.
• Reporting y revisión de la alta dirección.
• Acciones correctivas.
• Mejora continua.

2.6. COSO
Es otro de los estándares internacionales en materia de compliance. Las
siglas “COSO” significan Committee of Sponsoring Organizations of the
Treadway Commission, respondiendo a la iniciativa de 5 organismos para
la mejora de control interno dentro de las organizaciones.
“Control interno” se define como un proceso efectuado por la dirección
y el resto del personal de una entidad, diseñado con el objeto de propor-
cionar un grado de seguridad razonable en cuanto a la consecución de los
objetivos dentro de las siguientes categorías:
• Eficacia y eficiencia de las operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de leyes, reglamentos y normas (que sean apli-
cables).

53
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

Este figura integrado por 5 grupos de principios:


Grupo 1: Entorno de control. El ambiente o entorno de control es la
base de la pirámide de control interno, aportando disciplina a la estruc-
tura. En él se apoyarán los restantes componentes, por lo que será clave
para concretar los cimientos de un eficaz y eficiente sistema de control
interno.
Los factores a considerar dentro del entorno de control serán: La inte-
gridad y los valores éticos, la capacidad de los trabajadores de la unidad,
el estilo de dirección y gestión, la asignación de autoridad y responsabi-
lidad, la estructura organizacional y las políticas y prácticas de personal
utilizadas.
Grupo 2: Evaluación de riesgos. Cada unidad se enfrenta a diversos ries-
gos internos y externos que deben ser evaluados. Una condición previa a
la evaluación de riesgo es la identificación de los objetivos a los distintos
niveles, los cuales deberán estar vinculados entre sí.
La evaluación de riesgos consiste en: La identificación y el análisis de los
riesgos relevantes para la consecución de los objetivos, y sirve de base
para determinar cómo deben ser gestionados. A su vez, dados los cam-
bios permanentes del entorno, será necesario que la unidad disponga de
mecanismos para identificar y afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los objetivos de área hayan sido
apropiadamente definidos, que los mismos sean consistentes con los
objetivos institucionales, que fueran oportunamente comunicados,
que fueran detectados y analizados adecuadamente los riesgos y que
se los haya clasificado de acuerdo a la relevancia y probabilidad de ocu-
rrencia.
Grupo 3: Actividades de control. Las actividades de control son las que
a continuación se detallan: Las políticas, procedimientos, técnicas, prác-
ticas y mecanismos que permiten a la dirección administrar (mitigar) los
riesgos identificados durante el proceso de evaluación de riesgos y ase-
gurar que se llevan a cabo mediante su adecuada dirección.
Es importante recalcar que las actividades de control se ejecutan en to-
dos los niveles de la unidad y en cada una de las etapas de la gestión, par-
tiendo de la elaboración de un mapa de riesgos, de acuerdo a lo señalado
en el punto anterior.

54
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Establecimiento de un modelo de prevención y control en las organizaciones

En la evaluación del sistema de control Interno no solo debe considerarse


si fueron establecidas las actividades relevantes para los riesgos identi-
ficados, sino también si las mismas son aplicadas en la realidad y si los
resultados obtenidos fueron los esperados.
Grupo 4: Información y comunicación. Se debe identificar, recopilar
y propagar la información pertinente en tiempo y forma que permitan
cumplir a cada trabajador o empleado con sus responsabilidades a cargo.
Debe existir una comunicación eficaz -en un sentido amplio- que fluya en
todas direcciones a través de todos los ámbitos de la unidad, de forma
descendente como ascendente.
La dirección debe comunicar en forma clara las responsabilidades de
cada funcionario dentro del sistema de control interno implementado.
Los funcionarios tienen que comprender cuál es su papel en el sistema de
control interno, y cómo las actividades individuales están relacionadas
con el trabajo del resto.
Grupo 5: Monitorización. Los sistemas de control interno requieren
-principalmente- de supervisión, es decir, un proceso que verifique la vi-
gencia del sistema de control a lo largo del tiempo. Esto se logra median-
te actividades de supervisión continuada, evaluaciones periódicas o una
combinación de ambas.
El contenido descrito del COSO aparece recogido en Auditoría Interna de
la Nación, Ministerio de Economía y Finanzas, Uruguay 2007:
Entorno de control (Principios 1-5):
• Integridad y valores éticos.
• Supervisión por parte del Consejo de Administración.
• Estructura de control y asignación de autoridad y responsabili-
dades.
• Personas competentes.
• Personas responsables.
Evaluación de riesgos (Principios 6-9):
• Identificación y evaluación de riesgos.
• Objetivos claros que permitan la identificación y evaluación de
los riesgos relacionados.

55
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
I. Introducción al compliance

• Evaluación del riesgo de fraude.


• Identificación y evaluación de los cambios que puedan afectar al
sistema de control.
Actividades de control (Principios 10-12):
• Selección y desarrollo de las actividades de control.
• Selección y desarrollo de las actividades de control sobre la tec-
nología.
• Políticas y procedimientos.
Información y comunicación (Principios 13-15):
• Información de calidad y relevante.
• Comunicación interna.
• Comunicación externa.
Monitorización (Principios 16-17):
• Evaluación continuada del funcionamiento de los controles.
• Evaluación y comunicación de las deficiencias del control interno.

56
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Parte II

Responsabilidad penal de
las personas jurídicas:
Una nueva realidad social
empresarial

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 3
El corporate compliance y la responsabili-
dad penal de las personas jurídicas (I)

3.1. Introducción
Una de las cuestiones, indubitablemente, más polémicas a comienzos
del siglo XXI sigue siendo la posibilidad de revisión del principio “societas
delinquere non potest”, o lo que es lo mismo, la empresa no puede de-
linquir. Una corriente de opinión importante de la doctrina aún sostiene
que las sanciones penales deben afectar exclusivamente a las personas
naturales o físicas y no a las personas jurídicas. Sin embargo, la crecien-
te criminalidad económica y financiera, urbanística y ambiental dan pie,
nuevamente, a la discusión acerca de si las personas jurídicas pueden ser
también sancionadas penalmente. Hoy en día, desde una perspectiva ju-
rídico-legal se apuesta de manera evidente por la responsabilidad y san-
ción penal de las personas jurídicas.
Para completar lo anteriormente expuesto, una reflexión del profesor
Dr. Ulrich Sieber en su artículo (ya citado) Programas de compliance en
el derecho penal de la empresa: Una nueva concepción para controlar la
criminalidad económica:
«Los programas de compliance, así como los nuevos controles dirigidos
a prevenir la criminalidad vinculados con aquellos, constituyen una reac-
ción a los espectaculares escándalos en el campo de la criminalidad eco-
nómica que ocurrieron hace poco tanto en los EE. UU. como también en

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Europa: los desastres empresariales, por ejemplo de WorldCom, Enron,


Parmalat y Flowtex, han corroborado en los últimos años el diagnóstico
dado pioneramente por Tiedemann en el sentido de que la criminalidad
económica también puede llevar a la ruina a empresas grandes y causar
graves perjuicios para toda la sociedad. Por ello, tanto en las empresas
como también en los sistemas legales se han establecido, a nivel mun-
dial, nuevos conceptos con el fin de mejorar la dirección de la empresa.
En el ámbito legislativo de los EE. UU., como consecuencia de los es-
cándalos de WorldCom y Enron, la “Sarbanes-OxleyActde” 2002 prevé
deberes generales y especiales de organización dirigidos a las empre-
sas. Además, como incentivo para crear las correspondientes medidas
preventivas, el Derecho Penal empresarial estadounidense, en sus “sen-
tencing guidelines”, al igual que el Derecho Penal empresarial italiano
del 2001, concede rebajas de pena en caso de haber existido programas
apropiados de compliance. También en Japón se está pensando sobre
una concepción similar en el marco de la reforma del Derecho Penal de
la empresa. En Alemania existen deberes legales de organización en
determinados ámbitos de actividad y la cuestión referida al control de
la criminalidad empresarial a través de planteamientos de compliance
se ha puesto en evidencia para un público más amplio, a más tardar a
partir del 2007 a través de la investigaciones en el caso de corrupción de
Siemens».
Para Zugaldía Espinar, el análisis de la responsabilidad criminal de las
personas jurídicas debe partir de tres premisas fundamentales:
• Debe tenerse en cuenta que el viejo debate sobre si se debe
(desde el punto de vista político-criminal), y si se puede (desde
el punto de vista dogmático), exigir responsabilidad criminal a
las personas jurídicas, hoy en día es una cuestión del pasado. La
respuesta ha de ser forzosamente afirmativa.
• Debe reconocerse por otra parte, que aun en el supuesto de que
no hubiese sido así, está claro que la voluntad de nuestro legis-
lador ha sido hacer caso omiso de debates academicistas y, por
razones de necesidad y puramente pragmáticas, ha considerado
una extensión del sujeto del Derecho Penal –admitiendo a las
personas jurídicas– justificado intrínsecamente en la necesidad
de combatir la criminalidad económica organizada.

60
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

• Corolario de todo lo anterior, el problema de la responsabilidad


criminal de las personas jurídicas toma causa en la necesidad de
establecer los criterios normativos de imputación, que permitan
atribuir un delito a una persona jurídica (esto es, en la elabora-
ción de una teoría jurídica del delito –o teoría de la imputación–
de la persona jurídica).

Para incardinar una vinculación entre los conceptos de “compliance” y de


“responsabilidad penal de las personas jurídicas”, hemos de partir con la
determinación de una serie de objetivos que determinen las siguientes
líneas concretas de actuación:
• Formar un criterio propio sobre el régimen de la responsabilidad
penal de las personas jurídicas, de modo concreto sobre las me-
didas preventivas razonables y convenientes a adoptar en fun-
ción de las posibles consecuencias prácticas.
• Intentar alcanzar unos estándares mínimos razonables que pue-
dan servir de guía para las sociedades en general, señalando la
imposibilidad de establecer «criterios universales» aplicables
para todo tipo de empresas u organizaciones, dadas las grandes
diferencias existentes en cuanto a tamaño, organización, activi-
dades, riesgos, pertenencia a sectores regulados o no, etc.
• Conseguir que esos estándares mínimos puedan constituir un re-
ferente general y accesible, que puedan servir de pautas orienta-
doras para los órganos jurisdiccionales cuando tengan que exa-
minar algún caso en el que se plantee la posible responsabilidad
penal de una persona jurídica.
Dentro de esta vinculación entre compliance y responsabilidad penal de
las personas jurídicas, para establecer una teoría de la imputación de
las personas jurídicas debemos relacionar algunos conceptos que se en-
cuentran íntimamente interconectados:
• La ética aplicada a los negocios, donde deben valorarse cuestio-
nes de la siguiente índole:
ȃȃ La aplicación de los principios generales que deben presidir el desa-
rrollo de los mismos, la integridad corporativa, la responsabilidad y
la transparencia.

61
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

ȃȃ Del mismo modo, las especiales consecuencias que pueden derivar-


se según la esfera de la actividad en la que organización se desen-
vuelva, tanto en el ámbito de lo público, como de lo privado.
• Hay que poner especial atención a la vinculación existente en-
tre la ética y la responsabilidad social empresarial, y a la inte-
rrelación entre los códigos de conducta y las mejores prácticas
que deben guiar la actividad de las empresas; esto es, todo ello
determina la procedencia de la realización del correspondiente
análisis de los programas de compliance, que deberán ser adap-
tados de manera individualizada a las características propias y a
las necesidades de cada empresa.
• Las normas y los principios que han de regir la instauración de
un gobierno corporativo efectivo y eficiente. Incidiendo en este
punto, han de ser destacadas algunas cuestiones como los prin-
cipios y las buenas prácticas de gobierno corporativo e incluso, a
modo de ejemplo, las características que deben presidir las rela-
ciones con los accionistas (stakeholders).
Para complementar lo ya expuesto y no hacer una enumeración dema-
siado prolija, deben también considerarse las estructuras, roles y respon-
sabilidades que han de presidir la instauración del mismo y su funciona-
miento. Para ello se debe incidir en aspectos tales como:
• La estrategia corporativa, los procesos de liderazgo y los que
afectan a los procesos de tomas de decisiones.
• Las pautas que la empresa va a determinar o la dinámica que va
a utilizar con referencia a los programas de compliance.
• Las herramientas que se van a emplear para el adecuado control
de la gestión del gobierno corporativo, y la estructura con que se
va a dotar a los órganos de control y supervisión de compliance,
que vayan a existir en la entidad, con independencia de esta es-
tructura sea interna o externa a la propia organización.
También deben ser consideradas las cuestiones que hacen referencia a
las funciones del gobierno corporativo en el control del riesgo, las cuales
tienen que ir orientadas a crear y sostener valor de la estrategia corpora-
tiva con respecto a los riesgos que se detecten, y a determinar las relacio-
nes que deben existir entre gestión y control del gobierno corporativo, y

62
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

entre este y las funciones que son propias de la auditoria interna. Final-
mente, resulta conveniente prestar una especial atención a la vincula-
ción existente desde un punto de vista práctico entre los programas que
componen e integran el gobierno corporativo y compliance.
Merece la pena hacer una mención al llamado «fraude corporativo», de-
dicado a analizar el contexto donde de manera más habitual se producen
los supuestos de “fraude”, las principales tipologías detectadas, los ele-
mentos básicos a tomar en consideración para su detección y los meca-
nismos que han de emplearse para su prevención. A estos efectos, una
experiencia sumamente valiosa es la constituida por las consecuencias
extraídas de casos reales, a los efectos de poder deducir elementos de
gran valor sobre la forma en la que los supuestos de fraude habitualmen-
te se concretan y materializan.
Nótese que la evaluación de los llamados «riesgos corporativos», impli-
ca un análisis de la combinación de probabilidades que podrían producir
un evento anómalo o situación irregular que represente un supuesto de
fraude. Por ello, es imprescindible proceder a una cuantificación de las
consecuencias negativas relacionadas con los diversos riesgos, así como
identificar los factores desencadenantes de los mismos, tales como: las
amenazas, las vulnerabilidades y la exposición a los diferentes factores
de riesgo. Del mismo modo, hay que realizar un estudio para la posterior
valoración y aplicación de los principales modelos de análisis y control de
riesgos (v.gr. COSO o CORBIT), que hemos visto anteriormente.
Cuestión relevante es la investigación de los fraudes producidos. Este es-
tudio debe comprender los mecanismos de análisis destinados a efectuar
seguimientos de las operaciones y las transacciones que puedan encubrir
supuestos de fraude, particularmente en lo que atañe al perfil de autor o
perpetrador, o al análisis de las condiciones estructurales.
Todas las argumentaciones expuestas anteriormente deben desembo-
car en la necesidad de valorar y de analizar la regulación jurídica a la que
se vea afectada la empresa, lo cual, como es obvio, resulta un factor de
esencial importancia. El riesgo legal derivado del incumplimiento nor-
mativo cada día cobra una mayor importancia y trascendencia. La pre-
vención de delitos, el hecho de evitar sanciones, el fortalecimiento de la
imagen corporativa de la empresa y el ahorro de costos empresariales
son algunas de las cuestiones subyacentes del riesgo de incumplimiento,

63
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

causado por la cada vez más estricta regulación y, al mismo tiempo, por
la espada de Damocles que supone la responsabilidad legal de las perso-
nas jurídicas.
Con el transcurrir de los tiempos, las personas jurídicas comienzan a ac-
tuar y empiezan a surgir diversos problemas relacionados con su carácter
criminógeneo (responsabilidad penal o criminal) de empresas y grupos
empresariales y, consecuencia lógica, las consiguientes dificultades jurí-
dicas a los efectos de:
• La determinación normativa de las competencias.
• La imputación jurídico penal.
• La identificación del verdadero responsable.
En relación a estos conceptos jurídicos, interesa resaltar lo que Bacigalu-
po ha señalado refiriendo que un hecho punible cometido en el ámbito
de una empresa plantea problemas específicos de imputación jurídi-
co-penal debido a la escisión de responsabilidad y acción, lo que da lugar
a plantear nuevas cuestiones, entre ellas, dos como punto de partida:
• ¿Hasta qué punto y bajo qué condiciones el que actúa realmente
como representante puede ser perseguido como tal?
• ¿Hasta qué punto y bajo qué condiciones puede ser responsable
penalmente la empresa misma?
Uno de los problemas que van apareciendo es determinar si los crite-
rios de organización del trabajo de la empresa pueden ser una causa de
impunidad (no sanción), en virtud de la cual se establece una dificultad
adicional: la posibilidad de detectar y probar la responsabilidad en que
se haya podido incurrir en cada caso. En estas condiciones, resulta suma-
mente complejo imputar a un alto directivo un comportamiento realiza-
do en el seno de la organización, cuando el mismo ha sido ejecutado por
sus propios empleados.
Así lo expresa Klaus Tiedemann cuando afirma que de ahí parte la idea
de no sancionar solamente a estos autores materiales, sino también a
la agrupación (empresa) misma, y que las nuevas formas de criminali-
dad como son los delitos en los negocios (entendiéndose comprendidos
aquellos contra el consumidor), los atentados al medio ambiente y el cri-
men organizado han conducido al derecho penal frente a la dificultades

64
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

tan grandes que resulta ineludible una nueva manera de abordar la reso-
lución de los problemas.

3.2. Consideraciones previas sobre la responsabilidad penal


de las personas jurídicas
La responsabilidad penal de las personas jurídicas ya se encontraba pre-
sente en el ámbito del Derecho Administrativo sancionador, y la misma
ya había sido declarada conforme con los principios limitadores de la
responsabilidad que deben regir en un estado democrático de derecho
(principio de culpabilidad, principio de responsabilidad por el hecho,
principio de personalidad de las penas) por el tribunal Constitucional
(STC 246/1991). Sin embargo, tal y como señala Gutiérrez Rodríguez, la
doctrina penal mayoritaria entendía que existían determinados impedi-
mentos que hacían imposible defender la responsabilidad penal de las
personas jurídicas.
Estos impedimentos aludían a que estas (personas jurídicas) no dispo-
nían de capacidad de acción. La acción está basada en la voluntad hu-
mana; tampoco poseían capacidad de culpabilidad para ser sujetos de
un reproche jurídico-penal, pues la retribución y la reeducación no pa-
recen ser conceptos que puedan referirse a personas no físicas, esto es,
personas jurídicas. Además, se criticaba el hecho de que la pena pudiera
afectar a sujetos distintos de aquellos concretos que hubiera cometido la
infracción penal, en contra de la aplicación del principio de personalidad
de las penas.
Nuestro contexto legal se ha alterado sustancialmente mediante la
aprobación de la Ley Orgánica 5/2010, por la que se ha modificado el
Código Penal de 1995, y se ha introducido la responsabilidad penal de
las personas jurídicas por primera vez dentro de nuestro ordenamien-
to, transformando, de esta forma, el aforismo tradicional de “societas
delinquere non potest” por el adecuado a esta nueva situación normativa,
se puede decir abiertamente que “societas delinquere si potest”.
La Ley Orgánica 1/2015, de 30 de marzo, ha tratado de llevar a cabo una
mejora técnica en la regulación de la responsabilidad penal de las per-
sonas jurídicas, recordemos introducida en nuestro ordenamiento por la
Ley Orgánica 5/2010, de 22 de junio, con la finalidad de delimitar ade-

65
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

cuadamente el contenido del “debido control”, cuya vulneración permite


fundamentar su responsabilidad penal, tal y como se expresa en la “ex-
posición de motivos”. Con dicha reforma legislativa se ha querido poner
fin a las dudas interpretativas que se habían planteado sobre la base de la
anterior regulación, ya que desde algunos sectores había sido interpreta-
da como un régimen de responsabilidad vicarial. En todo caso, el alcance
de las obligaciones que conlleva ese deber de control se condiciona, de
modo general, a las dimensiones de la persona jurídica.
Afirma Nieto Martín que la responsabilidad colectiva sirve para reforzar
la de carácter individual, ya que su finalidad es que las personas jurídicas
adopten medidas de organización que impidan la realización de hechos
delictivos y, caso que se hayan producido, permitan su esclarecimiento y
denuncia a las autoridades públicas. La eficacia de este llamado “selfpo-
licing” descansa sobre un axioma empírico: la empresa se encuentra en
mejores condiciones que el Estado para controlar el comportamiento de
sus agentes o empleados. Existen buenos motivos para considerar que
un Derecho Penal de doble vía (colectiva a la persona jurídica e individual
al autor material de la infracción) permite alcanzar este objetivo de for-
ma más eficiente.
Con la Ley Orgánica 5/2010 se abre para los operadores jurídicos una ta-
rea sumamente compleja. Además de la tarea de asentar los fundamen-
tos y presupuestos de la responsabilidad penal de las personas jurídicas,
se añade un factor especialmente delicado: el contexto reputacional de
las personas jurídicas.
La cuestión reviste gran trascendencia para las sociedades cotizadas, don-
de el aspecto reputacional es determinante. Numerosos estudios mues-
tran el impacto en la cotización de la acción por el mero anuncio de in-
vestigaciones penales contra una empresa u organización mercantil; sin
entrar a considerar la condena y la publicidad adversa que se genera (por
ejemplo el caso Volkswagen). Sin embargo, incluso a un nivel inferior, las
percepciones negativas que la imputación penal puede generar en clientes
y proveedores deben suponer un factor a tener en cuenta. Ante tales ca-
sos, y como un criterio de seguridad jurídica, resultaría muy conveniente
que desde la Fiscalía General del Estado se dictaran las pautas o criterios
interpretativos a los efectos de identificar adecuadamente los parámetros
legales que observará el Ministerio Fiscal antes de iniciar una investigación
contra una persona jurídica (o al menos, contra una sociedad cotizada).

66
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

Prueba fehaciente del cambio operado es traer a colación las palabras


escritas en el año 1934 por el insigne y preclaro penalista Luis Jiménez de
Asúa, prologando la obra de Rodríguez Sastre sobre el delito financiero,
en la que se aludía a la delincuencia económica del modo siguiente:
«Hace sesenta años el español de presa, ansioso de despojar a otro de
su fortuna o de sus ahorros, se echaba al monte, con clásico calañé y
trabuco naranjero, escapando de sus perseguidores a lomos de la jaca
andaluza.
Hoy crea sociedades, desfigura balances, simula desembolsos y suscrip-
ciones y, montado en la ignorancia de fiscales y magistrados, escapa so-
bre el cómodo asiento de su automóvil».
De ahí se justifica la necesidad que ha surgido dentro del ámbito del
corporate compliance de crear un área específica con relación a la res-
ponsabilidad penal de las personas jurídicas, a los efectos de que por sí
mismas puedan evitar sus implicaciones delictivas provocadas por sus
representantes o empleados, ejerciendo el “debido control” sobre los
mismos, mediante la implantación de un protocolo de actuación que le
permita hacer valer sus principios éticos y atajar las conductas ilícitas
de aquellas. Esto es lo que en el plan de prevención de delitos se conoce
en el Derecho anglosajón como corporate compliance. No obstante, las
cuestiones a dilucidar no son tan simples como aparentemente pudieran
parecer.
¿Qué se considera debido control? Pregunta a la que el Código Penal
no da una respuesta al efecto, limitándose a señalar de forma genérica
la obligación de establecer el debido control por parte de la organiza-
ción, imponiendo un deber de corporate compliance. Al hilo esta cues-
tión, debe tenerse en cuenta la necesidad de aplicar criterios novedosos,
como puede ser el de la “accountability”, o la voluntad de sometimiento
a los principios de responsabilidad social corporativa, como un elemento
limitador y previsor (extintor) de esta responsabilidad penal de cualquier
clase de entidades.
A los efectos de ir concretando estas cuestiones, en primer lugar tiene
que hacerse una referencia al contenido del apartado primero del artícu-
lo 31 bis del Código Penal, donde se señala que:
«En los supuestos previstos en este Código, las personas jurídicas serán
penalmente responsables:

67
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

aa De los delitos cometidos en nombre o por cuenta de las mismas, y


en su beneficio directo o indirecto, por sus representantes legales o por
aquellos que actuando individualmente o como integrantes de un órga-
no de la persona jurídica, están autorizados para tomar decisiones en
nombre de la persona jurídica u ostentan facultades de organización y
control dentro de la misma.
bb De los delitos cometidos en el ejercicio de actividades sociales y por
cuenta y en beneficio directo o indirecto de las mismas, por quienes,
estando sometidos a la autoridad de las personas físicas mencionadas
en el párrafo anterior, han podido realizar los hechos por haberse in-
cumplido gravemente por aquellos los deberes de supervisión, vigilan-
cia y control de su actividad atendidas las concretas circunstancias del
caso».

Aquí nos encontramos que ya se definen los criterios para determinar


cuándo puede ser condenada una persona jurídica, establecimiento de
criterios de imputación penal y fijación de sanciones por responsabilidad
penal de las personas jurídicas.
Asimismo, debe tenerse en cuenta lo afirmado en el apartado tercero del
artículo del Código Penal, donde se señala que:
«1. La responsabilidad penal de las personas jurídicas será exigible siem-
pre que se constate la comisión de un delito que haya tenido que come-
terse por quien ostente los cargos o funciones aludidas en el artículo an-
terior, aun cuando la concreta persona física responsable no haya sido
individualizada o no haya sido posible dirigir el procedimiento contra
ella. Cuando como consecuencia de los mismos hechos se impusiere a
ambas la pena de multa, los jueces o tribunales modularán las respecti-
vas cuantías, de modo que la suma resultante no sea desproporcionada
en relación con la gravedad de aquellos.
2. La concurrencia, en las personas que materialmente hayan realizado
los hechos o en las que los hubiesen hecho posibles por no haber ejerci-
do el debido control, de circunstancias que afecten a la culpabilidad del
acusado o agraven su responsabilidad, o el hecho de que dichas personas
hayan fallecido o se hubieren sustraído a la acción de la justicia, no ex-
cluirá ni modificará la responsabilidad penal de las personas jurídicas, sin
perjuicio de lo que se dispone en el artículo siguiente».

68
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

Por ende, la responsabilidad penal de las personas jurídicas es exigible


siempre que se constate la comisión de un delito que haya tenido que
cometerse por quien ostente los cargos o funciones aludidas, incluso en
aquellos casos en los que la concreta persona física responsable no haya
sido individualizada o no haya sido posible dirigir el procedimiento con-
tra ella.
Cuando como consecuencia de los mismos hechos se impusiera a am-
bas la pena de multa, esta regla otorga a los jueces o tribunales la ca-
pacidad de modular las respectivas cuantías, de forma que la suma
resultante no sea desproporcionada en relación con la gravedad de
aquellos.
También debe tenerse en consideración que la concurrencia en las per-
sonas que materialmente hayan realizado los hechos o en las que los hu-
biesen hecho posibles por no haber ejercido el control de circunstancias
que afecten a la culpabilidad del acusado o agraven su responsabilidad, o
el hecho de que dichas personas hayan fallecido o se hubieren sustraído
a la acción de la justicia, no excluye ni modifica la responsabilidad penal
de las personas jurídicas.
Resulta precisa la matización que hace Casanova de los títulos de impu-
tación descritos para la persona jurídica en el apartado 1º del nuevo ar-
tículo 31 bis del Código Penal. Y así lo cierto es que no cabría en ningún
caso la declaración de responsabilidad penal, ni aunque de una persona
jurídica se trate, si no podemos afirmar la concurrencia en su «conducta»
de un elemento de culpabilidad, en cualquiera de sus formas, dolosa o
imprudente, que es siempre requisito imprescindible y justificación para
la imposición de una sanción de carácter penal.
Zugaldía Espinar completa lo anteriormente manifestado por Casanova,
en relación a la existencia de dolo o imprudencia: «La exigencia de dolo
o imprudencia por parte de la persona jurídica se deriva del principio de
responsabilidad subjetiva (artículo 5 del Código Penal español). La regla
debe ser que la persona jurídica responderá dolosamente o imprudente-
mente según el conocimiento (dolo) o desconocimiento evitable (impru-
dencia) de quien realiza el hecho de referencia (artículo 14.1 del Código
Penal español). La exigencia de dolo o imprudencia debe vincularse tam-
bién al sistema de numerus clausus en la punición de la imprudencia (artí-
culo 12 del Código Penal español). Si la persona física realiza un hecho de

69
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

referencia que lesiona de forma imprudente un bien jurídico y el delito en


cuestión no es punible en su modalidad imprudente, aunque haya exis-
tido, además, culpa in eligendo o in vigilando, el hecho debe permanecer
impune para la persona jurídica. Con ello se evita tratar a la persona jurí-
dica peor que a la persona física».

No obstante, el apartado 5.º del artículo 31 bis del Código Penal español
establece una serie de excepciones a la regla general de dicha responsa-
bilidad, en cuanto que excluye de este régimen expresamente a las si-
guientes entidades de derecho público:
«1. Las disposiciones relativas a la responsabilidad penal de las personas
jurídicas no serán aplicables al Estado, a las Administraciones Públicas
territoriales e institucionales, a los Organismos Reguladores, las Agen-
cias y Entidades públicas empresariales, a las organizaciones interna-
cionales de derecho público, ni a aquellas otras que ejerzan potestades
públicas de soberanía o administrativas.
2. En el caso de las sociedades mercantiles públicas que ejecuten políticas
públicas o presten servicios de interés económico general, solamente les
podrán ser impuestas las penas previstas en las letras a) y g) del apartado
7 del artículo 33. Esta limitación no será aplicable cuando el juez o tribu-
nal aprecie que se trata de una forma jurídica creada por sus promotores,
fundadores, administradores o representantes con el propósito de eludir
una eventual responsabilidad penal».

Del mismo modo, solo podrán considerarse circunstancias atenuantes


de la responsabilidad penal de las personas jurídicas, tal como señala el
apartado 5.º del citado artículo 31, las que se citan a continuación:
«(...) haber realizado, con posterioridad a la comisión del delito y a través
de sus representantes legales, las siguientes actividades:
aa Haber procedido, antes de conocer que el procedimiento judicial se
dirige contra ella, a confesar la infracción a las autoridades.
bb Haber colaborado en la investigación del hecho aportando pruebas,
en cualquier momento del proceso, que fueran nuevas y decisivas para
esclarecer las responsabilidades penales dimanantes de los hechos.
cc Haber procedido en cualquier momento del procedimiento y con ante-
rioridad al juicio oral a reparar o disminuir el daño causado por el delito.

70
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

dd Haber establecido, antes del comienzo del juicio oral, medidas efica-
ces para prevenir y descubrir los delitos que en el futuro pudieran come-
terse con los medios o bajo la cobertura de la persona jurídica».

¿Quiénes son sujetos de responsabilidad penal? Esta es la pregunta que


debemos responder: son las personas jurídicas privadas de derecho civil
y mercantil, ya que el Estado y las entidades reguladas en los artículos
53 y siguientes –Ley de Organización y Funcionamiento de la Adminis-
tración General del Estado (LOFAGE)– se encuentran excluidas por im-
perativo legal (artículo 31 bis 5). Esta exclusión del Estado, sin embargo,
no es específica de nuestro ordenamiento, sino que aparece recogida del
mismo modo en países de nuestro entorno.
Podemos afirmar que, en el fondo, el legislador español, aunque formal-
mente ha introducido la responsabilidad penal de las personas jurídicas,
lo que verdaderamente tenía como concepción primigenia es la respon-
sabilidad penal empresarial o corporativa. Aquellos entes no afectados
por la responsabilidad penal prevista en el artículo 31 bis 5 son remitidos
al régimen del artículo 129 del Código Penal que contiene unos criterios
de imputación notablemente más laxos que el anterior, puesto que úni-
ca y exclusivamente hace referencia a que se impondrán las sanciones
correspondientes a dicho precepto «motivadamente». En conclusión,
empresas, organizaciones, grupos o cualquier otra clase de entidades o
agrupaciones de personas que carezcan de personalidad jurídica quedan
excluidas del ámbito de aplicación del artículo 31 bis.
«Artículo 129:
1. En caso de delitos cometidos en el seno, con la colaboración, a través o
por medio de empresas, organizaciones, grupos o cualquier otra clase de
entidades o agrupaciones de personas que, por carecer de personalidad
jurídica, no estén comprendidas en el artículo 31 bis, el juez o tribunal
podrá imponer motivadamente a dichas empresas, organizaciones, gru-
pos, entidades o agrupaciones una o varias consecuencias accesorias a la
pena que corresponda al autor del delito, con el contenido previsto en las
letras c) a g) del apartado 7 del artículo 33. Podrá también acordar la pro-
hibición definitiva de llevar a cabo cualquier actividad, aunque sea lícita.
2. Las consecuencias accesorias a las que se refiere en el apartado ante-
rior solo podrán aplicarse a las empresas, organizaciones, grupos o enti-

71
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

dades o agrupaciones en él mencionados cuando este Código lo prevea


expresamente, o cuando se trate de alguno de los delitos por los que el
mismo permite exigir responsabilidad penal a las personas jurídicas.
3. La clausura temporal de los locales o establecimientos, la suspensión
de las actividades sociales y la intervención judicial podrán ser acordadas
también por el Juez Instructor como medida cautelar durante la instruc-
ción de la causa a los efectos establecidos en este artículo y con los lími-
tes señalados en el artículo 33.7».

La similitud de las sanciones a imponer por vía del artículo 129 del Código
Penal español y del artículo 31 bis, así como la gravedad de las mismas
obligan, cuando menos, a considerar la posibilidad de aplicar requisitos
similares de imputación en ambos casos, ya que una diferencia sustan-
cial de trato encuentra difícil justificación en la mera personalidad jurí-
dica. Así, ello puede resultar especialmente relevante en el caso de los
grupos de sociedades que al carecer de personalidad jurídica no podrían
verse sometidos al régimen del artículo 31 bis pero sí estar sujetos al
ámbito de aplicación del artículo 129 del Código Penal. No resulta ade-
cuado, en modo alguno y en conclusión, tener que cumplir una serie de
requisitos para imponer la sanción contenida en el artículo 33.7.C a una
persona jurídica, y rebajar sustancialmente ese nivel para imponerle la
misma sanción a todo un grupo de sociedades. Otros problemas adicio-
nales pueden suscitarse con unidades organizativas (fundamentalmente
de producción) radicadas en España pero que carezcan de personalidad
jurídica o que tengan personalidad jurídica extranjera.
La responsabilidad penal de una persona jurídica queda limitada a aque-
llos delitos en que expresamente así se haya previsto en las disposiciones
del Libro II del Código Penal, que son actualmente los siguientes:
• Delito de tráfico y trasplante ilegal de órganos humanos (artícu-
lo 156 bis CP).
• Delito de trata de seres humanos (artículo 177 bis CP).
• Delitos relativos a la prostitución y la corrupción de menores (ar-
tículos 187, 188 y 189 CP).
• Delito de descubrimiento y revelación de secretos (artículo 197 CP).
• Delitos de estafa (artículos 248, 249, 250 y 251 CP).

72
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

• Delitos de insolvencia punible (artículos 257, 258, 259, 260 y 261 CP).
• Delito de daños informáticos (artículo 264 CP).
• Delitos relativos a la propiedad intelectual e industrial, al merca-
do y a los consumidores (artículos 270 a 288 CP).
• Delito de blanqueo de capitales (artículo 302 CP).
• Delitos contra la Hacienda Pública y contra la seguridad social
(artículos 305, 306, 307, 308, 309 y 310 CP).
• Delitos de tráfico ilegal o inmigración clandestina de personas
(artículo 318 bis CP).
• Delitos contra la ordenación del territorio y el urbanismo (artí-
culo 319 CP).
• Delitos contra los recursos naturales y el medio ambiente (artí-
culo 325 CP).
• Delito de establecimiento de depósitos o vertederos tóxicos (ar-
tículo 328 CP).
• Delito relativo a las radiaciones ionizantes (artículo 343 CP).
• Delito de estragos (artículo 348 CP).
• Delitos de tráfico de drogas (artículos 368 y 369 CP).
• Delito de falsificación de tarjetas de crédito y débito y cheques
de viaje (artículo 399 bis CP).
• Delitos de cohecho (artículos 419, 420, 421, 422, 423, 424, 425,
426 y 427 CP).
• Delitos de tráfico de influencias (artículos 428, 429 y 430 CP).
• Delito de corrupción en las transacciones comerciales interna-
cionales (artículo 445 CP).
• Delito de captación de fondos para el terrorismo (artículo 576
bis CP).

73
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Anexo I. Estudio jurídico práctico sobre el artículo 31 bis del


Código Penal
Consideramos que presenta un notable interés el estudio jurídico titula-
do Compliance: Cómo Gestionar los Riesgos Normativos en la empresa (de
los autores C. A. Sáiz Peña, P. Armentia Morillas, J. Calderón y otros…),
sobre el artículo 31 Bis del Código Penal español . Lo reproducimos a con-
tinuación:
«Con relación a los programas de compliance y a la estructura de imputa-
ción de las personas jurídicas, es interesante recoger el análisis efectua-
do por Adán, en el que señala que un primer debate vendría referido al
hecho relativo a si la existencia de un programa de cumplimiento debe
examinarse en el injusto o en la culpabilidad de la infracción cometida
por la persona jurídica.
Para algunos autores, el injusto propio de la persona jurídica es un fallo
de organización que equivale a no contar con un programa de cumpli-
miento o no haberlo implantado de manera eficaz.
Para otros, en cambio, el programa de cumplimiento se vincula con la
culpabilidad. Un programa de cumplimiento eficaz indicaría que la em-
presa se asemejaría a un buen ciudadano corporativo fiel a la observan-
cia del derecho.
En realidad, lo que ha de aclararse es si respecto a las personas jurídicas
tiene sentido un sistema de imputación o de responsabilidad penal ba-
sado en las mismas categorías que el existente en el caso de las perso-
nas físicas, que adoptara un concepto de delito basado en la estructura
del comportamiento, típico, antijurídico, culpable y punible. Estas cate-
gorías responden a las necesidades y problemas específicos de la res-
ponsabilidad individual, en el que los elementos subjetivos, los factores
personales y los distintos tipos de comportamientos, activos y omisivos,
juegan un papel central, por esta razón trasladar este complejo y refina-
do edificio a la responsabilidad penal de las personas jurídicas resulta in-
adecuado, complica innecesariamente la asignación de responsabilidad
y además carece de rendimientos prácticos.
Pero más allá de esta cuestión, esta concepción del delito responde a una
determinada tradición jurídica, la germánica, que no es mayoritaria en el
ámbito internacional. A diferencia del edificio conceptual de la respon-

74
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

sabilidad penal individual, que procede del siglo XIX y puede responder a
concepciones puramente nacionales, la responsabilidad de las personas
jurídicas debe responder necesariamente a una dogmática común com-
partida internacionalmente. Los destinatarios principales de este tipo de
responsabilidad son empresas que realizan su actividad en varios terri-
torios y que, por tanto, están sujetas simultáneamente a varios ordena-
mientos jurídicos. Un sistema de responsabilidad armonizado, sencillo y
entendible por todas las tradiciones jurídicas, resulta por tanto una ne-
cesidad.
En cuanto a las vías de imputación penal de las personas jurídicas, debe
tomarse en consideración la argumentación jurídica llevada a cabo por
Pérez Arias, quien distingue la existencia de unos elementos objetivos,
referidos a los hechos cometidos por cuenta de la persona jurídica y en su
beneficio, de unos elementos de carácter subjetivos, consistentes en los
delitos cometidos por los representantes legales o los administradores
de hecho o de derecho de dichas personas jurídicas. Dicho autor hace a
tal efecto las siguientes consideraciones:
A) Con relación a los elementos objetivos, señala que no estableciéndose
en el artículo 31 bis alguna regla nueva de autoría, no se puede conside-
rar que el legislador haya “descubierto” e introducido un nuevo sujeto
activo en el orden criminal, sino, bien al contrario, ha incluido en esta
rama del ordenamiento un mero sujeto al que solo se quieren atribuir las
consecuencias del hecho penal cometido por otro, de ahí que la persona
jurídica no pueda encuadrarse en ninguna de las formas de autoría y/o
participación tratadas en el Derecho Penal y establecidas en el Código,
por ello, determina las siguientes vías, sobre la base, entre otras razones,
de la siguiente argumentación:
A.1) Conducta realizada en nombre o por cuenta de la persona jurídica.
El primer elemento común de esos dos que permiten imputar responsa-
bilidad penal a la persona jurídica consiste en que la conducta de que se
trate haya sido realizada por la persona física –de entre las que caracteri-
za el propio artículo 31 bis, y que seguidamente se analizará– en nombre
o por cuenta de aquella.
Es decir, el precepto establece la misma atribución de responsabilidad
penal que el artículo 31, con la salvedad de que en este último la respon-
sabilidad está definida para ser imputada a una persona física cuando

75
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

actúe en nombre de otra, bien sea una corporación bien sea otra persona
física.
El artículo 31 bis actuaría a la inversa que el artículo 31, en el sentido de
que en aquel precepto –aun siendo coincidente en imputar responsabi-
lidad penal por hecho de otro– se legitima la atribución a la persona ju-
rídica por el hecho cometido por la persona física, mientras que en este
se legitimaba la atribución a la persona física por el hecho cometido por
otra persona física o por una persona jurídica. En el artículo 31 se preten-
de buscar al autor real del delito.
A.2) Conducta realizada en su provecho. Sin embargo, no es suficiente
con que la conducta se haya llevado a cabo en nombre o por cuenta de la
persona jurídica, es absolutamente necesario a la vez que tal conducta se
haya realizado en su provecho, circunstancia de mayor complejidad en
orden a su concreción y que, debido a su falta de delimitación, se erige,
en el más peligroso de los elementos delimitadores de la responsabilidad
penal de las personas jurídicas.
El problema se centra, básicamente, en distinguir aquellas conductas pe-
nales que se realizan directamente para producir un provecho a la perso-
na jurídica, de aquellas otras cuya simple realización, aun cuando no se
pretenda, facilita inevitablemente este provecho.
En este contexto, la cuestión se concreta en determinar si el otro requisi-
to del beneficio o provecho permite una delimitación objetiva y anterior
a la comisión delictiva y, sobre todo, si es posible predicar de una entele-
quia el concepto de provecho o beneficio, máxime cuando su existencia
es independiente del provecho o perjuicio, como también lo es del dolor
o el placer. Más aún, debería concretarse si ese provecho debe encon-
trarse dentro del ámbito subjetivo de la persona física en el momento de
delinquir.
B) En lo que atañe a los elementos de carácter subjetivo. Pérez Arias indi-
ca que advertida la necesidad de que una persona física cometa el hecho
delictivo para derivar la responsabilidad penal a la persona jurídica, se
debe analizar el criterio subjetivo/personal establecido en el artículo 31
bis, esto es, qué concretas personas físicas son aptas para transferir esta
responsabilidad.
Por ello, señala este autor que debe observarse que el citado precepto
divide en dos estos grupos de personas; así, de un lado, se contemplan

76
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

los delitos cometidos por los representantes legales y administradores


de hecho o de derecho y, de otro, los cometidos por las personas físicas
sometidas a la autoridad de estos y cuya comisión delictiva ha sido posi-
ble merced a la falta del debido control, atendidas las concretas circuns-
tancias del caso. Y en este sentido Pérez Arias distingue las siguientes
tipologías de delitos:
Delitos cometidos por sus representantes legales y administradores
de hecho o de derecho.
El primer grupo de personas viene constituido por aquellos que de ma-
nera efectiva dirigen y controlan a la persona jurídica, esto es, aquellas
que representan la mente directiva y la voluntad (“the directing mind and
will”) de la corporación.
En este grupo se incluyen tanto los representantes legales como los ad-
ministradores de la entidad, bien sean de Derecho bien de hecho, mati-
zación esta última ya incluida en el artículo 31 del Código Penal a fin de
proteger, en última instancia, la estricta realidad y no solo aquella me-
ramente formal que, en determinadas ocasiones, no refleja fielmente la
verdadera situación directiva de la organización.
Delitos cometidos por las personas sometidas a la autoridad de los
representantes legales y administradores de hecho o de derecho.
Este grupo representa, sin ningún género de duda, el ámbito en que se
incardina la verdadera responsabilidad penal de la persona jurídica para
quienes entienden que el fundamento de la culpabilidad de esta se asien-
ta en el defecto de organización.
En efecto, si algo caracteriza la imputación por esta vía es la individuali-
zación de una ausencia de control por parte de quien dirige a la persona
jurídica, de manera que la realización del delito solo es posible merced
a una organización defectuosa que no tiene bajo control las conductas
que llevan a cabo las personas dependientes desde un punto de vista or-
gánico, esto es, aquellas que no representan a la persona jurídica pero
pueden hacerla actuar en el ejercicio de la actividad.
En este grupo se encontrarían no solo los empleados, sino igualmente
aquellos otros (autónomos) cuya vinculación con la persona jurídica se
hace dependiente de la propia organización y dirección de los adminis-
tradores de hecho o derecho de esta. Por tanto, un asesor contratado

77
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

mercantilmente para la llevanza de la contabilidad o la gestión de im-


puestos puede sin problema alguno hacer responder a la persona jurídica
por el delito que él haya podido cometer en el seno de su actividad, aun
cuando este no tenga vinculación laboral. De ahí que el propio artículo
hable tan solo de “quienes estando sometidos a la autoridad” con la cla-
ra intención de no cerrar el amplísimo grupo de personas/profesionales
que pueden quedar vinculados por cualquier relación con una persona
jurídica y que se encuentran bajo la autoridad de los administradores sin
necesidad de limitarse a una relación laboral. El elemento nuclear de la
cuestión es, por tanto, la definición del debido control.
C) Sobre el debido control: Defecto de organización. El último de los cri-
terios subjetivos analizados, esto es, aquel que parte de los delitos co-
metidos por las personas sometidas a la autoridad de los representantes
legales y administradores de hecho o de derecho, requiere, además, que
estos sujetos hayan podido realizar los hechos por no haberse ejercido
sobre ellos el debido control, atendidas las concretas circunstancias del
caso.
Es decir, que el sistema de atribución de responsabilidad penal a la per-
sona jurídica se transfiere por no haberse ejercido el control necesario
sobre estas personas, de forma que la ausencia de control es el que ha
propiciado la comisión delictiva por parte de estos últimos (no debe ol-
vidarse que el propio artículo 31 bis se refiere a los “delitos cometidos
por...”).
Es en este punto donde parte de la doctrina, proclive al sistema de res-
ponsabilidad corporativa, incardina el eje central de toda la cuestión, ello
determina que sea el eje sobre el que se hace pivotar con claridad ese
pretendido hecho propio que fundamenta su responsabilidad penal.
Zugaldía Espinar ha señalado que, de acuerdo con el derecho penal es-
pañol, los criterios normativos de imputación con relación a las personas
jurídicas, se concretan en las siguientes posiciones:
C.1) Que una persona física (o varias integradas en un órgano social) lleve
a cabo el inevitable hecho de referencia (o de conexión) –firma documen-
to, acciona la llave o adopta el acuerdo– que realice un tipo penal.
C.2) Que ese hecho se pueda imputar (atribuir) a una persona jurídica
sobre la base de la infracción por parte de esta del deber que le compete
de garantizar un desarrollo lícito de su actividad.

78
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

Estas exigencias, según dicho autor sobre la base de los requisitos es-
tablecidos en el artículo 31 bis, 1.º del Código Penal, se concretan en los
siguientes planteamientos:
aa En primer lugar, es necesario comprobar la imputación como ilícito
analizando la tipicidad del hecho, desde la perspectiva de la vertiente ob-
jetiva del tipo penal.
1) Es necesaria la existencia de una o varias personas físicas competentes
(directivos o subordinados, individualmente o constituidos en órgano)
vinculadas a la persona jurídica. Para imputar un delito a una persona ju-
rídica no basta solamente con que haya delinquido quien se encuentre en
el vértice o en la cima de la dirección de la misma. Si así fuera, se violarían
los principios de personalidad de las penas y de culpabilidad –ocurriría
aquí algo paralelo a lo que impide que el artículo 31 del Código Penal es-
pañol (que regula el actuar en nombre de otro) pueda ser interpretado en
el sentido de que de los delitos cometidos en el marco de una empresa
respondan sus directivos–.
2) La persona o personas físicas competentes deben realizar la vertiente
objetiva de un tipo penal de acción o de omisión respecto del que esté
prevista la responsabilidad criminal de las personas jurídicas, con todos
los elementos (acción, resultado, imputación objetiva...) exigidos, en su
caso, por el tipo.
3) La persona competente debe haber infringido los deberes que le com-
peten, no solo como ciudadano, sino como miembro de la empresa. Con
relación a los órganos con pluralidad de miembros debe regir la regla se-
gún la cual, cumplidos los restantes requisitos, la responsabilidad de la
persona jurídica debe mantenerse aunque el autor del hecho haya vulne-
rado la división de competencias internas dentro de la empresa (v. gr. el
empleado falsifica la firma del directivo o se hace pasar por él).
4) Deben vulnerarse los deberes de la persona jurídica en el ejercicio de
las actividades sociales (giro de la empresa), esto es, con el tipo de tareas
propias de la persona jurídica.
5) Es necesario que se actúe en nombre o por cuenta de la persona jurídi-
ca. La persona física debe haber actuado en el seno de la persona jurídica
y dentro de su marco estatutario, pues solo de este modo se podrá afir-
mar que estamos ante el ejercicio de actividades sociales. Ello hará po-

79
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

sible, además, que la acción de la persona física aparezca en el contexto


social como de la persona jurídica.
6) Todo ello debe hacerse en interés de la persona jurídica.
El requisito se cumple con tal de que la acción tienda a la obtención del
beneficio, siendo a este respecto irrelevante que el beneficio se haya ob-
tenido o no efectivamente.
bb En segundo lugar, es necesario comprobar la imputación como ilíci-
to analizando la tipicidad del hecho, desde la perspectiva de la vertiente
subjetiva del tipo penal.
1) La exigencia de dolo o imprudencia por parte de la persona jurídica se
deriva del principio de responsabilidad subjetiva (artículo 5 del Código
Penal español). La regla debe ser que la persona jurídica responderá do-
losamente o imprudentemente según el conocimiento (dolo) o descono-
cimiento evitable (imprudencia) de quien realiza el hecho de referencia
(artículo 14.1 del Código Penal español).
La exigencia de dolo o imprudencia debe vincularse también al sistema
de numerus clausus en la punición de la imprudencia (artículo 12 del Có-
digo Penal español).
Si la persona física realiza un hecho de referencia que lesiona de forma
imprudente un bien jurídico y el delito en cuestión no es punible en su
modalidad imprudente, aunque haya existido, además, culpa in eligendo
o in vigilando, el hecho debe permanecer impune para la persona jurídica.
Con ello se evita tratar a la persona jurídica peor que a la persona física.
2) En segundo lugar, es necesario comprobar la imputación como culpa-
bilidad. La culpabilidad de la persona jurídica requiere la comprobación
de que la persona jurídica ha omitido –de forma contraria al deber– la
adopción de alguna de las medidas de precaución y de control (defecto
de organización) que eran exigibles para garantizar el desarrollo legal (y
no delictivo) de la actividad de empresa. Se trata de que alguien no haya
prestado la debida y razonable diligencia, conforme a las circunstancias
del caso, para aplicar las medidas técnicas, organizativas y personales
fundamentales para impedir la realización de los hechos (tanto de los su-
periores como de los subordinados).
Esto significa que el dominio del hecho o la infracción del deber (respecto
del tipo objetivo) y el dolo y la imprudencia (respecto del tipo subjetivo)

80
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (i)

son cuestiones que tiene que analizarse respecto de la acción de la perso-


na física que realiza el “hecho de referencia” (o de conexión).
Por el contrario, la culpabilidad (de la persona jurídica) se refiere siempre
al momento en el que dejaron de adoptarse de forma contraria al deber
(digamos “imprudentemente”) las medidas tendentes a garantizar la le-
galidad de la actividad de la persona jurídica.
Solo en este sentido se puede afirmar que la persona jurídica sea garante
–estaba obligada a conjurar peligros– y solo en este sentido puede decir-
se que la persona jurídica infringió un deber –no hizo lo que estaba obli-
gada a hacer–. Pero de ello no puede deducirse ni que los delitos de em-
presa sean delitos de infracción de deber ni que respondan a la estructura
típica de los impropios delitos de omisión, con todas las consecuencias
dogmáticas que de ello derivarían.

Finalmente, deben recogerse unas consideraciones llevadas a cabo por


Díaz Gómez, sobre la revalorización de la autorregulación tras la asun-
ción del modelo “societas delinquere non potest” en el Código Penal espa-
ñol. Dicho autor ha señalado que la autorregulación, desde el punto de
vista de la criminalidad de las personas jurídicas, implica la adopción por
parte de las mismas de medidas organizativas encaminadas a la preven-
ción de ilícitos penales en su seno. De este modo, continúa este autor,
una persona jurídica que cometa un delito verá su pena atenuada si con
posterioridad al hecho ilícito adopta un determinado programa de cum-
plimiento empresarial encaminado a prevenir y descubrir futuros delitos.
Así las cosas, queda claro que si la persona jurídica instaura un código o
programa de cumplimiento, esto es, si establece un modelo de organiza-
ción determinado que esté orientado a la prevención y descubrimiento
de delitos que pudieran cometerse con sus medios o bajo su cobertura,
podrá ver atenuada su responsabilidad si ello se lleva a cabo con poste-
rioridad al ilícito.
Por todo ello, la autorregulación de las personas jurídicas, en los térmi-
nos anteriormente indicados, jugará un papel cardinal en el sistema de
responsabilidad criminal de las personas jurídicas establecido. De ahí la
importancia y el papel determinante que el corporate compliance va a ju-
gar a partir de ahora en el seno de las empresas, con la finalidad primor-
dial de minimizar o excluir el impacto negativo que ha de tener la nueva
normativa penal sobre las organizaciones empresariales».

81
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 4
El corporate compliance y la responsabili-
dad penal de las personas jurídicas (II)

4.1. Introducción. La reforma de la LO 5/2010


En Europa la responsabilidad penal de las personas jurídicas se ha exten-
dido desde finales del siglo pasado, particularmente después de haber
sido regulada en el Corpus Iuris (1997/2000) para la protección de los inte-
reses financieros de la UE (art. 14).
La exigencia a las empresas de responsabilidad en el ámbito del dere-
cho administrativo sancionador ha posibilitado la exigencia de respon-
sabilidad penal. No han existido grandes problemas dogmáticos para
admitir su responsabilidad penal puesto que ambos tipos de sanciones
participan de similares principios, aunque la jurisprudencia del Tribunal
Constitucional haya establecido algún matiz diferenciador (véase a este
respecto las sentencias 18/1981, de 4 de noviembre de 1980 o la de 14
de junio de 1989). La estructura de las normas y los criterios de imputa-
ción son similares, de ahí que pueda inferirse que el reconocimiento de
la responsabilidad penal de las personas jurídicas no constituye sino una
consecuencia anunciada y previsible, y también que la introducción de la
responsabilidad penal ha sido más simbólica que real porque, anterior-
mente, el arsenal sancionatorio no era desdeñable (sanciones adminis-
trativas, consecuencias accesorias y responsabilidad civil).

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

En la exposición de motivos de la LO 5/2010, de 22 de junio, se justificó la


introducción de la responsabilidad penal de las personas jurídicas debido
a una demanda de los convenios internacionales suscritos por España, y
se afirmó haber optado por el establecimiento de una doble vía de impu-
tación:
• La atribución de responsabilidad por la actuación delictiva del
“representante legal, administrador de hecho o de derecho” por
actos realizados “en nombre o por cuenta de la persona jurídica
y en su provecho”.
• La transferencia de responsabilidad por defecto de control (cul-
pabilidad de organización) donde se sanciona a la persona jurí-
dica por los delitos cometidos por las personas que estén some-
tidas a la autoridad de los anteriores, siempre que hayan podido
realizar su acción “por no haberse ejercido sobre ellos el debido
control, atendidas las circunstancias de cada caso”.
Este artículo art. 31 bis, por tanto, establece dos sistemas de autoría, el de
los directivos de la sociedad y el de los empleados. Esta cuestión a juicio
de la doctrina constituye una diferenciación desacertada e innecesaria,
al entender que la “deficiencia en la organización” debería ser una condi-
ción inexcusable de autoría en ambos casos por exigencias del principio
de culpabilidad. Por otra parte, algunos autores señalan la ubicación sis-
temática del art. 31 bis como una forma de autoría de delitos especiales
propios, la cual no tenía justificación y debiera haberse regulado en el
marco general de la autoría (art. 28 del Código Penal, en adelante CP).
En la LO 5/2010 se ha mantenido un sistema de responsabilidad penal
accesoria del art. 129, aplicable a todo tipo de delitos y para entes sin
personalidad jurídica y otro de responsabilidad directa para las personas
jurídicas (art. 31 bis), limitado en cambio a cierto tipo de delitos. Dejando
de lado esta distinción entre entes sin personalidad y personas jurídicas,
que algún sector doctrinal considera ya superada, lo cierto es que el art.
129 CP ha de tener aplicación para organizaciones delictivas cuya activi-
dad central sea el delito, en cambio el art. 31 bis se debería aplicar a per-
sonas jurídicas que de modo ocasional se vean inmersas por la existencia
de un delito cometido en su seno, por administradores o empleados.
Dado que la responsabilidad penal directa del art. 31 bis CP puede exi-
girse aunque el autor material del hecho no haya sido identificado o no

84
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

haya sido perseguido, este tipo de atribución requiere de la existencia del


hecho punible, situación que, sin embargo, no concurre en el caso del art.
129 CP donde inexcusablemente e inexorablemente se precisa de la de-
claración de responsabilidad penal de la persona física autora del delito.
¿Cuál es el problema dogmático fundamental que ha planteado el art.
31 bis, en su redacción de la LO 5/2010?
Parte de la doctrina comprende que la deficiencia de organización debe-
ría ser un requisito de atribución de responsabilidad penal común, tanto
en el caso de administradores y representantes legales como en el de
empleados, puesto que aunque haya una actuación delictiva de cualquie-
ra de estos si el delito se ha cometido a pesar de la existencia de una
estructura organizativa adecuada y de un sistema debido y eficaz de con-
trol, la persona jurídica no debería responder en tal caso.
A este criterio doctrinal se opuso la Fiscalía General del Estado (en ade-
lante FGE), recordando que el modelo instaurado por la LO 5/2010 no
permitía juicio alguno a los compliance programs respecto de los deli-
tos cometidos por los administradores. Así La FGE afirmó, en la Circular
1/2011, de 1 junio 2011, relativa a la responsabilidad penal de las personas
jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgá-
nica número 5/2010, que «los códigos éticos de las empresas no pueden
modular la imputación de las personas jurídicas, que estos programas
tienden a tratar de evitar la imputación de quienes dentro de las empre-
sas ostentan el control y su dirección, que la posición que establece su
relevancia obligaría a cambiar la ley y no es respetuosa con el contenido
de la misma y que no es contrario al principio de culpabilidad establecer
la imputación atribuyendo la responsabilidad penal de la persona jurídica
como consecuencia de la actuación de sus directivos».
Sin embargo, la doctrina ha venido reafirmándose en que la actuación del
administrador debe producirse en el marco de unos poderes o facultades
habilitantes que le han sido confiados, y su actuación fuera de ese marco
constituye un supuesto de administración desleal. Nos encontramos así
con una paradójica situación donde la persona jurídica se convierte, a la
vez, en sujeto activo y perjudicado de una misma acción punible. Por tal
motivo, se ha defendido la reforma de estos criterios de imputación y el
establecimiento de criterios legales que determinen de forma concreta
y precisa los deberes que incumben a las distintas personas encargadas

85
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

de los diferentes niveles de decisión dentro de la organización de la em-


presa.
Ha suscitado también un debate doctrinal el concepto de “acción prove-
chosa”. El art. 31 derogado indicaba que la persona física que cometía el
delito debía hacerlo “en provecho” de la persona jurídica para transferir a
esta la responsabilidad penal. El legislador no precisó ese concepto (be-
neficio económico evaluable, beneficio estratégico, beneficio en valores
intangibles...) y además se puede cuestionar que una actuación realizada
al margen de los sistemas de control preestablecidos por la empresa, con
los riesgos consiguientes que pudiera conllevar, sea considerado como
una actuación “provechosa”.
Se ha criticado que esta norma penal tampoco establezca regulación al-
guna de los deberes de control, que corresponden a los administradores
de las personas jurídicas para evitar la sanción penal.
Para hacer frente a todos estos problemas, la Ley Orgánica 1/2015, de 30
de marzo, nace con la voluntad de encauzarlos. Sin embargo los proble-
mas han sido más dogmáticos que reales puesto que la responsabilidad
penal de las personas jurídicas, implantada en 2010, ha sido de muy es-
casa aplicación. Los casos de condenas son hoy por hoy muy poco nume-
rosos, a pesar de lo cual esta materia ha suscitado mucho interés y tiene
consecuencias prácticas muy destacables: la necesidad de implementar
sistemas de prevención para evitar posibles condenas penales, con los
riesgos económicos y reputacionales que pueden comportar.

4.2. Novedades legislativas introducidas por la LO 1/2015


La reforma de la Ley Orgánica 1/2015 que es objeto de nuestro estudio
modifica principalmente el art. 31 bis, ya que el resto de preceptos man-
tiene su redacción original con leves modificaciones. Las modificaciones
que ha operado en el artículo 31 Bis son las siguientes:
• En el art. 31 bis 1, apartado a) y b), de nueva redacción y que susti-
tuye al antiguo art. 31 bis 1, se modifican los criterios de transferen-
cia de responsabilidad entre la persona física y la persona jurídica.
• En el art. 31 bis 2, de nueva redacción, se establecen los criterios
de exención en el caso de personal “directivo” (cuestión no pací-

86
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

fica ni clara) haciendo mención a los requisitos para que puedan


tener eficacia los compliance programs.
• En el art. 31 bis 3 se alude del mismo modo a los requisitos que
deben cumplir los compliance programs con referencia a las em-
presas de pequeñas dimensiones, esto es, todas aquellas que se-
gún la legislación mercantil están autorizadas a presentar cuen-
tas de pérdidas y ganancias de forma abreviada.
• En el art. 31 bis 4, de nueva redacción, se establecen los criterios
de exención en el caso de empleados.
• En el art. 31 bis 5, de nueva redacción, se establecen los requisi-
tos que han de cumplir los compliance programs para considerar
que son eficaces e idóneos.
• En el art. 31 ter se reproduce el anterior art. 31 bis, apartados 2
y 3 sin modificaciones. En el art. 31 ter 1 se posibilita el castigo
de la persona jurídica aunque la persona física no haya sido indi-
vidualizada o no se haya podido seguir el procedimiento contra
ella. Del mismo modo, se recoge la necesaria proporcionalidad
en las multas caso de condena conjunta.
• En el art. 31 ter 2 se establece la autonomía entre persona física
y jurídica en orden a circunstancias que afecten a la culpabilidad
del acusado o que agraven su responsabilidad, también que la
persona física haya fallecido o se hubiere sustraído a la acción
de la justicia, lo que no impedirá la persecución y castigo de la
persona jurídica.
• En el art. 31 quarter, concerniente a las circunstancias atenuan-
tes, se reproduce el antiguo art. 31 bis. 4 sin modificaciones.
• El art. 31 quinquies reproduce el art. 31 bis 5 pero añade un apar-
tado 2, referido a las sociedades mercantiles públicas a quienes
se les limita las penas de posible imposición salvo que «el juez
o tribunal aprecie que se trata de una forma jurídica creada por
sus promotores, fundadores, administradores o empleados con
el propósito de eludir una eventual responsabilidad penal» (la
llamada doctrina del levantamiento del velo).
• En el art. 66 se establece una limitación temporal de dos años
en las penas establecidas en las letras c) a g) del apartado 7 del

87
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

art. 33 CP (esto es, suspensión de sus actividades, clausura de


locales y establecimientos, prohibición de realizar en el futuro
las actividades en cuyo ejercicio se haya cometido, favorecido o
encubierto el delito, inhabilitación para obtener subvenciones y
ayudas públicas, para contratar con el sector público y para go-
zar de beneficios e incentivos fiscales o de la Seguridad Social,
intervención judicial para salvaguardar los derechos de los tra-
bajadores o de los acreedores) cuando se imponga la responsa-
bilidad penal a la persona jurídica por los actos cometidos por los
“directivos” a causa del incumplimiento de los deberes de vigi-
lancia y control cuando no suponga carácter grave.

4.3. Valoración de la reforma legislativa introducida por la


LO 1/2015
Muchas de las críticas sobre la Ley Orgánica 1/2015 ya aparecen conteni-
das en el informe elaborado por el Consejo de Estado en el año 2013. Sin
embargo, debemos recoger a continuación algunas de las críticas que se
han formulado en los últimos meses acerca de la reforma y que presen-
tan un notabilísimo interés.
Para Quintero Olivares, «desde una posición muy crítica con la nueva
orientación legislativa, la reforma no tiene su justificación en problemas
interpretativos previos sino en hacer casi imposible la imputación de las
personas jurídicas y en favorecer la implantación de sistemas de preven-
ción o de buenas prácticas con el beneficio consiguiente para los profe-
sionales dedicados a este tipo de actividad».
También Dopico Gómez-Alleri considera que «la reforma es un injerto
extraño, un plagio legislativo de la ley italiana, con los problemas que
genera ese tipo de técnica legislativa; que no estaba incluida en el primi-
genio Anteproyecto que el Gobierno remitió a las Cortes Generales, por
lo que no ha informado previamente ni por el Consejo General del Poder
Judicial ni el Consejo Fiscal; que incurre en un excesivo reglamentismo
al incorporar una regulación en exceso prolija de los programas de com-
pliance que debería haber sido residenciada en la legislación mercantil y
que contiene una inadmisible inversión de la carga de la prueba. Sobre
esta cuestión afirma que como la norma contiene como requisito para

88
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

imponer la responsabilidad penal no la infracción de un deber de control


sino simplemente que el sistema de prevención no sea idóneo, desplaza
la carga de probar la idoneidad y, en general, los demás requisitos esta-
blecidos en la ley penal a la empresa».
Por último, la valoración de González Cussac estima que «la reforma no
tiene su fundamento en dudas interpretativas o en recomendaciones de
organismos internacionales porque la responsabilidad penal de las per-
sonas jurídicas ha tenido una aplicación escasísima y porque el marco
normativo internacional no ha cambiado».

4.4. Contenido de la reforma de la responsabilidad penal de


las personas jurídicas introducida por la LO 1/2015
Se ha producido un cambio en la definición de las personas físicas cuya
actuación posibilita la responsabilidad penal de la persona jurídica. En el
Código Penal la responsabilidad penal de la persona jurídica es “vicarial”,
en el sentido de que esta responde penalmente por la actuación de otra
persona, directivo o empleado, siempre que concurran determinados
presupuestos. Estamos ante un supuesto de responsabilidad por hecho
ajeno, ya que una persona física vinculada con la persona jurídica debe
haber cometido un delito. Por consiguiente, para la exigencia de esta cla-
se de responsabilidad penal se tiene que probar que la persona física ha
cometido un delito y que se cumplen los presupuestos de transferencia
de responsabilidad a la persona jurídica.
Las personas físicas que tienen que cometer el delito para que se produz-
ca la transferencia son los directivos o empleados, y en cada caso se esta-
blece un sistema de transferencia distinto. El primer aspecto que hemos
de considerar es el cambio legislativo en la determinación o individuali-
zación de los directivos.
Pérez Arias se refiere de este modo a los directivos en la comisión de de-
litos:
«Delitos cometidos por sus representantes legales y administradores de
hecho o de derecho. El primer grupo de personas viene constituido por
aquellos que de manera efectiva dirigen y controlan a la persona jurídica,
esto es, aquellas que, representan la mente directiva y la voluntad (“the
directing mind and will”) de la corporación. En este grupo se incluyen tan-

89
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

to los representantes legales como los administradores de la entidad,


bien sean de derecho bien de hecho, matización esta última ya incluida
en el artículo 31 del Código Penal a fin de proteger, en última instancia,
la estricta realidad y no solo aquella meramente formal que, en determi-
nadas ocasiones, no refleja fielmente la verdadera situación directiva de
la organización.
Delitos cometidos por las personas sometidas a la autoridad de los re-
presentantes legales y administradores de hecho o de derecho. Este
grupo representa, sin ningún género de duda, el ámbito en que se in-
cardina la verdadera responsabilidad penal de la persona jurídica para
quienes entienden que el fundamento de la culpabilidad de esta se
asienta en el defecto de organización. En efecto, si algo caracteriza la
imputación por esta vía es la individualización de una ausencia de con-
trol por parte de quién dirige a la persona jurídica, de manera que la rea-
lización del delito solo es posible merced a una organización defectuosa
que no tiene bajo control las conductas que llevan a cabo las personas
dependientes desde un punto de vista orgánico, esto es, aquellas que
no representan a la persona jurídica pero pueden hacerla actuar en el
ejercicio de la actividad. En este grupo se encontrarían no solo los em-
pleados, sino igualmente aquellos otros (autónomos) cuya vinculación
con la persona jurídica se hace dependiente de la propia organización y
dirección de los administradores de hecho o derecho de esta. Por tanto,
un asesor contratado mercantilmente para la llevanza de la contabili-
dad o la gestión de impuestos puede sin problema alguno hacer respon-
der a la persona jurídica por el delito que él haya podido cometer en el
seno de su actividad, aun cuando este no tenga vinculación laboral. De
ahí que el propio artículo hable tan solo de “quienes estando sometidos
a la autoridad” con la clara intención de no cerrar el amplísimo grupo
de personas/profesionales que pueden quedar vinculados por cualquier
relación con una persona jurídica y que se encuentran bajo la autoridad
de los administradores sin necesidad de limitarse a una relación laboral.
El elemento nuclear de la cuestión es, por tanto, la definición del debido
control».
En el art. 31 bis 1 A derogado se refiere a ellos como “representantes le-
gales o administradores de hecho o de derecho”. En el texto reformado
se habla de «representantes legales o aquellos que actuando individual-
mente o como integrantes de un órgano de la persona jurídica están au-

90
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

torizados para tomar decisiones en nombre de la persona jurídica u os-


tentan facultades de organización y control dentro de la misma».
En la Ley Orgánica 1/2015 no se modifica el término “representantes
legales”, que suele plantear el problema de delimitar su ámbito en los
casos de apoderados singulares o de colaboradores externos con poder
(abogados, etc.). Se suprime la expresión «administrador de hecho y de
derecho» por «aquellos que de actuando individualmente o como miem-
bros de un órgano de la persona jurídica están autorizados para a tomar
decisiones en nombre de la persona jurídica».
La nueva redacción parece encaminarse hacia la supresión del tradicional
concepto “administrador de hecho” por otro más técnico. Esta modifica-
ción ya fue criticada por el Consejo de Estado en su informe del año 2013,
puesto que el sistema de definición anterior (administrador de hecho), si
bien daba lugar a problemas interpretativos, era utilizado ampliamente
en el ámbito mercantil y se mantiene su uso en el ámbito penal para los
delitos societarios.
Como señala Dopico Gómez-Aller a este respecto: «la técnica empleada
para el fin propuesto es defectuosa. De un lado, en los instrumentos inter-
nacionales que se refieren a la cuestión siempre identifican al administra-
dor o responsable de la empresa como persona “con poder de mando».
En el texto reformado no se hace referencia de esa expresión de forma
que la persona jurídica respondería por los actos de personas autorizadas
a tomar decisiones, aunque no tengan poder de mando, en relación con
el hecho concreto que se enjuicie, y también respecto de los actos de per-
sonas que tengan facultades en la organización y control de la empresa,
también sin tener que tener necesariamente poder de mando.
Se amplía notablemente el ámbito de aplicación de la responsabilidad
penal, porque cualquier apoderado podría encajar en esta descripción
tan amplia, aunque no participe en la gestión ordinaria de la empresa y
sus actos estén sujetos a aprobación del órgano de gestión y, de otro, no
resuelve el problema de los administradores de hecho. Así, el administra-
dor de hecho carece formalmente de autorización para tomar decisiones
y no ostenta facultades de organización y control, pese a lo cual tiene el
poder real de la empresa. Tampoco soluciona el problema en caso de hol-
dings de determinar la autoría en los supuestos de decisiones tomadas
por la empresa matriz.

91
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Este tipo de problemas parecía estar superado a través del concepto


“administrador de hecho”, que, conforme a reiterada jurisprudencia, es
aquel que sin ostentar formalmente la condición de administrador de la
sociedad, ejerza poderes de decisión de la sociedad y asuma los poderes
de un administrador de derecho; es la persona que, en realidad manda
en la empresa, ejerciendo los actos de administración, aunque formal-
mente sean realizadas por otra persona que figure como su administra-
dor.
La nueva redacción de la LO 1/2015 abre interrogantes que habrán de ser
objeto de una cuidadosa interpretación. A mi juicio, la determinación del
autor deberá seguir realizándose a partir de los criterios de “dominio del
acto” y de “poder de dirección” referidos a la situación concreta que se
examine. Como señaló la Circular de la Fiscalía General del Estado antes
citada, no debería hablarse de responsabilidad penal de la persona jurí-
dica si la persona física que comete el delito no es alguien del órgano de
gobierno o controlable por el órgano de gobierno. Lo relevante debería
ser la dirección de facto y no el concreto título o circunstancia de la que
derive la potestad de actuar».
Para que pueda hablarse de responsabilidad penal de las personas jurí-
dicas por los actos de los “directivos”, siguiendo nuestra exposición, y
comprendiendo en este concepto la compleja definición a que antes nos
hemos referido, debe tenerse en cuenta que se requiere de los siguientes
presupuestos:
• Que el directivo haya cometido un delito actuado en nombre o
por cuenta de la persona jurídica. Este presupuesto se mantiene
inalterado con respecto a la LO 5/2010.
• Que haya actuado en beneficio directo o indirecto de la perso-
na jurídica. Este presupuesto sustituye al anterior de actuar “en
provecho” de la persona jurídica.
En lo relativo a la actuación en nombre o por cuenta de la persona ju-
rídica, esta expresión hace referencia al ámbito material de actuación
del directivo y se refiere al contenido formal y material del mandato o
representación del directivo en cada caso. Cabe presuponer como su-
puestos excluyentes los casos en que haya existido una extralimitación
manifiesta, aun cuando esta no debe determinarse de acuerdo con las
atribuciones formales del directivo en cuestión. Aquí las reglas civiles o

92
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

mercantiles no deben ser determinantes, porque habrá de indagarse so-


bre el poder real para determinar si el directivo ha actuado dentro de la
esfera de sus atribuciones.
La sustitución de “en provecho de” por “en beneficio directo o indirecto
de la persona jurídica” se ha considerado positivamente en el informe del
Consejo de Estado, antes mencionado. Esto nos permite concluir que la
actuación del directivo ha de tener como objetivo la obtención de un be-
neficio o ventaja de cualquier tipo. Y, en cualquier caso, no se incluyen en
este presupuesto los delitos cometidos por los directivos exclusivamente
en beneficio propio o de terceros ajenos a la persona jurídica.
Todo lo expuesto quedaría resumido del modo siguiente:
«Artículo 31 bis:
1. En los supuestos previstos en este Código, las personas jurídicas serán
penalmente responsables:
aa De los delitos cometidos en nombre o por cuenta de las mismas, y
en su beneficio directo o indirecto, por sus representantes legales o por
aquellos que actuando individualmente o como integrantes de un órga-
no de la persona jurídica, están autorizados para tomar decisiones en
nombre de la persona jurídica u ostentan facultades de organización y
control dentro de la misma».

A pesar de la existencia de responsabilidad penal, la persona jurídica


quedará exenta de responsabilidad criminal si se cumplen determinadas
condiciones (31 bis 2.º):
• Que el órgano de administración haya adoptado y ejecutado
con eficacia, antes de la comisión del delito, modelos de organi-
zación y gestión que incluyan las medidas de vigilancia y control
idóneas para prevenir delitos de la misma naturaleza o para re-
ducir de forma significativa el riesgo de su comisión.
• Que se haya confiado a su vez la supervisión del funcionamien-
to y del cumplimiento del modelo de prevención implantado
a un órgano de la persona jurídica con poderes autónomos de
iniciativa y de control o que tenga encomendada legalmente la
función de supervisar la eficacia de los controles internos de la
persona jurídica.

93
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Que los autores individuales que cometan el delito hayan elu-


dido fraudulentamente los modelos de organización y de pre-
vención.
• Que no se haya producido una omisión o un ejercicio insuficiente
de sus funciones de supervisión, vigilancia y control por parte del
órgano al que se refiere la condición 2.A (parágrafo 1.º).

Otro supuesto de responsabilidad penal de las personas jurídicas se pro-


duce “por haberse incumplido gravemente los deberes de supervisión,
vigilancia y control de su actividad atendidas las concretas circunstancias
del caso”.
En el caso de empleados habrá responsabilidad penal de la persona jurí-
dica cuando se haya podido cometer el delito «por haberse incumplido
gravemente por aquellos (las personas físicas definidas en el artículo 31
bis 1 A los deberes de supervisión, vigilancia y control de sus actividades,
atendidas las circunstancias del caso».
Con la nueva redacción se reduce de manera significativa la exigencia de
responsabilidad penal de la persona jurídica, puesto que ahora no todo
incumplimiento conlleva esa responsabilidad. Tiene que tratarse de un
incumplimiento grave. Lo articulado por esta previsión normativa puede
ser considerado razonable desde la perspectiva del principio de inter-
vención mínima, sin embargo se trata de un criterio flexible e indetermi-
nado.
El Consejo de Estado con buen criterio dictaminó, en su informe del año
2013, que la regulación de los sistemas de supervisión, vigilancia y con-
trol debería desarrollarse en la legislación mercantil con reformas inme-
diatas y paralelas a la reforma del Código Penal.
Dejando al margen la existencia de una incorrección terminológica pues-
ta de manifiesto también por el Consejo de Estado y que no se ha corre-
gido, la reforma complica en demasía la declaración de responsabilidad
penal por delitos cometidos por empleados puesto que, de un lado, es
preciso determinar de acuerdo con la abundante normativa extrapenal
los deberes de supervisión, vigilancia y control en las actividades en cuyo
ámbito se ha producido el delito y, de otro, determinar qué facultades o
poderes corresponden individualmente a los administradores, ya que la
responsabilidad penal de la persona jurídica en este caso no surge por un

94
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

defecto de control o por la inadecuación de los modelos de organización


y control de la propia sociedad sino por el incumplimiento de las obliga-
ciones personales propias de las personas físicas.
A este respecto señala González Cussac «lo que subyace a esta cues-
tión es el fundamento de esta responsabilidad pues se puede establecer
en el “defecto de control” de la propia organización o en una forma de
culpa in vigilando de los administradores o responsables de la persona
jurídica».
Esto tiene su importancia, siguiendo el citado autor, porque si de lo que
estamos hablando es de “defecto de control de la propia organización”,
el establecimiento de un sistema eficaz de prevención sería un modo de
excluir la responsabilidad y a ello parece referirse el art. 31 bis, aparta-
do 2 y 4, concernientes a la eficacia exculpante de los planes de preven-
ción. Empero si de lo que hablamos es de la responsabilidad penal por la
infracción de los deberes personales de las personas físicas dotadas de
representación, decisión o control, los planes de prevención son mera-
mente indicativos. Verdaderamente constituyen un parámetro relevan-
te, junto a las normas sectoriales, para determinar si la persona física ha
efectuado el control debido, pero no actúan como un factor eximente de
la conducta.
Se observa, por consiguiente, una cierta contradicción en la forma en
que se ha regulado esta responsabilidad. Ya que de un lado, se afirma
que su fundamento es la falta de diligencia de los directivos en el con-
trol de los empleados y, de otro, sin ser coherente con esa afirmación, se
afirma que si la sociedad, al margen de la actuación concreta de sus di-
rectivos ha implementado un sistema de prevención, quedará exenta de
responsabilidad penal sin establecer condiciones adicionales como en el
caso de los directivos. De cierto esta cuestión será polémica. Se discutirá
si, además, por otra parte, del plan de prevención, es necesario que no
haya habido por los directivos responsables una falta de vigilancia sobre
el empleado. Lo cierto es que el art. 31 bis 4 no exige este presupuesto, a
diferencia de lo que acontece con los directivos en que, junto al plan de
prevención, se exige que no haya habido falta de vigilancia por parte del
órgano encargado de la supervisión del plan (art. 31 bis 2.4).
Así se prevé en el artículo 31 bis 1.B:
(Ver artículo en página siguiente).

95
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

«Artículo 31 bis:
1. En los supuestos previstos en este Código, las personas jurídicas serán
penalmente responsables:
bb De los delitos cometidos, en el ejercicio de actividades sociales y por
cuenta y en beneficio directo o indirecto de las mismas, por quienes, es-
tando sometidos a la autoridad de las personas físicas mencionadas en el
párrafo anterior, han podido realizar los hechos por haberse incumplido
gravemente por aquellos los deberes de supervisión, vigilancia y control
de su actividad atendidas las concretas circunstancias del caso».

La opinión de Pérez-Arias nos ilustra sobre la falta de este debido con-


trol: «Sobre el debido control: defecto de organización. El último de los
criterios subjetivos analizados, esto es, aquel que parte de los delitos co-
metidos por las personas sometidas a la autoridad de los representantes
legales y administradores de hecho o de derecho, requiere, además, que
estos sujetos hayan podido realizar los hechos por no haberse ejercido
sobre ellos el debido control, atendidas las concretas circunstancias del
caso. Es decir, que el sistema de atribución de responsabilidad penal a la
persona jurídica se transfiere por no haberse ejercido el control necesa-
rio sobre estas personas, de forma que la ausencia de control es el que
ha propiciado la comisión delictiva por parte de estos últimos (no debe
olvidarse que el propio artículo 31 bis se refiere a los “delitos cometidos
por...”)».
Este supuesto de hecho es invocable respecto a la actuación de los em-
pleados cuando ha habido una falta de supervisión, vigilancia y control
por parte de los directivos de la empresa o de la organización en su con-
junto.
Ahora bien, ante la concurrencia de dicho supuesto cabe también exen-
ción de responsabilidad penal. Exención prevista en el artículo 31 bis 4.º.
«Artículo 31 bis:
4. Si el delito fuera cometido por las personas indicadas en la letra b) del
apartado 1, la persona jurídica quedará exenta de responsabilidad si, an-
tes de la comisión del delito, ha adoptado y ejecutado eficazmente un
modelo de organización y gestión que resulte adecuado para prevenir
delitos de la naturaleza del que fue cometido o para reducir de forma
significativa el riesgo de su comisión.

96
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

En este caso resultará igualmente aplicable la atenuación prevista en el


párrafo segundo del apartado 2 de este artículo».

La nueva norma dispone la atenuación de la pena, sin indicar cuantitati-


vamente la consecuencia de la rebaja punitiva. Para los directivos se pro-
cederá a la atenuación si solo se acredita parcialmente el cumplimiento
de las condiciones previstas en el art. 31 bis 2 y, en el supuesto de emplea-
dos, si se ha establecido o ejecutado un plan de prevención que no cum-
pla totalmente las exigencias para la exención de responsabilidad penal.
El Consejo de Estado y la doctrina han criticado la técnica del reconoci-
miento de esta atenuante, puesto que no la vinculan a la falta de cumpli-
miento de los requisitos de exención sino a la falta de prueba; mas no es
la falta de prueba lo que determina la atenuación sino la inexistencia de
un programa de prevención totalmente idóneo y ejecutado eficazmente.

4.4.1. Programas de prevención penal compliance programs


Hemos visto como el artículo 31 bis para establecer la exención de la res-
ponsabilidad, en directivos como empleados, alude al mismo concepto:
«adoptado y ejecutado eficazmente un modelo de organización y gestión
que resulte adecuado para prevenir delitos de la naturaleza del que fue
cometido o para reducir de forma significativa el riesgo de su comisión».
La exención de la responsabilidad penal de una persona jurídica pasa,
por ende, por la existencia de un programa de prevención de delitos. Con
ello, se pretende instaurar una nueva cultura en las empresas, al objeto
de que de forma proactiva (con su iniciativa) se eviten la comisión de deli-
tos. Se busca la instauración de criterios de organización preventivos. La
autorregulación y una nueva cultura corporativa respetuosa con las nor-
mas es la finalidad última de esta reforma, por lo que se da una relevan-
cia incuestionable a los programas de prevención y detección de delitos.
¿Qué es un programa de prevención de delitos?
Para responder a esta pregunta vamos a dar unas breves pinceladas, ya
que posteriormente se desarrollará más ampliamente:
Los beneficios de la implantación de un programa de prevención de de-
litos (en adelante PPD) son claros y evidentes. De modo particular, un
programa de este tipo permite a la organización:

97
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Prevenir la comisión de delitos en su seno.


• Mejorar sus opciones de defensa, como persona jurídica, en los
procedimientos penales que se incoen a resultas de hechos pre-
suntamente delictivos cometidos por sus representantes lega-
les, administradores y trabajadores.
• Evitar que se declare su responsabilidad penal con base en la
acreditación del “debido control” respecto de las conductas de-
sarrolladas por sus representantes legales, administradores o
trabajadores.
• Disfrutar en el futuro de una razonable seguridad de la adecua-
ción de sus prácticas comerciales al régimen de responsabilidad
penal previsto para las personas jurídicas.
• Potenciar y promover prácticas lícitas, transparentes y éticas en
el mercado, favoreciendo la imagen externa de la entidad.
• Sensibilizar y formar en riesgos penales a los directivos de la em-
presa, contribuyendo así a prevenir además la eventual imputa-
ción penal individual de este colectivo.
La clave en el diseño de este PPD reside en plantearlo con un sentido
práctico, asegurando que tanto la organización como las medidas de
prevención son eficaces, coherentes entre sí y se adaptan en todos los
aspectos a la problemática de riesgos penales concreta de cada em-
presa.
Por consiguiente, configuramos el modelo de prevención de delitos (en
adelante MPRP) como un sistema de gestión de riesgos penales, esto es,
como un conjunto de elementos que establezcan los fundamentos y el
soporte organizativo necesario para diseñar, implementar, monitorizar,
revisar y mejorar de forma continua las actividades que se desarrollan al
objeto de prevenir, detectar y tratar los delitos que eventualmente pue-
dan producirse en la organización y que puedan conllevar la responsabi-
lidad penal de la persona jurídica.
En definitiva, este MPRP deberá contar con:
• Análisis de riesgos.
• Código ético.
• Normativa interna.

98
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

• Apoyo desde la dirección.


• Procedimientos y controles.
• Distribución de responsabilidades.
• Formación.
• Sanciones.
• Canal de denuncia.
En concreto, el protocolo de prevención y detección de delitos estará in-
tegrado por:
• El modelo de prevención de delitos (incluye la relación completa
de riesgos penales identificados y los principales controles exis-
tentes que los mitigan).
• La figura del encargado de prevención, incluyendo: misión, res-
ponsabilidades, medios necesarios y su ubicación dentro de la
estructura organizativa de la organización.
• El proceso de autoevaluación del modelo de prevención de delitos.
• El plan de respuesta ante delitos cometidos en la organización.
• Un plan de formación a alto nivel sobre las principales noveda-
des legislativas que ha representado la LO 1/2015 y, sobre las ac-
ciones llevadas a cabo en la compañía.
Se requiere, por ende, la adopción y ejecución eficaz de un modelo de
organización y gestión que contenga medidas de prevención y control
idóneas para prevenir el delito (eliminación) o para reducir de forma sig-
nificativa el riesgo de su comisión (atenuación).
Para valorar la relevancia de un programa de prevención se precisa:
• Idoneidad. Determinar la idoneidad entre el programa y el deli-
to, lo que presupone que el programa haya valorado como posi-
ble el riesgo de comisión del delito y haya establecido medidas
abstractamente eficaces para prevenirlo o para reducir el riesgo
de su comisión.
Para medir la idoneidad resulta especialmente importante que
el programa cumpla con las previsiones del art. 31 bis 1.5, que
«identifique las actividades en que se ha cometido el delito como

99
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

actividad susceptible de prevención». Se refiere a un análisis ge-


neral de prevención, abstracto y “ex ante” (con carácter previo a
la comisión del delito). Si la idoneidad no es total debería apre-
ciarse la atenuación prevista en el art. 31 bis 2.4, párrafo 2.°. De
todas formas, el concepto de idoneidad no considero que deba
identificarse al de idoneidad absoluta.
• Ejecución eficaz. Se debe valorar que el programa haya sido
adoptado antes de la comisión del delito y que se está ejecutan-
do con eficacia. Resaltar la idea que no basta un simple papel
para salir del paso.
Es preciso que sea un sistema de prevención real y eficaz, lo que
podrá acreditarse ordinariamente mediante el cumplimiento de
los requisitos establecidos en el art. 31 bis 5, estos son:
ȃȃ Establecimiento de protocolos operativos de gestión e información.
ȃȃ Modelo de gestión de recursos financieros y flujos de información
hacia el órgano de control.
ȃȃ Establecimiento de un régimen disciplinario.
Se trata de que el programa sirva para prevenir delitos, para re-
ducir de forma significativa el riesgo de su comisión (eliminación
o atenuación). El empleo del adverbio “significativamente” que
utiliza el precepto es abierto, general y de difícil determinación.
Habrá de valorarse su cumplimiento caso por caso, consideran-
do que la propia existencia del delito en el caso concreto supone
de facto un fracaso del programa, si bien ello no ha de excluir la
exención de responsabilidad penal cuando el programa puede
ser calificado de eficaz e idóneo.
Se encomienda al juez una difícil tarea, evaluar la eficacia de un
plan de prevención. Parece ser que no están plenamente desa-
rrollados los programas de evaluación de los compliance pro-
grams cuando se atribuye la encomienda al juez la difícil tarea de
hacer esa evaluación en cada caso concreto. No cabe duda que
será una cuestión que complicará la instrucción de las causas, y
su enjuiciamiento puede dar lugar a abundante prueba y docu-
mentación en la que serán muy relevantes las pruebas periciales.

100
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

Por este motivo en el derecho anglosajón se han puesto en mar-


cha acuerdos de suspensión del proceso (deferred prosecution
arrangements) para evitar el enjuiciamiento, previa la asunción
de multas o medidas de otro tipo.
• Órgano de control del programa autónomo. Es un requisito
que depende en gran parte de la propia cultura corporativa y del
tamaño de la empresa. Algunos estiman que es una ingenuidad
pensar que el órgano de administración de una empresa va a ce-
der poderes y permitir que un órgano autónomo permita tomar
decisiones en este campo sin la previa aprobación por el órgano
de administración tanto en lo que se refiere a medidas operati-
vas, como a medidas financieras (art. 31 bis 5 3.°).
• La actuación del directivo ha de sortear fraudulentamente el
plan de prevención aprobado por la persona jurídica. La falta
de precisión normativa al respecto permite que cualquier tipo de
conducta fraudulenta pueda llegar a ser tomada en consideración.
Como último inciso, que el órgano de control no haya incurrido
en omisiones o en el ejercicio insuficiente de sus facultades de
supervisión, vigilancia y control. Este requisito está vinculado
con la eficacia del programa. Se requiere un cumplimiento dili-
gente por parte del órgano de control.
En el caso de personas jurídicas de pequeña dimensión se atri-
buye al administrador las funciones de supervisión, lo que no
excluye que se deba implementar un plan de prevención pero
sin órgano de control ajeno a la dirección (art. 31 bis 3), que lo
expresa del modo siguiente:
«Artículo 31 bis:
3. En las personas jurídicas de pequeñas dimensiones, las funcio-
nes de supervisión a que se refiere la condición 2.ª del apartado 2
podrán ser asumidas directamente por el órgano de administra-
ción. A estos efectos, son personas jurídicas de pequeñas dimen-
siones aquellas que, según la legislación aplicable, estén autori-
zadas a presentar cuenta de pérdidas y ganancias abreviada».
La estructura de un plan de prevención, por consiguiente, apare-
ce recogida en el artículo 31 bis 5:

101
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

«5. Los modelos de organización y gestión a que se refieren la


condición 1.ª del apartado 2 y el apartado anterior deberán cum-
plir los siguientes requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser co-
metidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten
el proceso de formación de la voluntad de la persona jurídica, de
adopción de decisiones y de ejecución de las mismas con rela-
ción a aquellos.
3.º Dispondrán de modelos de gestión de los recursos financie-
ros adecuados para impedir la comisión de los delitos que deben
ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e
incumplimientos al organismo encargado de vigilar el funciona-
miento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuada-
mente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su
eventual modificación cuando se pongan de manifiesto infrac-
ciones relevantes de sus disposiciones, o cuando se produzcan
cambios en la organización, en la estructura de control o en la
actividad desarrollada que los hagan necesarios».

De lo expuesto se infiere que deberá integrar:


• Identificación las actividades en cuyo ámbito puedan ser cometi-
dos los delitos que deben ser prevenidos (mapa de riesgos penales).
• Establecimiento de protocolos o procedimientos que concreten
el proceso de formación de la voluntad de la persona jurídica y
toma de decisiones.
• Modelos de gestión de los recursos financieros adecuados para
impedir la comisión de los delitos que deben ser prevenidos.
• Obligación de informar de posibles riesgos e incumplimientos al
organismo encargado de vigilar el funcionamiento y observan-
cia del modelo de prevención.

102
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

• Establecimiento un sistema disciplinario.


• Verificación periódica del modelo y de su eventual modificación
cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización,
en la estructura de control o en la actividad que lo haga necesario.

4.5. Penas susceptibles de imposición a las personas jurídicas


Las penas que se podrán ser impuestas a las personas jurídicas vienen
recogidas en el art. 33, apartado 7 del Código Penal, que señala:
«7. Las penas aplicables a las personas jurídicas, que tienen todas la con-
sideración de graves, son las siguientes:
aa Multa por cuotas o proporcional.
bb Disolución de la persona jurídica. La disolución producirá la pérdi-
da definitiva de su personalidad jurídica, así como la de su capacidad de
actuar de cualquier modo en el tráfico jurídico, o llevar a cabo cualquier
clase de actividad, aunque sea lícita.
cc Suspensión de sus actividades por un plazo que no podrá exceder de
cinco años.
dd Clausura de sus locales y establecimientos por un plazo que no podrá
exceder de cinco años.
ee Prohibición de realizar en el futuro las actividades en cuyo ejercicio
se haya cometido, favorecido o encubierto el delito. Esta prohibición po-
drá ser temporal o definitiva. Si fuere temporal, el plazo no podrá exce-
der de quince años.
ff Inhabilitación para obtener subvenciones y ayudas públicas, para
contratar con el sector público y para gozar de beneficios e incentivos
fiscales o de la Seguridad Social, por un plazo que no podrá exceder de
quince años.
gg Intervención judicial para salvaguardar los derechos de los trabaja-
dores o de los acreedores por el tiempo que se estime necesario, que no
podrá exceder de cinco años.
La intervención podrá afectar a la totalidad de la organización o limi-
tarse a alguna de sus instalaciones, secciones o unidades de negocio.

103
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

El Juez o Tribunal, en la sentencia o, posteriormente, mediante auto, de-


terminará exactamente el contenido de la intervención y determinará
quién se hará cargo de la intervención y en qué plazos deberá realizar
informes de seguimiento para el órgano judicial.
La intervención se podrá modificar o suspender en todo momento pre-
vio informe del interventor y del Ministerio Fiscal. El interventor tendrá
derecho a acceder a todas las instalaciones y locales de la empresa o
persona jurídica y a recibir cuanta información estime necesaria para el
ejercicio de sus funciones. Reglamentariamente se determinarán los as-
pectos relacionados con el ejercicio de la función de interventor, como la
retribución o la cualificación necesaria.
La clausura temporal de los locales o establecimientos, la suspensión
de las actividades sociales y la intervención judicial podrán ser acordadas
también por el Juez Instructor como medida cautelar durante la instruc-
ción de la causa».

Del conjunto de penas arriba señalado, la primera cuestión a resaltar es


que la clausura temporal de los locales o establecimientos, la suspensión
de las actividades sociales y la intervención judicial, además de penas a
imponer por una sentencia judicial, también pueden ser acordadas por
el Juez Instructor como medida cautelar mientras se realiza la investiga-
ción y se tramita el procedimiento, esto es, mucho antes de que exista
sentencia; su adopción, con carácter previo, pretende evitar la continui-
dad de la actividad presuntamente delictiva y garantizar la eficacia del
proceso.
Como puede inferirse, la pena común o general a imponer es la de multa,
aunque también pueden imponerse cualquiera de las otras previstas. En
cuanto a los criterios para imponer la pena de multa, existen dos posibili-
dades, o imponerla por cuotas diarias (la fórmula de días-multa) o impo-
nerla de forma proporcional.
Respecto de la multa por cuotas, el art. 50.4 del Código Penal recoge que
la cuota diaria tendrá un mínimo de 30 y un máximo de 5 000 euros. Con-
templa la norma también que, a efectos de cómputo, cuando se fije la
duración de la pena de multa por meses o por años, se entenderá que los
meses son de treinta días y los años de trescientos sesenta.

104
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

«Artículo 50 del Código Penal:


4. La cuota diaria tendrá un mínimo de dos y un máximo de 400 euros,
excepto en el caso de las multas imponibles a las personas jurídicas, en
las que la cuota diaria tendrá un mínimo de 30 y un máximo de 5.000
euros. A efectos de cómputo, cuando se fije la duración por meses o por
años, se entenderá que los meses son de treinta días y los años de tres-
cientos sesenta».

En cambio, para los supuestos en los que el Código Penal prevé imponer
una pena de multa para las personas jurídicas en proporción al benefi-
cio obtenido o facilitado, al perjuicio causado, al valor del objeto, o a la
cantidad defraudada o indebidamente obtenida, se impondrá la misma
conforme al cálculo en base a tales conceptos.
Cuando no es posible llevar a cabo dicho cálculo, el art. 52.4 del Código
Penal señala que el Juez o Tribunal motivará la imposibilidad de proceder
a tal cálculo y las multas previstas se sustituirán por las siguientes:
• Multa de dos a cinco años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de cinco años.
• Multa de uno a tres años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de dos años no
incluida en el inciso anterior.
• Multa de seis meses a dos años, en el resto de los casos.

Ejemplo práctico:
Si la sentencia impone a la Sociedad “TRAINSA SL” una pena de multa de
4 años, con una cuota diaria de 500 euros, la empresa vendrá obligada a
abonar la cantidad total que resulte de abonar 500 euros al día durante 4
años (computados como de 360 días)

360 días x 4 años = 1 440 días


1 440 días x 500 euros cuota al día = 720 000 euros.
La empresa “TRAINSA SL” habría sido condenada, en definitiva,
a una multa de 720 000 euros.

105
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Por tanto, las penas a imponer pueden resultar muy elevadas (hasta de
9 millones de euros). Por ello, ante tal contingencia, el Código Penal es-
tablece en el art. 53.5 que podrá fraccionarse el pago de la multa que
se imponga a una persona jurídica, durante un período de hasta cinco
años. Pero para ello habrá que demostrar que su cuantía supone median-
te prueba fehaciente peligro la supervivencia de la persona jurídica o el
mantenimiento de los puestos de trabajo existentes en la misma, o bien
cuando así lo aconseje el interés general.
Por otra parte, si la persona jurídica condenada no paga, voluntariamen-
te o por vía de apremio, la multa impuesta en el plazo que se le hubiera
fijado, el Tribunal podrá acordar su intervención judicial hasta el pago to-
tal de la multa, como pena coactiva.
En cuanto al resto de penas distintas a la de multa, solo podrán impo-
nerse en aquellos casos en que el delito en cuestión lo prevea expresa-
mente.
Los criterios para su imposición están establecidos en el art. 66 bis y son
los siguientes:
• Su necesidad para prevenir la continuidad de la actividad delic-
tiva o de sus efectos.
• Sus consecuencias económicas y sociales, y especialmente los
efectos para los trabajadores.
• El puesto que en la estructura de la persona jurídica ocupa la per-
sona física u órgano que incumplió el deber de control.
Así el artículo 66 bis del Código Penal sobre este respecto nos previene:
«Artículo 66 bis:
En la aplicación de las penas impuestas a las personas jurídicas se estará
a lo dispuesto en las reglas 1.ª A, 4.ª, 6.ª A y 8.ª del primer número del
artículo 66, así como a las siguientes:
1.ª En los supuestos en los que vengan establecidas por las disposiciones
del Libro II, para decidir sobre la imposición y la extensión de las penas
previstas en las letras b) a g) del apartado 7 del artículo 33 habrá de te-
nerse en cuenta:
aa Su necesidad para prevenir la continuidad de la actividad delictiva o de
sus efectos.

106
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

bb Sus consecuencias económicas y sociales, y especialmente los efectos


para los trabajadores.
cc El puesto que en la estructura de la persona jurídica ocupa la persona
física u órgano que incumplió el deber de control».

Para imponer las penas de suspensión de sus actividades, clausura de sus


locales y establecimientos, prohibición de realizar en el futuro las acti-
vidades en cuyo ejercicio se haya cometido, favorecido o encubierto el
delito, inhabilitación para obtener subvenciones y ayudas públicas, para
contratar con el sector público y para gozar de beneficios e incentivos
fiscales o de la Seguridad Social y de intervención judicial por un plazo
superior a dos años será necesario que se dé alguna de las dos circuns-
tancias siguientes:
• Que la persona jurídica sea reincidente.
• Que la persona jurídica se utilice instrumentalmente para la
comisión de ilícitos penales (empresa pantalla o tapadera). Se
entenderá que se está ante este último supuesto cuando la ac-
tividad legal de la persona jurídica sea menos relevante que su
actividad ilegal.
Prosigue el artículo 66 bis sobre estos puntos:
«Artículo 66 bis del Código Penal:
En la aplicación de las penas impuestas a las personas jurídicas se estará
a lo dispuesto en las reglas 1.ª A, 4.ª, 6.ª A y 8.ª del primer número del
artículo 66, así como a las siguientes:
2.ª Cuando las penas previstas en las letras c) a g) del apartado 7 del artí-
culo 33 se impongan con una duración limitada, esta no podrá exceder la
duración máxima de la pena privativa de libertad prevista para el caso de
que el delito fuera cometido por persona física.
Para la imposición de las sanciones previstas en las letras c) a g) por un
plazo superior a dos años será necesario que se dé alguna de las dos cir-
cunstancias siguientes:
a) Que la persona jurídica sea reincidente.
b) Que la persona jurídica se utilice instrumentalmente para la comisión
de ilícitos penales. Se entenderá que se está ante este último supuesto

107
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

siempre que la actividad legal de la persona jurídica sea menos relevante


que su actividad ilegal.
Cuando la responsabilidad de la persona jurídica, en los casos previstos
en la letra b) del apartado 1 del artículo 31 bis, derive de un incumpli-
miento de los deberes de supervisión, vigilancia y control que no tenga
carácter grave, estas penas tendrán en todo caso una duración máxima
de dos años».

Por otro lado, para imponer con carácter permanente las sanciones de
disolución de la persona jurídica y de prohibición de realizar en el futuro
las actividades en cuyo ejercicio se haya cometido, favorecido o encu-
bierto el delito, así como para imponer esta última y la de inhabilitación
para obtener subvenciones y ayudas públicas, para contratar con el sec-
tor público y para gozar de beneficios e incentivos fiscales o de la Se-
guridad Social por un plazo, será necesario que se dé alguna de las dos
circunstancias siguientes:
• Que la persona jurídica imputada sea reincidente y haya sido
condenada ejecutoriamente, al menos, por tres delitos com-
prendidos en el mismo título de este Código (art. 66.1.5.ª).
• Que la persona jurídica se utilice instrumentalmente para la co-
misión de ilícitos penales. Se entenderá que se está ante este
último supuesto siempre que la actividad legal de la persona ju-
rídica sea menos relevante que su actividad ilegal.
Los últimos incisos de este artículo 66 bis concluyen:
«Artículo 66 bis del Código Penal:
En la aplicación de las penas impuestas a las personas jurídicas se estará
a lo dispuesto en las reglas 1.ª A, 4.ª, 6.ª A y 8.ª del primer número del
artículo 66, así como a las siguientes:
Para la imposición con carácter permanente de las sanciones previstas
en las letras b) y e), y para la imposición por un plazo superior a cinco
años de las previstas en las letras e) y f) del apartado 7 del artículo 33, será
necesario que se dé alguna de las dos circunstancias siguientes:
aa Que se esté ante el supuesto de hecho previsto en la regla 5.ª del apar-
tado 1 del artículo 66.

108
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (II)

bb Que la persona jurídica se utilice instrumentalmente para la comisión


de ilícitos penales. Se entenderá que se está ante este último supuesto
siempre que la actividad legal de la persona jurídica sea menos relevante
que su actividad ilegal».

Una última consideración, la responsabilidad penal de una perso-


na jurídica llevará implícita su responsabilidad civil en los términos
establecidos en el artículo 110 del Código Penal: Será solidaria para las per-
sonas físicas que fueren condenadas por los mismos hechos (art. 116.3 del
Código Penal).

«Artículo 116 del Código Penal:


3. La responsabilidad penal de una persona jurídica llevará consigo su
responsabilidad civil en los términos establecidos en el artículo 110 de
este Código de forma solidaria con las personas físicas que fueren conde-
nadas por los mismos hechos».

«Artículo 110:
La responsabilidad (civil) establecida en el artículo anterior comprende:
1.° La restitución.
2.° La reparación del daño.
3.° La indemnización de perjuicios materiales y morales».

109
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 5
El corporate compliance y la responsabi-
lidad penal de las personas jurídicas (III).
Delitos societarios

5.1. Introducción al delito societario


Con carácter previo a la elaboración y adopción de la documentación que
se va a implantar en la empresa en el marco de un compliance program,
y antes de pasar a definir el plan de acción para su implantación y poste-
rior monitorización y revisión, una vez definido el alcance al que se va a
aplicar el programa de compliance (por ejemplo a determinados departa-
mentos de la empresa, a la central y a las filiales españolas, pero no a las
extranjeras, a la filiales de determinados negocios), resulta imprescindi-
ble conocer cuáles son riesgos a los que se enfrenta la organización.
La definición de los riesgos nos posibilita poder priorizar y dimensionar
las acciones a ejecutar, de modo que el programa resulte “efectivo” des-
de un punto de vista práctico y pueda garantizar que los recursos dispo-
nibles son utilizados de manera eficiente.
Es evidente la interrelación existente entre riesgos y comisión de posi-
bles delitos. El objeto de compliance es la prevención y, cuando ello no
sea posible, atenuar las consecuencias adversas que la concurrencia de
dichos delitos causa a las compañías. Quizás la más temida, sin duda,
sea el daño reputacional por los efectos daños que genera a las organi-
zaciones.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

En este tema vamos a centrarnos en todos aquellos delitos, que según


dispone el Libro II del Código Penal pueden ser cometidos por las perso-
nas jurídicas.

5.2. Elenco punitivo de responsabilidad penal para las per-


sonas jurídicas
La responsabilidad penal a una persona jurídica queda limitada a aque-
llos delitos en que expresamente así se haya previsto en las disposiciones
del Libro II del Código Penal, que son actualmente los siguientes:

5.2.1. Delito de tráfico y trasplante ilegal de órganos humanos (artí-


culo 156 bis CP)
«Artículo 156 bis del Código Penal:
1. Los que promuevan, favorezcan, faciliten o publiciten la obtención o el
tráfico ilegal de órganos humanos ajenos o el trasplante de los mismos
serán castigados con la pena de prisión de seis a doce años si se tratara
de un órgano principal, y de prisión de tres a seis años si el órgano fuera
no principal.
2. Si el receptor del órgano consintiera la realización del trasplante co-
nociendo su origen ilícito será castigado con las mismas penas que en el
apartado anterior, que podrán ser rebajadas en uno o dos grados aten-
diendo a las circunstancias del hecho y del culpable.
3. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este artículo, se
le impondrá la pena de multa del triple al quíntuple del beneficio obte-
nido.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

Son conductas punibles las siguientes:


• Promover, favorecer, facilitar o publicitar la obtención o el tráfi-
co ilegal de órganos humanos ajenos.

112
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

• Consentir el receptor del órgano la realización del trasplante co-


nociendo su origen ilícito.
La sanción a imponer para las personas jurídicas será de multa del triple
al quíntuple del beneficio obtenido. Además, cabe la imposición de pe-
nas accesorias:
«Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tri-
bunales podrán asimismo imponer las penas recogidas en las letras b) a
g) del apartado 7 del artículo 33». Esto es, las penas del artículo 33.7 del
Código Penal que ya hemos estudiado.

5.2.2.Delito de trata de seres humanos (artículo 177 bis CP)


«Artículo 177 bis del Código Penal:
1. Será castigado con la pena de cinco a ocho años de prisión como reo de
trata de seres humanos el que, sea en territorio español, sea desde Espa-
ña, en tránsito o con destino a ella, empleando violencia, intimidación o
engaño, o abusando de una situación de superioridad o de necesidad o
de vulnerabilidad de la víctima nacional o extranjera, o mediante la en-
trega o recepción de pagos o beneficios para lograr el consentimiento de
la persona que poseyera el control sobre la víctima, la captare, transpor-
tare, trasladare, acogiere o recibiere, incluido el intercambio o transfe-
rencia de control sobre esas personas, con cualquiera de las finalidades
siguientes:
aa La imposición de trabajo o de servicios forzados, la esclavitud o prácti-
cas similares a la esclavitud, a la servidumbre o a la mendicidad.
bb La explotación sexual, incluyendo la pornografía.
cc La explotación para realizar actividades delictivas.
dd La extracción de sus órganos corporales.
ee La celebración de matrimonios forzados.
Existe una situación de necesidad o vulnerabilidad cuando la persona
en cuestión no tiene otra alternativa, real o aceptable, que someterse al
abuso.
2. Aun cuando no se recurra a ninguno de los medios enunciados en el
apartado anterior, se considerará trata de seres humanos cualquiera de

113
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

las acciones indicadas en el apartado anterior cuando se llevare a cabo


respecto de menores de edad con fines de explotación.
3. El consentimiento de una víctima de trata de seres humanos será irre-
levante cuando se haya recurrido a alguno de los medios indicados en el
apartado primero de este artículo.
4. Se impondrá la pena superior en grado a la prevista en el apartado pri-
mero de este artículo cuando:
aa Se hubiera puesto en peligro la vida o la integridad física o psíquica de
las personas objeto del delito;
bb La víctima sea especialmente vulnerable por razón de enfermedad,
estado gestacional, discapacidad o situación personal, o sea menor de
edad.
Si concurriere más de una circunstancia se impondrá la pena en su mitad
superior.
5. Se impondrá la pena superior en grado a la prevista en el apartado 1
de este artículo e inhabilitación absoluta de seis a doce años a los que
realicen los hechos prevaliéndose de su condición de autoridad, agente
de esta o funcionario público. Si concurriere además alguna de las cir-
cunstancias previstas en el apartado 4 de este artículo se impondrán las
penas en su mitad superior.
6. Se impondrá la pena superior en grado a la prevista en el apartado 1
de este artículo e inhabilitación especial para profesión, oficio, industria
o comercio por el tiempo de la condena, cuando el culpable perteneciera
a una organización o asociación de más de dos personas, incluso de ca-
rácter transitorio, que se dedicase a la realización de tales actividades.
Si concurriere alguna de las circunstancias previstas en el apartado 4 de
este artículo se impondrán las penas en la mitad superior. Si concurriere
la circunstancia prevista en el apartado 5 de este artículo se impondrán
las penas señaladas en este en su mitad superior.
Cuando se trate de los jefes, administradores o encargados de dichas or-
ganizaciones o asociaciones, se les aplicará la pena en su mitad superior,
que podrá elevarse a la inmediatamente superior en grado. En todo caso
se elevará la pena a la inmediatamente superior en grado si concurriera
alguna de las circunstancias previstas en el apartado 4 o la circunstancia
prevista en el apartado 5 de este artículo.

114
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

7. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona


jurídica sea responsable de los delitos comprendidos en este artículo, se
le impondrá la pena de multa del triple al quíntuple del beneficio obte-
nido. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y
tribunales podrán asimismo imponer las penas recogidas en las letras b)
a g) del apartado 7 del artículo 33.
8. La provocación, la conspiración y la proposición para cometer el delito
de trata de seres humanos serán castigadas con la pena inferior en uno o
dos grados a la del delito correspondiente.
9. En todo caso, las penas previstas en este artículo se impondrán sin per-
juicio de las que correspondan, en su caso, por el delito del artículo 318
bis de este Código y demás delitos efectivamente cometidos, incluidos
los constitutivos de la correspondiente explotación.
10. Las condenas de jueces o tribunales extranjeros por delitos de la mis-
ma naturaleza que los previstos en este artículo producirán los efectos
de reincidencia, salvo que el antecedente penal haya sido cancelado o
pueda serlo con arreglo al Derecho español.
11. Sin perjuicio de la aplicación de las reglas generales de este Código, la
víctima de trata de seres humanos quedará exenta de pena por las infrac-
ciones penales que haya cometido en la situación de explotación sufrida,
siempre que su participación en ellas haya sido consecuencia directa de
la situación de violencia, intimidación, engaño o abuso a que haya sido
sometida y que exista una adecuada proporcionalidad entre dicha situa-
ción y el hecho criminal realizado».

De este artículo en primer término destacar las conductas que constitu-


yen el supuesto de hecho del mismo:
• La imposición de trabajo o de servicios forzados, la esclavitud o
prácticas similares a la esclavitud, a la servidumbre o a la men-
dicidad.
• La explotación sexual, incluyendo la pornografía.
• La explotación para realizar actividades delictivas.
• La extracción de sus órganos corporales.
• La celebración de matrimonios forzados.

115
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Se entiende que existe una situación de necesidad o vulnerabilidad cuan-


do la persona no tiene otra alternativa, real o aceptable, que someterse al
abuso. Por otra parte, tratándose de menores en cualquier caso; aunque
no se llevara a cabo con la finalidad pretendida por este artículo “ex inicio”.
En el caso de personas jurídicas su responsabilidad penal, de acuerdo con
lo establecido en el artículo 31 bis, será la pena de multa del triple al quín-
tuple del beneficio obtenido. Atendidas las reglas establecidas en el ar-
tículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas
recogidas en las letras b) a g) del apartado 7 del artículo 33. Esto es, penas
accesorias a la de multa.
Por último en relación con este artículo, las penas previstas se impondrán
sin perjuicio de las que pudieran corresponder, en su caso, por el delito
del artículo 318 bis de este Código (también susceptible de comisión por
personas jurídicas) y demás delitos efectivamente cometidos, incluidos
los constitutivos de la correspondiente explotación. Observamos una
concurrencia posible de delitos asociados.

5.2.3. Delitos relativos a la prostitución y la corrupción de menores


(artículos 187, 188 y 189 CP)
«Artículo 187 del Código Penal (Prostitución de mayores de edad):
1. El que, empleando violencia, intimidación o engaño, o abusando de
una situación de superioridad o de necesidad o vulnerabilidad de la víc-
tima, determine a una persona mayor de edad a ejercer o a mantenerse
en la prostitución, será castigado con las penas de prisión de dos a cinco
años y multa de doce a veinticuatro meses.
Se impondrá la pena de prisión de dos a cuatro años y multa de doce a
veinticuatro meses a quien se lucre explotando la prostitución de otra
persona, aun con el consentimiento de la misma. En todo caso, se en-
tenderá que hay explotación cuando concurra alguna de las siguientes
circunstancias:
aa Que la víctima se encuentre en una situación de vulnerabilidad perso-
nal o económica.
bb Que se le impongan para su ejercicio condiciones gravosas, despro-
porcionadas o abusivas.

116
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

2. Se impondrán las penas previstas en los apartados anteriores en su


mitad superior, en sus respectivos casos, cuando concurra alguna de las
siguientes circunstancias:
aa Cuando el culpable se hubiera prevalido de su condición de autoridad,
agente de esta o funcionario público. En este caso se aplicará, además, la
pena de inhabilitación absoluta de seis a doce años.
bb Cuando el culpable perteneciere a una organización o grupo criminal
que se dedicare a la realización de tales actividades.
cc Cuando el culpable hubiere puesto en peligro, de forma dolosa o por
imprudencia grave, la vida o salud de la víctima.
3. Las penas señaladas se impondrán en sus respectivos casos sin perjui-
cio de las que correspondan por las agresiones o abusos sexuales come-
tidos sobre la persona prostituida».

«Artículo 188 del Código Penal (Prostitución de menor de edad o incapaz):


1. El que induzca, promueva, favorezca o facilite la prostitución de un me-
nor de edad o una persona con discapacidad necesitada de especial pro-
tección, o se lucre con ello, o explote de algún otro modo a un menor o a
una persona con discapacidad para estos fines, será castigado con las pe-
nas de prisión de dos a cinco años y multa de doce a veinticuatro meses.
Si la víctima fuera menor de dieciséis años, se impondrá la pena de pri-
sión de cuatro a ocho años y multa de doce a veinticuatro meses.
2. Si los hechos descritos en el apartado anterior se cometieran con vio-
lencia o intimidación, además de las penas de multa previstas, se impon-
drá la pena de prisión de cinco a diez años si la víctima es menor de die-
ciséis años, y la pena de prisión de cuatro a seis años en los demás casos.
3. Se impondrán las penas superiores en grado a las previstas en los apar-
tados anteriores, en sus respectivos casos, cuando concurra alguna de
las siguientes circunstancias:
aa Cuando la víctima sea especialmente vulnerable, por razón de su edad,
enfermedad, discapacidad o situación.
bb Cuando, para la ejecución del delito, el responsable se haya prevalido
de una relación de superioridad o parentesco, por ser ascendiente, des-
cendiente o hermano, por naturaleza o adopción, o afines, con la víctima.

117
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

cc Cuando, para la ejecución del delito, el responsable se hubiera preva-


lido de su condición de autoridad, agente de esta o funcionario público.
En este caso se impondrá, además, una pena de inhabilitación absoluta
de seis a doce años.
dd Cuando el culpable hubiere puesto en peligro, de forma dolosa o por
imprudencia grave, la vida o salud de la víctima.
ee Cuando los hechos se hubieren cometido por la actuación conjunta de
dos o más personas.
ff Cuando el culpable perteneciere a una organización o asociación, in-
cluso de carácter transitorio, que se dedicare a la realización de tales ac-
tividades.
4. El que solicite, acepte u obtenga, a cambio de una remuneración o
promesa, una relación sexual con una persona menor de edad o una per-
sona con discapacidad necesitada de especial protección, será castigado
con una pena de uno a cuatro años de prisión. Si el menor no hubiera
cumplido dieciséis años de edad, se impondrá una pena de dos a seis
años de prisión.
5. Las penas señaladas se impondrán en sus respectivos casos sin per-
juicio de las que correspondan por las infracciones contra la libertad o
indemnidad sexual cometidas sobre los menores y personas con disca-
pacidad necesitadas de especial protección».

«Artículo 189 del Código Penal (Exhibicionismo de menores o inca-


paces. Incumplimiento del deber de impedir que continúe la prostitu-
ción):
1. Será castigado con la pena de prisión de uno a cinco años:
aa El que captare o utilizare a menores de edad o a personas con disca-
pacidad necesitadas de especial protección con fines o en espectáculos
exhibicionistas o pornográficos, tanto públicos como privados, o para
elaborar cualquier clase de material pornográfico, cualquiera que sea
su soporte, o financiare cualquiera de estas actividades o se lucrare con
ellas.
bb El que produjere, vendiere, distribuyere, exhibiere, ofreciere o facili-
tare la producción, venta, difusión o exhibición por cualquier medio de

118
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

pornografía infantil o en cuya elaboración hayan sido utilizadas personas


con discapacidad necesitadas de especial protección, o lo poseyere para
estos fines, aunque el material tuviere su origen en el extranjero o fuere
desconocido.
A los efectos de este Título se considera pornografía infantil o en cuya
elaboración hayan sido utilizadas personas con discapacidad necesita-
das de especial protección:
aa Todo material que represente de manera visual a un menor o una per-
sona con discapacidad necesitada de especial protección participando
en una conducta sexualmente explícita, real o simulada.
bb Toda representación de los órganos sexuales de un menor o persona
con discapacidad necesitada de especial protección con fines principal-
mente sexuales.
cc Todo material que represente de forma visual a una persona que pa-
rezca ser un menor participando en una conducta sexualmente explí-
cita, real o simulada, o cualquier representación de los órganos sexua-
les de una persona que parezca ser un menor, con fines principalmente
sexuales, salvo que la persona que parezca ser un menor resulte tener
en realidad dieciocho años o más en el momento de obtenerse las imá-
genes.
dd Imágenes realistas de un menor participando en una conducta sexual-
mente explícita o imágenes realistas de los órganos sexuales de un me-
nor, con fines principalmente sexuales.
2. Serán castigados con la pena de prisión de cinco a nueve años los que
realicen los actos previstos en el apartado 1 de este artículo cuando con-
curra alguna de las circunstancias siguientes:
aa Cuando se utilice a menores de dieciséis años.
bb Cuando los hechos revistan un carácter particularmente degradante o
vejatorio.
cc Cuando el material pornográfico represente a menores o a personas
con discapacidad necesitadas de especial protección que sean víctimas
de violencia física o sexual.
dd Cuando el culpable hubiere puesto en peligro, de forma dolosa o por
imprudencia grave, la vida o salud de la víctima.

119
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

ee Cuando el material pornográfico fuera de notoria importancia.


ff Cuando el culpable perteneciere a una organización o asociación, in-
cluso de carácter transitorio, que se dedicare a la realización de tales ac-
tividades.
gg Cuando el responsable sea ascendiente, tutor, curador, guardador,
maestro o cualquier otra persona encargada, de hecho, aunque fuera
provisionalmente, o de derecho, del menor o persona con discapacidad
necesitada de especial protección, o se trate de cualquier otro miembro
de su familia que conviva con él o de otra persona que haya actuado abu-
sando de su posición reconocida de confianza o autoridad.
hh Cuando concurra la agravante de reincidencia.
3. Si los hechos a que se refiere la letra a) del párrafo primero del
apartado 1 se hubieran cometido con violencia o intimidación se im-
pondrá la pena superior en grado a las previstas en los apartados an-
teriores.
4. El que asistiere a sabiendas a espectáculos exhibicionistas o pornográ-
ficos en los que participen menores de edad o personas con discapacidad
necesitadas de especial protección, será castigado con la pena de seis
meses a dos años de prisión.
5. El que para su propio uso adquiera o posea pornografía infantil o en
cuya elaboración se hubieran utilizado personas con discapacidad nece-
sitadas de especial protección, será castigado con la pena de tres meses
a un año de prisión o con multa de seis meses a dos años.
La misma pena se impondrá a quien acceda a sabiendas a pornografía
infantil o en cuya elaboración se hubieran utilizado personas con disca-
pacidad necesitadas de especial protección, por medio de las tecnologías
de la información y la comunicación.
6. El que tuviere bajo su potestad, tutela, guarda o acogimiento a un
menor de edad o una persona con discapacidad necesitada de especial
protección y que, con conocimiento de su estado de prostitución o co-
rrupción, no haga lo posible para impedir su continuación en tal estado,
o no acuda a la autoridad competente para el mismo fin si carece de me-
dios para la custodia del menor o persona con discapacidad necesitada
de especial protección, será castigado con la pena de prisión de tres a
seis meses o multa de seis a doce meses.

120
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

7. El Ministerio Fiscal promoverá las acciones pertinentes con objeto de


privar de la patria potestad, tutela, guarda o acogimiento familiar, en su
caso, a la persona que incurra en alguna de las conductas descritas en el
apartado anterior.
8. Los jueces y tribunales ordenarán la adopción de las medidas nece-
sarias para la retirada de las páginas web o aplicaciones de internet que
contengan o difundan pornografía infantil o en cuya elaboración se hu-
bieran utilizado personas con discapacidad necesitadas de especial pro-
tección o, en su caso, para bloquear el acceso a las mismas a los usuarios
de Internet que se encuentren en territorio español.
Estas medidas podrán ser acordadas con carácter cautelar a petición del
Ministerio Fiscal».

De este grupo de delitos destacamos las siguientes tipificaciones:


• Prostitución de mayores de edad.
ȃȃ Quien mediante el empleo de violencia, intimidación o engaño, o
abusando de una situación de superioridad o de necesidad o vulne-
rabilidad de la víctima, determine a una persona mayor de edad a
ejercer o a mantenerse en la prostitución.
ȃȃ Quien se lucre explotando la prostitución de otra persona, aun con
el consentimiento de la misma. En todo caso, se entenderá que hay
explotación cuando concurra alguno de los siguientes supuestos:
•• Que la víctima se encuentre en una situación de vulnerabilidad
personal o económica.
•• Que se le impongan para su ejercicio condiciones gravosas, des-
proporcionadas o abusivas.
• Prostitución de menores e incapaces.
ȃȃ Quien induzca, promueva, favorezca o facilite la prostitución de un
menor de edad o una persona con discapacidad necesitada de espe-
cial protección, o se lucre con ello, o explote de algún otro modo a un
menor o a una persona con discapacidad para estos fines.
ȃȃ Quien solicite, acepte u obtenga, a cambio de una remuneración o
promesa, una relación sexual con una persona menor de edad o una
persona con discapacidad necesitada de especial protección.

121
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Exhibicionismo de menores o incapaces. incumplimiento del deber


de impedir que continúe la prostitución.
ȃȃ Quien captara o utilizara a menores de edad o a personas con disca-
pacidad necesitadas de especial protección con fines o en espectá-
culos exhibicionistas o pornográficos, tanto públicos como privados,
o para elaborar cualquier clase de material pornográfico, cualquiera
que sea su soporte, o financiare cualquiera de estas actividades o se
lucrare con ellas.
ȃȃ Quien produjera, vendiera, distribuyera, exhibiera, ofreciera o facili-
tara la producción, venta, difusión o exhibición por cualquier medio
de pornografía infantil o en cuya elaboración hayan sido utilizadas
personas con discapacidad necesitadas de especial protección, o lo
poseyere para estos fines, aunque el material tuviere su origen en el
extranjero o fuere desconocido.
ȃȃ Quien tuviere bajo su potestad, tutela, guarda o acogimiento a un
menor de edad o una persona con discapacidad necesitada de espe-
cial protección y que, con conocimiento de su estado de prostitución
o corrupción, no haga lo posible para impedir su continuación en tal
estado, o no acuda a la autoridad competente para el mismo fin si
carece de medios para la custodia del menor o persona con discapa-
cidad necesitada de especial protección.
La responsabilidad de las personas jurídicas aparece expresada en el ar-
tículo 189 bis para este grupo de delitos. A las personas jurídicas cabe
imponer:
ȃȃ Multa del triple al quíntuple del beneficio obtenido, si el delito come-
tido por la persona física tiene prevista una pena de prisión de más
de cinco años.
ȃȃ Multa del doble al cuádruple del beneficio obtenido, si el delito co-
metido por la persona física tiene prevista una pena de prisión de
más de dos años no incluida en el anterior inciso.
ȃȃ Multa del doble al triple del beneficio obtenido, en el resto de los casos.
A lo ya expuesto reiterar la posibilidad de imponer penas accesorias,
atendidas las reglas establecidas en el artículo 66 bis, en base a las cuales
los jueces y tribunales podrán asimismo imponer las penas recogidas en
las letras b) a g) del apartado 7 del artículo 33.

122
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

El artículo 189 bis del Código Penal lo expresa así:


«Artículo 189 bis:
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este Capítulo, se
le impondrán las siguientes penas:
aa Multa del triple al quíntuple del beneficio obtenido, si el delito come-
tido por la persona física tiene prevista una pena de prisión de más de
cinco años.
bb Multa del doble al cuádruple del beneficio obtenido, si el delito come-
tido por la persona física tiene prevista una pena de prisión de más de dos
años no incluida en el anterior inciso.
cc Multa del doble al triple del beneficio obtenido, en el resto de los ca-
sos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

5.2.4. Delito de descubrimiento y revelación de secretos (artículo 197


CP)
«Artículo 197 del Código Penal:
1. El que, para descubrir los secretos o vulnerar la intimidad de otro, sin
su consentimiento, se apodere de sus papeles, cartas, mensajes de co-
rreo electrónico o cualesquiera otros documentos o efectos personales,
intercepte sus telecomunicaciones o utilice artificios técnicos de escu-
cha, transmisión, grabación o reproducción del sonido o de la imagen, o
de cualquier otra señal de comunicación, será castigado con las penas de
prisión de uno a cuatro años y multa de doce a veinticuatro meses.
2. Las mismas penas se impondrán al que, sin estar autorizado, se apo-
dere, utilice o modifique, en perjuicio de tercero, datos reservados de
carácter personal o familiar de otro que se hallen registrados en ficheros
o soportes informáticos, electrónicos o telemáticos, o en cualquier otro
tipo de archivo o registro público o privado. Iguales penas se impondrán
a quien, sin estar autorizado, acceda por cualquier medio a los mismos
y a quien los altere o utilice en perjuicio del titular de los datos o de un
tercero.

123
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, re-


velan o ceden a terceros los datos o hechos descubiertos o las imágenes
captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años y multa de
doce a veinticuatro meses, el que, con conocimiento de su origen ilícito y
sin haber tomado parte en su descubrimiento, realizare la conducta des-
crita en el párrafo anterior.
4. Los hechos descritos en los apartados 1 y 2 de este artículo serán casti-
gados con una pena de prisión de tres a cinco años cuando:
aa Se cometan por las personas encargadas o responsables de los fiche-
ros, soportes informáticos, electrónicos o telemáticos, archivos o regis-
tros; o
bb se lleven a cabo mediante la utilización no autorizada de datos perso-
nales de la víctima.
Si los datos reservados se hubieran difundido, cedido o revelado a terce-
ros, se impondrán las penas en su mitad superior.
5. Igualmente, cuando los hechos descritos en los apartados anteriores
afecten a datos de carácter personal que revelen la ideología, religión,
creencias, salud, origen racial o vida sexual, o la víctima fuere un menor
de edad o una persona con discapacidad necesitada de especial protec-
ción, se impondrán las penas previstas en su mitad superior.
6. Si los hechos se realizan con fines lucrativos, se impondrán las penas
respectivamente previstas en los apartados 1 al 4 de este artículo en su
mitad superior. Si además afectan a datos de los mencionados en el apar-
tado anterior, la pena a imponer será la de prisión de cuatro a siete años.
7. Será castigado con una pena de prisión de tres meses a un año o multa
de seis a doce meses el que, sin autorización de la persona afectada, di-
funda, revele o ceda a terceros imágenes o grabaciones audiovisuales de
aquella que hubiera obtenido con su anuencia en un domicilio o en cual-
quier otro lugar fuera del alcance de la mirada de terceros, cuando la di-
vulgación menos cabe gravemente la intimidad personal de esa persona.
La pena se impondrá en su mitad superior cuando los hechos hubieran
sido cometidos por el cónyuge o por persona que esté o haya estado uni-
da a él por análoga relación de afectividad, aun sin convivencia, la vícti-
ma fuera menor de edad o una persona con discapacidad necesitada de

124
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

especial protección, o los hechos se hubieran cometido con una finalidad


lucrativa».

Bajo este supuesto se amparan las siguientes conductas:


• Descubrir los secretos o vulnerar la intimidad de otro, sin su con-
sentimiento, se apodere de sus papeles, cartas, mensajes de
correo electrónico o cualesquiera otros documentos o efectos
personales, intercepte sus telecomunicaciones o utilice artificios
técnicos de escucha, transmisión, grabación o reproducción del
sonido o de la imagen, o de cualquier otra señal de comunicación.
• El que sin estar autorizado, se apodere, utilice o modifique, en
perjuicio de tercero, datos reservados de carácter personal o fa-
miliar de otro que se hallen registrados en ficheros o soportes in-
formáticos, electrónicos o telemáticos, o en cualquier otro tipo
de archivo o registro público o privado.
• Quien, sin estar autorizado, acceda por cualquier medio a los
mismos (citados en el punto anterior) y a quien los altere o utilice
en perjuicio del titular de los datos o de un tercero.
«Artículo 197 bis del Código Penal:
1. El que por cualquier medio o procedimiento, vulnerando las medidas
de seguridad establecidas para impedirlo, y sin estar debidamente au-
torizado, acceda o facilite a otro el acceso al conjunto o una parte de un
sistema de información o se mantenga en él en contra de la voluntad de
quien tenga el legítimo derecho a excluirlo, será castigado con pena de
prisión de seis meses a dos años.
2. El que mediante la utilización de artificios o instrumentos técnicos, y
sin estar debidamente autorizado, intercepte transmisiones no públicas
de datos informáticos que se produzcan desde, hacia o dentro de un sis-
tema de información, incluidas las emisiones electromagnéticas de los
mismos, será castigado con una pena de prisión de tres meses a dos años
o multa de tres a doce meses».

Por consiguiente, el artículo 197 bis establece como conductas punibles:


• Quien por cualquier medio o procedimiento, vulnerando las
medidas de seguridad fijadas para impedirlo, y sin estar debida-

125
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

mente autorizado, acceda o facilite a otro el acceso al conjunto


o una parte de un sistema de información o se mantenga en él
en contra de la voluntad de quien tenga el legítimo derecho a
excluirlo.
• Quien mediante la utilización de artificios o instrumentos técni-
cos, y sin estar debidamente autorizado, intercepte transmisio-
nes no públicas de datos informáticos que se produzcan desde,
hacia o dentro de un sistema de información, incluidas las emi-
siones electromagnéticas de los mismos.
«Artículo 197 ter del Código Penal:
Será castigado con una pena de prisión de seis meses a dos años o mul-
ta de tres a dieciocho meses el que, sin estar debidamente autorizado,
produzca, adquiera para su uso, importe o, de cualquier modo, facilite a
terceros, con la intención de facilitar la comisión de alguno de los deli-
tos a que se refieren los apartados 1 y 2 del artículo 197 o el artículo 197
bis:
aa Un programa informático, concebido o adaptado principalmente para
cometer dichos delitos; o
bb Una contraseña de ordenador, código de acceso o datos similares que
permitan acceder a la totalidad o a parte de un sistema de información».
Los hechos punibles considerados por el artículo 197 ter son los siguientes:
• Quien sin estar debidamente autorizado, produzca, adquiera
para su uso, importe o, de cualquier modo, facilite a terceros,
con la intención de facilitar la comisión de alguno de los delitos
a que se refieren los apartados 1 y 2 del artículo 197 o el artículo
197 bis:
ȃȃ Un programa informático, concebido o adaptado princi-
palmente para cometer dichos delitos.
ȃȃ Una contraseña de ordenador, un código de acceso o da-
tos similares que permitan acceder a la totalidad o a una
parte de un sistema de información.
«Artículo 197 quinquies del Código Penal:
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en los artículos 197,

126
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

197 bis y 197 ter, se le impondrá la pena de multa de seis meses a dos
años. Atendidas las reglas establecidas en el artículo 66 bis, los jueces y
tribunales podrán asimismo imponer las penas recogidas en las letras b)
a g) del apartado 7 del artículo 33».
Para el artículo 197 del Código Penal, la responsabilidad penal de las per-
sonas jurídicas se circunscribe a la imposición de una pena de multa de 6
meses a 2 años y, la posibilidad nuevamente reiterada de penas acceso-
rias, en su caso.

5.2.5. Delitos de estafa (artículos 248, 249, 250 y 251 CP)


«Artículo 248 del Código Penal:
1. Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastan-
te para producir error en otro, induciéndolo a realizar un acto de disposi-
ción en perjuicio propio o ajeno.
2. También se consideran reos de estafa:
aa Los que, con ánimo de lucro y valiéndose de alguna manipulación in-
formática o artificio semejante, consigan una transferencia no consenti-
da de cualquier activo patrimonial en perjuicio de otro.
bb Los que fabricaren, introdujeren, poseyeren o facilitaren programas
informáticos específicamente destinados a la comisión de las estafas
previstas en este artículo.
cc Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los
datos obrantes en cualquiera de ellos, realicen operaciones de cualquier
clase en perjuicio de su titular o de un tercero».

«Artículo 249 del Código Penal:


Los reos de estafa serán castigados con la pena de prisión de seis meses
a tres años. Para la fijación de la pena se tendrá en cuenta el importe
de lo defraudado, el quebranto económico causado al perjudicado, las
relaciones entre este y el defraudador, los medios empleados por este
y cuantas otras circunstancias sirvan para valorar la gravedad de la in-
fracción.
Si la cuantía de lo defraudado no excediere de 400 euros, se impondrá la
pena de multa de uno a tres meses».

127
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

«Artículo 250 del Código Penal:


1. El delito de estafa será castigado con las penas de prisión de uno a seis
años y multa de seis a doce meses, cuando:
1.º Recaiga sobre cosas de primera necesidad, viviendas u otros bienes
de reconocida utilidad social.
2.º Se perpetre abusando de firma de otro, o sustrayendo, ocultando o
inutilizando, en todo o en parte, algún proceso, expediente, protocolo o
documento público u oficial de cualquier clase.
3.º Recaiga sobre bienes que integren el patrimonio artístico, histórico,
cultural o científico.
4.º Revista especial gravedad, atendiendo a la entidad del perjuicio y a la
situación económica en que deje a la víctima o a su familia.
5.º El valor de la defraudación supere los 50.000 euros, o afecte a un ele-
vado número de personas.
6.º Se cometa con abuso de las relaciones personales existentes entre
víctima y defraudador, o aproveche este su credibilidad empresarial o
profesional.
7.º Se cometa estafa procesal. Incurren en la misma los que, en un pro-
cedimiento judicial de cualquier clase, manipularen las pruebas en que
pretendieran fundar sus alegaciones o emplearen otro fraude procesal
análogo, provocando error en el juez o tribunal y llevándole a dictar una
resolución que perjudique los intereses económicos de la otra parte o de
un tercero.
8.º Al delinquir el culpable hubiera sido condenado ejecutoriamente al
menos por tres delitos comprendidos en este Capítulo. No se tendrán en
cuenta antecedentes cancelados o que debieran serlo.
2. Si concurrieran las circunstancias incluidas en los numerales 4.º, 5.º,
6.º o 7.º con la del numeral 1.º del apartado anterior, se impondrán las
penas de prisión de cuatro a ocho años y multa de doce a veinticuatro
meses. La misma pena se impondrá cuando el valor de la defraudación
supere los 250 000 euros».

«Artículo 251 del Código Penal:


Será castigado con la pena de prisión de uno a cuatro años:

128
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

1.º Quien, atribuyéndose falsamente sobre una cosa mueble o in-


mueble facultad de disposición de la que carece, bien por no haberla
tenido nunca, bien por haberla ya ejercitado, la enajenare, gravare o
arrendare a otro, en perjuicio de este o de tercero.
2.º El que dispusiere de una cosa mueble o inmueble ocultando la exis-
tencia de cualquier carga sobre la misma, o el que, habiéndola enajena-
do como libre, la gravare o enajenare nuevamente antes de la definitiva
transmisión al adquirente, en perjuicio de este, o de un tercero.
3.º El que otorgare en perjuicio de otro un contrato simulado».
De los preceptos que acabamos de tratar podemos considerar como
conductas tipificadas del mismo:
• Quienes con ánimo de lucro, utilizaran engaño bastante para
producir error en otro, induciéndolo a realizar un acto de dispo-
sición en perjuicio propio o ajeno.
• Quienes con ánimo de lucro y valiéndose de alguna manipula-
ción informática o artificio semejante, consigan una transferen-
cia no consentida de cualquier activo patrimonial en perjuicio de
otro.
• Quienes fabricaran, introdujeran, poseyeran o facilitaran pro-
gramas informáticos específicamente destinados a la comisión
de las estafas previstas en este artículo.
• Quienes utilicen tarjetas de crédito o débito, o cheques de viaje,
o los datos obrantes en cualquiera de ellos, realicen operaciones
de cualquier clase en perjuicio de su titular o de un tercero.
• Quien, atribuyéndose falsamente sobre una cosa mueble o in-
mueble facultad de disposición de la que carece, bien por no ha-
berla tenido nunca, bien por haberla ya ejercitado, la enajenara,
gravara o arrendara a otro, en perjuicio de este o de tercero.
• Quien dispusiera de una cosa mueble o inmueble ocultando la
existencia de cualquier carga sobre la misma, o el que, habién-
dola enajenado como libre, la gravare o enajenare nuevamente
antes de la definitiva transmisión al adquirente, en perjuicio de
este, o de un tercero.
• Quien otorgara en perjuicio de otro un contrato simulado.

129
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

En este tipo delictivo, la articulación de la responsabilidad penal de la


persona jurídica se establece del modo siguiente:
• Multa del triple al quíntuple de la cantidad defraudada, si el deli-
to cometido por la persona física tiene prevista una pena de pri-
sión de más de cinco años.
• Multa del doble al cuádruple de la cantidad defraudada, en el
resto de los casos (esto es, una pena inferior a 5 años).
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tri-
bunales podrán asimismo imponer las penas recogidas en las letras b)
a g) del apartado 7 del artículo 33. Insistimos de nuevo, la posibilidad de
imponer penas accesorias.

Con más claridad a lo expuesto, la redacción del artículo 251 bis:


«Artículo 251 bis del Código Penal:
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en esta Sección, se
le impondrán las siguientes penas:
aa Multa del triple al quíntuple de la cantidad defraudada, si el delito co-
metido por la persona física tiene prevista una pena de prisión de más de
cinco años.
bb Multa del doble al cuádruple de la cantidad defraudada, en el resto de
los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

5.2.6. Delitos de insolvencia punible (artículos 257, 258, 259, 260 y 261 CP)
«Artículo 257 del Código Penal:
1. Será castigado con las penas de prisión de uno a cuatro años y multa de
doce a veinticuatro meses:
1.º El que se alce con sus bienes en perjuicio de sus acreedores.
2.º Quien con el mismo fin realice cualquier acto de disposición patrimo-
nial o generador de obligaciones que dilate, dif Por último, y como de

130
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

continuo hemos reiterado, atendidas las reglas establecidas en el artícu-


lo 66 bis, iculte o impida la eficacia de un embargo o de un procedimiento
ejecutivo o de apremio, judicial, extrajudicial o administrativo, iniciado o
de previsible iniciación.
2. Con la misma pena será castigado quien realizare actos de disposi-
ción, contrajere obligaciones que disminuyan su patrimonio u oculte por
cualquier medio elementos de su patrimonio sobre los que la ejecución
podría hacerse efectiva, con la finalidad de eludir el pago de responsa-
bilidades civiles derivadas de un delito que hubiere cometido o del que
debiera responder.
3. Lo dispuesto en el presente artículo será de aplicación cualquiera que
sea la naturaleza u origen de la obligación o deuda cuya satisfacción o
pago se intente eludir, incluidos los derechos económicos de los trabaja-
dores, y con independencia de que el acreedor sea un particular o cual-
quier persona jurídica, pública o privada.
No obstante lo anterior, en el caso de que la deuda u obligación que se
trate de eludir sea de Derecho público y la acreedora sea una persona
jurídico pública, o se trate de obligaciones pecuniarias derivadas de la
comisión de un delito contra la Hacienda Pública o la Seguridad Social,
la pena a imponer será de prisión de uno a seis años y multa de doce a
veinticuatro meses.
4. Las penas previstas en el presente artículo se impondrán en su mitad
superior en los supuestos previstos en los numerales 5.º o 6.º del aparta-
do 1 del artículo 250.
5. Este delito será perseguido aun cuando tras su comisión se iniciara un
procedimiento concursal».

«Artículo 258 del Código Penal:


1. Será castigado con una pena de prisión de tres meses a un año o multa
de seis a dieciocho meses quien, en un procedimiento de ejecución judi-
cial o administrativo, presente a la autoridad o funcionario encargados
de la ejecución una relación de bienes o patrimonio incompleta o men-
daz, y con ello dilate, dificulte o impida la satisfacción del acreedor.
La relación de bienes o patrimonio se considerará incompleta cuando el
deudor ejecutado utilice o disfrute de bienes de titularidad de terceros y

131
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

no aporte justificación suficiente del derecho que ampara dicho disfrute


y de las condiciones a que está sujeto.
2. La misma pena se impondrá cuando el deudor, requerido para ello,
deje de facilitar la relación de bienes o patrimonio a que se refiere el
apartado anterior.
3. Los delitos a que se refiere este artículo no serán perseguibles si el au-
tor, antes de que la autoridad o funcionario hubieran descubierto el carácter
mendaz o incompleto de la declaración presentada, compareciera ante ellos
y presentara una declaración de bienes o patrimonio veraz y completa».

«Artículo 258 bis del Código Penal:


Serán castigados con una pena de prisión de tres a seis meses o multa
de seis a veinticuatro meses, salvo que ya estuvieran castigados con una
pena más grave en otro precepto de este Código, quienes hagan uso de
bienes embargados por autoridad pública que hubieran sido constituidos
en depósito sin estar autorizados para ello».

«Artículo 259 del Código Penal:


1. Será castigado con una pena de prisión de uno a cuatro años y multa de
ocho a veinticuatro meses quien, encontrándose en una situación de in-
solvencia actual o inminente, realice alguna de las siguientes conductas:
1.ª Oculte, cause daños o destruya los bienes o elementos patrimoniales
que estén incluidos, o que habrían estado incluidos, en la masa del con-
curso en el momento de su apertura.
2.ª Realice actos de disposición mediante la entrega o transferencia de
dinero u otros activos patrimoniales, o mediante la asunción de deudas,
que no guarden proporción con la situación patrimonial del deudor, ni con
sus ingresos, y que carezcan de justificación económica o empresarial.
3.ª Realice operaciones de venta o prestaciones de servicio por precio in-
ferior a su coste de adquisición o producción, y que en las circunstancias
del caso carezcan de justificación económica.
4.ª Simule créditos de terceros o proceda al reconocimiento de créditos
ficticios.
5.ª Participe en negocios especulativos, cuando ello carezca de justifica-
ción económica y resulte, en las circunstancias del caso y a la vista de la

132
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

actividad económica desarrollada, contrario al deber de diligencia en la


gestión de asuntos económicos.
6.ª Incumpla el deber legal de llevar contabilidad, lleve doble contabili-
dad, o cometa en su llevanza irregularidades que sean relevantes para la
comprensión de su situación patrimonial o financiera. También será pu-
nible la destrucción o alteración de los libros contables, cuando de este
modo se dificulte o impida de forma relevante la comprensión de su si-
tuación patrimonial o financiera.
7.ª Oculte, destruya o altere la documentación que el empresario está
obligado a conservar antes del transcurso del plazo al que se extiende
este deber legal, cuando de este modo se dificulte o imposibilite el exa-
men o valoración de la situación económica real del deudor.
8.ª Formule las cuentas anuales o los libros contables de un modo con-
trario a la normativa reguladora de la contabilidad mercantil, de forma
que se dificulte o imposibilite el examen o valoración de la situación eco-
nómica real del deudor, o incumpla el deber de formular el balance o el
inventario dentro de plazo.
9.ª Realice cualquier otra conducta activa u omisiva que constituya una
infracción grave del deber de diligencia en la gestión de asuntos econó-
micos y a la que sea imputable una disminución del patrimonio del deu-
dor o por medio de la cual se oculte la situación económica real del deu-
dor o su actividad empresarial.
2. La misma pena se impondrá a quien, mediante alguna de las conductas
a que se refiere el apartado anterior, cause su situación de insolvencia.
3. Cuando los hechos se hubieran cometido por imprudencia, se impon-
drá una pena de prisión de seis meses a dos años o multa de doce a vein-
ticuatro meses.
4. Este delito solamente será perseguible cuando el deudor haya dejado
de cumplir regularmente sus obligaciones exigibles o haya sido declara-
do su concurso.
5. Este delito y los delitos singulares relacionados con él, cometidos por
el deudor o persona que haya actuado en su nombre, podrán perseguirse
sin esperar a la conclusión del concurso y sin perjuicio de la continuación
de este. El importe de la responsabilidad civil derivada de dichos delitos
deberá incorporarse, en su caso, a la masa.

133
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

6. En ningún caso, la calificación de la insolvencia en el proceso concursal


vinculará a la jurisdicción penal».

«Artículo 259 bis del Código Penal:


Los hechos a que se refiere el artículo anterior serán castigados con una
pena de prisión de dos a seis años y multa de ocho a veinticuatro meses,
cuando concurra alguna de las siguientes circunstancias:
1.ª Cuando se produzca o pueda producirse perjuicio patrimonial en una
generalidad de personas o pueda ponerlas en una grave situación eco-
nómica.
2.ª Cuando se causare a alguno de los acreedores un perjuicio económico
superior a 600 000 euros.
3.ª Cuando al menos la mitad del importe de los créditos concursales ten-
ga como titulares a la Hacienda Pública, sea esta estatal, autonómica,
local o foral y a la Seguridad Social».

«Artículo 260 del Código Penal:


1. Será castigado con la pena de seis meses a tres años de prisión o mul-
ta de ocho a veinticuatro meses, el deudor que, encontrándose en una
situación de insolvencia actual o inminente, favorezca a alguno de los
acreedores realizando un acto de disposición patrimonial o generador de
obligaciones destinado a pagar un crédito no exigible o a facilitarle una
garantía a la que no tenía derecho, cuando se trate de una operación que
carezca de justificación económica o empresarial.
2. Será castigado con la pena de uno a cuatro años de prisión y multa de
doce a veinticuatro meses el deudor que, una vez admitida a trámite la
solicitud de concurso, sin estar autorizado para ello ni judicialmente ni
por los administradores concursales, y fuera de los casos permitidos por
la ley, realice cualquier acto de disposición patrimonial o generador de
obligaciones, destinado a pagar a uno o varios acreedores, privilegiados
o no, con posposición del resto».

«Artículo 261 del Código Penal:


El que en procedimiento concursal presentare, a sabiendas, datos falsos
relativos al estado contable, con el fin de lograr indebidamente la decla-

134
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

ración de aquel, será castigado con la pena de prisión de uno a dos años
y multa de seis a 12 meses».

Son conductas tipificadas aplicables para este tipo de delitos:


• Quien se alce con sus bienes en perjuicio de sus acreedores.
• Quien se alce con sus bienes en perjuicio de sus acreedores y
realice cualquier acto de disposición patrimonial o generador de
obligaciones que dilate, dificulte o impida la eficacia de un em-
bargo o de un procedimiento ejecutivo o de apremio, judicial,
extrajudicial o administrativo, iniciado o de previsible iniciación.
• Quien realizara actos de disposición, contrajera obligaciones
que disminuyan su patrimonio u oculte por cualquier medio,ele-
mentos de su patrimonio sobre los que la ejecución podría ha-
cerse efectiva, con la finalidad de eludir el pago de responsabili-
dades civiles derivadas de un delito que hubiere cometido o del
que debiera responder.
• Quien, en un procedimiento de ejecución judicial o adminis-
trativo, presente a la autoridad o funcionario encargados de
la ejecución una relación de bienes o patrimonio incompleta o
mendaz, y con ello dilate, dificulte o impida la satisfacción del
acreedor.
• Quienes hagan uso de bienes embargados por autoridad públi-
ca que hubieran sido constituidos en depósito sin estar autori-
zados para ello.
• Quienes hagan uso de bienes embargados por autoridad públi-
ca que hubieran sido constituidos en depósito sin estar autori-
zados para ello.
En este conjunto de supuestos, la responsabilidad penal de las personas
jurídicas, aparece recogida en el artículo 258 ter:
• Multa de dos a cinco años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de cinco años.
• Multa de uno a tres años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de dos años no
incluida en el inciso anterior.

135
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Multa de seis meses a dos años, en el resto de los casos.


Vemos de nuevo “Atendidas las reglas establecidas en el artículo 66 bis,
los jueces y tribunales podrán asimismo imponer las penas recogidas en
las letras B a G del apartado 7 del artículo 33”: Posibilidad de imponer
penas accesorias.

«Artículo 258 ter del Código Penal:


Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este Capítulo, se
le impondrán las siguientes penas:
aa Multa de dos a cinco años, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de cinco años.
bb Multa de uno a tres años, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de dos años no incluida en el
inciso anterior.
cc Multa de seis meses a dos años, en el resto de los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b a g del
apartado 7 del artículo 33».
Además, existen otras conductas también tipificadas previstas en el ar-
tículo 259 (insolvencia actual o inminente), demasiado prolijas para una
exposición más detallada y así mismo cuando:
• El deudor que, encontrándose en una situación de insolvencia
actual o inminente, favorezca a alguno de los acreedores reali-
zando un acto de disposición patrimonial o generador de obli-
gaciones destinado a pagar un crédito no exigible o a facilitarle
una garantía a la que no tenía derecho, cuando se trate de una
operación que carezca de justificación económica o empresarial.
• El deudor que, una vez admitida a trámite la solicitud de con-
curso, sin estar autorizado para ello ni judicialmente ni por los
administradores concursales, y fuera de los casos permitidos por
la ley, realice cualquier acto de disposición patrimonial o gene-
rador de obligaciones, destinado a pagar a uno o varios acreedo-
res, privilegiados o no, con posposición del resto.

136
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

En este último grupo de conductas que hemos descrito, la responsabilidad


penal de las personas jurídicas aparece contemplada en el artículo 261 bis:
• Multa de dos a cinco años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de cinco años.
• Multa de uno a tres años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de dos años no
incluida en el inciso anterior.
• Multa de seis meses a dos años, en el resto de los casos.
De igual modo, atendidas las reglas establecidas en el artículo 66 bis, los
jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33, es decir, cabe imponer penas
accesorias.
«Artículo 261 bis del Código Penal:
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este Capítulo, se
le impondrán las siguientes penas:
aa Multa de dos a cinco años, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de cinco años.
bb Multa de uno a tres años, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de dos años no incluida en el
inciso anterior.
cc Multa de seis meses a dos años, en el resto de los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

5.2.7. Delito de daños informáticos (artículo 264 CP)


«Artículo 264 del Código Penal:
1. El que por cualquier medio, sin autorización y de manera grave bo-
rrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles
datos informáticos, programas informáticos o documentos electrónicos
ajenos, cuando el resultado producido fuera grave, será castigado con la
pena de prisión de seis meses a tres años.

137
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

2. Se impondrá una pena de prisión de dos a cinco años y multa del tanto
al décuplo del perjuicio ocasionado, cuando en las conductas descritas
concurra alguna de las siguientes circunstancias:
1.ª Se hubiese cometido en el marco de una organización criminal.
2.ª Haya ocasionado daños de especial gravedad o afectado a un número
elevado de sistemas informáticos.
3.ª El hecho hubiera perjudicado gravemente el funcionamiento de ser-
vicios públicos esenciales o la provisión de bienes de primera necesi-
dad.
4.ª Los hechos hayan afectado al sistema informático de una infraestruc-
tura crítica o se hubiera creado una situación de peligro grave para la se-
guridad del Estado, de la Unión Europea o de un Estado miembro de la
Unión Europea. A estos efectos se considerará infraestructura crítica un
elemento, sistema o parte de este que sea esencial para el mantenimien-
to de funciones vitales de la sociedad, la salud, la seguridad, la protec-
ción y el bienestar económico y social de la población cuya perturbación
o destrucción tendría un impacto significativo al no poder mantener sus
funciones.
5.ª El delito se haya cometido utilizando alguno de los medios a que se
refiere el artículo 264 ter.
Si los hechos hubieran resultado de extrema gravedad, podrá imponerse
la pena superior en grado.
3. Las penas previstas en los apartados anteriores se impondrán, en sus
respectivos casos, en su mitad superior, cuando los hechos se hubieran
cometido mediante la utilización ilícita de datos personales de otra per-
sona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero».
«Artículo 264 bis del Código Penal:
1. Será castigado con la pena de prisión de seis meses a tres años el que,
sin estar autorizado y de manera grave, obstaculizara o interrumpiera el
funcionamiento de un sistema informático ajeno:
aa realizando alguna de las conductas a que se refiere el artículo anterior;
bb introduciendo o transmitiendo datos; o

138
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

cc destruyendo, dañando, inutilizando, eliminando o sustituyendo un


sistema informático, telemático o de almacenamiento de información
electrónica.
Si los hechos hubieran perjudicado de forma relevante la actividad normal
de una empresa, negocio o de una Administración Pública, se impondrá la
pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.
2. Se impondrá una pena de prisión de tres a ocho años y multa del triplo
al décuplo del perjuicio ocasionado, cuando en los hechos a que se refie-
re el apartado anterior hubiera concurrido alguna de las circunstancias
del apartado 2 del artículo anterior.
3. Las penas previstas en los apartados anteriores se impondrán, en sus
respectivos casos, en su mitad superior, cuando los hechos se hubieran
cometido mediante la utilización ilícita de datos personales de otra per-
sona para facilitarse el acceso al sistema informático o para ganarse la
confianza de un tercero».

«Artículo 264 ter del Código Penal:


Será castigado con una pena de prisión de seis meses a dos años o mul-
ta de tres a dieciocho meses el que, sin estar debidamente autorizado,
produzca, adquiera para su uso, importe o, de cualquier modo, facilite a
terceros, con la intención de facilitar la comisión de alguno de los delitos
a que se refieren los dos artículos anteriores:
aa un programa informático, concebido o adaptado principalmente para co-
meter alguno de los delitos a que se refieren los dos artículos anteriores; o
bb una contraseña de ordenador, un código de acceso o datos similares que
permitan acceder a la totalidad o a una parte de un sistema de información».

Las conductas delictivas tipificadas son las que a continuación se desa-


rrollan:
• Quien por cualquier medio, sin autorización y de manera grave bo-
rrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesi-
bles datos informáticos, programas informáticos o documentos
electrónicos ajenos, cuando el resultado producido fuera grave.
• Quien sin estar autorizado y de manera grave, obstaculizara o in-
terrumpiera el funcionamiento de un sistema informático ajeno:

139
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

ȃȃ Realizando alguna de las conductas a que se refiere el artículo ante-


rior (264).
ȃȃ Introduciendo o transmitiendo datos.
ȃȃ Destruyendo, dañando, inutilizando, eliminando o sustituyendo un
sistema informático, telemático o de almacenamiento de informa-
ción electrónica.
• Quien sin estar debidamente autorizado, produzca, adquiera
para su uso, importe o, de cualquier modo, facilite a terceros,
con la intención de facilitar la comisión de alguno de los delitos a
que se refieren los dos artículos anteriores (264 y 264 bis):
ȃȃ Un programa informático, concebido o adaptado principalmente
para cometer alguno de los delitos a que se refieren los dos artículos
anteriores (264 y 264 bis);
ȃȃ una contraseña de ordenador, un código de acceso o datos similares
que permitan acceder a la totalidad o a una parte de un sistema de
información.
La responsabilidad penal de las personas jurídicas aparece prevista en el
artículo 264 quarter:
• Multa de dos a cinco años o del quíntuplo a doce veces el valor del
perjuicio causado, si resulta una cantidad superior, cuando se trate
de delitos castigados con una pena de prisión de más de tres años.
• Multa de uno a tres años o del triple a ocho veces el valor del
perjuicio causado, si resulta una cantidad superior, en el resto de
los casos (pena de prisión inferior a 3 años).
A fuerza de ser insistentes, atendidas las reglas establecidas en el artí-
culo 66 bis, los jueces y tribunales podrán asimismo imponer las penas
recogidas en las letras b) a g) del apartado 7 del artículo 33, esto es, la
imposición de penas accesorias.
El artículo 264 quater con más precisión nos lo indica:

«Artículo 264 quater. Del Código Penal:


Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en los tres artículos
anteriores, se le impondrán las siguientes penas:

140
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (III)

aa Multa de dos a cinco años o del quíntuplo a doce veces el valor del
perjuicio causado, si resulta una cantidad superior, cuando se trate de
delitos castigados con una pena de prisión de más de tres años.
bb Multa de uno a tres años o del triple a ocho veces el valor del perjuicio
causado, si resulta una cantidad superior, en el resto de los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

5.2.8. Delito de blanqueo de capitales (artículo 302 CP)


«Artículo 302 del Código Penal:
1. En los supuestos previstos en el artículo anterior se impondrán las pe-
nas privativas de libertad en su mitad superior a las personas que perte-
nezca a una organización dedicada a los fines señalados en los mismos,
y la pena superior en grado a los jefes, administradores o encargados de
las referidas organizaciones.
2. En tales casos, cuando de acuerdo con lo establecido en el artículo 31
bis sea responsable una persona jurídica, se le impondrán las siguientes
penas:
aa Multa de dos a cinco años, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de cinco años.
bb Multa de seis meses a dos años, en el resto de los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a b)
del apartado 7 del artículo 33».

La conducta delictiva aparece definida en el artículo 301 del Código Pe-


nal:
«Artículo 301 del Código Penal:
1. El que adquiera, posea, utilice, convierta, o transmita bienes, sabiendo
que estos tienen su origen en una actividad delictiva, cometida por él o
por cualquiera tercera persona, o realice cualquier otro acto para ocultar
o encubrir su origen ilícito, o para ayudar a la persona que haya participa-
do en la infracción o infracciones a eludir las consecuencias legales de sus

141
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

actos, será castigado con la pena de prisión de seis meses a seis años y
multa del tanto al triplo del valor de los bienes. En estos casos, los jueces
o tribunales, atendiendo a la gravedad del hecho y a las circunstancias
personales del delincuente, podrán imponer también a este la pena de
inhabilitación especial para el ejercicio de su profesión o industria por
tiempo de uno a tres años, y acordar la medida de clausura temporal o
definitiva del establecimiento o local. Si la clausura fuese temporal, su
duración no podrá exceder de cinco años».

De este artículo 302 del CP se infiere que la responsabilidad penal de las


personas jurídicas será:
• Multa de dos a cinco años, si el delito cometido por la persona
física tiene prevista una pena de prisión de más de cinco años.
• Multa de seis meses a dos años, en el resto de los casos (penas
de prisión inferiores a 5 años).
Por último, y como de continuo hemos reiterado, atendidas las reglas
establecidas en el artículo 66 bis, los jueces y tribunales podrán asimis-
mo imponer las penas recogidas en las letras b) a g) del apartado 7 del
artículo 33, nos estamos refiriendo a la posibilidad de imponer penas ac-
cesorias.

142
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 6
El corporate compliance y la responsabi-
lidad penal de las personas jurídicas (IV).
Delitos societarios

6.1. Delitos relativos a la propiedad intelectual e industrial,


al mercado y a los consumidores (artículos 270 a 288 CP)
«Artículo 270 del Código Penal:
1. Será castigado con la pena de prisión de seis meses a cuatro años y
multa de doce a veinticuatro meses el que, con ánimo de obtener un be-
neficio económico directo o indirecto y en perjuicio de tercero, repro-
duzca, plagie, distribuya, comunique públicamente o de cualquier otro
modo explote económicamente, en todo o en parte, una obra o pres-
tación literaria, artística o científica, o su transformación, interpretación
o ejecución artística fijada en cualquier tipo de soporte o comunicada a
través de cualquier medio, sin la autorización de los titulares de los co-
rrespondientes derechos de propiedad intelectual o de sus cesionarios.
2. La misma pena se impondrá a quien, en la prestación de servicios de
la sociedad de la información, con ánimo de obtener un beneficio eco-
nómico directo o indirecto, y en perjuicio de tercero, facilite de modo
activo y no neutral y sin limitarse a un tratamiento meramente técni-
co, el acceso o la localización en internet de obras o prestaciones ob-
jeto de propiedad intelectual sin la autorización de los titulares de los
correspondientes derechos o de sus cesionarios, en particular ofreciendo
listados ordenados y clasificados de enlaces a las obras y contenidos re-

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

feridos anteriormente, aunque dichos enlaces hubieran sido facilitados


inicialmente por los destinatarios de sus servicios.
3. En estos casos, el juez o tribunal ordenará la retirada de las obras o
prestaciones objeto de la infracción. Cuando a través de un portal de ac-
ceso a internet o servicio de la sociedad de la información, se difundan
exclusiva o preponderantemente los contenidos objeto de la propiedad
intelectual a que se refieren los apartados anteriores, se ordenará la in-
terrupción de la prestación del mismo, y el juez podrá acordar cualquier
medida cautelar que tenga por objeto la protección de los derechos de
propiedad intelectual.
Excepcionalmente, cuando exista reiteración de las conductas y cuando
resulte una medida proporcionada, eficiente y eficaz, se podrá ordenar el
bloqueo del acceso correspondiente.
4. En los supuestos a que se refiere el apartado 1, la distribución o comer-
cialización ambulante o meramente ocasional se castigará con una pena
de prisión de seis meses a dos años.
No obstante, atendidas las características del culpable y la reducida cuan-
tía del beneficio económico obtenido o que se hubiera podido obtener,
siempre que no concurra ninguna de las circunstancias del artículo 271, el
Juez podrá imponer la pena de multa de uno a seis meses o trabajos en
beneficio de la comunidad de treinta y uno a sesenta días.
5. Serán castigados con las penas previstas en los apartados anteriores,
en sus respectivos casos, quienes:
aa Exporten o almacenen intencionadamente ejemplares de las obras,
producciones o ejecuciones a que se refieren los dos primeros apartados
de este artículo, incluyendo copias digitales de las mismas, sin la referida
autorización, cuando estuvieran destinadas a ser reproducidas, distribui-
das o comunicadas públicamente.
bb Importen intencionadamente estos productos sin dicha autorización,
cuando estuvieran destinados a ser reproducidos, distribuidos o comu-
nicados públicamente, tanto si estos tienen un origen lícito como ilícito
en su país de procedencia; no obstante, la importación de los referidos
productos de un Estado perteneciente a la Unión Europea no será puni-
ble cuando aquellos se hayan adquirido directamente del titular de los
derechos en dicho Estado, o con su consentimiento.

144
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

cc Favorezcan o faciliten la realización de las conductas a que se refieren


los apartados 1 y 2 de este artículo eliminando o modificando, sin autori-
zación de los titulares de los derechos de propiedad intelectual o de sus
cesionarios, las medidas tecnológicas eficaces incorporadas por estos
con la finalidad de impedir o restringir su realización.
dd Con ánimo de obtener un beneficio económico directo o indirecto,
ya sea con la finalidad de facilitar a terceros el acceso a un ejemplar de
una obra literaria, o a su transformación, interpretación o ejecutaria,
artística o científica, fijada en cualquier tipo de soporte o comunicado
a través de cualquier medio, y sin autorización de los titulares de los
derechos de propiedad intelectual o de sus cesionarios, eluda o facilite
la elusión de las medidas tecnológicas eficaces dispuestas para evitar-
lo.
6. Será castigado también con una pena de prisión de seis meses a tres
años quien fabrique, importe, ponga en circulación o posea con una fina-
lidad comercial cualquier medio principalmente concebido, producido,
adaptado o realizado para facilitar la supresión no autorizada o la neu-
tralización de cualquier dispositivo técnico que se haya utilizado para
proteger programas de ordenador o cualquiera de las otras obras, inter-
pretaciones o ejecuciones en los términos previstos en los dos primeros
apartados de este artículo».

«Artículo 271. del Código Penal:


Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a
treinta y seis meses e inhabilitación especial para el ejercicio de la pro-
fesión relacionada con el delito cometido, por un período de dos a cinco
años, cuando se cometa el delito del artículo anterior concurriendo algu-
na de las siguientes circunstancias:
aa Que el beneficio obtenido o que se hubiera podido obtener posea es-
pecial trascendencia económica.
bb Que los hechos revistan especial gravedad, atendiendo el valor de los
objetos producidos ilícitamente, el número de obras, o de la transforma-
ción, ejecución o interpretación de las mismas, ilícitamente reproduci-
das, distribuidas, comunicadas al público o puestas a su disposición, o a
la especial importancia de los perjuicios ocasionados.

145
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

cc Que el culpable perteneciere a una organización o asociación, incluso


de carácter transitorio, que tuviese como finalidad la realización de acti-
vidades infractoras de derechos de propiedad intelectual.
dd Que se utilice a menores de 18 años para cometer estos delitos».

«Artículo 272 del Código Penal:


1. La extensión de la responsabilidad civil derivada de los delitos tipifi-
cados en los dos artículos anteriores se regirá por las disposiciones de la
Ley de Propiedad Intelectual relativas al cese de la actividad ilícita y a la
indemnización de daños y perjuicios.
2. En el supuesto de sentencia condenatoria, el Juez o Tribunal podrá de-
cretar la publicación de esta, a costa del infractor, en un periódico oficial».

«Artículo 273 del Código Penal.: 1. Será castigado con la pena de prisión
de seis meses a dos años y multa de 12 a 24 meses el que, con fines in-
dustriales o comerciales, sin consentimiento del titular de una patente o
modelo de utilidad y con conocimiento de su registro, fabrique, importe,
posea, utilice, ofrezca o introduzca en el comercio objetos amparados
por tales derechos.
2. Las mismas penas se impondrán al que, de igual manera, y para los
citados fines, utilice u ofrezca la utilización de un procedimiento objeto
de una patente, o posea, ofrezca, introduzca en el comercio, o utilice el
producto directamente obtenido por el procedimiento patentado.
3. Será castigado con las mismas penas el que realice cualquiera de los
actos tipificados en el párrafo primero de este artículo concurriendo
iguales circunstancias en relación con objetos amparados en favor de
tercero por un modelo o dibujo industrial o artístico o topografía de un
producto semiconductor».

«Artículo 274 del Código Penal:


1. Será castigado con las penas de uno a cuatro años de prisión y multa
de doce a veinticuatro meses el que, con fines industriales o comercia-
les, sin consentimiento del titular de un derecho de propiedad industrial
registrado conforme a la legislación de marcas y con conocimiento del
registro,

146
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

aa fabrique, produzca o importe productos que incorporen un signo dis-


tintivo idéntico o confundible con aquel, u
bb ofrezca, distribuya, o comercialice al por mayor productos que incor-
poren un signo distintivo idéntico o confundible con aquel, o los almace-
ne con esa finalidad, cuando se trate de los mismos o similares productos,
servicios o actividades para los que el derecho de propiedad industrial se
encuentre registrado.
2. Será castigado con las penas de seis meses a tres años de prisión el
que, con fines industriales o comerciales, sin consentimiento del titular
de un derecho de propiedad industrial registrado conforme a la legisla-
ción de marcas y con conocimiento del registro, ofrezca, distribuya o co-
mercialice al por menor, o preste servicios o desarrolle actividades, que
incorporen un signo distintivo idéntico o confundible con aquel, cuando
se trate de los mismos o similares productos, servicios o actividades para
los que el derecho de propiedad industrial se encuentre registrado.
La misma pena se impondrá a quien reproduzca o imite un signo distin-
tivo idéntico o confundible con aquel para su utilización para la comisión
de las conductas sancionadas en este artículo.
3. La venta ambulante u ocasional de los productos a que se refieren los
apartados anteriores será castigada con la pena de prisión de seis meses
a dos años.
No obstante, atendidas las características del culpable y la reducida cuan-
tía del beneficio económico obtenido o que se hubiera podido obtener,
siempre que no concurra ninguna de las circunstancias del artículo 276,
el Juez podrá imponer la pena de multa de uno a seis meses o trabajos en
beneficio de la comunidad de treinta y uno a sesenta días.
4. Será castigado con las penas de uno a tres años de prisión el que, con
fines agrarios o comerciales, sin consentimiento del titular de un título de
obtención vegetal y con conocimiento de su registro, produzca o repro-
duzca, acondicione con vistas a la producción o reproducción, ofrezca en
venta, venda o comercialice de otra forma, exporte o importe, o posea
para cualquiera de los fines mencionados, material vegetal de reproduc-
ción o multiplicación de una variedad vegetal protegida conforme a la
legislación nacional o de la Unión Europea sobre protección de obtencio-
nes vegetales.

147
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Será castigado con la misma pena quien realice cualesquiera de los actos
descritos en el párrafo anterior utilizando, bajo la denominación de una
variedad vegetal protegida, material vegetal de reproducción o multipli-
cación que no pertenezca a tal variedad».

«Artículo 275 del Código Penal:


Las mismas penas previstas en el artículo anterior se impondrán a quien
intencionadamente y sin estar autorizado para ello, utilice en el tráfico
económico una denominación de origen o una indicación geográfica re-
presentativa de una calidad determinada legalmente protegidas para
distinguir los productos amparados por ellas, con conocimiento de esta
protección».

«Artículo 276 del Código Penal:


Se impondrá la pena de prisión de dos a seis años, multa de dieciocho a
treinta y seis meses e inhabilitación especial para el ejercicio de la pro-
fesión relacionada con el delito cometido, por un período de dos a cinco
años, cuando concurra alguna de las siguientes circunstancias:
aa Que el beneficio obtenido o que se hubiera podido obtener posea es-
pecial trascendencia económica.
bb Que los hechos revistan especial gravedad, atendiendo al valor de los
objetos producidos ilícitamente, distribuidos, comercializados u ofreci-
dos, o a la especial importancia de los perjuicios ocasionados.
cc Que el culpable perteneciere a una organización o asociación, incluso
de carácter transitorio, que tuviese como finalidad la realización de acti-
vidades infractoras de derechos de propiedad industrial.
dd Que se utilice a menores de 18 años para cometer estos delitos».

«Artículo 277 del Código Penal:


Será castigado con las penas de prisión de seis meses a dos años y multa
de seis a veinticuatro meses, el que intencionadamente haya divulgado
la invención objeto de una solicitud de patente secreta, en contravención
con lo dispuesto en la legislación de patentes, siempre que ello sea en
perjuicio de la defensa nacional».

148
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

«Artículo 278 del Código Penal:


1. El que, para descubrir un secreto de empresa se apoderare por cual-
quier medio de datos, documentos escritos o electrónicos, soportes in-
formáticos u otros objetos que se refieran al mismo, o empleare alguno
de los medios o instrumentos señalados en el apartado 1 del artículo 197,
será castigado con la pena de prisión de dos a cuatro años y multa de
doce a veinticuatro meses.
2. Se impondrá la pena de prisión de tres a cinco años y multa de doce a
veinticuatro meses si se difundieren, revelaren o cedieren a terceros los
secretos descubiertos.
3. Lo dispuesto en el presente artículo se entenderá sin perjuicio de las
penas que pudieran corresponder por el apoderamiento o destrucción de
los soportes informáticos».

«Artículo 279 del Código Penal:


La difusión, revelación o cesión de un secreto de empresa llevada a cabo
por quien tuviere legal o contractualmente obligación de guardar reser-
va, se castigará con la pena de prisión de dos a cuatro años y multa de
doce a veinticuatro meses.
Si el secreto se utilizara en provecho propio, las penas se impondrán en
su mitad inferior».

«Artículo 280 del Código Penal:


El que, con conocimiento de su origen ilícito, y sin haber tomado parte en
su descubrimiento, realizare alguna de las conductas descritas en los dos
artículos anteriores, será castigado con la pena de prisión de uno a tres
años y multa de doce a veinticuatro meses».

«Artículo 281 del Código Penal:


1. El que detrajere del mercado materias primas o productos de primera
necesidad con la intención de desabastecer un sector del mismo, de for-
zar una alteración de precios, o de perjudicar gravemente a los consumi-
dores, será castigado con la pena de prisión de uno a cinco años y multa
de doce a veinticuatro meses.

149
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

2. Se impondrá la pena superior en grado si el hecho se realiza en situa-


ciones de grave necesidad o catastróficas».

«Artículo 282 del Código Penal:


Serán castigados con la pena de prisión de seis meses a un año o multa
de 12 a 24 meses los fabricantes o comerciantes que, en sus ofertas o pu-
blicidad de productos o servicios, hagan alegaciones falsas o manifiesten
características inciertas sobre los mismos, de modo que puedan causar
un perjuicio grave y manifiesto a los consumidores, sin perjuicio de la
pena que corresponda aplicar por la comisión de otros delitos».

«Artículo 282 bis del Código Penal:


Los que, como administradores de hecho o de derecho de una sociedad
emisora de valores negociados en los mercados de valores, falsearan la
información económico- financiera contenida en los folletos de emisión
de cualesquiera instrumentos financieros o las informaciones que la so-
ciedad debe publicar y difundir conforme a la legislación del mercado de
valores sobre sus recursos, actividades y negocios presentes y futuros,
con el propósito de captar inversores o depositantes, colocar cualquier
tipo de activo financiero, u obtener financiación por cualquier medio, se-
rán castigados con la pena de prisión de uno a cuatro años, sin perjuicio
de lo dispuesto en el artículo 308 de este Código.
En el supuesto de que se llegue a obtener la inversión, el depósito, la
colocación del activo o la financiación, con perjuicio para el inversor, de-
positante, adquiriente de los activos financieros o acreedor, se impondrá
la pena en la mitad superior. Si el perjuicio causado fuera de notoria gra-
vedad, la pena a imponer será de uno a seis años de prisión y multa de
seis a doce meses».

«Artículo 283 del Código Penal:


Se impondrán las penas de prisión de seis meses a un año y multa de
seis a dieciocho meses a los que, en perjuicio del consumidor, facturen
cantidades superiores, por productos o servicios cuyo costo o precio se
mida por aparatos automáticos, mediante la alteración o manipulación
de estos».

150
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

«Artículo 284 del Código Penal:


Se impondrá la pena de prisión de seis meses a dos años o multa de doce
a veinticuatro, meses a los que:
1.º Empleando violencia, amenaza o engaño, intentaren alterar los
precios que hubieren de resultar de la libre concurrencia de productos,
mercancías, títulos valores o instrumentos financieros, servicios o cua-
lesquiera otras cosas muebles o inmuebles que sean objeto de contra-
tación, sin perjuicio de la pena que pudiere corresponderles por otros
delitos cometidos.
2.º Difundieren noticias o rumores, por sí o a través de un medio de co-
municación, sobre personas o empresas en que a sabiendas se ofrecie-
ren datos económicos total o parcialmente falsos con el fin de alterar o
preservar el precio de cotización de un valor o instrumento financiero,
obteniendo para sí o para tercero un beneficio económico superior a los
300.000 euros o causando un perjuicio de idéntica cantidad.
3.º Utilizando información privilegiada, realizaren transacciones o dieren
órdenes de operación susceptibles de proporcionar indicios engañosos
sobre la oferta, la demanda o el precio de valores o instrumentos finan-
cieros, o se aseguraren utilizando la misma información, por sí o en con-
cierto con otros, una posición dominante en el mercado de dichos valores
o instrumentos con la finalidad de fijar sus precios en niveles anormales
o artificiales.
En todo caso se impondrá la pena de inhabilitación de uno a dos años
para intervenir en el mercado financiero como actor, agente o mediador
o informador».

«Artículo 285 del Código Penal:


1. Quien de forma directa o por persona interpuesta usare de alguna in-
formación relevante para la cotización de cualquier clase de valores o
instrumentos negociados en algún mercado organizado, oficial o reco-
nocido, a la que haya tenido acceso reservado con ocasión del ejercicio
de su actividad profesional o empresarial, o la suministrare obteniendo
para sí o para un tercero un beneficio económico superior a 600 000 eu-
ros o causando un perjuicio de idéntica cantidad, será castigado con la
pena de prisión de uno a cuatro años, multa del tanto al triplo del benefi-

151
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

cio obtenido o favorecido e inhabilitación especial para el ejercicio de la


profesión o actividad de dos a cinco años.
2. Se aplicará la pena de prisión de cuatro a seis años, la multa del tan-
to al triplo del beneficio obtenido o favorecido e inhabilitación especial
para el ejercicio de la profesión o actividad de dos a cinco años, cuando
en las conductas descritas en el apartado anterior concurra alguna de las
siguientes circunstancias:
1.ª Que los sujetos se dediquen de forma habitual a tales prácticas abu-
sivas.
2.ª Que el beneficio obtenido sea de notoria importancia.
3.ª Que se cause grave daño a los intereses generales».

«Artículo 286 del Código Penal:


1. Será castigado con las penas de prisión de seis meses a dos años y
multa de seis a 24 meses el que, sin consentimiento del prestador de ser-
vicios y con fines comerciales, facilite el acceso inteligible a un servicio
de radiodifusión sonora o televisiva, a servicios interactivos prestados a
distancia por vía electrónica, o suministre el acceso condicional a los mis-
mos, considerado como servicio independiente, mediante:
1.º La fabricación, importación, distribución, puesta a disposición por vía
electrónica, venta, alquiler, o posesión de cualquier equipo o programa
informático, no autorizado en otro Estado miembro de la Unión Euro-
pea, diseñado o adaptado para hacer posible dicho acceso.
2.º La instalación, mantenimiento o sustitución de los equipos o progra-
mas informáticos mencionados en el párrafo 1.°
2. Con idéntica pena será castigado quien, con ánimo de lucro, altere o
duplique el número identificativo de equipos de telecomunicaciones, o
comercialice equipos que hayan sufrido alteración fraudulenta.
3. A quien, sin ánimo de lucro, facilite a terceros el acceso descrito en el
apartado 1, o por medio de una comunicación pública, comercial o no,
suministre información a una pluralidad de personas sobre el modo de
conseguir el acceso no autorizado a un servicio o el uso de un dispositivo o
programa, de los expresados en ese mismo apartado 1, incitando a lograr-
los, se le impondrá la pena de multa en él prevista.

152
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

4. A quien utilice los equipos o programas que permitan el acceso no au-


torizado a servicios de acceso condicional o equipos de telecomunica-
ción, se le impondrá la pena prevista en el artículo 255 de este Código con
independencia de la cuantía de la defraudación».

«Artículo 286 bis del Código Penal:


1. El directivo, administrador, empleado o colaborador de una empresa
mercantil o de una sociedad que, por sí o por persona interpuesta, reciba,
solicite o acepte un beneficio o ventaja no justificados de cualquier natu-
raleza, para sí o para un tercero, como contraprestación para favorecer
indebidamente a otro en la adquisición o venta de mercancías, o en la
contratación de servicios o en las relaciones comerciales, será castigado
con la pena de prisión de seis meses a cuatro años, inhabilitación especial
para el ejercicio de industria o comercio por tiempo de uno a seis años y
multa del tanto al triplo del valor del beneficio o ventaja.
2. Con las mismas penas será castigado quien, por sí o por persona inter-
puesta, prometa, ofrezca o conceda a directivos, administradores, em-
pleados o colaboradores de una empresa mercantil o de una sociedad,
un beneficio o ventaja no justificados, de cualquier naturaleza, para ellos
o para terceros, como contraprestación para que le favorezca indebida-
mente a él o a un tercero frente a otros en la adquisición o venta de mer-
cancías, contratación de servicios o en las relaciones comerciales.
3. Los jueces y tribunales, en atención a la cuantía del beneficio o al valor
de la ventaja, y a la trascendencia de las funciones del culpable, podrán
imponer la pena inferior en grado y reducir la de multa a su prudente
arbitrio.
4. Lo dispuesto en este artículo será aplicable, en sus respectivos casos, a
los directivos, administradores, empleados o colaboradores de una enti-
dad deportiva, cualquiera que sea la forma jurídica de esta, así como a los
deportistas, árbitros o jueces, respecto de aquellas conductas que ten-
gan por finalidad predeterminar o alterar de manera deliberada y fraudu-
lenta el resultado de una prueba, encuentro o competición deportiva de
especial relevancia económica o deportiva.
A estos efectos, se considerará competición deportiva de especial rele-
vancia económica, aquella en la que la mayor parte de los participantes en
la misma perciban cualquier tipo de retribución, compensación o ingreso

153
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

económico por su participación en la actividad; y competición deportiva


de especial relevancia deportiva, la que sea calificada en el calendario
deportivo anual aprobado por la federación deportiva correspondiente
como competición oficial de la máxima categoría de la modalidad, espe-
cialidad, o disciplina de que se trate.
5. A los efectos de este artículo resulta aplicable lo dispuesto en el artí-
culo 297».

«Artículo 286 ter del Código Penal:


1. Los que mediante el ofrecimiento, promesa o concesión de cualquier
beneficio o ventaja indebidos, pecuniarios o de otra clase, corrompieren
o intentaren corromper, por sí o por persona interpuesta, a una autoridad
o funcionario público en beneficio de estos o de un tercero, o atendieran
sus solicitudes al respecto, con el fin de que actúen o se abstengan de
actuar en relación con el ejercicio de funciones públicas para conseguir o
conservar un contrato, negocio o cualquier otra ventaja competitiva en
la realización de actividades económicas internacionales, serán castiga-
dos, salvo que ya lo estuvieran con una pena más grave en otro precepto
de este Código, con las penas de prisión de prisión de tres a seis años,
multa de doce a veinticuatro meses, salvo que el beneficio obtenido fue-
se superior a la cantidad resultante, en cuyo caso la multa será del tanto
al triplo del montante de dicho beneficio.
Además de las penas señaladas, se impondrá en todo caso al responsa-
ble la pena de prohibición de contratar con el sector público, así como
la pérdida de la posibilidad de obtener subvenciones o ayudas públicas
y del derecho a gozar de beneficios o incentivos fiscales y de la Seguri-
dad Social, y la prohibición de intervenir en transacciones comerciales de
trascendencia pública por un periodo de siete a doce años.
2. A los efectos de este artículo se entenderá por funcionario público los
determinados por los artículos 24 y 427. Del Código Penal».

«Artículo 286 quater del Código Penal:


1. Si los hechos a que se refieren los artículos de esta Sección resultaran
de especial gravedad, se impondrá la pena en su mitad superior, pudién-
dose llegar hasta la superior en grado.

154
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

Los hechos se considerarán, en todo caso, de especial gravedad cuando:


aa El beneficio o ventaja tenga un valor especialmente elevado,
bb la acción del autor no sea meramente ocasional,
cc se trate de hechos cometidos en el seno de una organización o grupo
criminal, y
dd el objeto del negocio versara sobre bienes o servicios humanitarios o
cualesquiera otros de primera necesidad.
En el caso del apartado 4 del artículo 286 bis, los hechos se considerarán
también de especial gravedad cuando:
aa Tengan como finalidad influir en el desarrollo de juegos de azar o
apuestas; o
bb sean cometidos en una competición deportiva oficial de ámbito esta-
tal calificada como profesional o en una competición deportiva interna-
cional».

«Artículo 287 del Código Penal:


1. Para proceder por los delitos previstos en la Sección 3A de este Capí-
tulo, excepto los previstos en los artículos 284 y 285, será necesaria de-
nuncia de la persona agraviada o de sus representantes legales. Cuando
aquella sea menor de edad, incapaz o una persona desvalida, también
podrá denunciar el Ministerio Fiscal.
2. No será precisa la denuncia exigida en el apartado anterior cuando la
comisión del delito afecte a los intereses generales o a una pluralidad de
personas».

Dentro de este grupo de delitos podemos clasificarlos del siguiente


modo:
Por una parte, al siguiente tipo de conductas que a continuación se des-
criben, será aplicable el artículo 288, parágrafo 1. Estas conductas son:
• En materia de propiedad intelectual
• Quien con ánimo de obtener un beneficio económico directo o
indirecto y en perjuicio de tercero, reproduzca, plagie, distribu-
ya, comunique públicamente o de cualquier otro modo explote

155
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

económicamente, en todo o en parte, una obra o prestación


literaria, artística o científica, o su transformación, interpreta-
ción o ejecución artística fijada en cualquier tipo de soporte o
comunicada a través de cualquier medio, sin la autorización de
los titulares de los correspondientes derechos de propiedad in-
telectual o de sus cesionarios.
• Quien, en la prestación de servicios de la sociedad de la infor-
mación, con ánimo de obtener un beneficio económico directo
o indirecto, y en perjuicio de tercero, facilite de modo activo y
no neutral y sin limitarse a un tratamiento meramente técnico,
el acceso o la localización en internet de obras o prestaciones
objeto de propiedad intelectual sin la autorización de los titu-
lares de los correspondientes derechos o de sus cesionarios, en
particular ofreciendo listados ordenados y clasificados de enla-
ces a las obras y contenidos referidos anteriormente, aunque
dichos enlaces hubieran sido facilitados inicialmente por los
destinatarios de sus servicios.
• Quienes exporten o almacenen intencionadamente ejempla-
res de las obras, producciones o ejecuciones a que se refieren
los dos primeros apartados de este artículo, incluyendo copias
digitales de las mismas, sin la referida autorización, cuando es-
tuvieran destinadas a ser reproducidas, distribuidas o comuni-
cadas públicamente.
• Quienes importen intencionadamente estos productos sin di-
cha autorización, cuando estuvieran destinados a ser reprodu-
cidos, distribuidos o comunicados públicamente, tanto si estos
tienen un origen lícito como ilícito en su país de procedencia;
no obstante, la importación de los referidos productos de un
Estado perteneciente a la Unión Europea no será punible cuan-
do aquellos hayan adquirido directamente del titular de los de-
rechos en dicho Estado, o con su consentimiento. Quien con
ánimo de obtener un beneficio económico directo o indirecto,
con la finalidad de facilitar a terceros el acceso a un emplar de
una obra literaria, artística o científica, o a su transformación,
interpretación o ejecución artística, fijada en cualquier tipo de
soporte o comunicado a través de cualquier medio, y sin autori-
zación de los titulares de los derechos de propiedad intelectual

156
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

o de sus cesionarios, eluda o facilite la elusión de las medidas


tecnológicas eficaces dispuestas para evitarlo.Quien fabrique,
importe, ponga en circulación o posea con una finalidad co-
mercial cualquier medio principalmente concebido, producido,
adaptado o realizado para facilitar la supresión no autorizada
o la neutralización de cualquier dispositivo técnico que se haya
utilizado para proteger programas de ordenador o cualquiera
de las otras obras, interpretaciones o ejecuciones en los térmi-
nos previstos en los dos primeros apartados de este artículo.
• En materia de propiedad industrial:
• Quien con fines industriales o comerciales, sin consentimiento
del titular de una patente o modelo de utilidad y con conoci-
miento de su registro, fabrique, importe, posea, utilice, ofrezca
o introduzca en el comercio objetos amparados por tales dere-
chos.
• Quien utilice u ofrezca la utilización de un procedimiento obje-
to de una patente, o posea, ofrezca, introduzca en el comercio,
o utilice el producto directamente obtenido por el procedimien-
to patentado.
• Quien concurriendo iguales circunstancias en relación con ob-
jetos amparados en favor de tercero por un modelo o dibujo in-
dustrial o artístico o topografía de un producto semiconductor.
• Quien con fines industriales o comerciales, sin consentimiento
del titular de un derecho de propiedad industrial registrado con-
forme a la legislación de marcas y con conocimiento del registro:
ȃȃ fabrique, produzca o importe productos que incorporen un signo dis-
tintivo idéntico o confundible con aquel.
ȃȃ ofrezca, distribuya, o comercialice al por mayor productos que in-
corporen un signo distintivo idéntico o confundible con aquel, o los
almacene con esa finalidad, cuando se trate de los mismos o simi-
lares productos, servicios o actividades para los que el derecho de
propiedad industrial se encuentre registrado.
• Quien con fines industriales o comerciales, sin consentimien-
to del titular de un derecho de propiedad industrial registrado
conforme a la legislación de marcas y con conocimiento del re-

157
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

gistro, ofrezca, distribuya o comercialice al por menor, o pres-


te servicios o desarrolle actividades, que incorporen un signo
distintivo idéntico o confundible con aquel, cuando se trate de
los mismos o similares productos, servicios o actividades para
los que el derecho de propiedad industrial se encuentre regis-
trado.
• Quien reproduzca o imite un signo distintivo idéntico o confun-
dible con aquel para su utilización para la comisión de las con-
ductas sancionadas en el artículo 274.
• La venta ambulante u ocasional de los productos señalados en
el artículo 274.
• Quien con fines agrarios o comerciales, sin consentimiento del
titular de un título de obtención vegetal y con conocimiento de
su registro, produzca o reproduzca, acondicione con vistas a la
producción o reproducción, ofrezca en venta, venda o comer-
cialice de otra forma, exporte o importe, o posea para cualquie-
ra de los fines mencionados, material vegetal de reproducción
o multiplicación de una variedad vegetal protegida conforme a
la legislación nacional o de la Unión Europea sobre protección
de obtenciones vegetales.
• Quien intencionadamente y sin estar autorizado para ello, uti-
lice en el tráfico económico una denominación de origen o una
indicación geográfica representativa de una calidad determina-
da legalmente protegidas para distinguir los productos ampa-
rados por ellas, con conocimiento de esta protección.
• En materia de mercado y de consumidores:
• Quienes en perjuicio del consumidor, facturen cantidades supe-
riores por productos o servicios cuyo costo o precio se mida por
aparatos automáticos, mediante la alteración o manipulación
de estos.
• Quien de forma directa o por persona interpuesta usara de
alguna información relevante para la cotización de cualquier
clase de valores o instrumentos negociados en algún mercado
organizado, oficial o reconocido, a la que haya tenido acceso
reservado con ocasión del ejercicio de su actividad profesional
o empresarial, o la suministrare obteniendo para sí o para un

158
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

tercero un beneficio económico superior a 600 000 euros o cau-


sando un perjuicio de idéntica cantidad.
• Quien sin consentimiento del prestador de servicios y con fines
comerciales, facilite el acceso inteligible a un servicio de radio-
difusión sonora o televisiva, a servicios interactivos prestados a
distancia por vía electrónica, o suministre el acceso condicional
a los mismos, considerado como servicio independiente, me-
diante:
ȃȃ La fabricación, importación, distribución, puesta a disposición por vía
electrónica, venta, alquiler, o posesión de cualquier equipo o progra-
ma informático, no autorizado en otro Estado miembro de la Unión
Europea, diseñado o adaptado para hacer posible dicho acceso.
ȃȃ La instalación, mantenimiento o sustitución de los equipos o progra-
mas informáticos mencionados en el párrafo 1.°
• Quien, con ánimo de lucro, altere o duplique el número identifi-
cativo de equipos de telecomunicaciones, o comercialice equi-
pos que hayan sufrido alteración fraudulenta.
• Quien, sin ánimo de lucro, facilite a terceros el acceso descri-
to en el apartado tercero de esta enumeración, o por medio de
una comunicación pública, comercial o no, suministre informa-
ción a una pluralidad de personas sobre el modo de conseguir
el acceso no autorizado a un servicio o el uso de un dispositivo
o programa, de los expresados en ese mismo apartado tercero,
incitando a lograrlos.
En todos estos supuestos que hemos desarrollado, la responsabilidad
penal de la persona jurídica se articula del modo siguiente:
• Multa del doble al cuádruple del beneficio obtenido, o que se
hubiera podido obtener, si el delito cometido por la persona fí-
sica tiene prevista una pena de prisión de más de dos años.
• Multa del doble al triple del beneficio obtenido, favorecido, o
que se hubiera podido obtener, en el resto de los casos (penas
inferiores a 2 años).
En todo caso y siguiendo lo que reiteradamente afirmamos, atendidas
las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán
asimismo imponer las penas recogidas en las letras b) a g) del apartado

159
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

7 del artículo 33. Aludimos de nuevo a la posibilidad de imponer penas


accesorias.

«Artículo 288:
En los supuestos previstos en los artículos anteriores se dispondrá la pu-
blicación de la sentencia en los periódicos oficiales y, si lo solicitara el
perjudicado, el Juez o Tribunal podrá ordenar su reproducción total o par-
cial en cualquier otro medio informativo, a costa del condenado.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este Capítulo, se le
impondrán las siguientes penas:
1.º En el caso de los delitos previstos en los artículos 270, 271, 273, 274,
275, 276, 283, 285 y 286:
aa Multa del doble al cuádruple del beneficio obtenido, o que se hubiera
podido obtener, si el delito cometido por la persona física tiene prevista
una pena de prisión de más de dos años.
bb Multa del doble al triple del beneficio obtenido, favorecido, o que se
hubiera podido obtener, en el resto de los casos.
2.º Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tri-
bunales podrán asimismo imponer las penas recogidas en las letras b) a
g) del apartado 7 del artículo 33».

Existe también otro grupo de conductas tipificadas, que son las que a
continuación se desarrollan:
• En materia de propiedad industrial:
• Quien intencionadamente haya divulgado la invención objeto
de una solicitud de patente secreta, en contravención con lo
dispuesto en la legislación de patentes, siempre que ello sea en
perjuicio de la defensa nacional.
• En materia de mercado y consumidores:
• Quien para descubrir un secreto de empresa se apoderare por
cualquier medio de datos, documentos escritos o electrónicos,
soportes informáticos u otros objetos que se refieran al mismo,
o empleare alguno de los medios o instrumentos señalados en

160
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

el apartado 1 del artículo 197 (delito de descubrimiento y revela-


ción de secretos).
• Quienes difundieran, revelaran o cedieran a terceros los secre-
tos descubiertos.
• La difusión, revelación o cesión de un secreto de empresa lleva-
da a cabo por quien tuviere legal o contractualmente obligación
de guardar reserva.
• Quien con conocimiento de su origen ilícito, y sin haber tomado
parte en su descubrimiento, realizara alguna de las conductas
descritas en los artículos 278 y 279.
• Quien detrajera del mercado materias primas o productos de
primera necesidad con la intención de desabastecer un sector
del mismo, de forzar una alteración de precios, o de perjudicar
gravemente a los consumidores.
• Los fabricantes o comerciantes que, en sus ofertas o publicidad
de productos o servicios, hagan alegaciones falsas o manifiesten
características inciertas sobre los mismos, de modo que puedan
causar un perjuicio grave y manifiesto a los consumidores, sin
perjuicio de la pena que corresponda aplicar por la comisión de
otros delitos.
• Quienes como administradores de hecho o de derecho de una
sociedad emisora de valores negociados en los mercados de
valores, falsearan la información económico–financiera con-
tenida en los folletos de emisión de cualesquiera instrumentos
financieros o las informaciones que la sociedad debe publicar y
difundir conforme a la legislación del mercado de valores sobre
sus recursos, actividades y negocios presentes y futuros, con el
propósito de captar inversores o depositantes, colocar cualquier
tipo de activo financiero, u obtener financiación por cualquier
medio.
• Quienes empleando violencia, amenaza o engaño, intentaran
alterar los precios que hubieren de resultar de la libre concu-
rrencia de productos, mercancías, títulos valores o instrumen-
tos financieros, servicios o cualesquiera otras cosas muebles o
inmuebles que sean objeto de contratación, sin perjuicio de la
pena que pudiere corresponderles por otros delitos cometidos.

161
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Quienes difundieren noticias o rumores, por sí o a través de un


medio de comunicación, sobre personas o empresas en que a
sabiendas se ofrecieran datos económicos total o parcialmen-
te falsos con el fin de alterar o preservar el precio de cotización
de un valor o instrumento financiero, obteniendo para sí o para
tercero un beneficio económico superior a los 300.000 euros o
causando un perjuicio de idéntica cantidad.
• Quienes utilizando información privilegiada, realizaran transac-
ciones o dieran órdenes de operación susceptibles de proporcio-
nar indicios engañosos sobre la oferta, la demanda o el precio
de valores o instrumentos financieros, o se aseguraren utilizan-
do la misma información, por sí o en concierto con otros, una
posición dominante en el mercado de dichos valores o instru-
mentos con la finalidad de fijar sus precios en niveles anormales
o artificiales.
• Quien detrajera del mercado materias primas o productos de
primera necesidad con la intención de desabastecer un sector
del mismo, de forzar una alteración de precios, o de perjudicar
gravemente a los consumidores.
• Los fabricantes o comerciantes que, en sus ofertas o publicidad
de productos o servicios, hagan alegaciones falsas o manifiesten
características inciertas sobre los mismos, de modo que puedan
causar un perjuicio grave y manifiesto a los consumidores, sin
perjuicio de la pena que corresponda aplicar por la comisión de
otros delitos.
• Quienes como administradores de hecho o de derecho de una
sociedad emisora de valores negociados en los mercados de va-
lores, falsearan la información económico- financiera contenida
en los folletos de emisión de cualesquiera instrumentos financie-
ros o las informaciones que la sociedad debe publicar y difundir
conforme a la legislación del mercado de valores sobre sus re-
cursos, actividades y negocios presentes y futuros, con el propó-
sito de captar inversores o depositantes, colocar cualquier tipo
de activo financiero, u obtener financiación por cualquier medio.
• Quienes empleando violencia, amenaza o engaño, intentaran
alterar los precios que hubieren de resultar de la libre concu-

162
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

rrencia de productos, mercancías, títulos valores o instrumen-


tos financieros, servicios o cualesquiera otras cosas muebles o
inmuebles que sean objeto de contratación, sin perjuicio de la
pena que pudiere corresponderles por otros delitos cometidos.
• Quienes difundieren noticias o rumores, por sí o a través de un
medio de comunicación, sobre personas o empresas en que a
sabiendas se ofrecieran datos económicos total o parcialmen-
te falsos con el fin de alterar o preservar el precio de cotización
de un valor o instrumento financiero, obteniendo para sí o para
tercero un beneficio económico superior a los 300.000 euros o
causando un perjuicio de idéntica cantidad.
• Quienes utilizando información privilegiada, realizaran transac-
ciones o dieran órdenes de operación susceptibles de proporcio-
nar indicios engañosos sobre la oferta, la demanda o el precio de
valores o instrumentos financieros, o se aseguraren utilizando la
misma información, por sí o en concierto con otros, una posición
dominante en el mercado de dichos valores o instrumentos con
la finalidad de fijar sus precios en niveles anormales o artificiales.
• En materia de corrupción en los negocios:
• El directivo, administrador, empleado o colaborador de una
empresa mercantil o de una sociedad que, por sí o por persona
interpuesta, reciba, solicite o acepte un beneficio o ventaja no
justificados de cualquier naturaleza, para sí o para un tercero,
como contraprestación para favorecer indebidamente a otro en
la adquisición o venta de mercancías, o en la contratación de ser-
vicios o en las relaciones comerciales.
• Quien, por sí o por persona interpuesta, prometa, ofrezca o con-
ceda a directivos, administradores, empleados o colaborado-
res de una empresa mercantil o de una sociedad, un beneficio
o ventaja no justificados, de cualquier naturaleza, para ellos o
para terceros, como contraprestación para que le favorezca in-
debidamente a él o a un tercero frente a otros en la adquisición
o venta de mercancías, contratación de servicios o en las relacio-
nes comerciales.
• Quienes mediante el ofrecimiento, promesa o concesión de
cualquier beneficio o ventaja indebidos, pecuniarios o de otra

163
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

clase, corrompieren o intentaren corromper, por sí o por persona


interpuesta, a una autoridad o funcionario público en beneficio
de estos o de un tercero, o atendieran sus solicitudes al respec-
to, con el fin de que actúen o se abstengan de actuar en relación
con el ejercicio de funciones públicas para conseguir o conservar
un contrato, negocio o cualquier otra ventaja competitiva en la
realización de actividades económicas internacionales.
Respecto de las conductas que hemos descrito en este grupo, la respon-
sabilidad penal de las personas jurídicas es la que a continuación se es-
tablece:
Multa de dos a cinco años, o del triple al quíntuple del beneficio obtenido
o que se hubiere podido obtener si la cantidad resultante fuese más ele-
vada, cuando el delito cometido por la persona física tiene prevista una
pena de más de dos años de privación de libertad.
Multa de seis meses a dos años, o del tanto al duplo del beneficio obte-
nido o que se hubiere podido obtener si la cantidad resultante fuese más
elevada, en el resto de los casos (pena de prisión inferior a 2 años).
Igualmente, atendidas las reglas establecidas en el artículo 66 bis, los
jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33. Hacemos referencia a la posi-
bilidad de imposición de penas accesorias.
Con mayor expresividad el enunciado del artículo 288 parágrafo 2º, de-
talla esta cuestión:
«Artículo 288:
En los supuestos previstos en los artículos anteriores se dispondrá la pu-
blicación de la sentencia en los periódicos oficiales y, si lo solicitara el
perjudicado, el Juez o Tribunal podrá ordenar su reproducción total o par-
cial en cualquier otro medio informativo, a costa del condenado.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este Capítulo, se le
impondrán las siguientes penas:
[…]
En el caso de los delitos previstos en los artículos 277, 278, 279, 280, 281,
282, 282 bis, 284 y 286 bis al 286 quater:

164
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

aa Multa de dos a cinco años, o del triple al quíntuple del beneficio obte-
nido o que se hubiere podido obtener si la cantidad resultante fuese más
elevada, cuando el delito cometido por la persona física tiene prevista
una pena de más de dos años de privación de libertad.
bb Multa de seis meses a dos años, o del tanto al duplo del beneficio obte-
nido o que se hubiere podido obtener si la cantidad resultante fuese más
elevada, en el resto de los casos.
2.º Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tri-
bunales podrán asimismo imponer las penas recogidas en las letras b) a
g) del apartado 7 del artículo 33».

6.2. Delitos contra la Hacienda Pública y contra la Seguri-


dad Social (artículos 305, 306, 307, 308, 309 y 310 CP)
«Artículo 305:
1. El que, por acción u omisión, defraude a la Hacienda Pública estatal,
autonómica, foral o local, eludiendo el pago de tributos, cantidades rete-
nidas o que se hubieran debido retener o ingresos a cuenta, obteniendo
indebidamente devoluciones o disfrutando beneficios fiscales de la mis-
ma forma, siempre que la cuantía de la cuota defraudada, el importe no
ingresado de las retenciones o ingresos a cuenta o de las devoluciones
o beneficios fiscales indebidamente obtenidos o disfrutados exceda de
ciento veinte mil euros será castigado con la pena de prisión de uno a
cinco años y multa del tanto al séxtuplo de la citada cuantía, salvo que
hubiere regularizado su situación tributaria en los términos del apartado
4 del presente artículo.
La mera presentación de declaraciones o autoliquidaciones no excluye la
defraudación, cuando esta se acredite por otros hechos.
Además de las penas señaladas, se impondrá al responsable la pérdida
de la posibilidad de obtener subvenciones o ayudas públicas y del dere-
cho a gozar de los beneficios o incentivos fiscales o de la Seguridad Social
durante el período de tres a seis años.
2. A los efectos de determinar la cuantía mencionada en el apartado an-
terior:

165
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

1.º Si se trata de tributos, retenciones, ingresos a cuenta o devolucio-


nes, periódicos o de declaración periódica, se estará a lo defraudado
en cada período impositivo o de declaración, y si estos son inferiores a
doce meses, el importe de lo defraudado se referirá al año natural. No
obstante lo anterior, en los casos en los que la defraudación se lleve a
cabo en el seno de una organización o grupo criminal, o por personas
o entidades que actúen bajo la apariencia de una actividad económica
real sin desarrollarla de forma efectiva, el delito será perseguible desde
el mismo momento en que se alcance la cantidad fijada en el apartado 1.
bb En los demás supuestos, la cuantía se entenderá referida a cada uno
de los distintos conceptos por los que un hecho imponible sea suscepti-
ble de liquidación.
3. Las mismas penas se impondrán cuando las conductas descritas en el
apartado 1 de este artículo se cometan contra la Hacienda de la Unión
Europea, siempre que la cuantía defraudada excediera de cincuenta mil
euros en el plazo de un año natural. No obstante lo anterior, en los casos
en los que la defraudación se lleve a cabo en el seno de una organización
o grupo criminal, o por personas o entidades que actúen bajo la aparien-
cia de una actividad económica real sin desarrollarla de forma efectiva,
el delito será perseguible desde el mismo momento en que se alcance la
cantidad fijada en este apartado.
Si la cuantía defraudada no superase los cincuenta mil euros, pero exce-
diere de cuatro mil, se impondrá una pena de prisión de tres meses a un
año o multa del tanto al triplo de la citada cuantía y la pérdida de la posi-
bilidad de obtener subvenciones o ayudas públicas y del derecho a gozar
de los beneficios o incentivos fiscales o de la Seguridad Social durante el
período de seis meses a dos años.
4. Se considerará regularizada la situación tributaria cuando se haya pro-
cedido por el obligado tributario al completo reconocimiento y pago de
la deuda tributaria, antes de que por la Administración Tributaria se le
haya notificado el inicio de actuaciones de comprobación o investigación
tendentes a la determinación de las deudas tributarias objeto de la regu-
larización o, en el caso de que tales actuaciones no se hubieran produci-
do, antes de que el Ministerio Fiscal, el Abogado del Estado o el repre-
sentante procesal de la Administración autonómica, foral o local de que
se trate, interponga querella o denuncia contra aquel dirigida, o antes de

166
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

que el Ministerio Fiscal o el Juez de Instrucción realicen actuaciones que


le permitan tener conocimiento formal de la iniciación de diligencias.
Asimismo, los efectos de la regularización prevista en el párrafo ante-
rior resultarán aplicables cuando se satisfagan deudas tributarias una vez
prescrito el derecho de la Administración a su determinación en vía ad-
ministrativa.
La regularización por el obligado tributario de su situación tributaria im-
pedirá que se le persiga por las posibles irregularidades contables u otras
falsedades instrumentales que, exclusivamente en relación a la deuda
tributaria objeto de regularización, el mismo pudiera haber cometido
con carácter previo a la regularización de su situación tributaria.
5. Cuando la Administración Tributaria apreciare indicios de haberse co-
metido un delito contra la Hacienda Pública, podrá liquidar de forma
separada, por una parte los conceptos y cuantías que no se encuentren
vinculados con el posible delito contra la Hacienda Pública, y por otra,
los que se encuentren vinculados con el posible delito contra la Hacienda
Pública.
La liquidación indicada en primer lugar en el párrafo anterior seguirá la
tramitación ordinaria y se sujetará al régimen de recursos propios de toda
liquidación tributaria. Y la liquidación que en su caso derive de aquellos
conceptos y cuantías que se encuentren vinculados con el posible delito
contra la Hacienda Pública seguirá la tramitación que al efecto establez-
ca la normativa tributaria, sin perjuicio de que finalmente se ajuste a lo
que se decida en el proceso penal.
La existencia del procedimiento penal por delito contra la Hacienda Pú-
blica no paralizará la acción de cobro de la deuda tributaria. Por parte de
la Administración Tributaria podrán iniciarse las actuaciones dirigidas al
cobro, salvo que el Juez, de oficio o a instancia de parte, hubiere acorda-
do la suspensión de las actuaciones de ejecución, previa prestación de
garantía. Si no se pudiese prestar garantía en todo o en parte, excepcio-
nalmente el Juez podrá acordar la suspensión con dispensa total o parcial
de garantías si apreciare que la ejecución pudiese ocasionar daños irre-
parables o de muy difícil reparación.
6. Los Jueces y Tribunales podrán imponer al obligado tributario o al au-
tor del delito la pena inferior en uno o dos grados, siempre que, antes de

167
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

que transcurran dos meses desde la citación judicial como imputado sa-
tisfaga la deuda tributaria y reconozca judicialmente los hechos. Lo an-
terior será igualmente aplicable respecto de otros partícipes en el delito
distintos del obligado tributario o del autor del delito, cuando colaboren
activamente para la obtención de pruebas decisivas para la identificación
o captura de otros responsables, para el completo esclarecimiento de los
hechos delictivos o para la averiguación del patrimonio del obligado tri-
butario o de otros responsables del delito.
7. En los procedimientos por el delito contemplado en este artículo, para la
ejecución de la pena de multa y la responsabilidad civil, que comprenderá
el importe de la deuda tributaria que la Administración Tributaria no haya
liquidado por prescripción u otra causa legal en los términos previstos en
la Ley 58/2003, General Tributaria, de 17 de diciembre, incluidos sus inte-
reses de demora, los Jueces y Tribunales recabarán el auxilio de los servi-
cios de la Administración Tributaria que las exigirá por el procedimiento
administrativo de apremio en los términos establecidos en la citada Ley».

«Artículo 305 bis del Código Penal:


1. El delito contra la Hacienda Pública será castigado con la pena de pri-
sión de dos a seis años y multa del doble al séxtuplo de la cuota defrau-
dada cuando la defraudación se cometiere concurriendo alguna de las
circunstancias siguientes:
aa Que la cuantía de la cuota defraudada exceda de seiscientos mil euros.
bb Que la defraudación se haya cometido en el seno de una organización
o de un grupo criminal.
cc Que la utilización de personas físicas o jurídicas o entes sin personali-
dad jurídica interpuestos, negocios o instrumentos fiduciarios o paraísos
fiscales o territorios de nula tributación oculte o dificulte la determina-
ción de la identidad del obligado tributario o del responsable del delito,
la determinación de la cuantía defraudada o del patrimonio del obligado
tributario o del responsable del delito.
2. A los supuestos descritos en el presente artículo les serán de aplicación
todas las restantes previsiones contenidas en el artículo 305.
En estos casos, además de las penas señaladas, se impondrá al respon-
sable la pérdida de la posibilidad de obtener subvenciones o ayudas pú-

168
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

blicas y del derecho a gozar de los beneficios o incentivos fiscales o de la


Seguridad Social durante el período de cuatro a ocho años».

«Artículo 306 del Código Penal:


El que por acción u omisión defraude a los presupuestos generales de
la Unión Europea u otros administrados por esta, en cuantía superior a
cincuenta mil euros, eludiendo, fuera de los casos contemplados en el
apartado 3 del artículo 305, el pago de cantidades que se deban ingresar,
dando a los fondos obtenidos una aplicación distinta de aquella a que
estuvieren destinados u obteniendo indebidamente fondos falseando las
condiciones requeridas para su concesión u ocultando las que la hubieran
impedido, será castigado con la pena de prisión de uno a cinco años y
multa del tanto al séxtuplo de la citada cuantía y la pérdida de la posibi-
lidad de obtener subvenciones o ayudas públicas y del derecho a gozar
de los beneficios o incentivos fiscales o de la Seguridad Social durante el
período de tres a seis años.
Si la cuantía defraudada o aplicada indebidamente no superase los cin-
cuenta mil euros, pero excediere de cuatro mil, se impondrá una pena
de prisión de tres meses a un año o multa del tanto al triplo de la citada
cuantía y la pérdida de la posibilidad de obtener subvenciones o ayudas
públicas y del derecho a gozar de los beneficios o incentivos fiscales o de
la Seguridad Social durante el período de seis meses a dos años».

«Artículo 307 del Código Penal:


1. El que, por acción u omisión, defraude a la Seguridad Social eludiendo
el pago de las cuotas de esta y conceptos de recaudación conjunta, ob-
teniendo indebidamente devoluciones de las mismas o disfrutando de
deducciones por cualquier concepto asimismo de forma indebida, siem-
pre que la cuantía de las cuotas defraudadas o de las devoluciones o de-
ducciones indebidas exceda de cincuenta mil euros será castigado con
la pena de prisión de uno a cinco años y multa del tanto al séxtuplo de la
citada cuantía salvo que hubiere regularizado su situación ante la Seguri-
dad Social en los términos del apartado 3 del presente artículo.
La mera presentación de los documentos de cotización no excluye la de-
fraudación, cuando esta se acredite por otros hechos.

169
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

Además de las penas señaladas, se impondrá al responsable la pérdida


de la posibilidad de obtener subvenciones o ayudas públicas y del dere-
cho a gozar de los beneficios o incentivos fiscales o de la Seguridad Social
durante el período de tres a seis años.
2. A los efectos de determinar la cuantía mencionada en el apartado ante-
rior se estará al importe total defraudado durante cuatro años naturales.
3. Se considerará regularizada la situación ante la Seguridad Social cuan-
do se haya procedido por el obligado frente a la Seguridad Social al com-
pleto reconocimiento y pago de la deuda antes de que se le haya notifi-
cado la iniciación de actuaciones inspectoras dirigidas a la determinación
de dichas deudas o, en caso de que tales actuaciones no se hubieran pro-
ducido, antes de que el Ministerio Fiscal o el Letrado de la Seguridad So-
cial interponga querella o denuncia contra aquel dirigida o antes de que
el Ministerio Fiscal o el Juez de Instrucción realicen actuaciones que le
permitan tener conocimiento formal de la iniciación de diligencias.
Asimismo, los efectos de la regularización prevista en el párrafo anterior,
resultarán aplicables cuando se satisfagan deudas ante la Seguridad So-
cial una vez prescrito el derecho de la Administración a su determinación
en vía administrativa.
La regularización de la situación ante la Seguridad Social impedirá que
a dicho sujeto se le persiga por las posibles irregularidades contables u
otras falsedades instrumentales que, exclusivamente en relación a la
deuda objeto de regularización, el mismo pudiera haber cometido con
carácter previo a la regularización de su situación.
4. La existencia de un procedimiento penal por delito contra la Seguridad
Social no paralizará el procedimiento administrativo para la liquidación
y cobro de la deuda contraída con la Seguridad Social, salvo que el Juez
lo acuerde previa prestación de garantía. En el caso de que no se pudiese
prestar garantía en todo o en parte, el Juez, con carácter excepcional,
podrá acordar la suspensión con dispensa total o parcial de las garan-
tías, en el caso de que apreciara que la ejecución pudiera ocasionar daños
irreparables o de muy difícil reparación. La liquidación administrativa se
ajustará finalmente a lo que se decida en el proceso penal.
5. Los Jueces y Tribunales podrán imponer al obligado frente a la Seguri-
dad Social o al autor del delito la pena inferior en uno o dos grados, siem-
pre que, antes de que transcurran dos meses desde la citación judicial

170
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

como imputado, satisfaga la deuda con la Seguridad Social y reconozca


judicialmente los hechos. Lo anterior será igualmente aplicable respecto
de otros partícipes en el delito distintos del deudor a la Seguridad Social
o del autor del delito, cuando colaboren activamente para la obtención
de pruebas decisivas para la identificación o captura de otros responsa-
bles, para el completo esclarecimiento de los hechos delictivos o para la
averiguación del patrimonio del obligado frente a la Seguridad Social o
de otros responsables del delito.
6. En los procedimientos por el delito contemplado en este artículo, para
la ejecución de la pena de multa y la responsabilidad civil, que compren-
derá el importe de la deuda frente a la Seguridad Social que la Adminis-
tración no haya liquidado por prescripción u otra causa legal, incluidos
sus intereses de demora, los Jueces y Tribunales recabarán el auxilio de
los servicios de la Administración de la Seguridad Social que las exigirá
por el procedimiento administrativo de apremio».

«Artículo 307 bis del Código Penal:


1. El delito contra la Seguridad Social será castigado con la pena de pri-
sión de dos a seis años y multa del doble al séxtuplo de la cuantía cuando
en la comisión del delito concurriera alguna de las siguientes circunstan-
cias:
aa Que la cuantía de las cuotas defraudadas o de las devoluciones o de-
ducciones indebidas exceda de ciento veinte mil euros.
bb Que la defraudación se haya cometido en el seno de una organización
o de un grupo criminal.
cc Que la utilización de personas físicas o jurídicas o entes sin persona-
lidad jurídica interpuestos, negocios o instrumentos fiduciarios o paraí-
sos fiscales o territorios de nula tributación oculte o dificulte la deter-
minación de la identidad del obligado frente a la Seguridad Social o del
responsable del delito, la determinación de la cuantía defraudada o del
patrimonio del obligado frente a la Seguridad Social o del responsable
del delito.
2. A los supuestos descritos en el presente artículo le serán de aplicación
todas las restantes previsiones contenidas en el artículo 307.
3. En estos casos, además de las penas señaladas, se impondrá al res-
ponsable la pérdida de la posibilidad de obtener subvenciones o ayudas

171
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

públicas y del derecho a gozar de los beneficios o incentivos fiscales o de


la Seguridad Social durante el período de cuatro a ocho años».
«Artículo 307 ter del Código Penal:
1. Quien obtenga, para sí o para otro, el disfrute de prestaciones del Sis-
tema de la Seguridad Social, la prolongación indebida del mismo, o fa-
cilite a otros su obtención, por medio del error provocado mediante la
simulación o tergiversación de hechos, o la ocultación consciente de he-
chos de los que tenía el deber de informar, causando con ello un perjuicio
a la Administración Pública, será castigado con la pena de seis meses a
tres años de prisión.
Cuando los hechos, a la vista del importe defraudado, de los medios em-
pleados y de las circunstancias personales del autor, no revistan especial
gravedad, serán castigados con una pena de multa del tanto al séxtuplo.
Además de las penas señaladas, se impondrá al responsable la pérdida
de la posibilidad de obtener subvenciones y del derecho a gozar de los
beneficios o incentivos fiscales o de la Seguridad Social durante el perío-
do de tres a seis años.
2. Cuando el valor de las prestaciones fuera superior a cincuenta mil eu-
ros o hubiera concurrido cualquiera de las circunstancias a que se refie-
ren las letras b) o c) del apartado 1 del artículo 307 bis, se impondrá una
pena de prisión de dos a seis años y multa del tanto al séxtuplo.
En estos casos, además de las penas señaladas, se impondrá al respon-
sable la pérdida de la posibilidad de obtener subvenciones y del derecho
a gozar de los beneficios o incentivos fiscales o de la Seguridad Social
durante el período de cuatro a ocho años.
3. Quedará exento de responsabilidad criminal en relación con las con-
ductas descritas en los apartados anteriores el que reintegre una can-
tidad equivalente al valor de la prestación recibida incrementada en un
interés anual equivalente al interés legal del dinero aumentado en dos
puntos porcentuales, desde el momento en que las percibió, antes de
que se le haya notificado la iniciación de actuaciones de inspección y con-
trol en relación con las mismas o, en el caso de que tales actuaciones no
se hubieran producido, antes de que el Ministerio Fiscal, el Abogado del
Estado, el Letrado de la Seguridad Social, o el representante de la Admi-
nistración autonómica o local de que se trate, interponga querella o de-

172
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

nuncia contra aquel dirigida o antes de que el Ministerio Fiscal o el Juez


de Instrucción realicen actuaciones que le permitan tener conocimiento
formal de la iniciación de diligencias.
La exención de responsabilidad penal contemplada en el párrafo anterior
alcanzará igualmente a dicho sujeto por las posibles falsedades instru-
mentales que, exclusivamente en relación a las prestaciones defrauda-
das objeto de reintegro, el mismo pudiera haber cometido con carácter
previo a la regularización de su situación.
4. La existencia de un procedimiento penal por alguno de los delitos de
los apartados 1 y 2 de este artículo, no impedirá que la Administración
competente exija el reintegro por vía administrativa de las prestaciones
indebidamente obtenidas. El importe que deba ser reintegrado se en-
tenderá fijado provisionalmente por la Administración, y se ajustará des-
pués a lo que finalmente se resuelva en el proceso penal.
El procedimiento penal tampoco paralizará la acción de cobro de la Ad-
ministración competente, que podrá iniciar las actuaciones dirigidas al
cobro salvo que el Juez, de oficio o a instancia de parte, hubiere acordado
la suspensión de las actuaciones de ejecución previa prestación de ga-
rantía. Si no se pudiere prestar garantía en todo o en parte, excepcional-
mente el Juez podrá acordar la suspensión con dispensa total o parcial de
garantías si apreciare que la ejecución pudiese ocasionar daños irrepara-
bles o de muy difícil reparación.
5. En los procedimientos por el delito contemplado en este artículo, para la
ejecución de la pena de multa y de la responsabilidad civil, los Jueces y Tri-
bunales recabarán el auxilio de los servicios de la Administración de la Segu-
ridad Social que las exigirá por el procedimiento administrativo de apremio.
6. Resultará aplicable a los supuestos regulados en este artículo lo dis-
puesto en el apartado 5 del ar tículo 307 del Código Penal».

«Artículo 308 del Código Penal:


1. El que obtenga subvenciones o ayudas de las Administraciones Pú-
blicas en una cantidad o por un valor superior a ciento veinte mil euros
falseando las condiciones requeridas para su concesión u ocultando las
que la hubiesen impedido será castigado con la pena de prisión de uno a
cinco años y multa del tanto al séxtuplo de su importe salvo que lleve a
cabo el reintegro a que se refiere el apartado 5 de este artículo.

173
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

2. Las mismas penas se impondrán al que, en el desarrollo de una activi-


dad sufragada total o parcialmente con fondos de las Administraciones
Públicas los aplique en una cantidad superior a ciento veinte mil euros a
fines distintos de aquellos para los que la subvención o ayuda fue conce-
dida salvo que lleve a cabo el reintegro a que se refiere el apartado 5 de
este artículo.
3. Además de las penas señaladas, se impondrá al responsable la pérdida
de la posibilidad de obtener subvenciones o ayudas públicas y del dere-
cho a gozar de beneficios o incentivos fiscales o de la Seguridad Social
durante un período de tres a seis años.
4. Para la determinación de la cantidad defraudada se estará al año natu-
ral y deberá tratarse de subvenciones o ayudas obtenidas para el fomen-
to de la misma actividad privada subvencionable, aunque procedan de
distintas administraciones o entidades públicas.
5. Se entenderá realizado el reintegro al que se refieren los apartados 1
y 2 cuando por el perceptor de la subvención o ayuda se proceda a de-
volver las subvenciones o ayudas indebidamente percibidas o aplicadas,
incrementadas en el interés de demora aplicable en materia de subven-
ciones desde el momento en que las percibió, y se lleve a cabo antes de
que se haya notificado la iniciación de actuaciones de comprobación o
control en relación con dichas subvenciones o ayudas o, en el caso de que
tales actuaciones no se hubieran producido, antes de que el Ministerio
Fiscal, el Abogado del Estado o el representante de la Administración au-
tonómica o local de que se trate, interponga querella o denuncia contra
aquel dirigida o antes de que el Ministerio Fiscal o el Juez de Instrucción
realicen actuaciones que le permitan tener conocimiento formal de la
iniciación de diligencias. El reintegro impedirá que a dicho sujeto se le
persiga por las posibles falsedades instrumentales que, exclusivamente
en relación a la deuda objeto de regularización, el mismo pudiera haber
cometido con carácter previo a la regularización de su situación.
6. La existencia de un procedimiento penal por alguno de los delitos de
los apartados 1 y 2 de este artículo, no impedirá que la Administración
competente exija el reintegro por vía administrativa de las subvenciones
o ayudas indebidamente aplicadas. El importe que deba ser reintegrado
se entenderá fijado provisionalmente por la Administración, y se ajustará
después a lo que finalmente se resuelva en el proceso penal.

174
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

El procedimiento penal tampoco paralizará la acción de cobro de la Ad-


ministración, que podrá iniciar las actuaciones dirigidas al cobro salvo
que el Juez, de oficio o a instancia de parte, hubiere acordado la suspen-
sión de las actuaciones de ejecución previa prestación de garantía. Si no
se pudiere prestar garantía en todo o en parte, excepcionalmente el Juez
podrá acordar la suspensión con dispensa total o parcial de garantías
si apreciare que la ejecución pudiese ocasionar daños irreparables o de
muy difícil reparación.
7. Los Jueces y Tribunales podrán imponer al responsable de este delito
la pena inferior en uno o dos grados, siempre que, antes de que trans-
curran dos meses desde la citación judicial como imputado, lleve a cabo
el reintegro a que se refiere el apartado 5 y reconozca judicialmente los
hechos. Lo anterior será igualmente aplicable respecto de otros partíci-
pes en el delito distintos del obligado al reintegro o del autor del delito,
cuando colaboren activamente para la obtención de pruebas decisivas
para la identificación o captura de otros responsables, para el completo
esclarecimiento de los hechos delictivos o para la averiguación del patri-
monio del obligado o del responsable del delito».

«Artículo 308 bis del Código Penal:


1. La suspensión de la ejecución de las penas impuestas por alguno de los
delitos regulados en este Título se regirá por las disposiciones contenidas
en el Capítulo III del Título III del Libro I de este Código, completadas por
las siguientes reglas:
1.ª La suspensión de la ejecución de la pena de prisión impuesta re-
querirá, además del cumplimiento de los requisitos regulados en el
artículo 80, que el penado haya abonado la deuda tributaria o con la
Seguridad Social, o que haya procedido al reintegro de las subvenciones
o ayudas indebidamente recibidas o utilizadas.
Este requisito se entenderá cumplido cuando el penado asuma el com-
promiso de satisfacer la deuda tributaria, la deuda frente a la Seguridad
Social o de proceder al reintegro de las subvenciones o ayudas indebida-
mente recibidas o utilizadas y las responsabilidades civiles de acuerdo a
su capacidad económica y de facilitar el decomiso acordado, y sea razo-
nable esperar que el mismo será cumplido. La suspensión no se conce-
derá cuando conste que el penado ha facilitado información inexacta o
insuficiente sobre su patrimonio.

175
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

La resolución por la que el juez o tribunal concedan la suspensión de la


ejecución de la pena será comunicada a la representación procesal de la
Hacienda Pública estatal, autonómica, local o foral, de la Seguridad So-
cial o de la Administración que hubiera concedido la subvención o ayuda.
2.ª El juez o tribunal revocarán la suspensión y ordenarán la ejecución de
la pena, además de en los supuestos del artículo 86, cuando el penado
no dé cumplimiento al compromiso de pago de la deuda tributaria o con
la Seguridad Social, al de reintegro de las subvenciones y ayudas inde-
bidamente recibidas o utilizadas, o al de pago de las responsabilidades
civiles, siempre que tuviera capacidad económica para ello, o facilite in-
formación inexacta o insuficiente sobre su patrimonio. En estos casos, el
juez de vigilancia penitenciaria podrá denegar la concesión de la libertad
condicional.
2. En el supuesto del artículo 125, el juez o tribunal oirán previamente a
la representación procesal de la Hacienda Pública estatal, autonómica,
local o foral, de la Seguridad Social o de la Administración que hubiera
concedido la subvención o ayuda, al objeto de que aporte informe pa-
trimonial de los responsables del delito en el que se analizará la capaci-
dad económica y patrimonial real de los responsables y se podrá incluir
una propuesta de fraccionamiento acorde con dicha capacidad y con la
normativa tributaria, de la Seguridad Social o de subvenciones».

«Artículo 309 del Código Penal (derogado)».

«Artículo 310 del Código Penal:


Será castigado con la pena de prisión de cinco a siete meses el que es-
tando obligado por ley tributaria a llevar contabilidad mercantil, libros o
registros fiscales:
aa Incumpla absolutamente dicha obligación en régimen de estimación
directa de bases tributarias.
bb Lleve contabilidades distintas que, referidas a una misma actividad y ejer-
cicio económico, oculten o simulen la verdadera situación de la empresa.
cc No hubiere anotado en los libros obligatorios negocios, actos, opera-
ciones o, en general, transacciones económicas, o los hubiese anotado
con cifras distintas a las verdaderas.

176
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

dd Hubiere practicado en los libros obligatorios anotaciones contables


ficticias.
La consideración como delito de los supuestos de hecho, a que se re-
fieren los párrafos c) y d) anteriores, requerirá que se hayan omitido las
declaraciones tributarias o que las presentadas fueren reflejo de su falsa
contabilidad y que la cuantía, en más o menos, de los cargos o abonos
omitidos o falseados exceda, sin compensación aritmética entre ellos, de
240.000 euros por cada ejercicio económico».

Constituyen conductas tipificadas para este grupo de delitos, las que a


continuación se detallan:
• Con referencia a la Hacienda Pública:
• Quien por acción u omisión, defraude a la Hacienda Pública
estatal, autonómica, foral o local, eludiendo el pago de tribu-
tos, cantidades retenidas o que se hubieran debido retener o
ingresos a cuenta, obteniendo indebidamente devoluciones o
disfrutando beneficios fiscales de la misma forma, siempre que
la cuantía de la cuota defraudada, el importe no ingresado de
las retenciones o ingresos a cuenta o de las devoluciones o be-
neficios fiscales indebidamente obtenidos o disfrutados exceda
de ciento veinte mil euros.
• Quien por acción u omisión defraude a los presupuestos gene-
rales de la Unión Europea u otros administrados por esta, en
cuantía superior a cincuenta mil euros, eludiendo, fuera de los
casos contemplados en el apartado 3 del artículo 305, el pago
de cantidades que se deban ingresar, dando a los fondos ob-
tenidos una aplicación distinta de aquella a que estuvieren
destinados u obteniendo indebidamente fondos falseando las
condiciones requeridas para su concesión u ocultando las que la
hubieran impedido.
• Con referencia a la Seguridad Social:
• Quien por acción u omisión, defraude a la Seguridad Social elu-
diendo el pago de las cuotas de esta y conceptos de recauda-
ción conjunta, obteniendo indebidamente devoluciones de las
mismas o disfrutando de deducciones por cualquier concepto
asimismo de forma indebida, siempre que la cuantía de las cuo-

177
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

tas defraudadas o de las devoluciones o deducciones indebidas


exceda de cincuenta mil euros.
• Delito contra la Seguridad Social cuando en la comisión del de-
lito concurriera alguna de las siguientes circunstancias:
ȃȃ Que la cuantía de las cuotas defraudadas o de las devoluciones o de-
ducciones indebidas exceda de ciento veinte mil euros.
ȃȃ Que la defraudación se haya cometido en el seno de una organiza-
ción o de un grupo criminal.
ȃȃ Que la utilización de personas físicas o jurídicas o entes sin perso-
nalidad jurídica interpuestos, negocios o instrumentos fiduciarios o
paraísos fiscales o territorios de nula tributación oculte o dificulte la
determinación de la identidad del obligado frente a la Seguridad So-
cial o del responsable del delito, la determinación de la cuantía de-
fraudada o del patrimonio del obligado frente a la Seguridad Social o
del responsable del delito.
• Quien obtenga, para sí o para otro, el disfrute de prestaciones
del Sistema de la Seguridad Social, la prolongación indebida
del mismo, o facilite a otros su obtención, por medio del error
provocado mediante la simulación o tergiversación de hechos,
o la ocultación consciente de hechos de los que tenía el deber
de informar, causando con ello un perjuicio a la Administración
Pública.
Y además:
• El que obtenga subvenciones o ayudas de las Administraciones
Públicas en una cantidad o por un valor superior a ciento veinte
mil euros falseando las condiciones requeridas para su conce-
sión u ocultando las que la hubiesen impedido.
• Quien estando obligado por ley tributaria a llevar contabilidad
mercantil, libros o registros fiscales ( pena de multa de 6 meses
a 1 año):
ȃȃ Incumpla absolutamente dicha obligación en régimen de estimación
directa de bases tributarias.
ȃȃ Lleve contabilidades distintas que, referidas a una misma actividad
y ejercicio económico, oculten o simulen la verdadera situación de la
empresa.

178
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

ȃȃ No hubiere anotado en los libros obligatorios negocios, actos, ope-


raciones o, en general, transacciones económicas, o los hubiese
anotado con cifras distintas a las verdaderas.
ȃȃ Hubiere practicado en los libros obligatorios anotaciones contables
ficticias.
La responsabilidad penal de las personas jurídicas aparece establecida
del modo siguiente:
• Multa del tanto al doble de la cantidad defraudada o indebida-
mente obtenida, si el delito cometido por la persona física tiene
prevista una pena de prisión de más de dos años.
• Multa del doble al cuádruple de la cantidad defraudada o inde-
bidamente obtenida, si el delito cometido por la persona física
tiene prevista una pena de prisión de más de cinco años.
• Multa de seis meses a un año, en los supuestos recogidos en el
artículo 310.
Además de las referidas, se impondrá a la persona jurídica responsable
la pérdida de la posibilidad de obtener subvenciones o ayudas públicas
y del derecho a gozar de los beneficios o incentivos fiscales o de la Se-
guridad Social durante el período de tres a seis años. Podrá imponerse,
así mismo, la prohibición para contratar con las Administraciones Pú-
blicas.

Por último, atendidas las reglas establecidas en el artículo 66 bis, los Jue-
ces y Tribunales podrán asimismo imponer las penas recogidas en las le-
tras b), c), d), e) y g) del apartado 7 del artículo 33”. Cabe imponer penas
accesorias, en su caso.
Con mayor precisión así lo contempla el artículo 310 bis:
«Artículo 310 bis del Código Penal:
Cuando de acuerdo con lo establecido en el artículo 31 bis, una persona
jurídica sea responsable de los delitos recogidos en este Título, se le im-
pondrán las siguientes penas:
aa Multa del tanto al doble de la cantidad defraudada o indebidamente
obtenida, si el delito cometido por la persona física tiene prevista una
pena de prisión de más de dos años.

179
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

bb Multa del doble al cuádruple de la cantidad defraudada o indebida-


mente obtenida, si el delito cometido por la persona física tiene prevista
una pena de prisión de más de cinco años.
cc Multa de seis meses a un año, en los supuestos recogidos en el artículo 310.
Además de las señaladas, se impondrá a la persona jurídica responsa-
ble la pérdida de la posibilidad de obtener subvenciones o ayudas pú-
blicas y del derecho a gozar de los beneficios o incentivos fiscales o de
la Seguridad Social durante el período de tres a seis años. Podrá impo-
nerse la prohibición para contratar con las Administraciones Públicas.
Atendidas las reglas establecidas en el artículo 66 bis, los Jueces y Tribu-
nales podrán asimismo imponer las penas recogidas en las letras b), c),
d), e) y g) del apartado 7 del artículo 33».

6.3. Delitos de tráfico ilegal o inmigración clandestina de


personas (artículo 318 bis CP)
«Artículo 318 bis del Código Penal:
1. El que intencionadamente ayude a una persona que no sea nacional de
un Estado miembro de la Unión Europea a entrar en territorio español o a
transitar a través del mismo de un modo que vulnere la legislación sobre
entrada o tránsito de extranjeros, será castigado con una pena de multa
de tres a doce meses o prisión de tres meses a un año.
Los hechos no serán punibles cuando el objetivo perseguido por el autor
fuere únicamente prestar ayuda humanitaria a la persona de que se trate.
Si los hechos se hubieran cometido con ánimo de lucro se impondrá la
pena en su mitad superior.
2. El que intencionadamente ayude, con ánimo de lucro, a una persona
que no sea nacional de un Estado miembro de la Unión Europea a perma-
necer en España, vulnerando la legislación sobre estancia de extranjeros
será castigado con una pena de multa de tres a doce meses o prisión de
tres meses a un año.
3. Los hechos a que se refiere el apartado 1 de este artículo serán castiga-
dos con la pena de prisión de cuatro a ocho años cuando concurra alguna
de las circunstancias siguientes:

180
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

aa Cuando los hechos se hubieran cometido en el seno de una organiza-


ción que se dedicare a la realización de tales actividades. Cuando se trate
de los jefes, administradores o encargados de dichas organizaciones o
asociaciones, se les aplicará la pena en su mitad superior, que podrá ele-
varse a la inmediatamente superior en grado.
bb Cuando se hubiera puesto en peligro la vida de las personas objeto
de la infracción, o se hubiera creado el peligro de causación de lesiones
graves.
4. En las mismas penas del párrafo anterior y además en la de inhabilita-
ción absoluta de seis a doce años, incurrirán los que realicen los hechos
prevaliéndose de su condición de autoridad, agente de esta o funcionario
público.
5. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este Título, se le im-
pondrá la pena de multa de dos a cinco años, o la del triple al quíntuple
del beneficio obtenido si la cantidad resultante fuese más elevada.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33.
6. Los tribunales, teniendo en cuenta la gravedad del hecho y sus circuns-
tancias, las condiciones del culpable y la finalidad perseguida por este,
podrán imponer la pena inferior en un grado a la respectivamente seña-
lada».

Las conductas tipificadas previstas para este supuesto son las siguientes:
• Quien intencionadamente ayude a una persona que no sea na-
cional de un Estado miembro de la Unión Europea a entrar en te-
rritorio español o a transitar a través del mismo de un modo que
vulnere la legislación sobre entrada o tránsito de extranjeros.
• Quien intencionadamente ayude, con ánimo de lucro, a una per-
sona que no sea nacional de un Estado miembro de la Unión Eu-
ropea a permanecer en España, vulnerando la legislación sobre
estancia de extranjeros.
La responsabilidad penal de las personas jurídicas al amparo de este su-
puesto de hecho será la siguiente:

181
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

• Multa de dos a cinco años, o la del triple al quíntuple del benefi-


cio obtenido si la cantidad resultante fuese más elevada.
Por otra parte, atendidas las reglas establecidas en el artículo 66 bis, los
jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33, por consiguiente también
cabe imponer penas accesorias.

6.4. Delitos contra la ordenación del territorio y el urbanis-


mo (artículo 319 CP)
«Artículo 319 del Código Penal:
1. Se impondrán las penas de prisión de un año y seis meses a cuatro
años, multa de doce a veinticuatro meses, salvo que el beneficio obte-
nido por el delito fuese superior a la cantidad resultante en cuyo caso
la multa será del tanto al triplo del montante de dicho beneficio, e in-
habilitación especial para profesión u oficio por tiempo de uno a cuatro
años, a los promotores, constructores o técnicos directores que lleven a
cabo obras de urbanización, construcción o edificación no autorizables
en suelos destinados a viales, zonas verdes, bienes de dominio público
o lugares que tengan legal o administrativamente reconocido su valor
paisajístico, ecológico, artístico, histórico o cultural, o por los mismos
motivos hayan sido considerados de especial protección.
2. Se impondrá la pena de prisión de uno a tres años, multa de doce a
veinticuatro meses, salvo que el beneficio obtenido por el delito fuese
superior a la cantidad resultante en cuyo caso la multa será del tanto al
triplo del montante de dicho beneficio, e inhabilitación especial para pro-
fesión u oficio por tiempo de uno a cuatro años, a los promotores, cons-
tructores o técnicos directores que lleven a cabo obras de urbanización,
construcción o edificación no autorizables en el suelo no urbanizable.
3. En cualquier caso, los jueces o tribunales, motivadamente, podrán or-
denar, a cargo del autor del hecho, la demolición de la obra y la reposi-
ción a su estado originario de la realidad física alterada, sin perjuicio de
las indemnizaciones debidas a terceros de buena fe, y valorando las cir-
cunstancias, y oída la Administración competente, condicionarán tem-
poralmente la demolición a la constitución de garantías que aseguren el

182
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

pago de aquellas. En todo caso se dispondrá el decomiso de las ganan-


cias provenientes del delito cualesquiera que sean las transformaciones
que hubieren podido experimentar.
4. En los supuestos previstos en este artículo, cuando fuere responsable
una persona jurídica de acuerdo con lo establecido en el artículo 31 bis de
este Código se le impondrá la pena de multa de uno a tres años, salvo que
el beneficio obtenido por el delito fuese superior a la cantidad resultante
en cuyo caso la multa será del doble al cuádruple del montante de dicho
beneficio.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

Las conductas susceptibles de tipificación previstas son:


Los promotores, constructores o técnicos directores que lleven a cabo
obras de urbanización, construcción o edificación no autorizables en sue-
los destinados a viales, zonas verdes, bienes de dominio público o lugares
que tengan legal o administrativamente reconocido su valor paisajístico,
ecológico, artístico, histórico o cultural, o por los mismos motivos hayan
sido considerados de especial protección.
• Los promotores, constructores o técnicos directores que lleven
a cabo obras de urbanización, construcción o edificación no au-
torizables en el suelo no urbanizable.
• La responsabilidad penal de las personas jurídicas viene definida
en el parágrafo 4º del artículo 319.
• Multa de uno a tres años, salvo que el beneficio obtenido por
el delito fuese superior a la cantidad resultante en cuyo caso la
multa será del doble al cuádruple del montante de dicho bene-
ficio.
Seguimos aplicando al igual que todos los delitos susceptibles de respon-
sabilidad penal de las personas jurídicas, atendidas las reglas estableci-
das en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer
las penas recogidas en las letras b) a g) del apartado 7 del artículo 33, la
certera posibilidad de que por parte del juzgador pueda imponerse penas
accesorias.

183
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

6.5. Delitos contra los recursos naturales y el medio am-


biente (artículo 325 CP)
«Artículo 325 del Código Penal:
1. Será castigado con las penas de prisión de seis meses a dos años, multa
de diez a catorce meses e inhabilitación especial para profesión u oficio
por tiempo de uno a dos años el que, contraviniendo las leyes u otras
disposiciones de carácter general protectoras del medio ambiente, pro-
voque o realice directa o indirectamente emisiones, vertidos, radiacio-
nes, extracciones o excavaciones, aterramientos, ruidos, vibraciones, in-
yecciones o depósitos, en la atmósfera, el suelo, el subsuelo o las aguas
terrestres, subterráneas o marítimas, incluido el alta mar, con inciden-
cia incluso en los espacios transfronterizos, así como las captaciones de
aguas que, por sí mismos o conjuntamente con otros, cause o pueda cau-
sar daños sustanciales a la calidad del aire, del suelo o de las aguas, o a
animales o plantas.
2. Si las anteriores conductas, por sí mismas o conjuntamente con otras,
pudieran perjudicar gravemente el equilibrio de los sistemas naturales,
se impondrá una pena de prisión de dos a cinco años, multa de ocho a
veinticuatro meses e inhabilitación especial para profesión u oficio por
tiempo de uno a tres años.
Si se hubiera creado un riesgo de grave perjuicio para la salud de las per-
sonas, se impondrá la pena de prisión en su mitad superior, pudiéndose
llegar hasta la superior en grado».
El supuesto de hecho tipificado como conducta delictiva es el siguien-
te: el que, contraviniendo las leyes u otras disposiciones de carácter
general protectoras del medio ambiente, provoque o realice directa o
indirectamente emisiones, vertidos, radiaciones, extracciones o excava-
ciones, aterramientos, ruidos, vibraciones, inyecciones o depósitos, en
la atmósfera, el suelo, el subsuelo o las aguas terrestres, subterráneas
o marítimas, incluido el alta mar, con incidencia incluso en los espacios
transfronterizos, así como las captaciones de aguas que, por sí mismos o
conjuntamente con otros, cause o pueda causar daños sustanciales a la
calidad del aire, del suelo o de las aguas, o a animales o plantas.
La responsabilidad penal de las personas jurídicas queda articulada del
modo que a continuación se detalla:

184
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (IV)

• Multa de uno a tres años, o del doble al cuádruple del perjuicio


causado cuando la cantidad resultante fuese más elevada, si el
delito cometido por la persona física tiene prevista una pena de
más de dos años de privación de libertad.
• Multa de seis meses a dos años, o del doble al triple del perjuicio
causado si la cantidad resultante fuese más elevada, en el resto
de los casos (pena de prisión inferior a 2 años).
Igualmente, atendidas las reglas establecidas en el artículo 66 bis, los
jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33. Hacemos alusión a puede im-
ponerse si se estima oportuno penas accesorias. Un último inciso, este
delito siempre será juzgado por un jurado, con carácter general.
Siguiendo al artículo 328 encontramos una mayor precisión a este respecto:

«Artículo 328 del Código Penal:


Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este Capítulo, se le
impondrán las siguientes penas:
aa Multa de uno a tres años, o del doble al cuádruple del perjuicio causado
cuando la cantidad resultante fuese más elevada, si el delito cometido
por la persona física tiene prevista una pena de más de dos años de pri-
vación de libertad.
bb Multa de seis meses a dos años, o del doble al triple del perjuicio cau-
sado si la cantidad resultante fuese más elevada, en el resto de los casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

6.6. Delito relativo a las radiaciones ionizantes (artículo 343 CP)


«Artículo 343 del Código Penal:
1. El que mediante el vertido, la emisión o la introducción en el aire, el
suelo o las aguas de una cantidad de materiales o de radiaciones ionizan-

185
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

tes, o la exposición por cualquier otro medio a dichas radiaciones ponga


en peligro la vida, integridad, salud o bienes de una o varias personas,
será sancionado con la pena de prisión de seis a doce años e inhabilita-
ción especial para empleo o cargo público, profesión u oficio por tiempo
de seis a diez años. La misma pena se impondrá cuando mediante esta
conducta se ponga en peligro la calidad del aire, del suelo o de las aguas
o a animales o plantas.
2. Cuando con ocasión de la conducta descrita en el apartado anterior se
produjere, además del riesgo prevenido, un resultado lesivo constitutivo
de delito, cualquiera que sea su gravedad, los jueces o tribunales aprecia-
rán tan solo la infracción más gravemente penada, aplicando la pena en
su mitad superior».

El supuesto tipificado que se contempla es quien mediante el vertido, la


emisión o la introducción en el aire, el suelo o las aguas de una cantidad
de materiales o de radiaciones ionizantes, o la exposición por cualquier
otro medio a dichas radiaciones ponga en peligro la vida, integridad, sa-
lud o bienes de una o varias personas.
La responsabilidad penal de las personas jurídicas aparece recogida en el
mismo parágrafo 3.º del artículo 343:
• Multa de dos a cinco años.
Y como no podía ser de otro modo, atendidas las reglas establecidas en
el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las
penas recogidas en las letras b) a g) del apartado 7 del artículo 33. Posibi-
lidad de imponer penas accesorias si el juzgador lo estimara procedente.
El artículo 343 lo expresa de la siguiente manera:

«Artículo 343 del Código Penal:


3. Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este artículo, se le
impondrá la pena de multa de dosa cinco años.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

186
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 7
El corporate compliance y la responsabi-
lidad penal de las personas jurídicas (V).
Delitos societarios

7.1. Delito de estragos (artículo 348 CP)

«Artículo 348 del Código Penal:


1. Los que en la fabricación, manipulación, transporte, tenencia o comer-
cialización de explosivos, sustancias inflamables o corrosivas, tóxicas y
asfixiantes, o cualesquiera otras materias, aparatos o artificios que pue-
dan causar estragos, contravinieran las normas de seguridad estableci-
das, poniendo en concreto peligro la vida, la integridad física o la salud
de las personas, o el medio ambiente, serán castigados con la pena de
prisión de seis meses a tres años, multa de doce a veinticuatro meses e
inhabilitación especial para empleo o cargo público, profesión u oficio
por tiempo de seis a doce años. Las mismas penas se impondrán a quien,
de forma ilegal, produzca, importe, exporte, comercialice o utilice sus-
tancias destructoras del ozono.
2. Los responsables de la vigilancia, control y utilización de explosivos
que puedan causar estragos que, contraviniendo la normativa en materia
de explosivos, hayan facilitado su efectiva pérdida o sustracción serán
castigados con las penas de prisión de seis meses a tres años, multa de
doce a veinticuatro meses e inhabilitación especial para empleo o cargo
público, profesión u oficio de seis a doce años.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

3. En los supuestos recogidos en los apartados anteriores, cuando de los


hechos fuera responsable una persona jurídica de acuerdo con lo esta-
blecido en el artículo 31 bis de este Código, se le impondrá la pena de
multa de uno a tres años, salvo que, acreditado el perjuicio producido, su
importe fuera mayor, en cuyo caso la multa será del doble al cuádruple
del montante de dicho perjuicio.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33.
Las penas establecidas en los apartados anteriores se impondrán en su
mitad superior cuando se trate de los directores, administradores o en-
cargados de la sociedad, empresa, organización o explotación.
Número 3 del artículo 348 redactado por el apartado centésimo tercero
del artículo único de la L.O. 5/2010, de 22 de junio, por la que se modifica
la L.O. 10/1995, de 23 de noviembre, del Código Penal («B.O.E.» 23 junio).
Vigencia: 23 diciembre 2010.
4. Serán castigados con las penas de prisión de seis meses a un año, mul-
ta de seis a doce meses e inhabilitación especial para empleo o cargo
público, profesión u oficio por tiempo de tres a seis años los responsables
de las fábricas, talleres, medios de transporte, depósitos y demás esta-
blecimientos relativos a explosivos que puedan causar estragos, cuando
incurran en alguna o algunas de las siguientes conductas:
aa Obstaculizar la actividad inspectora de la Administración en materia
de seguridad de explosivos.
bb Falsear u ocultar a la Administración información relevante sobre el
cumplimiento de las medidas de seguridad obligatorias relativas a ex-
plosivos.
cc Desobedecer las órdenes expresas de la Administración encaminadas
a subsanar las anomalías graves detectadas en materia de seguridad de
explosivos».
Los supuestos de hecho tipificados son los siguientes:
• Quienes en la fabricación, manipulación, transporte, tenencia o
comercialización de explosivos, sustancias inflamables o corro-
sivas, tóxicas y asfixiantes, o cualesquiera otras materias, apa-

188
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

ratos o artificios que puedan causar estragos, contravinieran las


normas de seguridad establecidas, poniendo en concreto peli-
gro la vida, la integridad física o la salud de las personas, o el
medio ambiente.
• Quien, de forma ilegal, produzca, importe, exporte, comerciali-
ce o utilice sustancias destructoras del ozono.
• Los responsables de la vigilancia, control y utilización de explosi-
vos que puedan causar estragos que, contraviniendo la normati-
va en materia de explosivos, hayan facilitado su efectiva pérdida
o sustracción.

Para este conjunto de supuestos la responsabilidad penal de las perso-


nas jurídicas será la imposición de pena de multa de uno a tres años,
salvo que, acreditado el perjuicio producido, su importe fuera mayor, en
cuyo caso la multa será del doble al cuádruple del montante de dicho
perjuicio.
Del mismo modo, atendidas las reglas establecidas en el artículo 66 bis,
los jueces y tribunales podrán asimismo imponer las penas recogidas en
las letras b) a g) del apartado 7 del artículo 33. Al igual que para el conjun-
to de estos delitos, cabe la imposición de penas accesorias.
Siguiendo el dictado del artículo 348 citado, nos expresa en su punto
3º:
«3. En los supuestos recogidos en los apartados anteriores, cuando de
los hechos fuera responsable una persona jurídica de acuerdo con lo es-
tablecido en el artículo 31 bis de este Código, se le impondrá la pena de
multa de uno a tres años, salvo que, acreditado el perjuicio producido, su
importe fuera mayor, en cuyo caso la multa será del doble al cuádruple
del montante de dicho perjuicio.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33.
Las penas establecidas en los apartados anteriores se impondrán en su
mitad superior cuando se trate de los directores, administradores o en-
cargados de la sociedad, empresa, organización o explotación».

189
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

7.2. Delitos de tráfico de drogas (artículos 368 y 369 CP)


«Artículo 368 del Código Penal:
Los que ejecuten actos de cultivo, elaboración o tráfico, o de otro modo
promuevan, favorezcan o faciliten el consumo ilegal de drogas tóxicas,
estupefacientes o sustancias psicotrópicas, o las posean con aquellos fi-
nes, serán castigados con las penas de prisión de tres a seis años y multa
del tanto al triplo del valor de la droga objeto del delito si se tratare de
sustancias o productos que causen grave daño a la salud, y de prisión de
uno a tres años y multa del tanto al duplo en los demás casos.
No obstante lo dispuesto en el párrafo anterior, los tribunales podrán im-
poner la pena inferior en grado a las señaladas en atención a la escasa
entidad del hecho y a las circunstancias personales del culpable. No se
podrá hacer uso de esta facultad si concurriere alguna de las circunstan-
cias a que se hace referencia en los artículos 369 bis y 370».

«Artículo 369 del Código Penal:


1. Se impondrán las penas superiores en grado a las señaladas en el artí-
culo anterior y multa del tanto al cuádruplo cuando concurran alguna de
las siguientes circunstancias:
1.ª El culpable fuere autoridad, funcionario público, facultativo, trabaja-
dor social, docente o educador y obrase en el ejercicio de su cargo, pro-
fesión u oficio.
2.ª El culpable participare en otras actividades organizadas o cuya ejecu-
ción se vea facilitada por la comisión del delito.
3.ª Los hechos fueren realizados en establecimientos abiertos al público
por los responsables o empleados de los mismos.
4.ª Las sustancias a que se refiere el artículo anterior se faciliten a meno-
res de 18 años, a disminuidos psíquicos o a personas sometidas a trata-
miento de deshabituación o rehabilitación.
5.ª Fuere de notoria importancia la cantidad de las citadas sustancias ob-
jeto de las conductas a que se refiere el artículo anterior.
6.ª Las referidas sustancias se adulteren, manipulen o mezclen entre sí o
con otras, incrementando el posible daño a la salud.

190
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

7.ª Las conductas descritas en el artículo anterior tengan lugar en centros


docentes, en centros, establecimientos o unidades militares, en estable-
cimientos penitenciarios o en centros de deshabituación o rehabilita-
ción, o en sus proximidades.
8.ª El culpable empleare violencia o exhibiere o hiciese uso de armas para
cometer el hecho.
2. En los supuestos previstos en las circunstancias 2ª, 3ª y 4ª del aparta-
do anterior de este artículo, se impondrá a la organización, asociación o
persona titular del establecimiento una multa del tanto al triplo del valor
de la droga objeto del delito, el comiso de los bienes objeto del delito
y de los productos y beneficios obtenidos directa o indirectamente del
acto delictivo y, además, la autoridad judicial podrá decretar alguna de
las siguientes medidas:
1.ª La pérdida de la posibilidad de obtener subvenciones o ayudas públi-
cas y del derecho a gozar de beneficios o incentivos fiscales o de la Segu-
ridad Social, durante el tiempo que dure la mayor de las penas privativas
de libertad impuesta.
2.ª La aplicación de las medidas previstas en el artículo 129 de este Código».

Son conductas consideradas penalmente punibles:


• Los que ejecuten actos de cultivo, elaboración o tráfico, o de
otro modo promuevan, favorezcan o faciliten el consumo ilegal
de drogas tóxicas, estupefacientes o sustancias psicotrópicas, o
las posean con aquellos fines.
La responsabilidad penal de las personas jurídicas aparece configurada
en el artículo 369 bis, articulándose:
• Multa de dos a cinco años, o del triple al quíntuple del valor de
la droga cuando la cantidad resultante fuese más elevada, si el
delito cometido por la persona física tiene prevista una pena de
prisión de más de cinco años.
• Multa de uno a tres años, o del doble al cuádruple del valor de
la droga cuando la cantidad resultante fuese más elevada, si el
delito cometido por la persona física tiene prevista una pena de
prisión de más de dos años no incluida en el anterior inciso (pena
de prisión entre 2 y 5 años).

191
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

No obstante, atendidas las reglas establecidas en el artículo 66 bis, los


jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33. Esto implica la posibilidad de
imponer penas accesorias.
De modo más concreto así lo reconoce el artículo 369 bis:
«Artículo 369 bis:
Cuando los hechos descritos en el artículo 368 se hayan realizado por
quienes pertenecieren a una organización delictiva, se impondrán las pe-
nas de prisión de nueve a doce años y multa del tanto al cuádruplo del
valor de la droga si se tratara de sustancias y productos que causen grave
daño a la salud y de prisión de cuatro años y seis meses a diez años y la
misma multa en los demás casos.
A los jefes, encargados o administradores de la organización se les impon-
drán las penas superiores en grado a las señaladas en el párrafo primero.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en los dos artículos an-
teriores, se le impondrán las siguientes penas:
aa Multa de dos a cinco años, o del triple al quíntuple del valor de la droga
cuando la cantidad resultante fuese más elevada, si el delito cometido por
la persona física tiene prevista una pena de prisión de más de cinco años.
bb Multa de uno a tres años, o del doble al cuádruple del valor de la droga
cuando la cantidad resultante fuese más elevada, si el delito cometido
por la persona física tiene prevista una pena de prisión de más de dos
años no incluida en el anterior inciso.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

7.3. Delitos de falsificación de tarjetas de crédito y débito y


cheques de viaje (artículo 399 bis CP)
«Artículo 399 bis del Código Penal:
1. El que altere, copie, reproduzca o de cualquier otro modo falsifique tar-
jetas de crédito o débito o cheques de viaje, será castigado con la pena de

192
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

prisión de cuatro a ocho años. Se impondrá la pena en su mitad superior


cuando los efectos falsificados afecten a una generalidad de personas o
cuando los hechos se cometan en el marco de una organización criminal
dedicada a estas actividades.
Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los anteriores delitos, se le impondrá la pena
de multa de dos a cinco años.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33.
2. La tenencia de tarjetas de crédito o débito o cheques de viaje falsifi-
cados destinados a la distribución o tráfico será castigada con la pena
señalada a la falsificación.
3. El que sin haber intervenido en la falsificación usare, en perjuicio de otro
y a sabiendas de la falsedad, tarjetas de crédito o débito o cheques de via-
je falsificados será castigado con la pena de prisión de dos a cinco años».

El supuesto de hecho considerado objeto de tipificación penal es: quien


altere, copie, reproduzca o de cualquier otro modo falsifique tarjetas de
crédito o débito o cheques de viaje.
La responsabilidad penal de las personas jurídicas será la imposición la
pena de multa de dos a cinco años y, atendidas las reglas establecidas
en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las
penas recogidas en las letras b) a g) del apartado 7 del artículo 33. Esto es,
la imposición de penas accesorias.

7.4. Delitos de cohecho (artículos 419, 420, 421, 422, 423,


424, 425, 426 y 427 CP)
«Artículo 419 del Código Penal (Para realizar en el ejercicio de su car-
go una acción u omisión constitutivas de delito):
La autoridad o funcionario público que, en provecho propio o de un ter-
cero, recibiere o solicitare, por sí o por persona interpuesta, dádiva, fa-
vor o retribución de cualquier clase o aceptare ofrecimiento o promesa
para realizar en el ejercicio de su cargo un acto contrario a los deberes

193
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

inherentes al mismo o para no realizar o retrasar injustificadamente el


que debiera practicar, incurrirá en la pena de prisión de tres a seis años,
multa de doce a veinticuatro meses, e inhabilitación especial para em-
pleo o cargo público y para el ejercicio del derecho de sufragio pasivo por
tiempo de nueve a doce años, sin perjuicio de la pena correspondiente al
acto realizado, omitido o retrasado en razón de la retribución o promesa,
si fuera constitutivo de delito».

«Artículo 420 del Código Penal (Retribución o favor por actos propios
del cargo):
La autoridad o funcionario público que, en provecho propio o de un ter-
cero, recibiere o solicitare, por sí o por persona interpuesta, dádiva, favor
o retribución de cualquier clase o aceptare ofrecimiento o promesa para
realizar un acto propio de su cargo, incurrirá en la pena de prisión de dos
a cuatro años, multa de doce a veinticuatro meses e inhabilitación espe-
cial para empleo o cargo público y para el ejercicio del derecho de sufra-
gio pasivo por tiempo de cinco a nueve años».

«Artículo 421 (Dádiva, favor o retribución como recompensa por la


conducta del funcionario) del Código Penal:
Las penas señaladas en los artículos precedentes se impondrán también
cuando la dádiva, favor o retribución se recibiere o solicitare por la auto-
ridad o funcionario público, en sus respectivos casos, como recompensa
por la conducta descrita en dichos artículos».

«Artículo 422 del Código Penal (Dádiva o regalo que le fueren ofreci-
dos en consideración a su cargo o función):
La autoridad o funcionario público que, en provecho propio o de un ter-
cero, admitiera, por sí o por persona interpuesta, dádiva o regalo que le
fueren ofrecidos en consideración a su cargo o función, incurrirá en la
pena de prisión de seis meses a un año y suspensión de empleo y cargo
público de uno a tres años».

«Artículo 423 del Código Penal (Por jurados, árbitros, peritos, admi-
nistradores o interventores):
Lo dispuesto en los artículos precedentes será igualmente aplicable a los
jurados, árbitros, mediadores, peritos, administradores o interventores

194
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

designados judicialmente, administradores concursales o a cualesquiera


personas que participen en el ejercicio de la función pública».

«Artículo 424 del Código Penal (Particular que ofrece dádiva o retribu-
ción a funcionario):
1. El particular que ofreciere o entregare dádiva o retribución de cualquier
otra clase a una autoridad, funcionario público o persona que participe en
el ejercicio de la función pública para que realice un acto contrario a los
deberes inherentes a su cargo o un acto propio de su cargo, para que no
realice o retrase el que debiera practicar, o en consideración a su cargo o
función, será castigado en sus respectivos casos, con las mismas penas
de prisión y multa que la autoridad, funcionario o persona corrompida.
2. Cuando un particular entregare la dádiva o retribución atendiendo la
solicitud de la autoridad, funcionario público o persona que participe en
el ejercicio de la función pública, se le impondrán las mismas penas de
prisión y multa que a ellos les correspondan.
3. Si la actuación conseguida o pretendida de la autoridad o funcionario
tuviere relación con un procedimiento de contratación, de subvenciones
o de subastas convocados por las Administraciones o entes públicos, se
impondrá al particular y, en su caso, a la sociedad, asociación u organiza-
ción a que representare la pena de inhabilitación para obtener subvencio-
nes y ayudas públicas, para contratar con entes, organismos o entidades
que formen parte del sector público y para gozar de beneficios o incenti-
vos fiscales y de la Seguridad Social por un tiempo de cinco a diez años».

«Artículo 425 del Código Penal (Soborno en causa criminal por familiar):
Cuando el soborno mediare en causa criminal a favor del reo por parte de
su cónyuge u otra persona a la que se halle ligado de forma estable por
análoga relación de afectividad, o de algún ascendiente, descendiente o
hermano por naturaleza, por adopción o afines en los mismos grados, se
impondrá al sobornador la pena de prisión de seis meses a un año».

«Artículo 426 del Código Penal (Exención de cohecho por particular):


Quedará exento de pena por el delito de cohecho el particular que, ha-
biendo accedido ocasionalmente a la solicitud de dádiva u otra retribu-
ción realizada por autoridad o funcionario público, denunciare el hecho

195
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

a la autoridad que tenga el deber de proceder a su averiguación antes de


la apertura del procedimiento, siempre que no haya transcurrido más de
dos meses desde la fecha de los hechos».

«Artículo 427 del Código Penal (Funcionarios de la Unión Europea o afines):


Lo dispuesto en los artículos precedentes será también aplicable cuando
los hechos sean imputados o afecten a:
aa Cualquier persona que ostente un cargo o empleo legislativo, adminis-
trativo o judicial de un país de la Unión Europea o de cualquier otro país
extranjero, tanto por nombramiento como por elección.
bb Cualquier persona que ejerza una función pública para un país de la
Unión Europea o cualquier otro país extranjero, incluido un organismo
público o una empresa pública, para la Unión Europea o para otra organi-
zación internacional pública.
cc Cualquier funcionario o agente de la Unión Europea o de una organiza-
ción internacional pública».

Son conductas tipificadas penalmente las descritas a continuación:


• La autoridad o funcionario público que, en provecho propio o
de un tercero, recibiere o solicitare, por sí o por persona inter-
puesta, dádiva, favor o retribución de cualquier clase o aceptare
ofrecimiento o promesa para realizar en el ejercicio de su cargo
un acto contrario a los deberes inherentes al mismo o para no
realizar o retrasar injustificadamente el que debiera practicar.
• La autoridad o funcionario público que, en provecho propio o
de un tercero, recibiere o solicitare, por sí o por persona inter-
puesta, dádiva, favor o retribución de cualquier clase o aceptare
ofrecimiento o promesa para realizar un acto propio de su cargo.
• La autoridad o funcionario público que, en provecho propio o de
un tercero, admitiera, por sí o por persona interpuesta, dádiva o re-
galo que le fueren ofrecidos en consideración a su cargo o función.
• El particular que ofreciere o entregare dádiva o retribución de
cualquier otra clase a una autoridad, funcionario público o per-
sona que participe en el ejercicio de la función pública para que
realice un acto contrario a los deberes inherentes a su cargo o un

196
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

acto propio de su cargo, para que no realice o retrase el que de-


biera practicar, o en consideración a su cargo o función, será cas-
tigado en sus respectivos casos, con las mismas penas de prisión
y multa que la autoridad, funcionario o persona corrompida.
Cuando de conformidad con lo establecido en el artículo 31 bis una per-
sona jurídica sea responsable de los delitos recogidos en este grupo de-
lictivo, se le impondrán las siguientes penas:
• Multa de dos a cinco años, o del triple al quíntuple del beneficio
obtenido cuando la cantidad resultante fuese más elevada, si el
delito cometido por la persona física tiene prevista una pena de
prisión de más de cinco años.
• Multa de uno a tres años, o del doble al cuádruple del beneficio
obtenido cuando la cantidad resultante fuese más elevada, si el
delito cometido por la persona física tiene prevista una pena de
más de dos años de privación de libertad no incluida en el ante-
rior inciso (pena de prisión de 2 a 5 años).
• Multa de seis meses a dos años, o del doble al triple del beneficio
obtenido si la cantidad resultante fuese más elevada, en el resto
de los casos.
En todo caso, atendidas las reglas establecidas en el artículo 66 bis, los
jueces y tribunales podrán asimismo imponer las penas recogidas en las
letras b) a g) del apartado 7 del artículo 33. Es posible la imposición de
penas accesorias, por consiguiente.
El artículo 427 bis a este respecto señala:

«Artículo 427 bis (Penas de cohecho):


Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos recogidos en este Capítulo, se le
impondrán las siguientes penas:
aa Multa de dos a cinco años, o del triple al quíntuple del beneficio obtenido
cuando la cantidad resultante fuese más elevada, si el delito cometido por
la persona física tiene prevista una pena de prisión de más de cinco años.
bb Multa de uno a tres años, o del doble al cuádruple del beneficio obte-
nido cuando la cantidad resultante fuese más elevada, si el delito come-

197
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

tido por la persona física tiene prevista una pena de más de dos años de
privación de libertad no incluida en el anterior inciso.
cc Multa de seis meses a dos años, o del doble al triple del beneficio ob-
tenido si la cantidad resultante fuese más elevada, en el resto de los
casos.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas recogidas en las letras b) a g)
del apartado 7 del artículo 33».

7.5. Delito de captación de fondos para el terrorismo (artí-


culo 576 CP)
«Artículo 576 del Código Penal:
1. Será castigado con la pena de prisión de cinco a diez años y multa del
triple al quíntuplo de su valor el que, por cualquier medio, directa o indi-
rectamente, recabe, adquiera, posea, utilice, convierta, transmita o rea-
lice cualquier otra actividad con bienes o valores de cualquier clase con
la intención de que se utilicen, o a sabiendas de que serán utilizados, en
todo o en parte, para cometer cualquiera de los delitos comprendidos en
este Capítulo.
2. Si los bienes o valores se pusieran efectivamente a disposición del res-
ponsable del delito de terrorismo, se podrá imponer la pena superior en
grado. Si llegaran a ser empleados para la ejecución de actos terroristas
concretos, el hecho se castigará como coautoría o complicidad, según
los casos.
3. En el caso de que la conducta a que se refiere el apartado 1 se hubiera
llevado a cabo atentando contra el patrimonio, cometiendo extorsión,
falsedad documental o mediante la comisión de cualquier otro delito, es-
tos se castigarán con la pena superior en grado a la que les corresponda,
sin perjuicio de imponer además la que proceda conforme a los aparta-
dos anteriores.
4. El que estando específicamente sujeto por la ley a colaborar con la
autoridad en la prevención de las actividades de financiación del terroris-
mo dé lugar, por imprudencia grave en el cumplimiento de dichas obliga-
ciones, a que no sea detectada o impedida cualquiera de las conductas

198
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

descritas en el apartado 1 será castigado con la pena inferior en uno o dos


grados a la prevista en él».

Las conductas tipificadas bajo este supuesto son las siguientes:


• Quien por cualquier medio, directa o indirectamente, recabe,
adquiera, posea, utilice, convierta, transmita o realice cualquier
otra actividad con bienes o valores de cualquier clase con la in-
tención de que se utilicen, o a sabiendas de que serán utilizados,
en todo o en parte, para cometer cualquiera de los delitos com-
prendidos en este Capítulo (artículos 573-575 CP).
• Se considerarán delito de terrorismo la comisión de cualquier
delito grave contra la vida o la integridad física, la libertad, la
integridad moral, la libertad e indemnidad sexuales, el patrimo-
nio, los recursos naturales o el medio ambiente, la salud pública,
de riesgo catastrófico, incendio, contra la Corona, de atentado y
tenencia, tráfico y depósito de armas, municiones o explosivos,
previstos en el presente Código, y el apoderamiento de aerona-
ves, buques u otros medios de transporte colectivo o de mercan-
cías, cuando se llevaran a cabo con cualquiera de las siguientes
finalidades:
ȃȃ Subvertir el orden constitucional, o suprimir o desestabilizar grave-
mente el funcionamiento de las instituciones políticas o de las es-
tructuras económicas o sociales del Estado, u obligar a los poderes
públicos a realizar un acto o a abstenerse de hacerlo.
ȃȃ Alterar gravemente la paz pública.
ȃȃ Desestabilizar gravemente el funcionamiento de una organización
internacional.
ȃȃ Provocar un estado de terror en la población o en una parte de ella.
• Los delitos informáticos tipificados en los artículos 197 bis y 197
ter y 264 A 264 quater cuando los hechos se cometan con alguna
de las finalidades a las que se refiere el apartado anterior.
• El depósito de armas o municiones, la tenencia o depósito de
sustancias o aparatos explosivos, inflamables, incendiarios o as-
fixiantes, o de sus componentes, así como su fabricación, tráfi-
co, transporte o suministro de cualquier forma, y la mera colo-

199
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
II. Responsabilidad penal de las personas jurídicas: Una nueva realidad social empresarial

cación o empleo de tales sustancias o de los medios o artificios


adecuados.
• Quienes, con las mismas finalidades indicadas en el parágrafo 1,
desarrollen armas químicas o biológicas, o se apoderen, posean,
transporten, faciliten a otros o manipulen materiales nucleares,
elementos radioactivos o materiales o equipos productores de
radiaciones ionizantes.
• Quien, con la finalidad de capacitarse para llevar a cabo cual-
quiera de los delitos tipificados en este Capítulo, reciba adoctri-
namiento o adiestramiento militar o de combate, o en técnicas
de desarrollo de armas químicas o biológicas, de elaboración o
preparación de sustancias o aparatos explosivos, inflamables,
incendiarios o asfixiantes, o específicamente destinados a facili-
tar la comisión de alguna de tales infracciones.
• Quien, con la misma finalidad de capacitarse para cometer al-
guno de los delitos tipificados en este Capítulo, lleve a cabo por
sí mismo cualquiera de las actividades previstas en el parágrafo
anterior.
• Quien, con tal finalidad, acceda de manera habitual a uno o va-
rios servicios de comunicación accesibles al público en línea o
contenidos accesibles a través de internet o de un servicio de
comunicaciones electrónicas cuyos contenidos estén dirigidos
o resulten idóneos para incitar a la incorporación a una organi-
zación o grupo terrorista, o a colaborar con cualquiera de ellos
o en sus fines. Los hechos se entenderán cometidos en España
cuando se acceda a los contenidos desde el territorio español.
• Quien, con la misma finalidad, adquiera o tenga en su poder do-
cumentos que estén dirigidos o, por su contenido, resulten idó-
neos para incitar a la incorporación a una organización o grupo
terrorista o a colaborar con cualquiera de ellos o en sus fines.
• Quien, para ese mismo fin, o para colaborar con una organiza-
ción o grupo terrorista, o para cometer cualquiera de los delitos
comprendidos en este Capítulo, se traslade o establezca en un
territorio extranjero controlado por un grupo u organización te-
rrorista.

200
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El corporate compliance y la responsabilidad penal de las personas jurídicas (V)

La responsabilidad penal de las personas jurídicas se recoge en el artículo


576 parágrafo 5 “in fine” donde al respecto se manifiesta:
• Multa de dos a cinco años si el delito cometido por la persona
física tiene prevista una pena de prisión de más de cinco años.
• Multa de uno a tres años si el delito cometido por la persona fí-
sica tiene prevista una pena de más de dos años de privación de
libertad no incluida en la letra anterior (pena de prisión de 2 a 5
años).

Y en cualquier caso, atendidas las reglas establecidas en el artículo 66


bis, los jueces y tribunales podrán asimismo imponer las penas previstas
en las letras b) a g) del apartado 7 del artículo 33, esto es, la posibilidad de
imponer penas accesorias.
De forma expresa, este artículo 576 recoge:
«5. Cuando, de acuerdo con lo establecido en el artículo 31 bis, una per-
sona jurídica sea responsable de los delitos tipificados en este artículo se
le impondrán las siguientes penas:
aa Multa de dos a cinco años si el delito cometido por la persona física
tiene prevista una pena de prisión de más de cinco años.
bb Multa de uno a tres años si el delito cometido por la persona física
tiene prevista una pena de más de dos años de privación de libertad no
incluida en la letra anterior.
Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribu-
nales podrán asimismo imponer las penas previstas en las letras b) a g)
del apartado 7 del artículo 33».

201
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Parte III

Caracterización de la figura
del compliance officer

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 8
Configuración de la figura del compliance
officer: Características y responsabilidades

8.1. Introducción
Durante los últimos años ha eclosionado con fuerza la figura del chief
ethics & compliance officer, considerado como una evolución natural de
la figura del chief compliance officer (CCO). Se introduce de este modo la
ética dentro de los cometidos de cumplimiento o el cumplimiento dentro
de los cometidos de la ética, en viceversa, lo cual adquiere pleno sentido
puesto que el cumplimiento de las normas es una manifestación de un
comportamiento ético en el desarrollo de los negocios.
En materia de cumplimiento se reconoce que las normas autoimpuestas
se encuentran incluidas dentro del alcance de vigilancia de un sistema para
la gestión del cumplimiento. Ya que estas normas, aparecen plasmadas en
códigos eticos o de conducta, incorporan un notable componente ético y
constituyen una prueba evidente de la vinculación de dicha esfera con la
función de cumplimiento. La observancia de estos estándares éticos o las
mejores prácticas que vengan propuestas a nivel sectorial constituye una
obligación ineludible en algunas actividades. Así se manifiesta de modo
significativo para las entidades bancarias y financieras, por ejemplo, cuyo
negocio se sustenta en generar confianza entre los usuarios, seguir estas
prácticas éticas y estándares sectoriales es crítico hasta el punto que su
incumplimiento podría calificarse como “riesgo de integridad”.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


III. Caracterización de la figura del compliance officer

Este sentir organizacional está extendiéndose a otros sectores de activi-


dad, de manera que son pocas las organizaciones que pueden permitirse
sufrir los daños reputacionales en que se puede materializar un riesgo de
integridad. El entorno tecnológico globalizado en el que se desenvuel-
ven las compañías hoy día, puede suponer un desconocimiento norma-
tivo que afecte al buen y correcto funcionamiento de las organizaciones.
Esto, unido a las exigencias legales que se implantan año tras año para
prevenir y detectar fraudes y delitos relacionados con los diversos secto-
res empresariales, obligan a las empresas a disponer y dotar de respon-
sabilidades a una figura capaz de supervisar toda acción susceptible de
provocar alarma ante la administración.
El término compliance, procedente del mundo jurídico-empresarial an-
glosajón, alude al cumplimiento normativo por parte de las empresas
junto con el establecimiento de controles internos y de evaluación de
riesgos. Y todo ello con diferentes objetivos:
• Fortalecer la cultura corporativa.
• Reforzar los valores de ética y transparencia a través de la res-
ponsabilidad social corporativa (RSC).
• El control y monitorización de los recursos humanos.
• Prevenir el fraude y la corrupción.
De este modo, por parte de las empresas nacionales e internacionales
comienzan a invertir en el desarrollo de una política de compliance, que
abarca desde los requisitos mínimos de auditoría hasta un programa cor-
porativo integral, que asegure su actividad y le dote de mecanismos pre-
ventivos de vigilancia y control. En este contexto, eclosiona con fuerza
la figura del compliance officer o la persona responsable de supervisar y
gestionar todas las cuestiones relacionadas con el cumplimiento norma-
tivo. Podemos afirmar, en una primera aproximación, que sus principales
funciones son:
• La identificación de riesgos.
• Analizar cambios estatutarios y reguladores.
• Determinar medidas preventivas y correctivas.
• Impartir formación a directivos y empleados para que conozcan
y apliquen todas las normas y revisar periódicamente la actuali-
zación de los procedimientos.

206
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

Destaca Casanova que para este puesto es necesario un candidato con


perfil jurídico, de control y supervisión y con un componente ético, y para
el que, sin duda alguna, se necesita una formación superior de carácter
complementario.
La figura del responsable de cumplimento puede conceptuarse como Ja-
vier Puyol la define: «El guardián de la buena ciudadanía corporativa de
una organización. Su trabajo va desde crear y aplicar guías y políticas que
aseguren la integridad de la compañía hasta promover estándares éticos
y valores que promuevan la fortaleza de la cultura laboral». Los respon-
sables de cumplimiento son además quienes responden la llamada de
los investigadores de gobierno, y también pueden trabajar dentro de la
organización que están evaluando o para agencias externas o compañías
contratadas específicamente para hacer trabajo de cumplimiento.
Las funciones que deberá desempeñar un compliance officer son extensas
y variadas, con una dificultad añadida de que no están vinculadas entre
ellas sino que deben interrelacionarse con todos los niveles de desarrollo
de la actividad empresarial. Por tanto, debe ser sin duda alguna uno de
los perfiles más completos de la empresa y dominar un gran número de
aspectos y terrenos legales.
El responsable de compliance (CCO, o compliance officer) tiene como ob-
jetivo principal implementar, en el sentido amplio del término, un “pro-
grama de cumplimiento” basado en procedimientos que aseguren el
adecuado diseño de actividades de cumplimiento normativo interno y
externo, su implantación y su prueba de periódica efectividad.
En España, a través de la reforma del Código Penal operada en 2010 se ha
incorporado aspectos novedosos, como la introducción de la responsabi-
lidad penal de las personas jurídicas. No cabe duda que el nuevo Código
Penal ha llevado a replantearse muchos procedimientos y prácticas en
las empresas. El rol del compliance officer se está generalizando a raíz de
la entrada en vigor de dicha reforma del Código Penal, más si cabe desde
la LO 1/2015, que ha vuelto a modificar la responsabilidad penal de las
personas jurídicas, y cuyo ascenso parece ya imparable.
Hemos pasado de un concepto reactivo a un concepto preventivo del
cumplimiento normativo. Esto ha conducido a la creación de protocolos
específicos de compliance que afectan a las diferentes áreas funcionales
y que se haya generado la figura de compliance officer, nos referimos a

207
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

una figura establecida desde hace ya tiempo en las empresas de origen


anglosajón). En este sentido, no debe obviarse la posición de garante
que incumbe de forma principal al empresario y cómo este generalmen-
te actuará mediante delegación, mutando sus responsabilidades (que no
desaparecen) a las de supervisión y vigilancia de los empleados subordi-
nados que hubieran asumido las responsabilidades delegadas.
Por ende, el responsable de cumplimiento asume del empresario algu-
nas funciones delegadas como son los deberes de control de la peligro-
sidad de la actividad empresarial y de supervisión y vigilancia de otras
personas. A este respecto, la persona jurídica es susceptible de incurrir
en responsabilidad si hay delito. Los más relevantes en el ámbito de la
empresa son, quizás, los de corrupción, estafa y medio ambiente. Este
hecho ha provocado la proliferación de una figura no del todo conocida,
la referida del compliance officer, que es, como ha quedado dicho, la per-
sona responsable de la supervisión y gestión de cuestiones relacionadas
con el cumplimiento. Habitualmente, entre sus funciones se encuentran
las de diseñar y aplicar controles, normativas y procedimientos internos
que permitan garantizar el cumplimiento de la legislación y normativa
aplicables, gestionar las auditorías e investigaciones sobre cumplimiento
y normativas, o responder a las solicitudes de información de los orga-
nismos reguladores. Además, puede supervisar el cumplimiento de los
códigos de conducta voluntarios de las compañías.
Puede decirse que el chief compliance officer (CCO) es el arquitecto y ad-
ministrador de la estrategia de cumplimiento de la empresa, la estructura
y los procesos. Como responsable de las tareas relativas al cumplimiento
y experto en la materia, el director de cumplimiento es responsable de
establecer las normas y la aplicación de los procedimientos para afianzar
y garantizar que los programas relativos al mismo en toda la organiza-
ción son eficaces y eficientes en la identificación, prevención, detección
y corrección de las faltas de cumplimiento con las normas y reglamentos
aplicables. Por otra parte, debe proporcionar una seguridad razonable
a la alta dirección y al Consejo de Administración de que hay políticas y
procedimientos eficaces y eficientes, bien entendidas y respetadas por
todos los empleados, y que la empresa está cumpliendo con todos los re-
querimientos reglamentarios; y del mismo modo, debe reportar directa-
mente al director general y al Consejo de Administración, a sus órganos
de dirección y gestión, respecto a cuestiones importantes y violaciones

208
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

materiales de la normativa vigente y de obligado cumplimiento para la


entidad.
Los principios que deben guiar e inspirar cualquier actuación de un com-
pliance officer deben estar basados en la independencia de la función
respecto de la actividad empresarial, por lo que resulta imprescindible
que exista una involucración seria, efectiva y real de la alta dirección de
la empresa. Al igual que se hace preciso la existencia de una estructura
organizativa que se encuentre adecuadamente definida a los fines que se
pretendan, y dotada con medios económicos suficientes para posibilitar
la realización de los objetivos que se intentan conseguir. En la realización
de la actividad del compliance officer es determinante la existencia de po-
líticas y procedimientos escritos, que regulen la actuación y las pautas a
seguir.
Complementariamente a lo indicado, debemos indicar una serie de ele-
mentos:
• El compliance officer ha de contar con un nivel de formación sufi-
ciente, y en cualquier caso, ello es especialmente importante en
relación al conocimiento que el mismo ha de poseer del funcio-
namiento de la organización, de su cultura corporativa y de las
normas públicas y privadas que en cada momento le van a ser
aplicables.
• Debe hacerse especial mención a la existencia de programas de
verificación y vigilancia internos que ayuden en el desempeño
de la función a realizar.
• El compliance officer debe poseer un acceso total a la informa-
ción de la empresa y, al mismo tiempo, a todas las funciones y
procesos que se desarrollen en el seno interior de la misma.
• Debe prestarse una especial atención a la función que el área de
compliance debe tener con otras áreas o departamentos de la or-
ganización. En este sentido, deben destacarse las de auditoría,
control interno, gestión de riesgos, y cuantas otras desarrollen
funciones análogas, conforme a cada estructura societaria en
particular.
En lo que se refiere al perfil competencial que debe reunir esta figura,
siguiendo a Casanovas, se pueden determinar los siguientes:

209
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

• Formación académica. El máximo responsable de cumplimien-


to tendrá normalmente formación y conocimientos sobre el
marco legal de sus cometidos. Por ello, se infiere que su forma-
ción académica será normalmente de tipo superior, relacionada
con su ámbito de cumplimiento y con información adicional o
experiencia en las restantes.
• Experiencia profesional. La función de cumplimiento de gran
relevancia para la empresa y de su inadecuado desempeño, las
nefandas consecuencias que se pueden derivar plasmadas en
daños económicos y reputacionales importantes. Por tanto, es
aconsejable que el máximo responsable de cumplimiento dis-
ponga de experiencia en el desarrollo de tal cometido, adquirida
paulatinamente dentro de la propia realización o en puestos ex-
ternos anteriores.
• Historia profesional. Ninguna persona relacionada con la función
de cumplimiento deberá haberse visto involucrada en circunstan-
cias que puedan inducir a un comportamiento poco ético o de in-
cumplimiento, tanto dentro como fuera de la organización.
• Competencias personales. Ya que la función de cumplimiento
debe mantener una estrechísima relación con la alta dirección y
otras áreas corporativas relevantes de la organización, se preci-
san adecuadas competencias de comunicación y coordinación. De
igual forma, cuando se lidera un equipo de cumplimiento, se reque-
rirán ineludiblemente competencias de organización y liderazgo.
• Posición jerárquica dentro del organigrama de la empresa.
El máximo responsable de cumplimiento debe ocupar una po-
sición acorde a su rango e independencia: habitualmente como
función interna independiente con acceso directo a los adminis-
tradores, al Consejero Delegado o al comité de auditoría. Nun-
ca estará subordinado a personas u órganos que puedan verse
afectados negativamente por sus acciones.
• Contratación consistente. La contratación según sea laboral
o mercantil con el responsable de cumplimiento debe ser con-
sistente y coherente con todo lo anterior. Obviamente, ello se
traduce en un régimen económico y retributivo acorde a la rele-
vancia y responsabilidades del cargo.

210
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

Profundizando, como elementos a tener en consideración en la creación de


la figura del compliance officer, se deben considerar los aspectos siguientes:
• Softskills, esto es disponer de una gran capacidad de comuni-
cación, interactuación y networking (capacidad de trabajo en
red, de forma muy simplificada) con quienes son los destinata-
rios finales de los servicios, sea el cliente interno (en el caso del
compliance officer), sea el cliente externo (en el caso de servicio
de compliance, inclusive la externalización de la función de com-
pliance officer). Sin embargo, y ante todo, el compliance officer
debe tener una total empatía con la actividad empresarial y con
las áreas que la conforman, conocer su misión y visiónes requisi-
to sine qua non. El objetivo final no es ser tangencial, transversal,
paralelo o perpendicular valga tal extensión, a la propia organi-
zación. El objetivo es ser parte esencial e ínsita de la empresa, su
único objetivo es aportar valor a la compañía.
• Ser “la persona/departamento del NO” (Mr/s. negative). Impi-
de apreciar los riesgos y gestionarlos. La gestión de cumplimien-
to debe orientarse a ayudar a identificar los riesgos asociados a
una determinada actividad, expresados de manera sencilla, cla-
ra y directa, para que puedan ser gestionados.
• Conocer es el primer paso para poder actuar. Vivimos una era
donde puede ser más importante saber cómo gestionar las múl-
tiples fuentes de información que tenemos a nuestra disposi-
ción, que acumular conocimientos.
• La tecnología no es una alternativa. La base tecnológica como
elemento conductor (driver) de la actividad económica es una
constante en casi la totalidad de las empresas, pequeñas, me-
dianas y grandes. Es con y en base a ella como mejoran su acti-
vidad, amplían su negocio y llegan a nuevos mercados (más allá
de su actividad en Internet).
• Necesidad de procesos de automatización para ser más efi-
ciente, mejor y más barato. Yendo más allá de consecuencias
sociales, que ciertamente hay que gestionar, sin embargo ac-
tualmente la tendencia es que siempre que sea posible las tareas
se desarrollen por máquinas y software en lugar de personas.
Esto es extensible a las actividades de cumplimiento normativo.

211
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

Casanovas destaca, finalmente, como colofón de este perfil competen-


cial que hemos descrito, el hecho de que las áreas de cumplimiento son
muy variadas, y que es prácticamente imposible aspirar a un único perfil
profesional con formación y experiencia en todas ellas. Por lo tanto, en
organizaciones de cierta complejidad, innova la figura del chief complian-
ce officer como responsable de coordinar a los diferentes encargados de
cumplimiento, que puede ostentar al mismo tiempo la gestión directa de
alguna área concreta, destacándose tres características:
• La integridad, vinculada al comportamiento ético de las perso-
nas que se encargan de funciones de cumplimiento.
• La neutralidad, relacionada con la capacidad de obrar de forma
correcta y honesta, sin perseguir objetivos personales, ni bene-
ficiar o perjudicar a determinadas personas o colectivos tanto
dentro como fuera de la organización.
• La independencia, relacionada con la libertad de juicio o liber-
tad de criterio del responsable de cumplimiento, siendo una
característica que aun siendo muy relevante, no siempre es re-
conocida como una obligación y nota característica propia de la
actuación de este profesional.

8.2. Imbricación estructural del desempeño de la función de


compliance officer
8.2.1. El compliance en el organigrama organizacional
Tras haber analizado el desempeño de las funciones que corresponden
al compliance officer, es preciso traer a colación algunas cuestiones, que
deben ser reflexionadas acerca de su función en las compañías.
Como consideración previa se ha de partir de la independencia de su fun-
ción. De este modo, se ha de constatar el hecho siguiente: para garanti-
zar la eficacia de la función de cumplimiento hay una relación evidente
con su nivel de independencia. Cada vez hallaremos más normas que se
refieren expresamente a dicha característica o sus manifestaciones más
evidentes, aun cuando no haya una proyección hacia mercados regula-
dos. Un ejemplo reciente de ello es la regulación europea sobre el data
privacy officer (responsable de cumplimiento en el ámbito de la privaci-

212
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

dad), cuya vinculación con la empresa queda sujeta a una duración míni-
ma que solo puede obviarse por motivos excepcionales justificados. No
se puede dejar de considerar, que se trata de una medida para la protec-
ción de esta figura de cumplimiento, prevista para liberarla de presiones.
El único motivo que justifica una función de cumplimiento no indepen-
diente no es de orden técnico, sino de realismo crítico: no todas las or-
ganizaciones pueden permitirse disponer de un equipo de cumplimien-
to separado de otras funciones (la jurídica, por ejemplo). Esto explica la
falta de implantación con que se aborda esta materia en entornos de
referencia generales, mientras que en ámbitos sectoriales (banca, inter-
mediación financiera, farmacia, por ejemplo) donde las organizaciones si
presentan un cierto tamaño, sí se aprecia esta característica de manera
abierta. Fuera de esta argumentación, no existen actualmente motivos
para no dotar de independencia a la función de cumplimiento.
Ahora bien, la primera de las cuestiones a considerar es la que hace re-
ferencia al hecho de si su implantación exige la creación de un nuevo de-
partamento, o por el contrario, deben ser aprovechadas las sinergias de
alguno ya existente en la compañía.
Según estima Afige, el modelo de corporate debe establecerse en función
de la actividad y organización específica de cada empresa evaluando sus
riesgos específicos generados de su actividad empresarial. No es un pro-
grama genérico aplicable, por ende, a todas las empresas, sino que debe
ser algo muy particular y específico. A este respecto considera Ribas que
las funciones que el proyecto asigna al órgano de vigilancia y control (ór-
gano encargado de la función de cumplimiento) están repartidas en la
actualidad en diversos departamentos o comités:
• Comité de ética.
• Auditoría interna.
• Control interno.
• Asesoría jurídica.
• Cumplimiento normativo.
Estas funciones de vigilancia y control se dividen en tres grupos:
• Control anterior a la infracción (control preventivo).
• Control posterior a la infracción (control detectivo).

213
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

• Función sancionadora, complemento necesario para la eficacia


del control.
Empero, al distribuir estas funciones, estos grupos no quedan bien su-
ficientemente definidos y, a resultas de ello, pueden asignarse a varios
departamentos a la vez, o, incluso, quedar sin asignar.
El “comité de ética” es el destinatario habitual de las denuncias relativas
a posibles incumplimientos del código ético, a través del correspondien-
te canal de denuncias, y es también el que investiga, delibera y sancio-
na dicho incumplimiento. Ciertamente, propone la sanción y es RR.HH.
quien de manera usual la impone. Sin embargo la función del “comité
de ética” es predominantemente reactiva, esto es, acostumbra a actuar
cuando llega la denuncia, sin perjuicio de las campañas de sensibiliza-
ción, que a tal efecto pueda organizar.
En cambio, el proyecto de corporate exige una labor más proactiva (ini-
ciativa), y más cercana a la función de control interno o de auditoría in-
terna, sin embargo más intensa y no circunscrita a los delitos meramente
económicos. Ello nos lleva a considerar la conveniencia de dos órganos
distintos: uno proactivo y emisor de denuncias; y otro reactivo y receptor
de las mismas. Por otra parte, el objetivo de los departamentos con fun-
ciones de control ha sido hasta ahora proteger a la empresa del fraude
interno y de las amenazas en las que la empresa es la víctima, en cambio
la finalidad de los programas de corporate defense es prevenir la respon-
sabilidad penal de la empresa en los delitos en los que la víctima es un
tercero. Lo mismo acontece con los programas de “D&O defense” en re-
lación a los cargos directivos.
Por otra parte, se encuentra la función de los departamentos de asesoría
jurídica y de cumplimiento normativo, este último muy próximo en su
nomenclatura al compliance officer, aunque debe tenerse en cuenta que,
tanto las funciones como las denominaciones de los departamentos no
son uniformes en todas las empresas y sectores, razón por la cual, si
queremos realizar un análisis comparativo entre varias empresas, más
que hablar de departamentos tendremos que hacer alusión a sus fun-
ciones.
Corolario de lo expuesto, entiende Ribas, que el camino lógico a seguir
por una empresa para la implantación de un modelo de corporate defen-
se, tras la aprobación de la reforma del Código Penal sería el siguiente:

214
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

• Identificar las funciones de supervisión y control establecidas en


el texto que finalmente se apruebe, integrándolas en el modelo
de organización y gestión.
• Analizar cómo están repartidas en ese momento estas funcio-
nes en los diversos departamentos de la organización.
• Decidir si debe procederse a crear un nuevo cargo o un nuevo
departamento que incorpore a las personas que actualmente
realizan las funciones identificadas en distintos departamentos.

Lejos del debate sobre si la función origina el órgano o el órgano crea la


función, es evidente que en este caso la función de vigilancia y control
viene determinada y exigida por una Ley Orgánica, y que de ella deri-
va, por ende, la creación del órgano que debe desarrollar esta función.
Y por otra parte, en consideración de este mismo autor, en función de
las decisiones adoptadas por la empresa en relación al punto anterior,
podrán asignarse las funciones a una sola persona o a un equipo. Nótese
que aunque el proyecto habla de órgano, nada impide que se trate de un
cargo unipersonal, siendo lo más aconsejable que sea un órgano cole-
giado, puesto que los requisitos que tiene que cumplir no acostumbran
a estar reunidos en una sola persona. También puede designarse a una
única persona que se apoye en los expertos internos y externos de cada
materia, con los que la empresa ya cuenta habitualmente.
Afirma Casanovas que «un posicionamiento adecuado en el organigra-
ma, no solo legitima la vigilancia del cumplimiento las distintas funcio-
nes o unidades de la organización, sino que también facilita una comuni-
cación fluida con sus máximos responsables, cuestión clave no solo para
mantenerlos informados, sino también para adoptar decisiones de for-
ma rápida, llegado el caso de manera contundente».
Entre los factores que aconsejan el desarrollo de la función a través de
un órgano de carácter colectivo, se destacan, entre otros, los siguientes:
• La gran carga de trabajo.
• Existencia de un enfoque multidisciplinar.
• La gran variedad de conocimientos requeridos.
• La capacidad para actuar, forjar alianzas y conseguir la ejecución
de sus decisiones.

215
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

Parece clarísimo que el legislador no centraliza esta actuación, valga la


expresión, “en un hombre orquesta con múltiples tentáculos e inteligen-
cias, con un saber enciclopédico y con el don de la ubicuidad”. Aunque la
función de dirección y coordinación del equipo debe recaer en una sola
persona, parece muy conveniente que se apoye en un grupo de expertos
con capacidad de actuación en los diferentes departamentos afectados.
Consecuentemente, hay que reflexionar acerca de la labor de este órga-
no, la cual debe estar apoyada en un procedimiento sancionador, siendo
muy recomendable que las deliberaciones vayan revestidas de las ga-
rantías que ofrece un órgano colegiado.
Por tanto, habrá que decidir si la función de valoración y sanción de in-
fracciones (control posterior a la infracción) debe permanecer en un
“Comité de ética”, y las de prevención y vigilancia (control anterior a la
infracción), en un órgano de control que sería el compliance officer. Esta
opción se perfila más ajustada con el necesario principio de segregación
de tareas y, al mismo tiempo, preservaría la independencia por una parte
entre el órgano que coordina las medidas de control, y por otra el que
sanciona su incumplimiento.
Otra posibilidad sería la constituida por el hecho de engarzar los proto-
colos de vigilancia y control con las normas de buen gobierno corpora-
tivo, atribuyendo la máxima responsabilidad del control a un consejero
independiente, cuya función consistiría en la coordinación de la labor de
una comisión interdepartamental, que a su vez asumiría todas las funcio-
nes de vigilancia y control.
Otra de las cuestiones que debemos abordar es si es procedente que
las organizaciones configuren al compliance officer como un órgano
unipersonal, o por el contrario, le doten de una estructura de órgano
colegial.
Sobre esta cuestión apunta Svarzman que «el compliance officer es el
responsable táctico y operativo de implementar las políticas definidas
por la alta administración de la organización». Con carácter general,
existe un comité encargado de la función, el cual puede ser el comité de
auditoría o uno de carácter específico, dependiendo de en cada caso de
la organización propia instaurada de supervisar.
También debe resaltarse que existen diversos modelos de estructura in-
terna del equipo de compliance, que cada empresa u organización debe

216
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

implantar según se ajuste mejor a su modelo empresarial. Entre otros, se


pueden destacar los siguientes:
• Compliance centralizado: Se trata de una oficina que define,
diseña, implementa y controla las actividades de toda la orga-
nización.
• Compliance descentralizado: Bajo este modelo las unidades
de negocios cuentan con representantes de compliance que res-
ponden funcionalmente al compliance central y administrativa-
mente al superior jerárquico de la línea.
Estima Ribas que la determinación de la estructura de las funciones que
debe desempeñar el compliance officer condiciona las distintas funciones
y responsabilidades asociadas al control. Y utilizando el término “capas”,
considera que las mismas son independientes de la estructura jerárqui-
ca, en el sentido de que el beneficio de su existencia se obtiene sobre la
base del efecto acumulativo de todas ellas. Así se establecen las diferen-
tes capas sobre las que se ubica dicha estructura del modo siguiente:
• Capa de responsabilidad. Está formada por la representación
legal de la empresa, esto es, el consejo de administración o los
administradores de hecho o de derecho. De ella emanan las nor-
mas y protocolos que el personal deberá cumplir.
• Capa de responsabilidad delegada. Integrada por los directivos
de la línea de negocio y la cadena de mando que por ley o por
delegación contractual asumen obligaciones de control. Cons-
tituye, evidentemente, el máximo exponente del control en la
actividad ordinaria de la empresa.
• Capa de coordinación y supervisión. Está integrada por el com-
pliance officer como órgano unipersonal o colegiado quien tiene
atribuido comprobar que los controles son eficaces a través de
tareas rutinarias y de investigaciones internas. Se incluye tam-
bién la labor de formación y sensibilización.
• Capa de expertos. La constituyen los distintos expertos inter-
nos y externos que la empresa utiliza habitualmente para obte-
ner asesoramiento en las distintas materias que requieren una
especialización. Así hablamos demedioambiente, seguridad
informática o riesgos laborales, etc. La supervisión del control

217
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

deberá basarse en la capa de conocimiento de estos expertos


para poder analizar y valorar los riesgos y para identificar, selec-
cionar, aplicar y contrastar la eficacia de los controles. Entre los
expertos deberán incluirse los abogados penalistas, que apor-
tarán su conocimiento y experiencia sobre la prevención penal,
que abarcará: la dinámica comisiva del delito, los elementos del
tipo penal, el tratamiento jurisprudencial y los argumentos de
defensa, con el objetivo de dotar de contenido y eficacia a la la-
bor de preconstitución de la prueba.
• Capa de prueba. Está constituida por los expertos que apoyan
al compliance officer en la obtención y custodia de las evidencias
que acrediten la existencia y la eficacia del sistema de control.
• Capa sancionadora. Corresponde al “Comité de ética”, que re-
cibe las denuncias del canal y del compliance officer, y delibera y
propone las sanciones; así como por el departamento de gestión
de Recursos Humanos (en adelante, RR.HH.), que las impone.
¿Dónde debe integrarse el comité de ética en la estructura de la orga-
nización? Es posible que en algunas empresas la función del comité de
ética se integre en el órgano de supervisión, esto es en el compliance
officer. De hecho, este órgano aparece en el proyecto como receptor de
denuncias y no como emisor de las mismas. Por ello, debe considerarse
la posibilidad de mantener estas funciones repartidas en dos órganos o
unificarlas en uno solo, con las correspondientes cautelas en materia de
independencia y segregación de funciones, como ya hemos indicado an-
teriormente.
Por último, debemos analizar la cuestión relativa a la procedencia de que
la función de compliance sea una competencia atribuida a la organización
interna de la empresa, o por el contrario, la misma se encuentre externa-
lizada, y al propio tiempo, en qué medida esta situación va a afectar al
compliance officer.
Es cierto que constituye un hecho plenamente evidenciable derivado de
estar inmersos en un entorno globalizado y altamente competitivo, el
que las empresas han tenido que innovar y evolucionar de manera cons-
tante para poder sobrevivir. Esta tendencia al cambio ha provocado que
las organizaciones tiendan a ser cada vez más permeables a las situacio-
nes de su ambiente, por lo que las que quieran destacar en su entorno,

218
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

tendrán que modernizarse y adherirse a las tendencias organizacionales


actuales destacándose:
• Estructuras planas y flexibles.
• Puestos multifuncionales.
• Disminución de tramos de control.
Hasta hace no mucho tiempo esta práctica era considerada como un me-
dio para la reducción de costes; sin embargo, durante los últimos años
se ha demostrado que es una herramienta útil para el crecimiento de las
empresas por razones diversas, como estas que se exponen a continua-
ción:
• Es más económico, ya que conlleva una reducción y/o control del
gasto de operación.
• La concentración de los negocios y la disposición más adecuada
de los fondos de capital motivado por la reducción, o no uso de
los mismos en funciones no relacionadas con la razón de ser de
la compañía.
• Tener acceso al dinero efectivo. Se puede incluir la transferencia
de los activos del cliente al proveedor.
• Tener un manejo más fácil de las funciones difíciles o que se en-
cuentran fuera de control.
• La disposición de personal altamente capacitado.
• Una mayor eficiencia y eficacia.
Todo esto permite a la compañía, obtener a su vez, una serie de benefi-
cios, como los que se indican a continuación:
• Centrarse de una manera más amplia en asuntos estrictamente
empresariales.
• El acceso a capacidades y materiales de clase mundial.
• Aceleración de los beneficios de la reingeniería.
• Compartir riesgos y destinar recursos para otros propósitos.
En opinión de Ribas, a las ventajas ordinarias derivadas en general del
“outsourcing”, esto es la externalización de servicios, deben añadirse
otras, como son las propias de la externalización de la función atribuida a

219
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

la figura del compliance officer, que se concretan en las siguientes carac-


terísticas:
• La mayor objetividad en el control.
• Independencia.
• El mayor respeto (menos confianzas) a un profesional externo
que a un interno.
• Una mayor aceptación de un control externo que de un control
interno.
• Un nivel de especialización más alto.
• Supervisión del trabajo por el socio responsable (política de cua-
tro ojos).
• Aprovechamiento de la experiencia obtenida en otros clientes.
• Secreto profesional y acuerdos de confidencialidad.
• El seguro de responsabilidad civil profesional.
• La sustitución en caso de baja.
• Ahorro de costes.
A estos factores descritos pueden serle añadidos otros factores, deriva-
dos directa o indirectamente del desempeño de su función. Entre otros,
cabe señalar los que se enumeran a continuación:
• Protección más segura y eficaz de la imagen de la empresa, al
estar constituido su funcionamiento en planteamientos más
rigoristas de cumplimiento legal, y ser más consecuentes en la
fijación de los postulados éticos que se marcan como objetivos
de la misma.
• Protección de la marca, indubitablemente, se hace más intensa.
• El ambiente de control mejora de manera notoria (ética corpora-
tiva, normas, funciones, etc.).
• Mejoras en la relación con los clientes, empleados, proveedores,
entes reguladores, poder público, etc.
• Mejoras en el alineamiento de las personas y los procesos en re-
lación con los objetivos estratégicos, etc.

220
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

• Posibilidad de establecer negocios más seguros, más y mejores


negocios ya que los procesos de soporte a esos negocios son
también más sólidos y confiables.
• Cualesquiera otras características análogas a las anteriores.

8.3. Configuración de la figura del compliance officer: Fun-


ciones, derechos y responsabilidades
En este apartado vamos a desarrollar las funciones, derechos y responsa-
bilidades de la figura del compliance officer. Esta figura, reiteramos, tiene
que ajustarse a los objetivos de independencia e imparcialidad.
Estos dos son conceptos que suelen confundirse cuando, realmente, no
son sinónimos. Cuando nos referimos a la independencia, hablamos de
una situación de hecho relacionada con la cualidad de libertad de juicio.
El responsable de cumplimiento es independiente, actúa con libertad de
juicio, cuando está libre de influencia, guía o control de otros, como he-
mos expuesto anteriormente. La imparcialidad, en cambio, se relaciona
con un estado mental que permite actuar de forma ecuánime, sin estar
afectado por el interés, simpatía o animadversión hacía algo o alguien.
En otras ocasiones se utiliza el término neutralidad para referirse a esta
misma circunstancia. Aspectos como los lazos familiares, de amistad o
enemistad con determinados cargos de la organización pueden gene-
rar cierta parcialidad en los responsables de cumplimiento y perjudicar
la eficacia de su función, entendida esta en el sentido de defensa de los
valores por los que ha apostado públicamente la organización.
Son funciones propias del compliance officer, como ya hemos destacado:
• Mantener el conocimiento actualizado de las leyes y reglamen-
tos en materia de compliance.
• Desarrollar el plan anual de trabajo de cumplimiento, que refleje
los niveles de riesgos más altos de la organización, el cual será
supervisado por la función de cumplimiento de conformidad a
una evaluación obligatoria del riesgo anual.
• Proporcionar orientación a la administración, a los altos direc-
tivos, al personal y a los empleados en el cumplimiento de las
normas.

221
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

• Supervisión y control de la aplicación del programa de cumpli-


miento.
• Desarrollo de políticas y programas que fomenten los gerentes y
empleados a informar cualquier sospecha de fraude y otras irre-
gularidades, sin temor a represalias.
• Información sobre la implementación, y la asistencia a los
miembros de la empresa en el establecimiento de métodos para
mejorar la eficiencia y la calidad de los servicios; así como para
reducir la vulnerabilidad al fraude, al abuso y al incumplimiento
de la normativa vigente.
• Revisión periódica del programa según las necesidades de la com-
pañía, en la ley, y en las políticas y procedimientos del gobierno.
• Desarrollo, coordinación y participación en un programa de edu-
cación y formación multidisciplinar centrado en los elementos
del programa de cumplimiento, cuyo objetivo es garantizar que
todos los empleados y la propia dirección conozcan cómo de
cumplir con los estándares requeridos.
• Desarrollo de los materiales a nivel institucional para su distribu-
ción a todos los empleados, al objeto de mejorar notoria y nota-
blemente el conocimiento de las actividades de cumplimiento.
• Coordinación y revisión de las políticas de cumplimiento inter-
no, y el reforzamiento de las actividades de control, incluyendo
revisiones periódicas planificadas de los distintos departamen-
tos de la empresa.
• Respuesta a las investigaciones del gobierno y las consultas que
pudieran efectuarse.
• Investigación y actuaciones sobre asuntos relacionados con
el cumplimiento, debiendo incluirse flexibilidad para diseñar y
coordinar las investigaciones internas (por ejemplo, como res-
puesta a los informes de problemas, o sospecha de violaciones),
y cualesquiera otras acciones correctoras necesarias con todos
los departamentos, proveedores y subproveedores, agentes y,
en su caso, con contratistas independientes.
• Supervisión de los procesos de revisión de auditoría externa.

222
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

Según Ribas, las obligaciones propias vinculadas a las funciones del com-
pliance officer, como órgano de supervisión y control, serían las siguien-
tes:
• Supervisión y gestión para el cumplimiento de la legislación vi-
gente.
• Gestión y desarrollo de la empresa en materia de compliance.
• Análisis de los cambios estatutarios y reguladores.
• Preparación y supervisión del cumplimiento de los manuales de
compliance. Esto nos lleva a un resumen de leyes y regulaciones
relevantes y aplicables; también de políticas de actuación y pro-
cedimientos.
• Aseguramiento de la formación apropiada y adecuada en mate-
ria de cumplimiento.
• Actuación como enlace entre los organismos reguladores y las
unidades de negocio de la organización.
• Revisión periódica y actualización de los procedimientos en ma-
teria de compliance.
Prosigue el mismo autor recogiendo como funciones propias de la activi-
dad del compliance officer:
• Evaluación continua de riesgos basada en los expertos internos
y externos.
• Evaluación periódica del código ético y del modelo de preven-
ción y control.
• Evaluación continua de los controles y de su eficacia.
• Identificación de carencias.
• Propuestas de mejora y actualización del modelo.
• Alerta sobre posibles riesgos.
• Denuncia de infracciones al comité de ética, en su caso.
• Propuesta de sanciones a RR.HH., caso de asumir las funciones
del comité.
Por consiguiente, y a modo de conclusión, las reflexiones sobre las prin-
cipales cuestiones que la figura del compliance officer plantea en el Pro-

223
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

yecto de Reforma del Código Penal, así como las decisiones que cada
organización adopte en relación a los puntos expuestos, el nivel de res-
ponsabilidad penal del compliance officer dependerá principalmente de:
• El nivel de delegación al compliance officer por parte del consejo
o de la representación legal de la empresa en cualquiera de sus
formas, de la función de control.
• El traspaso o no de poderes.
• La existencia de un deber contractual de control.
• La existencia de una ley que le asigne un deber de control.
• El alcance de la actividad de control encomendada.
• El carácter previo o posterior a la infracción de la función de con-
trol asignada.
• El nivel de independencia con el que desarrolle su función.
• La diligencia demostrada en la prevención.
• Las pruebas acumuladas a lo largo de su actividad que acrediten
el control efectivo.
• El nivel de complicidad o implicación en los actos delictivos.
• La concurrencia de una tolerancia dolosa.
• La actividad desarrollada tras el descubrimiento del delito.
• El nivel de reparto o distribución de las funciones de control en-
tre los distintos directivos y departamentos de la empresa.
Esta actividad, por tanto, debe ser concretada e implementada en fun-
ción de las necesidades específicas derivadas de riesgos de cada compa-
ñía, que pueden ser muy diversas dependiendo de su actividad o negocio.
La actividad, función o negocio determina el desarrollo de su actividad.
Valga como ejemplo, se pueden citar, entre otras, algunas de las áreas
de actividad, donde alcanza un especial significado la intervención del
compliance officer.
Estas áreas son las siguientes:
• Área de finanzas: blanqueo de capitales, anticorrupción, control
de cambios, operaciones en efectivo, fiscalidad, etc. Esta área
justifica por sí solo la actuación del compliance en la organización.

224
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

• Área comercial y ventas: publicidad y promoción, etiquetado e


información al cliente, protección al consumidor, responsabili-
dad del producto, devoluciones de ventas, etc.
• Área de producción y distribución: sanciones comerciales, contro-
les de exportación, acuerdos con proveedores, política medioam-
biental, seguridad en el trabajo, propiedad intelectual e industrial,
etc.
• Área de relaciones laborales: discriminación, mobbing, relacio-
nes sindicales, políticas de igualdad, inmigración, políticas de
retribuciones, pensiones y prestaciones, etc.
• Área de información: obtención y transferencia de datos, protec-
ción de datos, auditorias de cumplimiento, privacidad de clientes
y empleados, internet, publicidad o información engañosa, etc.
• Área de gobierno corporativo: códigos de conducta, políticas
de responsabilidad civil, de control y auditoria, estructura de go-
bierno corporativo, operaciones con personas vinculadas, etc.
Para Marrero, el incumplimiento de las distintas y muy variadas normas
aplicables puede acarrear sanciones cuantiosas para la organización y
también responsabilidades penales, que en algunos casos podrían deri-
varse a los administradores y accionistas de las sociedades. En definitiva,
debemos tener presente que las organizaciones con su comportamiento
o infracción de determinadas actuaciones o actividades pueden ocasio-
nar pérdidas por incumplimiento de obligaciones, y consecuentemente,
se hace necesario delimitar las responsabilidades, procesos de actua-
ción, sistemas de control y detección de errores en las empresas.
Para ello, el objetivo pretendido es la gestión del riesgo jurídico, cono-
cer sus características diferenciadoras de cara a una mejor gestión del
mismo para, al final, vincular qué aspectos del riesgo jurídico están, en
principio, directamente ligados a la función de compliance. Para ello, es
necesario tener presente el aumento de la complejidad de las organi-
zaciones, y también el más numeroso y complejo entorno regulatorio,
que hace particularmente importante que las organizaciones gestionen
y controlen el cumplimiento de normas internas y externas para evitar la
imposición de sanciones económicas y, lo que es más relevante, preser-
var la reputación de las compañías de malas conductas empresariales o
de los propios incumplimientos de la normativa.

225
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
III. Caracterización de la figura del compliance officer

Ello nos hace concluir que las organizaciones precisan desarrollar una
función de control de cumplimiento normativo que, junto a unas buenas
prácticas de gobierno, controle la actividad, y que los conflictos de inte-
reses, la utilización de información privilegiada, el riesgo de colaborar
en el blanqueo de capitales, los nuevos tipos penales contemplados en
las legislaciones sobre responsabilidad penal de las personas jurídicas,
constituyen aspectos concretos de esta función que, vista su evolución,
precisa sistemas de control jurídico eficientes y eficaces, de la cual el
compliance officer, es indubitablemente protagonista principal.
Dentro de nuestro análisis de la figura del compliance officer debe ser
analizado la posible incursión en responsabilidad, a consecuencia de los
hechos cometidos en el desempeño de sus funciones propias, especial-
mente las de carácter penal.
A este respecto, Dopico Gómez-Aller ha analizado las responsabilida-
des en las que puede incurrir el compliance officer, al ser esta cuestión
una de las que más preocupan en el ejercicio de la práctica profesional,
sobre todo cuando dicha figura del compliance officer ha aparecido en
numerosos sistemas jurídicos, en los que la misma, ni sus funciones,
sus atribuciones o las responsabilidades de toda índole, se encuentran
específicamente definidas por la ley, como es el caso del sistema nor-
mativo español. Ante esto, dicho autor recuerda la posición de garante
que tiene el empresario con carácter principal, al ser quien debe asumir
en primer lugar las responsabilidades que se deriven de su gestión en la
empresa.
Sin embargo, debe tenerse presente que el empresario generalmente
actuará en el desempeño de su actividad económica mediante la de-
legación de sus funciones, que se transforman en responsabilidades,
principalmente, en la supervisión y vigilancia de sus empleados, espe-
cíficamente a aquellos que, como subordinados, hubieran asumido las
responsabilidades que le hubieran sido delegadas por dicho empresario.
Por consiguiente, el responsable de cumplimiento o compliance officer,
asumirá por delegación del empresario algunas funciones, entre las cua-
les podrían situarse:
• Los deberes de control de la peligrosidad de la actividad empre-
sarial.
• Los de supervisión y vigilancia de otras personas.

226
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Configuración de la figura del compliance officer: Características y responsabilidades

Y, en consecuencia, debe serle atribuida la responsabilidad (penal, civil,


administrativa, etc.) derivada de los incumplimientos que pudieran ha-
ber sido detectados, y que por:
• Falta de diligencia.
• Por pasividad.
• Por tolerancia.
• Por complicidad con sus autores.
Y consecuencia de ello, están las circunstancias ilegales o irregulares pro-
ducidas, no hubieran motivado una reacción efectiva y eficaz por parte
del compliance officer, que hubiera evitado la producción de las mismas,
o las consecuencias nocivas derivadas de ellas para la empresa, para los
terceros o la sociedad en general.

227
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Parte IV

Implementación y puesta
en marcha de un programa
de compliance

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 9
Fases de implantación de un programa de
compliance (I)

9.1. Ámbito, materias incluidas y alcance del compliance


Para que un programa de compliance sea adecuado y efectivo es muy im-
portante hacer una buena delimitación de cuál es el ámbito de aplicación
sobre el que la organización va a hacer dicho programa, definiendo qué
materias serán tratadas y qué compañías del grupo, en su caso, se van
a incluir en el alcance del programa. Una buena definición y gestión del
compliance se ha tornado en imprescindible, un elemento vital para la
supervivencia de las compañías de forma sostenida en el tiempo.
Se trata de un aliado del gobierno corporativo que debe contribuir a crear
una cultura de integridad y a mitigar riesgos de incumplir y desaparecer.
Sin embargo no solo es importante para asegurar la supervivencia y soste-
nibilidad de las empresas sino que desempeña un papel importante en la
responsabilidad social de las mismas, esto es, en cómo pueden contribuir
a su desarrollo sostenible. Como ya hemos venido manifestando en la re-
forma del Código Penal efectuado por la Ley Orgánica 5/2010 y matizada
muy recientemente con la última reforma del Código por la Ley Orgánica
1/2015, de 30 de marzo, se apuesta por reforzar la lucha contra la corrup-
ción implicando activamente en esta tarea a las empresas, al obligarlas
a adoptar y ejecutar con eficacia modelos de organización y gestión que
incluyan las medidas de vigilancia y control para prevenir delitos.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


IV. Implementación y puesta en marcha de un programa de compliance

En cumplimiento de esta previsión arriba indicada, el artículo 31 bis del


Código Penal a este respecto nos lo concreta:
«Artículo 31 bis (Personas jurídicas penalmente responsables):
2. Si el delito fuere cometido por las personas indicadas en la letra a) del
apartado anterior, la persona jurídica quedará exenta de responsabilidad
si se cumplen las siguientes condiciones:
1.ª El órgano de administración ha adoptado y ejecutado con eficacia,
antes de la comisión del delito, modelos de organización y gestión que
incluyen las medidas de vigilancia y control idóneas para prevenir delitos
de la misma naturaleza o para reducir de forma significativa el riesgo de
su comisión.
5. Los modelos de organización y gestión a que se refieren la condición
1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes
requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos
los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el pro-
ceso de formación de la voluntad de la persona jurídica, de adopción de
decisiones y de ejecución de las mismas con relación a aquellos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecua-
dos para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumpli-
mientos al organismo encargado de vigilar el funcionamiento y obser-
vancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente
el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual mo-
dificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los hagan nece-
sarios».

Puesto que ya hemos tratado con mayor exhaustividad cuales son los
delitos cuya comisión es responsable una persona jurídica, ahora nos li-
mitaremos a formular una enumeración de los mismos. De este modo

232
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

las personas jurídicas son responsables de las siguientes categorías de


delitos:
• Tráfico ilegal de órganos humanos.
• Trata de seres humanos.
• Prostitución y corrupción de menores.
• Descubrimiento y revelación de secretos.
• Estafas.
• Insolvencias punibles:
ȃȃ Alzamiento de bienes.
ȃȃ Obstaculización de embargos y procedimientos ejecutivos.
ȃȃ Concursos de acreedores dolosos.
ȃȃ Solicitudes de concurso de acreedores fraudulentas.
• Daños contra datos, programas informáticos o documentos
electrónicos ajenos.
• Delitos relativos a la propiedad intelectual e industrial, al merca-
do y a los consumidores:
ȃȃ Propiedad intelectual.
ȃȃ Propiedad industrial.
ȃȃ Descubrimiento y revelación de secretos de empresa.
ȃȃ Publicidad engañosa.
ȃȃ Delitos relativos al mercado de valores.
ȃȃ Alteración de precios.
ȃȃ Uso de información privilegiada.
ȃȃ Corrupción privada.
• Blanqueo de capitales.
• Defraudaciones tributarias y a la Seguridad Social:
ȃȃ Defraudaciones tributarias.
ȃȃ Defraudaciones a la Seguridad Social.
ȃȃ Fraude de subvenciones.

233
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ȃȃ Delitos contables.
• Delitos contra los derechos de los ciudadanos extranjeros.
• Delitos sobre la ordenación del territorio y urbanismo.
• Delitos contra los recursos naturales y el medio ambiente.
• Radiaciones ionizantes.
• Riesgos provocados por explosivos y otros agentes peligrosos.
• Tráfico de drogas.
• Falsificación de tarjetas de crédito o débito o cheques de viaje.
• Cohecho.
• Tráfico de influencias.
• Corrupción en las transacciones comerciales internacionales.
• Proveer o recolectar fondos con fines terroristas.
Es probable que en el futuro aumente el número de delitos que pue-
den dar lugar a responsabilidad penal de las personas jurídicas, habida
cuenta de las críticas realizadas por la doctrina al actual listado de de-
litos.
Entre los delitos que hay que prevenir destaca la corrupción tanto públi-
ca como privada y el blanqueo de capitales, regulado en la Ley 10/2010,
de 28 de abril, de prevención del blanqueo de capitales y de la financia-
ción del terrorismo y su reglamento por Real Decreto 304/2014, de 5 de
mayo. Y son precisamente estas medidas de vigilancia y control interno
a lo que se denomina como programas de compliance.
En las reformas del Código Penal citadas anteriormente, vienen a detallar
los elementos esenciales que debe contener un programa de compliance.
Se define como “programa compliance” a una serie de programas, planes
o sistemas tendentes a evitar que se cometan delitos en el seno de la
empresa.
Entre estos elementos destaca la obligación de crear un órgano en la per-
sona jurídica que se encargue de la supervisión, del funcionamiento y del
cumplimiento del modelo de prevención implantado, con poderes autó-
nomos de iniciativa y de control o que tenga encomendada legalmente
la función de supervisar la eficacia de los controles internos de la persona

234
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

jurídica; esto es, se trataría de crear un departamento autónomo de com-


pliance.
Quedarían excluidas de esta obligación las empresas pequeñas, enten-
diéndose por tales aquellas que estén autorizadas a presentar cuentas de
pérdidas y ganancias abreviadas, si bien finalmente la reforma del Códi-
go Penal se aprueba en su texto actual que dichas labores de supervisión
pueden ser realizadas por el propio órgano de administración.
«Artículo 31 bis:
3. En las personas jurídicas de pequeñas dimensiones, las funciones de
supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser
asumidas directamente por el órgano de administración. A estos efec-
tos, son personas jurídicas de pequeñas dimensiones aquellas que, según
la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas
y ganancias abreviada».La principal diferencia entre las cuentas anuales
normales y las abreviadas radica en su simplicidad. Las cuentas anuales
abreviadas tienen un formato más simple, donde hay una menor des-
agregación de la información; no hay normas especiales definidas para
este tipo de documentos.
Podrán formular el balance, la memoria y el estado de cambios en el pa-
trimonio neto abreviados las sociedades que durante dos ejercicios con-
secutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos
de las siguientes circunstancias (nueva redacción de la Ley de Socieda-
des de Capital dada por el artículo 49 de la Ley de Emprendedores, Ley
14/2013, de 27 de septiembre, de apoyo a los emprendedores y su inter-
nacionalización por la que se aprueban nuevos límites):
• Que el total de las partidas del activo no supere los cuatro millo-
nes de euros.
• Que el importe neto de su cifra anual de negocios no supere los
ocho millones de euros.
• Que el número medio de trabajadores empleados durante el
ejercicio no sea superior a cincuenta.
De esta forma así lo prevé expresamente:
«Artículo 49 (Formulación de cuentas anuales abreviadas):

235
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

El texto refundido de la Ley de Sociedades de Capital, aprobado por Real


Decreto legislativo 1/2010, de 2 de julio, queda modificado de la siguien-
te forma:
Uno. Se modifica el apartado 1 del artículo 257, que queda redactado
como sigue:
1. Podrán formular balance y estado de cambios en el patrimonio neto
abreviados las sociedades que durante dos ejercicios consecutivos reú-
nan, a la fecha de cierre de cada uno de ellos, al menos dos de las circuns-
tancias siguientes:
aa Que el total de las partidas del activo no supere los cuatro millones de euros.
bb Que el importe neto de su cifra anual de negocios no supere los ocho
millones de euros.
cc Que el número medio de trabajadores empleados durante el ejercicio
no sea superior a cincuenta.
Las sociedades perderán esta facultad si dejan de reunir, durante dos
ejercicios consecutivos, dos de las circunstancias a que se refiere el pá-
rrafo anterior».

Varias pueden ser las materias sobre las que se haga el programa de
compliance de la empresa. Podemos limitar el alcance del programa so-
lamente al Corporate Compliance Defense, delimitando el alcance a la res-
ponsabilidad penal de la persona jurídica a la responsabilidad de los ad-
ministradores, a las políticas anticorrupción o prevención de blanqueos
de capital. De igual modo se puede ampliar los programas de compliance
a la Information Technology (IT), ampliando el ámbito de aplicación del
programa a la privacidad y protección de datos, la seguridad de la infor-
mación, propiedad intelectual o firma electrónica.
Quizá una de las cosas más importantes a la hora de definir el ámbito
de aplicación de un programa de compliance, sea hacer un estudio de la
normativa aplicable a la corporación, con el objetivo de saber qué leyes
les son de aplicación, para poder establecer qué materias estarían dentro
del alcance del programa. Una vez definido cuál es el mapa legislativo
de aplicación a la organización, habrá que hacer un análisis del mismo,
para saber qué grado de cumplimiento tiene sobre dicha legislación la
organización y poder empezar a realizar un primer análisis de riesgo de

236
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

la organización. De esta forma, además de la normativa general, será im-


portante saber qué obligaciones de cumplimiento tienen dichas norma-
tivas sectoriales, para hacer un examen de las mismas y poder realizar un
diagnóstico específico de cuál es el grado de cumplimiento que tiene la
empresa sobre ellos.
Por ende en la definición del ámbito de aplicación del programa de com-
pliance es importante delimitar cuál se quiere que sea el alcance de apli-
cación del proyecto, para lo que, en primer lugar, hay que determinar
cuál es la normativa que le es de aplicación, para que una vez determina-
da esta, se pueda fijar el alcance del proyecto y localizar las materias que
se encuadrarán dentro de él.
Es importante reseñar que se están creando estándares de compliance y
obligaciones contractuales en dicha materia, las cuales pueden ser sus-
critas por las empresas de forma voluntaria. Entre las que cabe destacar
a día de hoy la UKBA (United Kingdom Bribery Act), la guía de OCDE de
buenas prácticas y la ISO de compliance de reciente creación (ISO 19600).
La Ley Antisoborno del Reino Unido o UKBA, promulgada en 2010 y en
vigor desde el 1 de julio de 2011 se considera hoy en día un referente en
la lucha contra la corrupción desde el punto de vista legislativo. El UKBA
prevé exclusivamente disposiciones anticorrupción. Considera ilícitas y
prohíbe cuatro tipos de actividades:
• Sobornar a otra persona.
• Aceptar un soborno.
• Sobornar a funcionarios públicos extranjeros.
• Ser una empresa y no contar con procedimientos adecuados
para evitar la corrupción.
Es importante señalar que el UKBA se articula en torno a seis principios
que constituirían esos procedimientos “adecuados” de los que habla la
ley, y que son los siguientes:
1. Proporcionalidad: la acción a tomar debe ser proporcional a los ries-
gos a los que la empresa está expuesta.
2. Compromiso de la alta dirección: aquellos que están en la cúpula de
la organización están mejor posicionados para asegurar que sus orga-
nizaciones lleven a cabo su actividad sin incurrir en corrupción.

237
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

3. Evaluación del riesgo (Risk Assessment): la organización debe re-


flexionar sobre los posibles riesgos de corrupción a los que se puede
enfrentar.
4. Diligencia debida (Due Diligence): saber con quién se realizan activi-
dades comerciales puede ayudar a proteger la organización para ope-
rar únicamente con personas que merecen su plena confianza.
5. Comunicación: es imprescindible no solo crear sino también divulgar
a través de distintos medios la posición de la empresa en relación con
la corrupción y otras prácticas ilícitas, así como la existencia y conteni-
do de las Políticas corporativas al respecto.
6. Monitoreo y revisión: nos encontramos ante un entorno que cam-
bia rápidamente y por ello los procedimientos deben adaptarse a las
nuevas realidades que vive la organización para que los mismos sigan
siendo “adecuados” y efectivos.
Hemos hecho también referencia a la “Guía de buenas prácticas sobre
control interno, ética y cumplimiento de normas de la OCDE”. Esta Guía
tiene el propósito de fomentar entre las compañías el establecimiento
y la efectividad de controles internos y programas de ética y de cumpli-
miento de normas, así como de medidas para prevenir y detectar el so-
borno a servidores públicos extranjeros en las transacciones comerciales
internacionales.
Establece que la efectividad de estos programas dependerá de su inter-
conexión en un marco de trabajo y se pretende que sirva como una guía
legalmente no vinculante para las compañías, al objeto que estas logren
establecer controles internos efectivos, ética y programas de cumplimien-
to de normas o medidas para prevenir y detectar el cohecho internacional.
Finalmente, la ISO de Sistemas de gestión de compliance: la ISO
19600, se constituye para intentar ser un referente de buenas prácticas
en materia de gestión de compliance traspasando fronteras, culturas y
jurisdicciones, ya que se trata de un documento internacional. Incluye
recomendaciones sobre elementos con los que una organización debe
contar para demostrar su compromiso con los requisitos legales que le
son de aplicación y con aquellos otros con los que voluntariamente ha
decidido comprometerse. La motivación principal por la que nace esta
ISO es la importancia y necesidad de armonizar las directrices y guías
existentes hasta el momento en materia de compliance en los diferentes

238
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

países. La Norma ISO 19600, por tanto, se podrá aplicar a todo tipo de
organizaciones con independencia de las grandes diferencias que puede
haber entre unas y otras. Esta normativa ya ha sido desarrollada con an-
terioridad.
De este modo, una vez fijado el abanico de normativa que le es de aplica-
ción, tanto general como sectorial, y las normas que voluntariamente la
empresa decida adoptar, será el momento de fijar cuál va a ser el alcance
del proyecto y qué materias va a incluir.
Una vez fijadas las materias dentro del proyecto, será el momento de
determinar cuál será el alcance del programa dentro de nuestra organi-
zación, y así habrá que fijar qué compañías estarán encuadradas dentro
del proyecto.
En caso de que la organización tenga diferentes tipos de negocios, ha-
brá que definir, de igual modo, cuáles quedan dentro del alcance y cuáles
no. Lo lógico a la hora de hacer un proyecto de compliance sobre nuestra
organización, será hacerlo sobre toda nuestra organización y no solo so-
bre nuestra entidad matriz o principal, o sobre nuestras principales com-
pañías. Al igual que sería conveniente incluir dentro del proyecto todas
nuestras áreas de negocio. Resulta especialmente importante determi-
nar las responsabilidades penales en el ámbito corporativo de las empre-
sas en caso de grupo de empresas, filiales e incluso tratándose de sub-
contrataciones, que ya no pueden quedar diluidas bien en el organigrama
vertical de la empresa, bien a través de estructuras societarias opacas.
Aun cuando el legislador no ha establecido nada al respecto al introducir
la responsabilidad penal de las personas jurídicas a nuestro ordenamien-
to jurídico, sí existen otra serie de conductas en las que se ha establecido
la responsabilidad en cadena de todas las empresas que participan en un
mismo hecho.
A título de ejemplo de ello nos encontramos con la responsabilidad es-
tablecida en materia de prevención de riesgos laborales de todas las
empresas que participan en una construcción, a través de filiales o sub-
contratas, en el caso de accidentes laborales, ya sea responsabilidad ad-
ministrativa o penal por la comisión de un delito contra los derechos de
los trabajadores. Por todo ello, es posible que cuando un delito sea come-
tido por una filial totalmente autónoma o un subcontratista, si se puede
probar que ambas empresas constituyen una unidad económica con un
centro de decisión único o que ambas empresas aparecen como benefi-

239
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ciarias de los efectos del delito, también resultará imputable a la matriz,


estableciéndose una especie de responsabilidad penal en cadena.
De igual modo hay que hablar sobre los proveedores habituales de la
compañía, si deben estar dentro del ámbito del programa de compliance
o deben de quedar fuera de dicho alcance. La regulación de la responsa-
bilidad derivada de los servicios prestados por proveedores está resul-
tando algo controvertida, tanto por la falta de pronunciamiento expreso
al respecto por parte del legislador como por la aún ausente jurispruden-
cia derivada de la mencionada reforma (LO 1/2015, de 30 de marzo).
Acudiendo al tenor literal de la norma, la persona jurídica responderá
por los delitos cometidos por las personas físicas que estén sometidas a
la autoridad de sus representantes legales o administradores cuando se
cometa en el ejercicio de actividades sociales y por cuenta y en provecho
de la persona jurídica.

«Artículo 31 bis del Código Penal:


1. En los supuestos previstos en este Código, las personas jurídicas serán
penalmente responsables:
aa De los delitos cometidos en nombre o por cuenta de las mismas, y
en su beneficio directo o indirecto, por sus representantes legales o por
aquellos que actuando individualmente o como integrantes de un órga-
no de la persona jurídica, están autorizados para tomar decisiones en
nombre de la persona jurídica u ostentan facultades de organización y
control dentro de la misma».

Parece lógico inferir que atendidas las variantes en que pueden plantear-
se las relaciones jerárquicas empresariales en la actualidad, véase el caso
de autónomos insertados en una estructura empresarial con carácter de-
pendiente, cualquier sujeto que desarrolle una actividad para la persona
jurídica de forma integrada podrá generar responsabilidad para la em-
presa en caso de comisión de un delito del que se vea beneficiada.
El carácter excluyente del requisito relativo a la comisión en el ejercicio
de actividades sociales y por cuenta y en provecho de la persona jurí-
dica, que descarta aquellos que no le beneficien, supone a su vez la in-
clusión de todos aquellos delitos cometidos por proveedores que actúen
por cuenta y en provecho, aunque sea indirecto, de la persona jurídica.

240
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

En cualquier caso es importante señalar el carácter deductivo de cuales-


quiera afirmaciones acerca de la responsabilidad de los proveedores, por
las circunstancias ya señaladas de ausencia de pronunciamiento expreso
al respecto por parte de la jurisprudencia.
No obstante es cierto que en aquellos casos en que la empresa contratis-
ta y el proveedor constituyan unidad económica, decisoria y beneficios
derivados del delito, no parece que exista margen alguno para no impu-
tar a ambas la responsabilidad que corresponda. En conclusión, analógi-
camente, parece delimitarse una suerte de “culpa in eligendo” derivada
de la mala elección del proveedor, combinada con la “culpa in vigilando”
generada por la falta de control.

«Artículo 31 bis del Código Penal:


1. En los supuestos previstos en este Código, las personas jurídicas serán
penalmente responsables:
bb De los delitos cometidos, en el ejercicio de actividades sociales y por
cuenta y en beneficio directo o indirecto de las mismas, por quienes, es-
tando sometidos a la autoridad de las personas físicas mencionadas en el
párrafo anterior, han podido realizar los hechos por haberse incumplido
gravemente por aquellos los deberes de supervisión, vigilancia y control
de su actividad atendidas las concretas circunstancias del caso».

Por último hay que tener en cuenta que la transformación, fusión, ab-
sorción o escisión de una empresa no extingue su responsabilidad penal,
que se trasladará a la entidad transformada, fusionada, absorbida o es-
cindida, si continúa con su actividad económica, clientes, proveedores y
empleados.
Una vez analizada la importancia de determinar qué compañías deben
estar dentro del proyecto, hay que analizar si el alcance debe producirse
sobre cualquier entidad en la que tengamos participación o de alguna
manera podemos y debemos limitar dicho alcance. Nada dice el Código
Penal en la actualidad, ni nada ha dicho al respecto las recientes refor-
mas del dicho texto legislativo.
Desde un criterio objetivo y jurídico, se podría decir que el alcance debe
limitarse a las compañías sobre las que ejercemos algún tipo de control,
apreciando este desde dos perspectivas:

241
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

• Control mayoritario en el capital social de la entidad.


• Control sobre el órgano de administración de la compañía par-
ticipada.
En consecuencia habrá que incluir dentro del alcance del proyecto de la
organización a todas las compañías en las que participemos, en las que
de un modo u otro ejerzamos o podamos tener capacidad de decisión
sobre ellas, bien la Junta General de socios, a través de nuestra participa-
ción en la misma, o bien en a través de nuestra participación en el órgano
de administración.
Por lo que respecta a la participación en el órgano de administración de
la entidad, parece ser que no debe limitarse a estar presente en el mis-
mo, sino que debe de tratarse de una función de control, esto es, que el
administrador único de dicha compañía pertenezca a nuestra organiza-
ción o que dentro del Consejo de Administración tengamos mayoría en
su composición o tengamos capacidad de decisión sobre el mismo.
En conclusión, la obligación de asumir este tipo de programas se encuen-
tra incentivada por la introducción en el Código Penal, mediante la refor-
ma realizada por la Ley Orgánica 1/2015 de un nuevo delito del que serán
responsables los representantes legales o administradores de hecho o
de derecho de una empresa que omitan la adopción de las medidas de
vigilancia o control, es decir, que omitan la obligación de adoptar y eje-
cutar los programas de compliance que hubieran evitado o dificultado la
comisión del delito (artículo 31 bis 1 b) del Código Penal).
Por ello es tan importante definir el ámbito de alcance del mismo, tanto
las materias que se van a tratar como las entidades de la organización
que se van a incluir dentro del proyecto, ambos aspectos harán que el
proyecto sea efectivo y claro, en el supuesto de que la empresa tenga
que acreditar qué medidas de control ha implantado para evitar la comi-
sión de los delitos previstos en el Código Penal que originan responsabi-
lidad penal de las personas jurídicas.

9.2. Diagnóstico y mapa de riesgos


Con carácter previo a la elaboración y adopción de la documentación que
se va a implantar en la empresa en el marco de un compliance program, y

242
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

antes de proceder a la definición del plan de acción para su implantación


y a su posterior monitorización y revisión, y una vez que se ha definido
el alcance al que se va a aplicar el programa de compliance (por ejemplo,
a determinados departamentos de la empresa, a la central y a las filiales
españolas, pero no a las extranjeras, a la filiales de determinados nego-
cios), resulta necesario ante todo conocer cuáles son riesgos a los que se
enfrenta la compañía.
La definición de los riesgos es imprescindible para poder priorizar y di-
mensionar las acciones a ejecutar, de forma que el programa resulte
efectivo desde un punto de vista práctico y garantice que los recursos
disponibles se utilizan de manera eficiente.
Por ello, resulta necesario hacer una breve referencia a la teoría general
sobre gestión de riesgos al objeto de que cuando se analice cómo ela-
borar un diagnóstico y un mapa de riesgos de compliance, se puedan
trasladar los conceptos y procesos que se exponen a continuación. Exis-
ten estándares internacionales como la ISO 31000:2009 que tiene como
objetivo ayudar a las organizaciones a gestionar sus riesgos de manera
eficaz.
La familia de las normas ISO 31000 está destinada a proporcionar los
principios y directrices generales de gestión del riesgo, de forma siste-
mática y transparente. En la actualidad esta norma se completa con las
siguientes:
• ISO/IEC 31010:2009 – Gestión de Riesgos – Técnicas de evalua-
ción de riesgos.
• Guía ISO 73:2009 – Gestión de Riesgos – Vocabulario.
De conformidad con la Guía ISO 73:2009 se define riesgo como “el efecto
de la incertidumbre en los objetivos”, considerando lo siguiente:
• El efecto es una desviación de lo esperado.
• La incertidumbre es el estado de la carencia de información rela-
cionada con, la comprensión o el conocimiento de un evento, su
consecuencia, o su probabilidad.
• Los objetivos pueden responder a diferentes aspectos (por ejem-
plo. financieros, societarios o medioambientales) y se pueden
aplicar a diferentes niveles (por ejemplo, a determinados depar-
tamentos, a toda la organización, a un proceso concreto, etc.

243
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Para conocer el riesgo al que se enfrenta la empresa resulta necesario


proceder a hacer una valoración del mismo de manera que se pueda
identificar cómo los objetivos de las entidades pueden verse afectados y,
a través de un análisis del riesgo en términos de impacto y probabilidad,
pudiendo tomar las decisiones necesarias para su gestión a partir del re-
sultado obtenido. En las citadas normas se establece que la valoración
del riesgo permite:
• Identificar los riesgos.
• Definir sus causas.
• Conocer sus consecuencias.
• Valorar la probabilidad.
• Valorar la existencia de factores que pueden mitigar las conse-
cuencias del riesgo o la probabilidad de que este se materialice.
Esto permitirá conocer, entre otros aspectos, cómo se debe tratar un
riesgo, si puede ser asumido, si puede ser eliminado, si se puede mitigar
o si se puede trasladar. Igualmente se obtendrá información para priori-
zar las acciones a realizar de cara a mitigar los riesgos y cómo gestionar-
los maximizando los recursos de los que se disponga.
El proceso de análisis del riesgo conlleva la identificación de los riesgos,
la realización de un análisis de riesgo propiamente dicha y la evaluación
del mismo.
(Fuente: Esquema representativo del Proceso de Gestión de Riesgos
NCh-ISO 31000:2012).
Tal como se establece en las normas anteriormente citadas, es el proce-
so de encontrar, reconocer y describir los riesgos. La identificación del
riesgo implica la identificación de las fuentes de riesgo, es decir, aquellos
elementos que por sí solos o en combinación con otros tienen pueden
generar un riesgo (por ejemplo, la pérdida de una autorización adminis-
trativa), eventos (la aparición o el cambio de determinadas circunstan-
cias, como puede ser una modificación normativa), sus causas y las con-
secuencias que puede tener (por ejemplo, una sanción de una autoridad
de control).
El objetivo de la fase de identificación de riesgos es la elaboración de un
diagnóstico en el que se recoja un listado de todos los riesgos que pue-

244
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

dan afectar a la entidad, aunque sobre los mismos ya se hayan implanta-


do medidas para su control.
NIVEL DE RIESGO = IMPACTO x PROBABILIDAD

Un análisis del riesgo: resulta del proceso de comprender la naturaleza


del riesgo con el objeto de determinar el nivel de riesgo, que se mide
realizando una combinación de la probabilidad de ocurrencia del riesgo y
la consecuencia del mismo. El grado de detalle del análisis de riesgos de-
penderá de la disponibilidad de información, datos y recursos y de las ne-
cesidades de la organización. Por ende, para calcular el riesgo al que una
empresa puede verse sometida se deberá utilizar como base la fórmula:
Evaluación del riesgo: es el proceso de comparación de los resultados
del análisis de riesgos con los criterios de riesgo que haya impuesto la
empresa (o que vengan determinados por la normativa) con el fin de de-
terminar la importancia del nivel y tipo de riesgo para decidir cómo ges-
tionar los riesgos detectados.
Así, se podrá decidir si el riesgo puede ser asumido, si se puede eliminar,
si es trasladable o si requiere la realización de alguna acción para su ges-
tión, y sirve como base para priorizar el tratamiento de los mismos.
Finalmente, debe señalarse que recientemente se ha aprobado la
ISO 19600 sobre sistemas de gestión de cumplimiento, en la que se ana-
lizan los procesos de gestión del riesgo desde esta misma óptica, es decir
basándose en la ISO 31000.

9.3. Plan de prevención, detección y reacción


El compliance program requiere el desarrollo de protocolos y procedi-
mientos para la definición, implementación y control del mismo como
parte de su plan de acción preventiva.
Dichos programas conllevan ineludiblemente, como parte de su eficacia,
la necesidad de evidenciar su conformación.
La rendición de cuentas (“accountability”) se plasma en la responsabili-
dad de la persona jurídica de implantar e implementar cuantos mecanis-
mos sean necesarios para garantizar la definición, adopción y ejecución
de controles. Dichos controles deberán estar orientados a la prevención,

245
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

detección y reacción de ilícitos cuya responsabilidad pueda ser atribuida


a la persona jurídica o de actos que puedan perjudicar los intereses de la
organización.
Cabe señalar que independientemente de las ventajas organizativas que
conlleva, la formalización o evidencia documental de un compliance pro-
gram adecuado, permite no solo acreditar la diligencia exigida, lo que
en determinados casos puede suponer la exención de responsabilidad
penal, llegado el caso de imputación de un delito de dicha naturaleza,
sino que certifican la existencia de unas normas internas, que en caso de
infracción pueden avalar consecuencias disciplinares o laborales.
Es por ello que adquiere una importancia fundamental la labor de aware-
ness (conciencia) y la comunicación de dichos protocolos a las personas
que se encuentran dentro de su alcance subjetivo.
Los modelos de organización y gestión, como ya se ha expuesto, deben
ser orientados a la prevención de incumplimientos normativos, han de
ser el resultado de un proceso de identificación de aquellas actividades
que pueden entrañar un riesgo para la organización.

9.3.1. Código ético o Código de conducta


El Código ético encuentra su origen en el concepto de Buen Gobierno,
de donde se derivan los códigos internos de conducta, con su evolución
regulatoria a través del Código Olivencia, el Informe Aldama y el Código
Conthe.
El Código Olivencia nació en 1997, a instancias del Ministerio de Eco-
nomía, con el objetivo fundamental de fomentar la transparencia de las
empresas españolas.
Después del caso Enron, los escándalos de doble contabilidad y demás
irregularidades en las retribuciones de los miembros de los Consejos de
Administración cobra especial importancia el desarrollo y aplicación de
este Código.
Las recomendaciones que desarrolla el Código Olivencia son las si-
guientes:
• La necesidad de separar gestión y propiedad de la empresa pro-
poniendo la conveniencia de incorporar al Consejo de Adminis-
tración una mayoría de consejeros independientes, es decir, no

246
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

vinculados a la dirección de empresa o a los vínculos accionaria-


les de control y que acceden al cargo por ser profesionales con
experiencia y prestigio profesional.
• La misión de los consejeros se basa en defender los intereses de
la sociedad fomentando la toma de decisiones que mejoren la
gestión de la empresa, arbitrar mecanismos para fomentar la
defensa de los intereses del pequeño y mediano inversor.
• Se contempla la creación de las llamadas comisiones delegadas
de control, que deberán garantizar la función de supervisión del
órgano de administración. Estas comisiones están compuestas
por consejeros externos y serían básicamente: de auditoría, en-
cargada de la verificación de la contabilidad de la sociedad, de
nombramientos cuya misión es la selección de los consejeros y
de retribuciones, que deberá supervisar la política de remunera-
ción.
• Se recomienda un único mandato de cuatro o cinco años.
• También sugiere que ningún consejero forme parte de más de
tres consejos de administración, y se recomienda el retiro de los
consejeros a los 70 años, eliminando y declarando nulas las cláu-
sulas de blindaje.
La Comisión Aldama, por su parte, constituida en septiembre del 2002,
tiene por mandato fomentar la transparencia y seguridad de los merca-
dos financieros y sociedades cotizadas. En su primera reunión, la Comi-
sión Especial ha definido el alcance de los trabajos a realizar, y que pue-
den resumirse en:
• Informar sobre el grado de observancia del Código Olivencia o
Código de Buena Conducta de los consejos de administración de
las sociedades cotizadas.
• Dar mayor protección y seguridad a los accionistas e inversores
teniendo en cuenta las relaciones entre las sociedades emisoras
de valores y las personas físicas y jurídicas que les prestan sus
servicios profesionales.
• Aumentar la transparencia de los mercados.
Dicha Comisión publicó su informe final el 8 de enero de 2003, en el
cual se recomienda la elaboración de un informe anual de gobierno

247
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

corporativo a todas las Organizaciones, elaborado por el Consejo de


Administración y, con carácter previo al informe de la comisión de au-
ditoría o control o en su caso, de la comisión de nombramientos y re-
tribuciones.
El Código Unificado de Buen Gobierno de las Sociedades Cotizadas pu-
blicado el 24 de febrero de 2015, por la Comisión Nacional del Mercado
de Valores (en adelante, CNMV) sustituye al anterior código (denomina-
do Código “Conthe” de 2006 y su versión actualizada de 2013).El nuevo
código contiene 64 recomendaciones frente a las 53 del código anterior.
Se han incorporado 23 nuevas recomendaciones, se han eliminado 12 al
ser incorporadas a la Ley de Sociedades de Capital (Ley 31/2014, de 3 de
diciembre) y 21 han experimentado modificaciones.
El Código ético, o Código de conducta, se erige como uno de los pilares
básicos del sistema de prevención y de cumplimiento normativo, debien-
do reflejar la identidad y los valores de la empresa, los actos o las con-
ductas consideradas intolerables y su carácter vinculante para todos sus
miembros. Su función, se extiende más allá de su nombre, buscando la
prevención no solo de asuntos de índole ética, sino también legales.
Para optimizar su utilidad, resulta recomendable que su contenido haga
hincapié en los riesgos normativos identificados en la fase de diagnósti-
co, mediante la conversión de estos en principios, pautas de conducta,
artículos o cualquier otra articulación dependiendo de la estructura de la
que se decida dotar al mismo.
De este modo se da traslado a los agentes implicados de unas directrices
orientadas fundamentalmente a evitar la materialización de los riesgos
identificados.
El objetivo principal perseguido por el Código de conducta, o Código
ético, es poder trasladar pautas de comportamiento profesional, esto
es, la línea de actuación que ha de seguirse en la operativa de la orga-
nización.
Por otra parte, el Código tiene una función jurídico-defensiva, en cuanto
permite evidenciar una parte fundamental del modelo de organización y
gestión del cumplimiento normativo. Del mismo modo permite a la com-
pañía definir la independencia o desalineamiento de la cultura empresa-
rial respecto de aquellos actos ilícitos o fraudulentos cuya responsabili-
dad le pueda ser atribuida.

248
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

Evidentemente el Código es una pieza más del programa integral de vigi-


lancia y control definido en la organización, si bien su componente infor-
mativo le otorga una especial relevancia a tener en cuenta.
El contenido de los códigos éticos de las empresas es ampliamente hete-
rogéneo, influyendo aspectos como el ámbito territorial, el tamaño de la
empresa, el sector de actividad, la cultura empresarial y, en gran medida,
las obligaciones legales y los riesgos identificados en la organización.
En líneas generales, la finalidad del código exige unos contenidos míni-
mos, cuya estructura u orden resultan irrelevantes, siempre que estos
sean previstos. A efectos prácticos, a continuación se recoge una estruc-
tura de contenidos:
• Introducción: Recoge la finalidad del Código y la contextualiza-
ción de la misión, visión y valores de la compañía respecto de
los principios o pautas recogidos en él. Resulta un buen punto
donde recoger una declaración general de tolerancia cero de la
organización frente a cualquier conducta, práctica o forma de
corrupción, prohibiendo expresamente toda actuación de esa
naturaleza. Es práctica habitual introducir el Código a través de
una carta o escrito personalizado de parte del presidente o un
rol similar.
• Alcance: Este punto, de carácter relevante, adquiere mayor im-
portancia en aquellos casos en que la organización requiere que
las pautas sean de aplicación, no solo al personal propio, sino que
se extiendan a empresas colaboradoras, proveedores, personal
externo y en general a todos los agentes implicados en la opera-
tiva de la empresa, en tanto las prácticas ilícitas, o poco éticas,
de los mismos pueden repercutir en la organización. También,
resulta recomendable indicar expresamente, en el caso de los
grupos de empresas, la aplicabilidad del Código, en su caso, a la
totalidad de empresas que conforman el grupo.
• Principios/Valores generales: Exposición de compromiso con
principios o valores trasversales, como por ejemplo la integri-
dad, la legalidad, igualdad, responsabilidad, así como eventua-
les compromisos con convenios o declaraciones internaciona-
les, como por ejemplo, la Declaración Universal de los Derechos
Humanos, del Pacto Mundial de las Naciones Unidas, Organiza-

249
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ción para la Cooperación y Desarrollo Económico (en adelante,


OCDE) y la Organización Internacional del Trabajo, Política So-
cial de la OIT, Principios de representación sindical, Principios de
Responsabilidad Social Corporativa, Blanqueo de capitales, etc…
ȃȃ Ámbito relacional interno. Relación con empleados: Reflejar el
marco garantista de protección social, con referencia al cumplimien-
to estricto de la normativa laboral, prevención de riesgos laborales,
políticas de igualdad, políticas objetivas y transparentes de selección
de personal, lucha contra el acoso, la discriminación, oportunida-
des de desarrollo y limitaciones en el actuar de los trabajadores, así
como ejemplo, la prohibición de consumo de drogas o los conflictos
de intereses.
También pueden incluirse en este punto, los aspectos relativos a las
políticas de uso de los recursos corporativos. Cuestión de gran rele-
vancia y trascendencia por su vinculación a la privacidad y al uso ade-
cuado de la información corporativa, incluyendo las instrucciones o
limitaciones, en su caso, respecto del uso de los recursos personales
que tratan información corporativa o referencia a la tolerancia o pro-
hibición del uso de recursos corporativos con finalidades personales,
y los controles previstos al respecto.
ȃȃ Ámbito relacional externo. Relación con clientes/consumidores:
Aparece la ejecución de prácticas correctas de mercadotecnia e in-
formación, abogando por un consumo sostenible, favoreciendo la
educación y concienciación de los consumidores, velando por su pri-
vacidad, su seguridad y su salud. Este apartado deberá recoger las
particularidades derivadas de la tipología de clientes o consumidores
de los bienes o servicios que conformen el público objetivo de la or-
ganización.
ȃȃ Relación con accionistas e inversores: Garantizando la transparen-
cia en relación al conocimiento y comprensión de las estrategias em-
presariales, así como referencias a la información privilegiada y su
tratamiento.
ȃȃ Relación con proveedores: Información acerca de políticas segui-
das en los procedimientos de adquisición de bienes y servicios, esto
es, en la contratación de proveedores, garantizando la objetividad y
transparencia de los procesos o las prácticas anticorrupción o las res-

250
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (I)

tricciones relativas a la dación o aceptación de regalos que pudieran


comprometer la objetividad o integridad de la organización.
ȃȃ Relación con instituciones públicas o políticas: Referencia a las po-
líticas de conflicto de interés, anticorrupción, ofrecimiento de rega-
los a funcionario o empleado del sector público, nacional o extran-
jero, así como a candidatos o dirigentes de partidos políticos o de
organizaciones sindicales.
• Tratamiento de la información: Dada la importancia de la infor-
mación en las organizaciones, este apartado debería reflejar las
políticas de confidencialidad y uso de la información.
• Imagen y reputación corporativa: Conviene definir una polí-
tica de uso de la marca y la imagen corporativa, por ejemplo,
limitando o regulando el uso de la misma en esferas personales
de los empleados, como las redes sociales. O bien, exigiendo la
desvinculación de las opiniones del trabajador respecto de la or-
ganización en foros sociales, salvo aquellos casos en que forme
parte de sus tareas laborales.
• Respeto al medio ambiente: Los procesos empresariales y pro-
ductivos deben adecuarse para favorecer un desarrollo sosteni-
ble medioambientalmente, optimizando el uso de los recursos
naturales, reduciendo la contaminación y asumiendo prácticas
de protección y restauración del medio natural.
• Actualización y disponibilidad del Código: Como resultado del
mantenimiento del compliance program, puede surgir la necesi-
dad de revisión/modificación del Código con el fin de incorporar
o actualizar principios de comportamiento no contemplados, di-
rigidos a evitar nuevas conductas delictivas identificadas como
potenciales.
Los destinatarios del contenido del Código han de estar informados de
dónde pueden acceder al mismo, por ejemplo, indicando su disponibili-
dad a través de la intranet o cualquier otro espacio donde acceder a las
versiones actualizadas del mismo.
• Cumplimiento y régimen disciplinario: El cumplimiento del
código ha de ser obligatorio para todos los agentes que se en-
cuentren dentro de su alcance, para todos los miembros de la

251
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

organización; debiendo recoger las medidas de control del cum-


plimiento previstas y las consecuencias de su incumplimiento,
no solo las derivadas de incumplimientos legales, sino de un
eventual régimen disciplinario que sancione el incumplimiento
de las medidas del presente Código.
• Denuncia de irregularidades: Los canales de denuncia son in-
dispensables en la gestión del cumplimiento normativo, por ello
el Código debe aportar información de su existencia, naturaleza
y funcionamiento.
• Identificación de la figura del compliance officer: Se hace preci-
so identificar una figura o área de referencia en el cumplimiento
del Código.
Aunque respecto del contenido del Código se pueden definir unos míni-
mos, la estructura es tan variada como se quiera, resultando habitual en-
contrar contenidos basados en la referencia a políticas, procedimientos,
estándares o normas internas, aspecto este que ha de tenerse en cuenta
en tanto el contenido referenciado habrá de encontrarse disponible en
la misma medida que el Código, de lo contrario perdería su validez como
medio informativo.
3. En las personas jurídicas de pequeñas dimensiones, las funciones de
supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser
asumidas directamente por el órgano de administración. A estos efec-
tos, son personas jurídicas de pequeñas dimensiones aquellas que, según
la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas
y ganancias abreviada».

252
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 10
Fases de implantación de un programa de
compliance (II)

10.1. Plan de prevención, detección y reacción


10.1.1. Procedimientos
Ya hemos visto que, aunque respecto del contenido del Código se pue-
den definir unos mínimos, la estructura es tan variada como se quiera,
por lo que resulta habitual encontrar contenidos que hacen referencia
a políticas, procedimientos, estándares o normas internas. Este aspecto
este ha de tenerse en cuenta en tanto el contenido referenciado habrá de
encontrarse disponible en la misma medida que el Código, de lo contra-
rio perdería su validez como medio informativo.
Dentro de la estrategia preventiva de gestión de los riesgos, identifica-
dos en la fase de diagnóstico, se encuentra la definición de procedimien-
tos que sirve de base a la implementación de los planes y medidas de vi-
gilancia y control exigibles, entre otras normativas, por el propio Código
Penal.
La correcta definición y efectiva implementación de los mismos puede
conllevar la exención de la persona jurídica ante delitos cuya responsabi-
lidad le pueda ser atribuida. Y es que la diligencia debida (due diligence)
solo puede implantarse a través de la adopción de medidas de vigilancia
y control que persigan evitar la infracción de deberes o conductas tipifi-
cadas como delito.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


IV. Implementación y puesta en marcha de un programa de compliance

De conformidad con la reciente Ley Orgánica 1/2015, de 30 de marzo,


por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del
Código Penal el artículo 31 bis, párrafo 4, se prevé lo siguiente:
«Artículo 31 bis (Personas jurídicas penalmente responsables):
4. Si el delito fuera cometido por las personas indicadas en la letra b) del
apartado 1, la persona jurídica quedará exenta de responsabilidad si, an-
tes de la comisión del delito, ha adoptado y ejecutado eficazmente un
modelo de organización y gestión que resulte adecuado para prevenir
delitos de la naturaleza del que fue cometido o para reducir de forma
significativa el riesgo de su comisión».

El contenido del artículo mencionado condiciona la validez de los mode-


los de organización y gestión que se implementen al cumplimiento de los
siguientes requisitos (artículo 31 bis apartado 5):
«1. Identificarán las actividades en cuyo ámbito puedan ser cometidos
los delitos que deben ser prevenidos.
2. Establecerán los protocolos o procedimientos que concreten el pro-
ceso de formación de la voluntad de la persona jurídica, de adopción de
decisiones y de ejecución de las mismas con relación a aquellos.
3. Dispondrán de modelos de gestión de recursos financieros adecua-
dos para impedir la comisión de los delitos que deben ser prevenidos.
4. Impondrán la obligación de informar sobre posibles riesgos e in-
cumplimientos al organismo encargado de vigilar el funcionamiento y
observancia del modelo de prevención.
5. Establecerán un sistema disciplinario que sancione adecuadamente
el incumplimiento de las medidas que establezca el modelo.
6. Realizarán una verificación periódica del modelo y de su eventual
modificación cuando se pongan de manifiesto infracciones relevantes de
sus disposiciones, o cuando se produzcan cambios en la organización, en
la estructura de control o en la actividad desarrollada que precisen de la
implementación de estos cambios».
• Objetivo
Los procedimientos deberán responder a los riesgos identificados en
aras de prevenir la posible materialización de los mismos. Junto a su na-

254
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

turaleza preventiva, se encuentra una finalidad paliativa en tanto que,


una vez cometido el hecho delictivo, pueda erigirse como una medida
eficaz de cara a mitigar, o incluso eliminar, las consecuencias que para la
organización puedan irrogarse.
• Contenidos:
Respecto a su forma documental, los procedimientos pueden estructu-
rarse, con carácter general, siguiendo el esquema propuesto a continua-
ción. No obstante, cabe precisar que no existen directrices normativas
de aplicación, por lo que se trata de una mera cuestión organizativa que
deberá definir la propia organización teniendo en consideración su perti-
nente política documental o los criterios que estime oportunos:
• Título: descriptivo de su finalidad y naturaleza.
• Cuadro resumen del documento: debe incluir los siguientes campos:
ȃȃ Nombre: descriptivo de su finalidad y naturaleza.
ȃȃ Tipo de documento: política, protocolo, procedimiento, norma, etc…
ȃȃ Área/s afectadas: incluir aquellas áreas sobre las que el documento
tenga efecto.
ȃȃ Objetivos perseguidos.
ȃȃ Normativa relacionada.
ȃȃ Documentación relacionada.
ȃȃ Ubicación: indicar dónde se encuentra disponible.
ȃȃ Código: la codificación de la documentación nos permite un segui-
miento mediante siglas que nos da información de la naturaleza, nú-
mero de documento y versión.
ȃȃ Control de versiones: a través de un cuadro que recoja:
•• Número de versión.
•• Fecha.
•• Nombre, cargo, área de pertenencia y firma de:
ȃȃ persona que lo ha elaborado.
ȃȃ persona/área que lo revisa.
ȃȃ persona/área encargada de su aprobación.

255
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ȃȃ Objetivo del documento.


ȃȃ Alcance del documento.
ȃȃ Controles previstos.
ȃȃ Incumplimiento de los controles previstos.
• Fondo:
Respecto del fondo de los procedimientos, a continuación se expone una
serie de ejemplos de contenidos de carácter relevante a la hora de confi-
gurar un programa de cumplimiento normativo.

10.1.2. Protocolos de organización y gestión de la prevención de de-


litos
De forma paralela al desarrollo de los procedimientos específicos para
cada uno de los riesgos identificados, se hace necesario contar con un
protocolo de organización y gestión de la prevención de delitos, de acuer-
do con las previsiones normativas citadas. Podemos encontrar denomi-
naciones variadas que hacen referencia al protocolo, tales como manual
de prevención de delitos, procedimiento de prevención de actividades/
conductas delictivas o catálogo de instrumentos para la prevención de
delitos. Realmente, el nombre con que se bautice al documento es indi-
ferente. Lo importante, sin embargo, es que refleje su naturaleza y que
incluya, con carácter de mínimos:
• Identificación de los procesos en los que puedan ser cometidos
los delitos que han de prevenirse.
• Definición de los protocolos o procedimientos de toma de deci-
siones, de adopción y de ejecución de las mismas con relación a
la gestión de los riesgos identificados.
• Modelos de gestión de los recursos financieros destinados a la
prevención.
• Procedimiento de comunicación de posibles riesgos e incumpli-
mientos al órgano encargado de vigilar y controlar el modelo de
prevención.
• Procedimiento de control del cumplimiento, con confirmación
del órgano designado e identificación del compliance officer, en
su caso.

256
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

• Establecimiento de un sistema disciplinario.


• Procedimiento de verificación periódica, ante infracciones rele-
vantes o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los ha-
gan necesarios.
Estamos ante un review de lo ya recogido por el artículo 31 bis apartado
5, cuya acreditación puede suponer la exención penal de la responsabili-
dad de la persona jurídica, en concurrencia con lo expuesto por el artículo
31 bis parágrafo 4.
El modelo contendrá las medidas que garanticen el desarrollo de las ac-
tividades en conformidad con la ley y permitan la detección y preven-
ción de riesgos. Para ello, deberá detallar los procedimientos a imple-
mentar a tal efecto. De esta forma, y habida cuenta de la imposibilidad
de exponer un catálogo de aplicación integral que reúna la totalidad de
procedimientos de los que debe disponer la organización (ya que depen-
derán del resultado de la fase de diagnóstico, fase que diferirá de unas
entidades a otras), a continuación enumeramos, organizados por áreas,
aquellos identificados de entre una amplia muestra de entidades. En la
presente lista también se indican los aspectos a desarrollar de cara a po-
sibles riesgos vinculados.

Área 1: Procedimientos en el ámbito de protección de datos y tecnología


Aspectos a procedimentar y riesgo vinculado:
• Protección de menores:
ȃȃ Trata de seres humanos
ȃȃ Prostitución y corrupción de menores
ȃȃ Ético y reputacional
• Tratamiento de datos de carácter personal:
ȃȃ Descubrimiento y revelación de secretos
ȃȃ Protección de datos de carácter personal
ȃȃ Ético y reputacional
• Seguridad de la información y recursos corporativos:
ȃȃ Descubrimiento y revelación de secretos

257
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ȃȃ Daños informáticos
ȃȃ Propiedad intelectual e industrial
• Denuncia de irregularidades:
ȃȃ Alcance general
• Gestión de licencias de software:
ȃȃ Daños informáticos
ȃȃ Propiedad intelectual e industrial
• Política de uso de los recursos corporativos (incluyendo co-
rreo electrónico y red corporativa):
ȃȃ Descubrimiento y revelación de secretos
ȃȃ Protección de datos de carácter personal (LOPD)
ȃȃ Daños informáticos
ȃȃ Propiedad intelectual e industrial
• Políticas de uso de dispositivos personales (Bring Your Own
Device - BYOD):
ȃȃ Protección de datos de carácter personal (LOPD)
ȃȃ Daños informáticos
ȃȃ Propiedad intelectual e industrial
• Fugas de información y trazabilidad de acciones:
ȃȃ Alcance general
• Monitorización y correlación de “logs” y sistema de eviden-
cias digitales:
ȃȃ Alcance general
Un log es un registro de actividad de un sistema que generalmente se
guarda en un fichero de texto, al que se le van añadiendo líneas a medida
que se realizan acciones sobre el sistema. Se utiliza en muchos casos, para
guardar información sobre la actividad en gran variedad de sistemas.
Tal vez su uso más inmediato en lo que concierne a las actividades de
los desarrolladores web sería el log de accesos al servidor web que, una
vez analizado, proporciona información del tráfico de nuestro sitio. Cual-

258
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

quier servidor web dispone de un log con los accesos, pero además sue-
len disponer de otros log, como por ejemplo de errores.
Los sistemas operativos también suelen trabajar con logs, por ejemplo
para guardar incidencias, errores, accesos de usuarios, etc. A través de
los log se puede encontrar información para detectar posibles problemas
en caso de que algún sistema no funcione como debiera o se haya produ-
cido una incidencia de seguridad.
• Condiciones de uso de sitios web. Gestión de usuarios:
ȃȃ Daños informáticos
ȃȃ Protección de datos de carácter personal
ȃȃ Propiedad intelectual e industrial
ȃȃ Mercado y consumidores

Área 2. Procedimientos en el ámbito del gobierno corporativo


Aspectos a procedimentar y riesgos vinculados:
• Códigos de conducta:
ȃȃ Alcance general
• Segregación y gestión de roles:
ȃȃ Insolvencias punibles
ȃȃ Corrupción
ȃȃ Receptación y blanqueo de capitales
ȃȃ Fraude a las administraciones
ȃȃ Poderes notariales y de certificados digitales de apodera-
miento
• Contratación de seguros corporativos:
ȃȃ Alcance general
• Controles internos, investigaciones, auditoría interna y crimi-
nal (due diligence):
ȃȃ Alcance general
• Gestión de denuncias internas o “wishtleblowing”:
ȃȃ Alcance general

259
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

• Régimen disciplinario:
ȃȃ Alcance general
• Formación y políticas responsabilidad social corporativa (RSC):
ȃȃ Alcance general
• Fusiones y adquisiciones, UTE, alianzas estratégicas. Consejo
de administración: composición, organización, funciones y obli-
gaciones, conflictos de interés, comités extraordinarios, etc.
ȃȃ Insolvencias punibles
ȃȃ Corrupción
ȃȃ Receptación y blanqueo de capitales
ȃȃ Fraude a las administraciones
ȃȃ Estafas
• Políticas anticorrupción
• Regalos y hospitalidad

Área 3. Procedimientos en el ámbito de recursos humanos


Aspectos a procedimentar y riesgos vinculados:
• Selección y contratación de personal:
ȃȃ Derechos de los trabajadores
• Conciliación familiar y laboral, igualdad, acoso, discrimina-
ción. Discapacidad:
ȃȃ Derechos de los trabajadores
ȃȃ Igualdad, acoso y discriminación
• Pensiones y beneficios:
Derechos de los trabajadores
• Prevención de riesgos laborales:
Prevención de riesgos laborales
• Migración y movilidad: visados y permisos de trabajo:
ȃȃ Delitos contra los derechos de los ciudadanos extranjeros
(inmigración clandestina, explotación sexual,...).

260
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

• Segregación y gestión de roles:


ȃȃ Corrupción
• Afiliación sindical:
ȃȃ Derechos de los trabajadores
ȃȃ Corrupción
• Teletrabajo:
Prevención de riesgos laborales
• Finalización de la relación laboral:
ȃȃ Confidencialidad
ȃȃ Seguridad de la información
ȃȃ Protección de datos
• Convenios colectivos:
ȃȃ Derechos de los trabajadores
• Comunicación de políticas, procedimientos, cláusulas y códi-
go de conducta:
ȃȃ Alcance general
• Canal de denuncias internas o “wishtleblowing”

Área 4. Procedimientos en el ámbito financiero


Aspectos a procedimentar y riesgos vinculados:
• Corrupción: soborno, blanqueo de capitales o anti-money
laundering, etc. Mercado de valores, información privilegiada
y conflictos de interés:
ȃȃ Blanqueo de capitales
ȃȃ Cohecho
ȃȃ Corrupción
• Cambio de divisas, precios de transferencia y política de precios:
ȃȃ Insolvencias punibles
ȃȃ Tráfico de influencias

261
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ȃȃ Fraude a las administraciones


• Relación con AAPP:
ȃȃ Solicitud de subvenciones y ayudas públicas
• Políticas anticorrupción
• Regalos y hospitalidad

Área 5. Procedimientos en el ámbito productivo


Aspectos a procedimentar y riesgos vinculados:
• Seguridad del producto y etiquetado:
ȃȃ Salud pública
ȃȃ Mercado y consumidores
• Urbanismo: convenios, licencias y medio ambiente (emisio-
nes y vertidos, etc.):
ȃȃ Territorio y medio ambiente
• Propiedad intelectual: patentes y marcas, secreto de empre-
sa, etc.:
ȃȃ Propiedad intelectual e industrial
• Cadena de suministro: subcontratación, seguridad y Third-Par-
ty Compliance Management: verificación de proveedores:
ȃȃ Responsabilidad derivada de incumplimiento en la cadena
de subcontratación
• Seguridad e higiene:
ȃȃ Salud pública
ȃȃ Mercado y consumidores
ȃȃ Derechos de los trabajadores

Área 6. Procedimientos en el ámbito comercial


Aspectos a procedimentar y riesgos vinculados:
• Competencia: abuso, posición de dominio, monopolio, fijación
de precios, lobbies; protección del consumidor: seguridad, eti-

262
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

quetado, e-comerce y venta a distancia, garantías y post venta;


publicidad y marketing: autocontrol, publicidad desleal, e-co-
merce, telemarketing, envíos y acciones promocionales, etc:
ȃȃ Mercado y consumidores
ȃȃ Comercio electrónico
ȃȃ Estafas
• Contratación pública: relación con AAPP, tipos de procedi-
mientos de adjudicación, información facilitada en pliegos,
etc; políticas anticorrupción, regalos y hospitalidad:
ȃȃ Corrupción
ȃȃ Cohecho
ȃȃ Tráfico de influencias
ȃȃ Fraude a las administraciones

Área 7. Procedimientos en el ámbito logístico


Aspectos a procedimentar y riesgos vinculados:
• Agentes/distribuidores
• Embargos/prohibiciones
• Prácticas corruptas: sobornos, blanqueo de capitales, etc.
• Aduanas
• Franquicias
• Licencias de importación y exportación
• Comercio internacional

Para todos estos supuestos, el riesgo vinculado sería:


• Corrupción
• Cohecho
• Tráfico de influencias
• Fraude a las administraciones
• Blanqueo de capitales

263
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

10.1.3. Comunicación efectiva a las partes implicadas: empleados,


proveedores y clientes/consumidores
Una vez se han definido las pautas y directrices de la organización, se
hace necesario proceder a la comunicación de las mismas a los agentes
implicados. El objeto y alcance de la comunicación dependerá de los des-
tinatarios de la misma.
El objetivo es la creación de una cultura de compliance que garantice
la comprensión por parte de todos los afectados de las prácticas y mo-
dos organizacionales establecidos, piedra angular de la estructura de
cumplimiento de la empresa. Las acciones enfocadas en la formación
y concienciación (awareness), persiguen el cambio efectivo en aquellas
actuaciones operativas de la actividad económica que así lo requieran, lo
que repercute en una mayor seguridad corporativa.
Junto a esa finalidad de concienciación se encuentra la finalidad proba-
toria de la diligencia debida (due diligence), es decir, disponer de eviden-
cia de la comunicación y del traslado de las pautas a cumplir a las partes
implicadas.

Comunicación a los empleados


La disponibilidad permanente y actualizada de las políticas, procedi-
mientos, normas, códigos, etc, a seguir en un punto común accesible
a todos los empleados, como por ejemplo una intranet o un repositorio
documental, es siempre necesario y recomendado.
Por otra parte, esa no puede ser la única medida de comunicación, sino
que la organización ha de poner todos los medios a su alcance para, den-
tro de un actuar diligente (due diligence), transmitir de forma efectiva y
evidenciada las instrucciones definidas.
Desde un punto de vista práctico, poder demostrar que todos y cada uno
de los empleados de la entidad han sido efectivamente informados no
resulta tarea fácil. Incluso aquellas entidades que disponen de sistemas
automatizados, los cuales que registran el acceso a la información por
parte del empleado, hallan obstáculos, como por ejemplo al concurrir
perfiles que no emplean recursos electrónicos y que requieren de otras
vías de comunicación.
Por ello supone de gran utilidad categorizar los sujetos a los que se dirige
la comunicación y el medio más idóneo de contacto, así como la gestión

264
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

de la evidencia comunicacional. Lo más sencillo de registrar es la infor-


mación a las nuevas incorporaciones (new joiners) momento en el que
se entregan los denominados packs de bienvenida o “welcomes packs”,
con toda la información y clausulado necesario junto a la correspondiente
firma de un documento acreditando su recepción. Respecto de los tra-
bajadores ya en plantilla, y siempre y cuando presenten perfiles homo-
géneos, un mismo sistema de comunicación permite una solución trans-
versal, bien mediante la suscripción de cláusulas de lectura y aceptación
en soporte papel o a través de similares acciones en soporte electrónico.
No obstante, en organizaciones con perfiles heterogéneos se requerirá
de una acción de comunicación estratégica, donde al menos se prevea:
• Adecuación de medio: es fundamental que se adecue el medio
de comunicación al destinatario. Resultará poco efectivo trans-
mitir la información a través de una intranet, o su remisión por
correo electrónico, si se dirige a usuarios cuyas tareas laborales
no requieren de acceso a Internet y/o no disponen o no precisan
una cuenta de correo corporativa. Su comunicación en papel al-
canzará el objetivo buscado con mucha mayor probabilidad.
• Adecuación del contenido: cuando el objetivo es la compren-
sión de un mensaje, se hace necesario huir de textos excesiva-
mente técnicos o complejos que puedan impedir la comprensión
por parte de algunos de los perfiles a los que vaya dirigido. Del
mismo modo, y en la medida en que sea posible, las políticas,
procedimientos, normas o cualquier contenido que marque una
pauta de comportamiento deberán limitar su alcance a las ta-
reas del receptor, el cual se identificará en mayor o menor medi-
da con el mensaje.
Los compendios normativos generalistas resultan, las más de las veces,
poco útiles, en cuanto los destinatarios entienden que no les afectan.
En cuanto a su conservación y evidencia, resulta necesaria en cualquier
caso, si bien la estrategia comunicativa conlleva la coexistencia de dis-
tintos medios, soportes y mensajes según los distintos perfiles de desti-
natario. Por ello resulta crítico definir con precisión los procedimientos
y políticas de conservación y posterior evidencia que deben implemen-
tarse, de forma que se garantice la integridad y disponibilidad de la in-
formación.

265
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

En ese sentido, la configuración de sistemas o aplicaciones en este sen-


tido puede constituir evidencia si conservamos prueba técnica de ello.
Valga de ejemplo la configuración de ventanas emergentes, de inicios de
sesión con información con carácter general o de servicios de terceros de
confianza (Trusted Third Party).
Respecto de la disponibilidad, ha de considerarse que desde que se alma-
cena la evidencia hasta que llega un eventual momento en que puede ser
de utilidad, puede transcurrir mucho tiempo, por ello es fundamental de-
jar constancia de qué áreas y roles son responsables de su conservación y
puesta a disposición ante una futura necesidad por parte de la organiza-
ción. También, las soluciones de conservación empleadas pueden supo-
ner una gran diferencia respecto de la validez del documento probatorio.
Ante ello, resulta aconsejable contar con soluciones de digitalización y
sellado de tiempo que garanticen la integridad de la información.
En este momento, debemos hacer especial referencia a la comunicación
del código de conducta a los empleados. Con carácter general, si se va
a comunicar en soporte papel, resulta recomendable que se firme copia
del mismo por parte del receptor y se conserve la misma como evidencia,
garantizando su integridad y disponibilidad. En cambio, si se va a emplear
un medio electrónico, resulta preciso recabar la evidencia de recepción
por parte del destinatario, ya sea a través de una comunicación mediante
envío directo vía email, como su comunicación a través de intranet o, por
el contrario, mediante mecanismos como una ventana emergente, o pop
up, que alerte de la disponibilidad del código.
En todo caso, se recomienda adoptar las medidas necesarias para lograr
la conservación de la evidencia, bien mediante la acreditación de la con-
figuración técnica del sistema o mediante la conservación de los “logs”
de recepción del Código y más concretamente, de:
• Identificación unívoca del usuario receptor, del modo que se
considere más oportuno.
• Fecha (dd/mm/aaaa) y hora (hh:mm) en que se produce la acep-
tación.
Incluso es recomendable que, si la fuente de tiempo utilizada sigue el
calendario de España, se contenga la indicación GMT+1.
• Versión comunicada, siendo la opción más recomendable que
se guarde el texto completo en cada caso, para evitar posibles

266
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

controversias derivadas de versiones. A tales efectos, resultan


recomendables las soluciones propuestas por terceros de con-
fianza “Trusted Third Party” que, en cumplimiento del artículo
25 de la LSSI, procederán a archivar en soporte informático las
declaraciones –con fecha y hora– que hubieran tenido lugar por
vía telemática entre las partes por el tiempo estipulado que, en
ningún caso, será inferior a cinco años.
«Artículo 25. Intervención de terceros de confianza:
2.El tercero deberá archivar en soporte informático las declaraciones que
hubieran tenido lugar por vía telemática entre las partes por el tiempo
estipulado que, en ningún caso, será inferior a cinco años».

Comunicación a proveedores
En el supuesto de la comunicación a proveedores, y siempre en función
de la naturaleza de los bienes y servicios provistos, se puede acreditar su
comunicación y aceptación, en primera instancia, mediante el procedi-
miento de homologación del proveedor, en donde este suscriba dichas
políticas o bien acredite el desarrollo de un compliance program propio
en su organización que garantice un adecuado alineamiento.
A falta de dicho procedimiento de homologación, en segunda instancia
puede procederse a la comunicación y aceptación por parte del provee-
dor mediante su inclusión en el clausulado contractual a suscribir con
motivo de la relación negocial. Dicha inclusión puede llevarse a cabo re-
ferenciando los principios y pautas recogidos en el código de conducta
de la entidad, o el de alguna política concreta de aplicación más directa.
En todo caso, si se suscribe en formato papel, habrá de incluirse dicho con-
tenido referenciado en forma de anexo, o garantizar su acceso electrónico
cuando se suscriba, por ejemplo, a través de página web. Es práctica exten-
dida incluir en los contratos, de forma adicional a lo antedicho, cláusulas es-
pecíficas anticorrupción, con la intención, por parte de la organización, de
desmarcarse respecto de posibles prácticas ilícitas por parte del proveedor.
Acerca de esta cuestión, cabe reseñar que las cláusulas legales, per se,
pueden considerarse insuficientes respecto de la diligencia debida. Si la
organización tiene sospechas de actividades ilícitas por parte de su pro-
veedor, las cláusulas suscritas podrían perder efectividad si no se lleva a
cabo ninguna acción.

267
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

En relación a los contenidos de esas cláusulas específicas, se prevén algu-


nos compromisos de recomendada inclusión cuando, por la naturaleza
del bien o servicio, procedan contenidos anticorrupción, sobre todo en
aquellos casos en que la relación contractual tenga alguna vinculación
con Estados en donde exista un alto riesgo al respecto:
• Compromiso de las partes, de sus dependientes, representan-
tes, proveedores o empleados, de no comisión de actos que pu-
dieran suponer o derivar en incumplimientos de cualquier ley o
reglamento aplicable, con especial hincapié en los relativos a
antisoborno y/o anticorrupción.
A su vez, se especifica la prohibición de los pagos ilegítimos a funcio-
narios públicos, representantes de autoridades públicas o a familiares,
amigos cercanos o personas relacionadas.
• Garantía de contratación de personal en condiciones de legali-
dad en aquellos casos en que proceda a causa de la naturaleza
del servicio.
• Compromiso de comunicación entre las partes de todo cono-
cimiento o sospecha de cualquier tipo de corrupción o soborno
que pudiera afectar a la negociación, conclusión o cumplimiento
de la relación negocial, así como sujeción a eventuales audito-
rías de cumplimiento.
• La evidencia de la suscripción de dichas cláusulas habrá de cum-
plir los requisitos respecto de la integridad y disponibilidad de
la información, con el fin de que su valor probatorio no se vea
mermado.
• Compromiso de no ofrecimiento ni aceptación de regalo, bene-
ficio monetario o de cualquier otro tipo que no se encuentre mo-
tivado legalmente.

10.2. Canal de denuncias


10.2.1. Necesidad de implantar un sistema de denuncias internas y los
beneficios que reporta
Cada vez más organizaciones son conscientes de la necesidad de implan-
tar sistemas y programas de corporate compliance que permitan preve-

268
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

nir o, al menos, reducir la comisión de actos ilícitos o indebidos en las


mismas. Por otra parte, el hecho de que la entidad tenga programas de
prevención desarrollados e implantados es un requisito esencial de todo
“buen gobierno corporativo” y, sobre todo, una opción muy recomen-
dable desde que, en 2010, se implantó la responsabilidad penal de las
personas jurídicas en España.
En este sentido, aludimos a uno de los componentes esenciales que no
pueden faltar en ningún corporate compliance program: la implantación
efectiva de un canal de denuncias internas.
A este respecto, el primer antecedente normativo a nivel internacional
que aborde la obligación de implantar canales de denuncia en una en-
tidad aparece en la denominada Sarbanes-Oxley Act de 2002. Esta ley,
cuyo título oficial en inglés es Sarbanes-Oxley Act of 2002, Pub. L. No.
107-204, 116 Stat. 745 (30 de julio de 2002), pertenece al régimen legal
de Estados Unidos, y es también conocida como Acta de Reforma de la
Contabilidad Pública de Empresas y de Protección al Inversionista. Asi-
mismo, recibe otros nombres como SOx, SarbOx o SOA.
La Ley Sarbanes-Oxley ha generado gran controversia, pues supuso la
respuesta a los escándalos financieros de algunas grandes corporaciones
como los de Enron, Tyco International, WorldCom y Peregrine Systems.
Estos escándalos hicieron caer la confianza de la opinión pública en las
empresas de auditoría y contabilidad. La ley toma su nombre del sena-
dor demócrata Paul Sarbanes y el congresista republicano Michael G.
Oxley. Fue aprobada por amplia mayoría tanto en el congreso como el
senado, estableciendo nuevos estándares de actuación para los consejos
de administración y dirección de las sociedades, así como para los meca-
nismos contables de todas las empresas que cotizan en bolsa en Estados
Unidos. Introduce, asimismo, responsabilidades penales para los conse-
jos de administración junto a requerimientos por parte de la SEC (Secu-
rities and Exchanges Commission), organismo encargado de regulación
del mercado de valores de Estados Unidos. Los partidarios de esta Ley
afirman que esta legislación es necesaria y útil, mientras que sus críticos
creen que causará más daño económico del que previene.
La primera parte de esta ley, que constituye su fragmento más impor-
tante, establece una nueva agencia privada sin ánimo de lucro, la “Public
Company Accounting Oversight Board”, una compañía reguladora encar-

269
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

gada de revisar, regular, inspeccionar y sancionar a las empresas de audi-


toría. La ley también hace referencia a la independencia de las auditoras,
a la figura del gobierno corporativo y la transparencia financiera. Se con-
sidera uno de los cambios más significativos en la legislación empresarial
desde el “New Deal” de 1930.
A nivel nacional, el primer referente específico al sistema de denuncias
internas en la normativa española lo encontramos en 2006, concreta-
mente en el “Código Unificado de Buen Gobierno de las Sociedades Co-
tizadas” de la Comisión Nacional del Mercado de Valores, en el que se
establece que, «(...) Como novedad procedente de la Recomendación de
la Comisión Europea –inspirada a su vez, en la experiencia de Estados
Unidos, Reino Unido, y otros países cuyas compañías tienen establecidos
cauces internos para que sus empleados puedan denunciar irregularida-
des (Whistleblowing)–, el Código recomienda que las sociedades coti-
zadas encomienden al Comité de Auditoría el establecimiento y segui-
miento de mecanismos de esa naturaleza, que protejan la identidad del
denunciante e incluso, si se considera oportuno, permitan su anonimato.
El Código parte de que tales mecanismos, se destinarán preferentemen-
te a la denuncia de irregularidades financieras y contables y, sobre todo,
que respetarán escrupulosamente las limitaciones establecidas en la Ley
Orgánica de Protección de Datos (...)».
En dicho texto legal, en su artículo 50.d), se establece que corresponde
al comité de auditoría «establecer y supervisar un mecanismo que per-
mita a los empleados comunicar, de forma confidencial y, si se considera
apropiado, anónima las irregularidades de potencial trascendencia, es-
pecialmente financieras y contables, que se adviertan en el seno de la
empresa».
Durante ese mismo año de 2006, el Grupo de Trabajo del Artículo 29 ela-
bora el Dictamen 1/2006 sobre la aplicación de las normas de la UE rela-
tivas a la protección de datos en programas internos de denuncia de irre-
gularidades dentro de los campos de la contabilidad, controles contables
internos, asuntos de auditoría, lucha contra el soborno, delitos bancarios
y delitos financieros. El Grupo de Trabajo del Artículo 29 está compuesto
por un representante de la autoridad de protección de datos de cada Es-
tado miembro de la UE, el supervisor europeo de Protección de Datos y
la Comisión Europea. Su nombre proviene de la directiva de protección
de datos (Directiva 95/46/CE), y fue lanzado en 1996.

270
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

Sus principales misiones son:


• Dar consejos de expertos a los Estados en relación con la protec-
ción de datos.
• Promover la misma aplicación de la directiva de protección de
datos en todos los estados miembros de la UE, así como en No-
ruega, Liechtenstein e Islandia.
• Facilitar a la comisión un dictamen sobre las leyes comunitarias
(primer pilar) que afectan al derecho a la protección de datos
personales.
Un año más tarde, en 2007, la Agencia Española de Protección de Da-
tos (en adelante, AEPD) elabora el Informe Jurídico 128/2007, relativo a la
creación de sistemas de denuncias internas en las empresas (en adelante,
Informe 128/2007 de la AEPD), elaborado como respuesta a una consulta
realizada por una entidad sobre los aspectos a tener en cuenta en la im-
plantación de este tipo de canales para cumplir con la normativa españo-
la de Protección de Datos.
Hay que observar que, si bien es cierto que los informes jurídicos de la
AEPD no tienen carácter vinculante, sus recomendaciones sí que deberán
ser tenidas en cuenta por las Entidades que pretendan establecer canales
de denuncia internas para evitar incumplimientos de la normativa de Pro-
tección de Datos y, de este modo, evitar posibles sanciones económicas
y reputacionales.
Después, en 2010, la Ley 10/2010, de 28 de abril, de Prevención del
Blanqueo de Capitales y de la Financiación del Terrorismo, estableció la
exigencia (para los sujetos obligados por la misma) de implantar “obliga-
ciones de información”, “procedimientos adecuados en materia de control
interno” y de “comunicación por indicio”. Son sujetos obligados, por tanto:
«Artículo 2. Sujetos obligados:
1. La presente Ley será de aplicación a los siguientes sujetos obligados:
aa Las entidades de crédito.
bb Las entidades aseguradoras autorizadas para operar en el ramo de
vida y los corredores de seguros cuando actúen en relación con seguros
de vida u otros servicios relacionados con inversiones, con las excepcio-
nes que se establezcan reglamentariamente.

271
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

cc Las empresas de servicios de inversión.


dd Las sociedades gestoras de instituciones de inversión colectiva y las
sociedades de inversión cuya gestión no esté encomendada a una socie-
dad gestora.
ee Las entidades gestoras de fondos de pensiones.
ff Las sociedades gestoras de entidades de capital-riesgo y las socieda-
des de capital-riesgo cuya gestión no esté encomendada a una sociedad
gestora.
gg Las sociedades de garantía recíproca.
hh Las entidades de pago y las entidades de dinero electrónico.
ii Las personas que ejerzan profesionalmente actividades de cambio de
moneda.
jj Los servicios postales respecto de las actividades de giro o transferencia.
kk Las personas dedicadas profesionalmente a la intermediación en la
concesión de préstamos o créditos, así como las personas que, sin haber
obtenido autorización como establecimientos financieros de crédito, de-
sarrollen profesionalmente alguna de las actividades a que se refiere la
Disposición adicional primera de la Ley 3/1994, de 14 de abril, por la que
se adapta la legislación española en materia de Entidades de Crédito a la
Segunda Directiva de Coordinación Bancaria y se introducen otras modi-
ficaciones relativas al Sistema Financiero.
ll Los promotores inmobiliarios y quienes ejerzan profesionalmente ac-
tividades de agencia, comisión o intermediación en la compraventa de
bienes inmuebles.
mm Los auditores de cuentas, contables externos o asesores fiscales.
nn Los notarios y los registradores de la propiedad, mercantiles y de bie-
nes muebles.
ññ Los abogados, procuradores u otros profesionales independientes
cuando participen en la concepción, realización o asesoramiento de ope-
raciones por cuenta de clientes relativas a la compraventa de bienes in-
muebles o entidades comerciales, la gestión de fondos, valores u otros
activos, la apertura o gestión de cuentas corrientes, cuentas de ahorros
o cuentas de valores, la organización de las aportaciones necesarias para

272
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

la creación, el funcionamiento o la gestión de empresas o la creación, el


funcionamiento o la gestión de fideicomisos («trusts»), sociedades o es-
tructuras análogas, o cuando actúen por cuenta de clientes en cualquier
operación financiera o inmobiliaria.
oo Las personas que con carácter profesional y con arreglo a la normativa
específica que en cada caso sea aplicable presten los siguientes servicios
a terceros: constituir sociedades u otras personas jurídicas; ejercer fun-
ciones de dirección o secretaría de una sociedad, socio de una asociación
o funciones similares en relación con otras personas jurídicas o disponer
que otra persona ejerza dichas funciones; facilitar un domicilio social o
una dirección comercial, postal, administrativa y otros servicios afines
a una sociedad, una asociación o cualquier otro instrumento o persona
jurídicos; ejercer funciones de fideicomisario en un fideicomiso («trust»)
expreso o instrumento jurídico similar o disponer que otra persona ejerza
dichas funciones; o ejercer funciones de accionista por cuenta de otra
persona, exceptuando las sociedades que coticen en un mercado regula-
do y estén sujetas a requisitos de información conformes con el derecho
comunitario o a normas internacionales equivalentes, o disponer que
otra persona ejerza dichas funciones.
pp Los casinos de juego.
qq Las personas que comercien profesionalmente con joyas, piedras o
metales preciosos.
rr Las personas que comercien profesionalmente con objetos de arte o
antigüedades.
ss Las personas que ejerzan profesionalmente las actividades a que se re-
fiere el artículo 1 de la Ley 43/2007, de 13 de diciembre, de protección de
los consumidores en la contratación de bienes con oferta de restitución
del precio.
tt Las personas que ejerzan actividades de depósito, custodia o transpor-
te profesional de fondos o medios de pago.
uu Las personas responsables de la gestión, explotación y comercializa-
ción de loterías u otros juegos de azar respecto de las operaciones de
pago de premios.
vv Las personas físicas que realicen movimientos de medios de pago, en
los términos establecidos en el artículo 34.

273
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

ww Las personas que comercien profesionalmente con bienes, en los tér-


minos establecidos en el artículo 38.
xx Las fundaciones y asociaciones, en los términos establecidos en el ar-
tículo 39.
yy Los gestores de sistemas de pago y de compensación y liquidación
de valores y productos financieros derivados, así como los gestores de
tarjetas de crédito o débito emitidas por otras entidades, en los términos
establecidos en el artículo 40.
Se entenderán sujetas a la presente Ley las personas o entidades no re-
sidentes que, a través de sucursales o agentes o mediante prestación de
servicios sin establecimiento permanente, desarrollen en España activi-
dades de igual naturaleza a las de las personas o entidades citadas en los
párrafos anteriores.
2. Tienen la consideración de sujetos obligados las personas físicas o ju-
rídicas que desarrollen las actividades mencionadas en el apartado pre-
cedente. No obstante, cuando las personas físicas actúen en calidad de
empleados de una persona jurídica, o le presten servicios permanentes
o esporádicos, las obligaciones impuestas por esta Ley recaerán sobre
dicha persona jurídica respecto de los servicios prestados.
Los sujetos obligados quedarán, asimismo, sometidos a las obligaciones
establecidas en la presente Ley respecto de las operaciones realizadas a
través de agentes u otras personas que actúen como mediadores o inter-
mediarios de aquellos».

En ese mismo año, con la Ley Orgánica 5/2010, de 22 de junio, se modi-


fica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, y se
impone la responsabilidad penal de las personas jurídicas por los delitos
cometidos por trabajadores en el ejercicio de actividades sociales y por
cuenta y provecho de las mismas cuando hubiesen «(...) podido realizar
los hechos por no haberse ejercido sobre ellos el debido control atendi-
das las concretas circunstancias del caso (...)» (artículo 31 bis apartado
1).De la misma forma, en ese mismo artículo se establece como atenuan-
te, entre otros, el «(...) haber establecido, antes del comienzo del juicio
oral, medidas eficaces para prevenir y descubrir los delitos que en el futu-
ro pudieran cometerse con los medios o bajo la cobertura de la persona
jurídica (...)» (artículo 31 bis apartado 4).

274
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

Por otro lado, la Ley 2/2011, de 4 de marzo, de Economía Sostenible in-


trodujo la obligación, a través de la Ley 24/1988, de 28 de julio, del Mer-
cado de Valores, de identificar los sistemas de control del riesgo que la
compañía tenga implantados en el informe de gobierno corporativo.
En 2015, se publica la Ley Orgánica 1/2015, de 30 de marzo, por la que se
modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
(que tuvo su entrada en vigor el 1 julio 2015), cuya reforma implica una
mejora en la regulación de la responsabilidad penal de personas jurídicas
al delimitarse el contenido del “debido control” respecto a la regulación
del 2010.
Por tanto, dicha modificación describe con mayor detalle los requisitos
que las empresas deben cumplir para conseguir la exención de la respon-
sabilidad penal. En concreto, aparece establecido en su artículo 31 bis, 5
párrafo 4º:
«5. Los modelos de organización y gestión a que se refieren la condición
1ª del apartado 2 y el apartado anterior deberán cumplir los siguientes
requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos
los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el pro-
ceso de formación de la voluntad de la persona jurídica, de adopción de
decisiones y de ejecución de las mismas con relación a aquellos.
3.º Dispondrán de modelos de gestión de los recursos financieros ade-
cuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumpli-
mientos al organismo encargado de vigilar el funcionamiento y obser-
vancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente
el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual mo-
dificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los hagan nece-
sarios».

275
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Es decir, el texto exige la implantación de un canal de denuncias eficaz a


través del cual los usuarios puedan informar o denunciar posibles incum-
plimientos.
En el mismo ámbito de la Comisión del Mercado de Valores, el Proyec-
to de Circular de la CNMV, por el que se modifica el modelo de informe
anual de gobierno corporativo de las sociedades anónimas cotizadas, de
las cajas de ahorro y del resto de entidades que emiten valores que se
negocien en mercados oficiales de valores regulados por las Circulares
4/2007 de 27 de diciembre, 1/2004, de 17 de marzo y Circular 2/2005, de
21 de abril, incluía un apartado específico para informar sobre el Control
interno, sobre la información financiera en las entidades cotizadas (SCI-
IF), y sobre la implantación de un «canal de denuncias, que permita la
comunicación al Comité de Auditoría de irregularidades de naturaleza fi-
nanciera y contable, en adición a eventuales incumplimientos del código
de conducta y actividades irregulares en la organización, informando en
su caso si este es de naturaleza confidencial».
A resultas de todo lo anterior, puede concluirse que, en el ordenamiento
jurídico español, hasta la reforma del 2015 no existía ley alguna que exi-
giera, con carácter general, a las organizaciones a implantar canales de
denuncias internas como tal. Sin embargo, la regulación de 2015 exige a
las compañías, como uno de los requisitos para la exención de responsa-
bilidad penal, la obligación de información que, de una u otra forma, per-
mita prevenir y/o descubrir la comisión de actos indebidos o irregulares.
También debe tenerse en cuenta que la implantación de estos sistemas
de denuncia internos ayuda a mejorar la transparencia de la entidad y
permite hacer patente el compromiso de esta con las políticas de respon-
sabilidad social corporativa (RSC).

10.2.2. El sistema de denuncias internas: objeto y ámbito de aplicación


El canal de denuncias (o sistemas de “whistleblowing” como se conoce
a estos canales en los sistemas anglosajones) es el mecanismo interno
establecido en una organización que permite comunicar de forma con-
fidencial y, de esta forma, detectar o prevenir posibles irregularidades,
actos indebidos, comportamientos contrarios a la legislación vigente y/o
a la normativa interna de la compañía que se estén dando dentro de la
misma y que puedan suponerle algún tipo de responsabilidad penal, civil
o administrativa.

276
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

Dicho mecanismo alcanza una doble vertiente; por un lado, se trata de


un sistema que permite a la empresa reaccionar ante el conocimiento de
determinados actos irregulares o ilegales ya cometidos (vertiente reacti-
va); por otro, la implantación de este canal de denuncias internas puede
ayudar a inhibir a una persona de realizar algún comportamiento irregular
o ilegal que, sin la existencia de este canal de reporte, pudiera estar tenta-
do a realizar (vertiente preventiva).
Desde un punto de vista subjetivo, es preciso considerar que, al tratarse de
un canal interno establecido dentro de la entidad, su aplicación a los em-
pleados de la misma es evidente. Sin embargo, los hechos presuntamente
delictivos podrían realizarse también por personas que, sin ser empleados,
desarrollen otro tipo de labores en la compañía o estén vinculados merced
a otro tipo de relación. Por ello, para que el canal de denuncias internas sea
eficaz y despliegue los efectos pretendidos, es necesario que, al mismo
tiempo, tengan acceso al mismo no solo los empleados de la organización,
sino también todo aquel personal que mantenga con la misma un vínculo
contractual de derecho laboral, mercantil o civil con esta. Tal es el caso de
colaboradores, proveedores, subcontratados, etc… con independencia de
la modalidad contractual que determine su relación con dicha organiza-
ción en cuestión (así lo entiende la AEPD en su Informe 128/20073).
Desde el punto de vista territorial, es importante que, en el caso de grupos
de empresas formados por diversas entidades ubicadas en distintos paí-
ses se defina previamente cuál de todas llevará la gestión de las denuncias
(que, habitualmente, suele coincidir con la matriz del grupo). No obstante,
dependiendo de los países de ubicación de las empresas, puede ser reco-
mendable que, debido a las diferencias culturales y legislativas, se esta-
blezcan diferentes grupos de recepción y resolución (algunos ejemplos son
el Comité de Denuncias de América Latina, Comité de Denuncias de Euro-
pa, Comité de Denuncias de Oriente Medio, etc…) de modo que, por un
lado, permitan una gestión eficaz de estos canales y, por otro, animen a los
sujetos a denunciar los comportamientos que, en contextos tan amplios o
con tantas diferencias culturales, no se hubieran atrevido a denunciar.

Características mínimas de un sistema de denuncias internas


Para que un sistema de denuncias internas pueda ser considerado eficaz
y responda a la finalidad para la que fue implantado es necesario que
cumpla, como mínimo, con determinadas características:

277
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

• Sistema respaldado por la dirección:


Esta es una pieza fundamental para garantizar su éxito. Es condición
“sine qua non” que dicho sistema venga respaldado por la dirección de la
compañía, de forma que se haga obligatorio su cumplimiento. Esta es la
única fórmula para que dicho sistema recale internamente en todas las
estructuras de la organización.
Pese a lo mencionado, cabe reseñar que, cuando una entidad pretenda
implantar por primera vez un canal de denuncias, es necesario que previa-
mente hayan sido informados y consultados los representantes de los tra-
bajadores (según estipula el artículo 64 del Estatuto de los Trabajadores):
«Artículo 64. Derechos de información y consulta y competencias:
1. El comité de empresa tendrá derecho a ser informado y consultado
por el empresario sobre aquellas cuestiones que puedan afectar a los tra-
bajadores, así como sobre la situación de la empresa y la evolución del
empleo en la misma, en los términos previstos en este artículo.
Se entiende por información la transmisión de datos por el empresario al
comité de empresa, a fin de que este tenga conocimiento de una cuestión
determinada y pueda proceder a su examen. Por consulta se entiende el
intercambio de opiniones y la apertura de un diálogo entre el empresario
y el comité de empresa sobre una cuestión determinada, incluyendo, en
su caso, la emisión de informe previo por parte del mismo.
En la definición o aplicación de los procedimientos de información y con-
sulta, el empresario y el comité de empresa actuarán con espíritu de coo-
peración, en cumplimiento de sus derechos y obligaciones recíprocas,
teniendo en cuenta tanto los intereses de la empresa como los de los
trabajadores».

• Sistema previamente divulgado y que cumpla con la obligación de


información:
El canal de denuncias debe ser un sistema que se encuentre previa y
efectivamente divulgado entre sus destinatarios, tanto entre los emplea-
dos como entre aquellas personas que cuenten con algún tipo de vincu-
lación con la entidad. En este sentido, para garantizar dicha divulgación
es recomendable que se incluya información sobre su existencia en los
modelos de documentos que maneja la empresa. Así, por ejemplo, que

278
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

puede incluirse en el modelo de contrato de trabajo y en la intranet, en


los modelos de contratos con proveedores, clientes y/o colaboradores
externos, así como en la página web de la organización.
Además, tanto los denunciantes como los denunciados deben haber sido
informados previamente de la existencia de estos sistemas, del trata-
miento de los datos que conlleva la formulación de una denuncia y de las
consecuencias que para el denunciado puede comportar este hecho. En
este sentido, la información previa juega un papel importante, aunque no
es necesario para la entidad contar con el consentimiento de los trabaja-
dores para implantar un sistema de denuncias internas. A este respecto,
la Asociación Española de Protección de Datos (AEPD) considera que no
es necesario el consentimiento de los titulares para el tratamiento de sus
datos personales en los procedimientos de denuncias internas, siempre
que exista pleno conocimiento de la existencia de estos mecanismos de
denuncia, ya que encuentran su excepción a la obligación de consenti-
miento en el artículo 6.2 LOPD:
«Artículo 6. Consentimiento del afectado:
2. No será preciso el consentimiento cuando los datos de carácter personal
se recojan para el ejercicio de las funciones propias de las Administraciones
Públicas en el ámbito de sus competencias; cuando se refieran a las partes
de un contrato o precontrato de una relación negociar, laboral o adminis-
trativa y sean necesarios para su mantenimiento o cumplimiento (…).
3. El consentimiento a que se refiere el artículo podrá ser revocado cuando
exista causa justificada para ello y no se le atribuyan efectos retroactivos».
Dicho consentimiento tampoco es necesario para la comunicación de
datos a terceras partes que investiguen los hechos de la denuncia, siem-
pre y cuando el tratamiento responda a la libre y legítima aceptación de
una relación jurídica cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con ficheros de terce-
ros. En este caso, la comunicación solo será legítima en cuanto se limite
a la finalidad que la justifique.

«Artículo 11. Comunicación de datos:


2. El consentimiento exigido en el apartado anterior no será preciso:
aa Cuando la cesión está autorizada en una ley.

279
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

bb Cuando se trate de datos recogidos de fuentes accesibles al público.


cc Cuando el tratamiento responda a la libre y legítima aceptación de una
relación jurídica cuyo desarrollo, cumplimiento y control implique nece-
sariamente la conexión de dicho tratamiento con ficheros de terceros.
En este caso la comunicación solo será legítima en cuanto se limite a la
finalidad que la justifique».

En definitiva, la AEPD considera que la implantación de sistemas de de-


nuncias no requiere del consentimiento de los interesados, siempre que
exista un vínculo contractual de derecho laboral, civil o mercantil, y pleno
conocimiento de la existencia de los mecanismos descritos por parte de
las personas cuyos datos pudieran ser tratados por los mismos, quedan-
do la existencia de dichos procedimientos incorporada a la relación con-
tractual como parte integrante de la misma.

• Sistema fácilmente accesible:


El sistema de comunicación de irregularidades, como se ha comentado
anteriormente, debe estar a disposición de cualquier persona que tenga
una relación civil, mercantil o laboral con la entidad. Por ello, para que
dichos canales puedan ser utilizados por todas las personas que puedan
estar vinculadas a la misma, es preciso que se articulen diversos procedi-
mientos o mecanismos para poner en conocimiento y hacer llegar dichas
irregularidades. Tales vías pueden ser:
• A través de la cumplimentación de un formulario electrónico in-
cluido en la página web y en la intranet de la empresa.
• Mediante el envío de un correo electrónico a un buzón corpora-
tivo específico (p.e. denuncias@dominio.es).
• A través del envío de una carta en soporte papel mediante co-
rreo postal a una dirección determinada.
En la medida de lo posible, puede ser aconsejable que la entidad des-
carte la llamada telefónica como forma oficialmente aceptada de repor-
tar denuncias, por el peligro que ello puede conllevar además de dicha
modalidad requiere contar con una persona atendiendo las 24 h., puede
ocurrir que el destinatario de la llamada no sea la persona que asegure
ser. Otras situaciones de conflicto pueden sucederse ante la imposibili-

280
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

dad de adjuntar documentación o la dificultad de informar al denuncian-


te de los extremos que exige la normativa de Protección de Datos. Por
último, pueden presentarse dificultades a la hora de probar que se ha
transmitido dicha información.
Independientemente del procedimiento que establezca la organización,
es importante poner de relieve que, para realizar una gestión eficaz y no
sujeta a posibles sanciones, es necesario:
• Que exista una entrada única a través de la cual se reciban las
comunicaciones que dirijan los denunciantes (esto es, indepen-
dientemente de que existan distintos mecanismos por el que
interponer una denuncia, todos ellos deben contar con un úni-
co canal de entrada que permita gestionar correctamente dicha
denuncia).
• Que se encuentre articulada a través de diversos mecanismos
para que el denunciante pueda elegir el que mejor le convenga.
• Que se ajuste, en todo momento, al cumplimiento de las obli-
gaciones establecidas por la normativa de Protección de Datos
(LOPD).

• Sistema proporcional:
Esta característica implica que los hechos denunciados tengan una impli-
cación directa en la relación existente entre el denunciante/denunciado y
la organización, de modo que no pueda ser objeto de denuncia cualquier
tipo de comportamiento supuestamente indebido, sino estrictamente
aquellos que estén relacionados con su vinculación con la empresa.

• Sistema documentado:
Resulta relevante que el procedimiento que regula los extremos concre-
tos del canal de denuncias deba encontrarse previamente aprobado y
documentado por escrito, de modo que tanto los usuarios como los ór-
ganos que deben gestionar las denuncias tengan un conocimiento real y
homogéneo del proceso (funcionamiento del sistema interno de denun-
cias, los órganos que formarán parte de la instrucción, plazos, etc.). Ade-
más, puede ser aconsejable especificar expresamente aquellos extremos
del procedimiento que pueden ser objeto de excepción al sistema for-

281
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

malmente aprobado e implantado, junto a los requisitos que se deben


cumplir para poder hacer uso de dichas excepciones (como, por ejemplo,
la aprobación del comité o la determinación de supuestos en los que se
podrá admitir una excepción al procedimiento formalmente aprobado e
implantado).

• Sistema en el que los comportamientos irregulares estén expresa-


mente detallados, así como las consecuencias de su incumplimiento:
Todo canal de denuncias debe tener claramente detallados y expresa-
mente tipificados los comportamientos y acciones que se consideran
irregulares por la compañía y, consecuentemente, sobre los que se pue-
de interponer una denuncia.
No es suficiente la mera inclusión de un listado de incumplimientos ge-
néricos. Sobre este punto, es preciso reseñar que son comportamientos
considerados como irregulares no solo aquellos que transgredan la bue-
na fe o la legislación vigente, sino también los que vulneren las políticas
corporativas causando el incumplimiento de los deberes laborales o con-
tractuales del denunciado que redunden por su acción en algún tipo de
responsabilidad penal para la organización. Deben ser incluidos compor-
tamientos versen sobre materias relacionadas con cumplimiento norma-
tivo, respeto a los valores éticos, respeto a la dignidad de las personas,
desarrollo profesional, no discriminación, colaboración y dedicación,
manipulación de la información, uso y protección de activos, corrupción
y soborno, blanqueo de capitales e irregularidades en los pagos, conflicto
de intereses y lealtad a la empresa, neutralidad política, relaciones con
clientes, contratistas y proveedores e imagen y reputación corporativa.
Junto con lo anterior, en la Guía de Relaciones Laborales publicada por la
AEPD se establece expresamente que «tanto los denunciantes como los
potenciales denunciados deberán haber sido informados previamente
(...) de las consecuencias que para el denunciado puede comportar este
hecho». Por todo ello, mediante el procedimiento que regule el funcio-
namiento de dicho canal, la organización deberá indicar expresamente
las consecuencias de su incumplimiento. Estas serán la aplicación del ré-
gimen disciplinario de la entidad, sin menoscabo de las posibles respon-
sabilidades de otra índole que le puedan corresponder según los jueces
y tribunales.

282
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

Finalmente, el término incumplimiento debe ser entendido en un doble


sentido:
• Que se verifique el comportamiento irregular cometido por el
denunciado.
• Que se verifique que el denunciante comunicó una posible irre-
gularidad siendo plenamente consciente de su falsedad, en cuyo
caso se deberá verificar si este ha incurrido en un simple error
o si, por el contrario, ha actuado dolosamente y con ánimo de
perjudicar al denunciado.

• Sistema que garantice que no habrá represalias para el denunciante:


Uno de los aspectos que todo denunciante debe tener claro es que, ade-
más de la confidencialidad de sus datos identificativos durante todo el
proceso, se le garantiza también que no puede ser objeto de represalias
de ningún tipo por el hecho de denunciar. Incluso se puede detallar expre-
samente en el propio procedimiento que, en el caso de que el denuncian-
te esté relacionado con los hechos o haya participado directamente en el
delito, existan atenuantes por confesión anterior al descubrimiento del
delito (artículo 21.4 Código Penal), y por disminución de los efectos (ar-
tículo 21.5 del Código Penal) de los que podría beneficiarse si denuncia.
«CAPÍTULO III. De las circunstancias que atenúan la responsabilidad
criminal:
Artículo 21. [Atenuantes]:
Son circunstancias atenuantes:
1.ª Las causas expresadas en el Capítulo anterior, cuando no concurrie-
ren todos los requisitos necesarios para eximir de responsabilidad en sus
respectivos casos.
2.ª La de actuar el culpable a causa de su grave adicción a las sustancias
mencionadas en el número 2º del artículo anterior.
3.ª La de obrar por causas o estímulos tan poderosos que hayan produ-
cido arrebato, obcecación u otro estado pasional de entidad semejante.
4.ª La de haber procedido el culpable, antes de conocer que el procedi-
miento judicial se dirige contra él, a confesar la infracción a las autoridades.

283
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

5.ª La de haber procedido el culpable a reparar el daño ocasionado a la


víctima, o disminuir sus efectos, en cualquier momento del procedimien-
to y con anterioridad a la celebración del acto del juicio oral.
6.ª La dilación extraordinaria e indebida en la tramitación del procedi-
miento, siempre que no sea atribuible al propio inculpado y que no guar-
de proporción con la complejidad de la causa.
7.ª Cualquier otra circunstancia de análoga significación que las anterio-
res».

Agentes operacionales en un canal de denuncias internas y principa-


les funciones
La estructura organizacional que debe asumir las funciones de recepción
de denuncias, investigación de los hechos y, en general, encargarse de
todas aquellas acciones que conlleva la gestión íntegra de un sistema
de denuncias debe estar integrado por un equipo multidisciplinar que,
al mismo tiempo, cuente con la suficiente confianza por parte de direc-
ción como para gestionar información altamente sensible que podría en
caso de una mala utilización de la misma, poner en peligro el equilibrio y
la reputación de cualquier organización. Sobre esta base, exponemos a
continuación una estructura organizativa para la gestión íntegra del ca-
nal de denuncias:

• Comité de Denuncias Internas:


Es el órgano que debe ostentar la mayor responsabilidad en un canal
de denuncias. Su función principal es hacer cumplir el procedimiento de
denuncias, garantizar la confidencialidad en todo el proceso, así como
garantizar una correcta pero eficaz gestión del sistema interno de de-
nuncias.
Para su total imparcialidad en los hechos investigados es recomendable
que sea un órgano colegiado, o bien totalmente independiente dentro
de la organización, o bien formado por los responsables de las principales
áreas que, de un modo u otro, pueden estar relacionados con la denuncia:
• Director de Auditoría Interna
• Director de Asesoría Jurídica
• Director de Recursos Humanos

284
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

• Director de Responsabilidad Social Corporativa (RSC)


• Compliance officer
Es importante verificar si los miembros del comité están sujetos a conflic-
to de intereses, por ejemplo en el caso de que fueran recibidas comunica-
ciones que hicieran referencia a su persona, a personas de su confianza
o, en el caso del responsable de Instrucción, a algún empleado adscrito al
departamento. En caso de darse alguno de estos supuestos, el miembro
del comité, o el responsable de la Instrucción, deberán informar inme-
diatamente al Comité y abstenerse de participar en el tratamiento de la
denuncia.
Entre sus principales funciones figuran, con carácter de mínimos:
• Recibir la denuncia por cualquiera de las formas de entrada ofi-
cialmente admitidas.
• Decidir si la denuncia se desestima (siempre de forma motivada)
o si, por el contrario se procede a su estudio y tramitación con-
forme al procedimiento.
• Designar, por cada denuncia, al responsable de la fase de ins-
trucción de los hechos denunciados.
• Aprobar las excepciones al procedimiento general aprobado e
implantado (siempre de forma motivada).
• Exigir el cumplimiento de las obligaciones exigidas por la nor-
mativa de Protección de Datos.
Este comité reportará directamente al presidente y/o consejero dele-
gado. De entre los miembros del comité de Denuncias Internas deberá
designarse un secretario cuya principal función sea, entre otras, la de le-
vantar actas de las reuniones.

• Responsable de Instrucción:
Es la figura encargada de gestionar la fase de instrucción/inspección de
los hechos recogidos por la denuncia. El responsable de Instrucción de
los hechos denunciados es, en la mayoría de los casos, el director de
Auditoría Interna o compliance officer. Sin embargo, esto no impide que
podría ser otro responsable en virtud de la especialidad de la denuncia,
como por ejemplo en un caso de acoso laboral.

285
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Entre sus principales funciones deberán contemplarse, como mínimo:


• Designar al instructor en concreto que llevará a cabo la investi-
gación de esa determinada denuncia.
• Marcar prioridades y plazos de ejecución al instructor.
• Aprobar el informe emitido con el resultado de la investigación
de la denuncia.
• Supervisar el cumplimiento de la implantación de las medidas
de seguridad implantadas (sobre las denuncias cuya instrucción
se le ha atribuido) para garantizar la confidencialidad y seguri-
dad de las mismas.
• Instructor:
La figura de instructor será designado por el responsable de Instrucción,
generalmente entre el personal de su departamento o que se encuentren
su bajo responsabilidad jerárquica o funcional.
Entre sus principales funciones observamos, como mínimo:
• Investigar los hechos y recopilar las evidencias necesarias que
permitan sustentar los resultados de su investigación.
• Elaborar el informe, bajo la supervisión del responsable de la ins-
trucción.
• Dar soporte al comité de denuncias en las funciones que se le
encomienden.
• Documentar y registrar en los sistemas establecidos al efecto las
denuncias recibidas.
• Documentar y registrar en los sistemas establecidos al efecto
todas las acciones realizadas.
• Cumplir con las exigencias de la normativa de Protección de Datos.
A continuación, se expone de forma esquemática un ejemplo de la es-
tructura organizacional descrita:

Confidencialidad
Para cumplir con el objetivo principal que motiva la implantación del canal
de denuncias en una compañía y animar a las personas a que hagan uso de

286
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

dicho sistema, es imprescindible, además de garantizar que no van a to-


marse represalias por haber denunciado un hecho o comportamiento, que
se garantice la confidencialidad de la información durante todo el proceso.
De esta forma, el término confidencialidad alude a la no divulgación de las
características y demás extremos de la denuncia (esto incluye información
referente a los denunciantes, los hechos y, en su caso, las personas cuya
conducta o actuación pudiera ser mencionada en las denuncias) fuera de
los órganos autorizados. Ello puede ocasionar la vejación y una estigma-
tización negativa que podría suponer para estas personas (denunciante y
denunciado) la revelación de su identidad dentro de la organización.
Frente a lo anterior, la confidencialidad del sistema sí podrá cesar en
aquellos supuestos en los que, en función de las materias a las que afec-
ten, su conocimiento de los hechos sea requerido por los jueces, tribuna-
les o por la autoridad competente.
Un aspecto muy interesante a abordar es la consideración de un sistema
anónimo de denuncias frente a un sistema nominativo de las mismas.
Sin embargo, la cuestión a dilucidar en este apartado es si las denuncias
pueden ser, además de confidenciales, anónimas o, por el contrario, de-
ben de ser siempre nominales. En torno a esta reflexión, y si analizamos
la normativa detallada en apartados anteriores -en donde se establecen
los primeros referentes a los canales de denuncia-, prácticamente todos
aceptan las denuncias anónimas.

10.2.3. Sistemas técnicos que ayudan a garantizar la confidencialidad


de la información
Como ya hemos señalado anteriormente, la confidencialidad debe ser
uno de los pilares esenciales sobre el que se debe articular cualquier ca-
nal de denuncias. Para garantizar la confidencialidad de la información
en todo el proceso de gestión de denuncias, es recomendable que la
compañía estime la posibilidad de implantar mecanismos técnicos de ci-
frado. Es decir, a través de:
• Sistemas que permitan cifrar el canal de transmisión por el que
va a circular dicha información:
ȃȃ Canal cifrado por el que se transmite la información desde
el formulario electrónico hasta la base de datos en el que
se almacena dicha información.

287
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Esto significa que la transmisión de la información que via-


ja desde la página web de la entidad en la que se cumpli-
menta el formulario electrónico (por el que se interpone la
denuncia) hasta su llegada a la base de datos (en donde se
almacena dicha información), se realiza a través de un ca-
nal que utiliza el protocolo “https”, de forma que se garan-
tiza que la información que viaja a través de esta estructu-
ra no podrá ser interceptada ni utilizada por terceros.
ȃȃ Correos electrónicos cifrados con certificados digitales.
El uso del correo electrónico por canales inseguros como,
por ejemplo, la red Internet, no garantiza la confidenciali-
dad en los mensajes intercambiados entre los destinatarios.
Al objeto de asegurar dicha confidencialidad, es posible co-
dificar la información intercambiada mediante el uso de la
criptografía de mensajes. Los mensajes son cifrados por el
remitente y descifrados por el destinatario, utilizando para
ello claves que solamente ellos conocen. De esta forma, los
datos de los correos electrónicos que transitan por las redes
y servidores de Internet están codificados, y son totalmente
ininteligibles para terceras personas.
ȃȃ Herramientas que permiten cifrar la información que se
almacena en un determinado sistema o aplicación (como
es el caso de cifrar los servidores y/o bases de datos).
ȃȃ Soluciones técnicas que permitan cifrar el archivo que
contiene la información (Solución IRM – Information Risk
Management).

El IRM es la tecnología que se basa en el cifrado de los archivos (ya sea


un documento Word, una presentación o un correo electrónico), cuya im-
plementación posibilita gestionar los derechos de acceso de los usuarios
a la información en soporte electrónico. Mediante este proceso, lo que
queda cifrado es el archivo en sí mismo, y no el canal de distribución. De
este modo, y mediante la utilización de esta tecnología en la organiza-
ción, se puede evitar que personas no autorizadas puedan leer, imprimir,
reenviar o copiar información confidencial (ya sea debido a errores hu-
manos que hacen que se envíe la información a quien no se debe, o bien

288
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

a causa de una posible acción de usuarios avanzados o hackers, cuyo pro-


pósito es vulnerar los sistemas y hacerse con dicha información).

10.2.4. Procedimiento de un canal de denuncias internas


Como ya hemos visto anteriormente, es ineludible que exista en la enti-
dad un procedimiento documentado en el que se regulen todos los extre-
mos propios del canal de denuncias. Este debe encontrarse formalmente
aprobado por la dirección, ser de obligado cumplimiento y encontrarse
documentado por escrito. Esto supone la existencia de un documento en
el que se regule todo el ciclo de vida de una denuncia, desde la comunica-
ción inicial del comportamiento irregular o indebido hasta su resolución
(o archivo, en caso de que esta no prospere).
Otro de los aspectos a considerar es que se trate de un procedimiento
divulgado de manera eficaz, tanto en lo que se refiere a su propia exis-
tencia como respecto a las características y demás extremos de su fun-
cionamiento. Así, es recomendable que se incluya en la intranet de la
compañía, en la página web que la organización tenga disponible para
el público en general (si el ámbito es abierto), en los contratos de los
empleados, en los contratos con clientes y proveedores y, en general,
a través de cualquier tipo de herramienta o instrumento que permita la
circulación de esta información en la empresa (campañas de conciencia-
ción, circulares, etc.).
Del mismo modo, como se ha comentado con anterioridad, es preciso
que se detallen (o que se haga referencia expresa al documento en el que
se puedan encontrar) las conductas y/o acciones que puedan ser objeto
de denuncia, sin ser suficiente un mero listado genérico de comporta-
mientos irregulares. Por otro lado, es imprescindible que se establezca
y se garantice al usuario de estos canales que su denuncia no tendrá re-
presalias por parte de la compañía. Sin embargo, es importante advertir
que, tanto en el caso de contravenir lo dispuesto en dicho procedimiento
como en aquellos supuestos en que se presenten denuncias falsas, será
aplicado el régimen disciplinario existente en la entidad.
En todo caso, es trascendente que dicho procedimiento se encuentre do-
cumentado por escrito con un lenguaje claro y comprensible, para que
pueda ser bien interpretado por todo el personal destinatario (personal
propio o terceros, vinculados de una u otra forma a la compañía) y hacer
uso del sistema de denuncias.

289
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Formas de gestión del canal de denuncias: gestión interna o externa


Conviene resaltar que, en las compañías, se está desarrollando una ten-
dencia cada vez más generalizada de externalizar el servicio de gestión
de canal de denuncias, donde un tercero, independiente y ajeno a la mis-
ma, se encarga de la gestión íntegra de dicho canal. Dicho aumento en
la utilización de estas fórmulas de gestión externa viene motivado, entre
otras razones, por las debilidades que la gestión interna puede originar.
De esta forma, según señala la Encuesta Mundial Sobre Fraude y Delito
Económico de 2014, «(...) los canales de denuncia gestionados interna-
mente tienen las siguientes debilidades:
aa Los denunciantes no tienen certidumbre acerca de su anonimato, por
lo que el miedo a denunciar desincentiva la utilización del Canal de de-
nuncias.
bb No se puede asegurar el tratamiento objetivo e independiente de las
denuncias por parte de profesionales ajenos al personal involucrado.
cc El personal que recibe las denuncias no es un experto en la detección
de delitos y conductas fraudulentas (...)».

Por consiguiente, puede ser recomendable que la organización, en fun-


ción de sus características propias (por ejemplo, personal disponible,
grado de especialización, conflictos de interés interno, etc.), estudie la
posibilidad de externalizar el servicio de gestión de denuncias internas,
ya que una mala o ineficiente gestión del mismo puede resultar contra-
producente tanto para la imagen de la compañía, como para la implan-
tación efectiva del canal de denuncias.

10.2.5. Derechos y deberes de las partes

• Deber de información:
ȃȃ Al denunciante:
Todas las personas sobre las que se vaya a recabar datos personales
deberán ser informadas, de manera previa y precisa, de un conjunto
de extremos recogidos por la normativa de Protección de Datos (ar-
tículo 5.1 LOPD), con independencia de cuál sea el mecanismo utili-
zado para recabarlos.

290
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

«Artículo 5. Derecho de información en la recogida de datos:


1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter per-
sonal, de la finalidad de la recogida de estos y de los destinatarios de
la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante».

Cuando el responsable del tratamiento no esté establecido en el terri-


torio de la Unión Europea y utilice en el tratamiento de datos medios
situados en territorio español, deberá designar, salvo que tales medios
se utilicen con fines de trámite, un representante en España, sin perjuicio
de las acciones que pudieran emprenderse contra el propio responsable
del tratamiento.
Por ende, para cumplir con esta obligación de información al denuncian-
te que impone la normativa vigente para con el sujeto que va a tratar
los datos (la compañía), es necesario que, en todos y cada uno de los
mecanismos o procedimientos habilitados por la entidad para comunicar
posibles comportamientos irregulares, se incluya una cláusula de infor-
mación con el contenido que exige la normativa vigente. Como mínimo,
debe incluirse la siguiente información:
•• Razón social y dirección del responsable del fichero que realice el
tratamiento de la información.
•• Finalidad del tratamiento de los datos.
•• Posibles comunicaciones de datos amparadas por la normativa,
como por ejemplo aquellas remitidas a jueces, tribunales o a per-
sonas que se consideren pertinentes dada su implicación en cual-

291
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

quier fase de la investigación. En el supuesto de “grupo de empre-


sas”, deberá especificarse si se van a comunicar sus datos a otras
entidades del grupo, especificando siempre la razón social de la
organización, la información referente a sus actividades, las direc-
ciones pertinentes y la concreta finalidad que motive la comunica-
ción (por ejemplo, en el supuesto de que los datos sean gestiona-
dos por la matriz del grupo).
•• Forma y dirección en el que ejercer los derechos de acceso, rectifi-
cación, cancelación y oposición.
•• Confidencialidad del sistema de denuncias.
•• Consecuencias que conlleve realizar una denuncia falsa con mala fe.
•• No represalias por parte de organización.
De esta forma, dependiendo de la vía utilizada por el denunciante para
comunicar la irregularidad, se establecen una serie de propuestas:
•• Mediante la cumplimentación del formulario electrónico incluido
en la página web (o en la intranet de la entidad). Se podrá incluir
una cláusula de información en materia de protección de datos en
un lugar visible del propio formulario.
•• Envío de un correo electrónico a un buzón específico de recepción
de denuncias. Se podrá establecer un mecanismo automático para
dicho buzón por el que, cada vez que se reciba un correo, el remi-
tente reciba un correo de respuesta con la cláusula de información
en materia de protección de datos.
•• A través del envío de una carta en soporte papel mediante el correo
postal a una dirección determinada. En este caso, se deberá remitir
a la dirección postal del remitente o a la dirección electrónica (si la
hubiera proporcionado), un correo con la cláusula de información
en materia de protección de datos. Como hemos visto anterior-
mente, en la medida de lo posible puede ser recomendable que
la entidad descarte la llamada telefónica como forma oficialmen-
te aceptada de reportar denuncias, por el peligro que ello puede
conllevar (por ejemplo, la necesidad de mantener a una persona
atendiendo las 24 h dicha línea telefónica, la posible circunstancia
de que el destinatario de la llamada no sea la persona que debería
ser, la imposibilidad estructural de adjuntar documentación, o la

292
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

dificultad de informar al denunciante de los extremos que exige la


normativa de Protección de Datos, unido a la incapacidad de po-
der demostrar que dicha información ha sido comunicada).
En todo caso, es básico que la organización implante mecanismos
que permitan poder demostrar “a posteriori” el correcto cumpli-
miento con el deber de información al denunciado que exige la
normativa vigente.
ȃȃ Al denunciado y a terceras partes implicadas (afectados, testigos, etc.):
Para el cumplimiento de la normativa de Protección de Datos (artí-
culo 5.4 LOPD), igualmente es preciso informar al titular de los datos
sobre los extremos detallados en la misma en el caso de que estos
no hayan sido recabados directamente del propio titular. Esta situa-
ción puede incluir tanto al denunciado como a terceras personas que
puedan aparecer mencionadas o estar implicadas en los hechos de la
denuncia.
«Artículo 5. Derecho de información en la recogida de datos:
4. Cuando los datos de carácter personal no hayan sido recabados
del interesado, este deberá ser informado de forma expresa, precisa
e inequívoca, por el responsable del fichero o su representante, den-
tro de los tres meses siguientes al momento del registro de los datos,
salvo que ya hubiera sido informado con anterioridad, del contenido
del tratamiento, de la procedencia de los datos, así como de lo pre-
visto en las letras a), d) y e) del apartado 1 del presente artículo».

Además, la normativa exige que dicha obligación de información a


denunciados y terceras partes implicadas sea cumplida por la com-
pañía dentro de los tres meses siguientes al momento en que se re-
caben los datos de su titular, lo que normalmente coincidirá con la
fecha de interposición de la denuncia.
Es importante hacer constar que este deber de información no im-
plica revelar al denunciado la identidad del denunciante (o aquellos
datos que le permitan conocer o deducir su identidad), ni tampoco la
de terceras personas que puedan estar implicadas. Por tanto, única-
mente se le comunicarán los siguientes puntos:
•• Que ha sido denunciado a través del sistema de canal de denun-
cias que está implantado en la organización.

293
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

•• De los hechos denunciados.


•• Razón social y dirección del responsable del fichero que realice el
tratamiento de la información.
•• Finalidad del tratamiento de los datos.
•• Posibles comunicaciones de datos bajo el amparo de la normativa,
comunicaciones a jueces y tribunales, y a aquellas personas que se
consideren pertinentes por su implicación en cualquier fase de la
investigación. En el caso de grupo de empresas, tendrá que especi-
ficarse si se van a comunicar sus datos a otras entidades del grupo,
especificando siempre la razón social de la organización e informa-
ción sobre sus actividades, direcciones y la concreta finalidad que
motiva la comunicación.
•• Forma y dirección en el que ejercer los derechos de acceso, rectifi-
cación, cancelación y oposición.
•• Confidencialidad del sistema de denuncias.
•• Consecuencias que conlleva realizar una denuncia falsa con mala fe.
•• No represalias por parte de organización.
Tenemos que considerar como una buena práctica en el cumplimien-
to de dicho deber la celebración de una reunión individual con cada
interesado (denunciado, afectados y testigos) que deberá tener lu-
gar lo antes posible, estableciéndose un plazo máximo de tres meses
desde la recogida inicial de datos en la que se pregunte por los hechos
denunciados. Además, como fruto de dicha reunión, se debe redac-
tar un acta en la que se incluya la cláusula de información de forma
que, en un futuro, se pueda probar su debido cumplimiento por parte
de la organización ante cualquier requerimiento de información que
pudiera hacer la Asociación Española de Protección de Datos (AEPD).

ȃȃ Excepción a la obligación de informar en el plazo máximo de tres


meses:
Aunque, como regla general y procedimiento habitual de cualquier
sociedad que tenga implantado un sistema interno de denuncias, el
deber de información al denunciado y terceros interesados deberá
realizarse siempre dentro de los tres meses siguientes al registro de

294
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

sus datos, con su cumplimiento, asimismo, se da la posibilidad al de-


nunciado y a terceros interesados de poder defender debidamente
sus intereses.
Frente a lo anterior, muchas compañías estiman que puede existir
cierto peligro al informar al denunciado de que ha sido denunciado
y los hechos sobre los que versa la denuncia, ya que este podría pro-
ceder a eliminar todos aquellos indicios o pruebas que le pudieran
comprometer. Por todo ello, muchas compañías deciden retrasar el
cumplimiento de dicho deber de información durante el tiempo que
necesiten para recabar evidencias ciertas sobre los hechos denun-
ciados. En tales casos, el plazo puede extenderse más allá de los tres
meses que exige la normativa.
Esta posibilidad, como excepción a la regla general, se contempla
en el Dictamen 1/2006 del grupo del artículo 29, al establecer la po-
sibilidad de retrasar (que no es lo mismo que suspender) dicho deber
de información por el tiempo mínimo e imprescindible, únicamente
cuando exista un riesgo importante de que dicha notificación pueda
poner en peligro la capacidad de la sociedad para investigar de ma-
nera eficaz la alegación o recopilar las pruebas necesarias.
Se trataría de un retraso, en cualquier caso, pero nunca de la omisión
de dicha obligación. No obstante, el Informe 128/2007 de la AEPD no
hace en su texto ninguna mención a la posibilidad de que la organi-
zación pueda retrasar el cumplimiento de dicho deber en situaciones
excepcionales, por lo que podría considerarse que no acepta esta po-
sibilidad como válida. En consecuencia, ante estos supuestos (en los
que exista un riesgo importante de que dicha notificación pusiera en
peligro la capacidad de la sociedad para investigar de manera eficaz
la alegación o recopilar las pruebas necesarias), será la compañía la
que deba valorar los riesgos de retrasar excepcionalmente la infor-
mación al denunciado o si, por el contrario, decida cumplir con el pla-
zo de tres meses establecido por la normativa.
En el supuesto de que la compañía se incline por asumir dicho retraso
de conformidad al Dictamen 1/2006 del grupo del artículo 29, será
necesario que se utilice de forma puntual y que los requisitos para su
utilización se encuentren previamente aprobados y documentados
por la organización, de un modo más concreto:

295
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

•• Que dicha excepción al deber de información sea acordada de ma-


nera restrictiva, caso por caso y aprobada por el comité de denun-
cias Internas.
•• Que existan sospechas fundadas en criterios objetivos que permi-
tan considerar que, si se cumpliese con dicha comunicación, se pu-
diera poner en peligro la investigación de la denuncia.
•• Que únicamente se podrá retrasar la notificación por el tiempo
mínimo e imprescindible durante el que existiera dicho riesgo (y
nunca mayor del estrictamente necesario).

Sin embargo, ya que la normativa española no contempla la posibilidad


de excepción, un criterio más admisible sería que la entidad «retrase»
este deber de información al límite del tiempo máximo que marca la nor-
ma (pero siempre dentro del plazo de tres meses que le otorga la norma-
tiva de Protección de Datos), para que pueda implantar controles inter-
nos que le permitan verificar este tipo de eliminaciones.
También, para poder conocer la información electrónica que haya podido
ser eliminada, la compañía deberá recurrir a herramientas de “e-Disco-
very” que le permitan examinar importantes cantidades de datos en for-
mato electrónico que hayan sido obtenidas mediante procedimientos de
análisis forense. De este modo, la entidad podrá realizar procedimientos
de identificación, recopilación, custodia y localización de información en
soporte electrónico que, posteriormente, pueda ser utilizada como prue-
ba ante jueces y tribunales.

10.2.6. Deber de calidad de los datos


Para cumplir con el deber de calidad que exige la normativa de Protec-
ción de Datos, es imprescindible que los datos personales obtenidos en
el proceso de recogida de datos mediante denuncia se conserven única-
mente durante el tiempo estrictamente necesario para servir a la finali-
dad con la que fueron recabados.
De esta forma, al ser las denuncias una información que, debido a su sen-
sibilidad, puede afectar negativamente a las personas implicadas en las
mismas, es imprescindible que en la organización se detallen unos plazos
máximos durante los cuales se podrá almacenar la denuncia e informa-
ción surgida y/o elaborada como consecuencia de las mismas.

296
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (II)

Respecto a los plazos de conservación de la información sobre denun-


cias internas, tanto el Dictamen 1/2006 del Grupo de Trabajo del artículo
29 como el Informe AEPD van en el mismo sentido. De este modo: «Los
datos personales tratados por un programa de denuncias de irregulari-
dades deberían eliminarse inmediatamente, y normalmente en un pla-
zo de dos meses desde la finalización de la investigación de los hechos
alegados en el informe (...). Este plazo debería limitarse a la tramitación
de las medidas de auditoría interna que resultasen necesarias y, como
máximo, a la tramitación de los procedimiento judiciales que se deriva-
sen de la investigación realizada (como los que se deriven de las medidas
disciplinarias adoptadas o de la exigencia de responsabilidad contractual
de los auditores)».

Por consiguiente, cabe ahora establecer un “iter” procedimental perfec-


tamente definido:
• DURANTE LA FASE DE INVESTIGACIÓN / INSTRUCCIÓN de
la denuncia interna interpuesta con carácter general, las denun-
cias e información surgida y/o elaborada como consecuencia
de las mismas podrán ser almacenadas durante el tiempo que
dure la investigación (siempre y cuando los plazos de la misma
no sean excesivamente dilatados en el tiempo, lo que pudiera
conllevar un perjuicio para el denunciado).
• FINALIZADA LA INVESTIGACIÓN / INSTRUCCIÓN de la de-
nuncia interna interpuesta, se sugieren 2 posibilidades:
ȃȃ Denuncias sobre hechos no probados:
Deberán ser eliminadas en todo caso en un plazo de dos meses
desde la finalización de la investigación de los hechos alegados.
En todo caso, respecto al plazo de conservación de los datos de las
denuncias cuyos hechos no han sido probados, la Agencia Española
de Protección de Datos (AEPD) especifica que las mismas deberán
ser eliminadas “en un plazo de dos meses desde la finalización de la
investigación”, si no derivan de la denuncia una investigación poste-
rior.
ȃȃ Denuncias sobre hechos probados:
Los datos deberán conservarse durante la tramitación del proce-
dimiento, esto es, en el caso de que, como consecuencia de la in-

297
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

vestigación, los hechos de la denuncia sean probados y de ello se


desprenda la necesidad de adoptar determinadas medidas contra el
denunciado. Sería posible conservar los datos por un plazo superior
al estipulado, debiendo eliminarse en caso contrario.
• Una vez FINALIZADO EL PROCEDIMIENTO (penal, laboral,
etc.): se deberán eliminar los datos, en todo caso, en el plazo de
2 meses desde la finalización del mismo.

298
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 11
Fases de implantación de un programa de
compliance (III): Canal de denuncias

11.1. Derechos de acceso, rectificación, cancelación y oposi-


ción (ARCO) en el canal de denuncias
Todo titular de datos está legitimado para ejercitar, respecto a sus pro-
pios datos, los derechos de acceso, rectificación, cancelación y oposición
(regulados en el Título III del Real Decreto 1720/2007, de 21 de diciembre,
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de protección de datos de carácter personal
(en adelante, RLOPD).
Este régimen legal se articula del modo siguiente:
«Artículo 23. Carácter personalísimo:
1. Los derechos de acceso, rectificación, cancelación y oposición son per-
sonalísimos y serán ejercidos por el afectado.
2. Tales derechos se ejercitarán:
aa Por el afectado, acreditando su identidad, del modo previsto en el ar-
tículo siguiente.
bb Cuando el afectado se encuentre en situación de incapacidad o mino-
ría de edad que le imposibilite el ejercicio personal de estos derechos,
podrán ejercitarse por su representante legal, en cuyo caso será necesa-
rio que acredite tal condición.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


IV. Implementación y puesta en marcha de un programa de compliance

cc Los derechos también podrán ejercitarse a través de representante


voluntario, expresamente designado para el ejercicio del derecho. En
ese caso, deberá constar claramente acreditada la identidad del repre-
sentado, mediante la aportación de copia de su Documento Nacional de
Identidad o documento equivalente, y la representación conferida por
aquel.
Cuando el responsable del fichero sea un órgano de las Administracio-
nes Públicas o de la Administración de Justicia, podrá acreditarse la re-
presentación por cualquier medio válido en derecho que deje constancia
fidedigna, o mediante declaración en comparecencia personal del inte-
resado.
3. Los derechos serán denegados cuando la solicitud sea formulada por
persona distinta del afectado y no se acreditase que la misma actúa en
representación de aquel».

«Artículo 24. Condiciones generales para el ejercicio de los derechos


de acceso, rectificación, cancelación y oposición:
1. Los derechos de acceso, rectificación, cancelación y oposición son
derechos independientes, de tal forma que no puede entenderse que el
ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro.
2. Deberá concederse al interesado un medio sencillo y gratuito para el
ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
3. El ejercicio por el afectado de sus derechos de acceso, rectificación,
cancelación y oposición será gratuito y en ningún caso podrá suponer
un ingreso adicional para el responsable del tratamiento ante el que se
ejercitan.
No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999,
de 13 de diciembre, y en el presente Reglamento los supuestos en que
el responsable del tratamiento establezca como medio para que el inte-
resado pueda ejercitar sus derechos el envío de cartas certificadas o se-
mejantes, la utilización de servicios de telecomunicaciones que implique
una tarificación adicional al afectado o cualesquiera otros medios que
impliquen un coste excesivo para el interesado.
4. Cuando el responsable del fichero o tratamiento disponga de servicios
de cualquier índole para la atención a su público o el ejercicio de reclama-

300
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

ciones relacionadas con el servicio prestado o los productos ofertados al


mismo, podrá concederse la posibilidad al afectado de ejercer sus dere-
chos de acceso, rectificación, cancelación y oposición a través de dichos
servicios. En tal caso, la identidad del interesado se considerará acredi-
tada por los medios establecidos para la identificación de los clientes del
responsable en la prestación de sus servicios o contratación de sus pro-
ductos.
5. El responsable del fichero o tratamiento deberá atender la solicitud
de acceso, rectificación, cancelación u oposición ejercida por el afectado
aún cuando el mismo no hubiese utilizado el procedimiento estableci-
do específicamente al efecto por aquel, siempre que el interesado haya
utilizado un medio que permita acreditar el envío y la recepción de la
solicitud, y que esta contenga los elementos referidos en el párrafo 1 del
artículo siguiente».

«Artículo 25. Procedimiento:


1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el
ejercicio de los derechos deberá llevarse a cabo mediante comunicación
dirigida al responsable del fichero, que contendrá:
aa Nombre y apellidos del interesado; fotocopia de su documento na-
cional de identidad, o de su pasaporte u otro documento válido que lo
identifique y, en su caso, de la persona que lo represente, o instrumentos
electrónicos equivalentes; así como el documento o instrumento elec-
trónico acreditativo de tal representación. La utilización de firma elec-
trónica identificativa del afectado eximirá de la presentación de las foto-
copias del DNI o documento equivalente.
El párrafo anterior se entenderá sin perjuicio de la normativa específica
aplicable a la comprobación de datos de identidad por las Administracio-
nes Públicas en los procedimientos administrativos.
bb Petición en que se concreta la solicitud.
cc Dirección a efectos de notificaciones, fecha y firma del solicitante.
dd Documentos acreditativos de la petición que formula, en su caso.
2. El responsable del tratamiento deberá contestar la solicitud que se le
dirija en todo caso, con independencia de que figuren o no datos perso-
nales del afectado en sus ficheros.

301
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

3. En el caso de que la solicitud no reúna los requisitos especificados en


el apartado primero, el responsable del fichero deberá solicitar la subsa-
nación de los mismos.
4. La respuesta deberá ser conforme con los requisitos previstos para
cada caso en el presente título.
5. Corresponderá al responsable del tratamiento la prueba del cumpli-
miento del deber de respuesta al que se refiere el apartado 2, debiendo
conservar la acreditación del cumplimiento del mencionado deber.
6. El responsable del fichero deberá adoptar las medidas oportunas para
garantizar que las personas de su organización que tienen acceso a datos
de carácter personal puedan informar del procedimiento a seguir por el
afectado para el ejercicio de sus derechos.
7. El ejercicio de los derechos de acceso, rectificación, cancelación y opo-
sición podrá modularse por razones de seguridad pública en los casos y
con el alcance previsto en las Leyes.
8. Cuando las leyes aplicables a determinados ficheros concretos esta-
blezcan un procedimiento especial para la rectificación o cancelación de
los datos contenidos en los mismos, se estará a lo dispuesto en aquellas».

«Artículo 26. Ejercicio de los derechos ante un encargado del trata-


miento:
Cuando los afectados ejercitasen sus derechos ante un encargado del tra-
tamiento y solicitasen el ejercicio de su derecho ante el mismo, el encar-
gado deberá dar traslado de la solicitud al responsable, a fin de que por el
mismo se resuelva, a menos que en la relación existente con el responsa-
ble del tratamiento se prevea precisamente que el encargado atenderá,
por cuenta del responsable, las solicitudes de ejercicio por los afectados
de sus derechos de acceso, rectificación, cancelación u oposición».

«Artículo 27. Derecho de acceso:


1. El derecho de acceso es el derecho del afectado a obtener información
sobre si sus propios datos de carácter personal están siendo objeto de
tratamiento, la finalidad del tratamiento que, en su caso, se esté reali-
zando, así como la información disponible sobre el origen de dichos da-
tos y las comunicaciones realizadas o previstas de los mismos.

302
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

2. En virtud del derecho de acceso el afectado podrá obtener del respon-


sable del tratamiento información relativa a datos concretos, a datos
incluidos en un determinado fichero, o a la totalidad de sus datos some-
tidos a tratamiento.
No obstante, cuando razones de especial complejidad lo justifiquen, el
responsable del fichero podrá solicitar del afectado la especificación de
los ficheros respecto de los cuales quiera ejercitar el derecho de acceso,
a cuyo efecto deberá facilitarle una relación de todos ellos.
3. El derecho de acceso es independiente del que otorgan a los afectados
las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre,
de Régimen Jurídico de las Administraciones Públicas y del Procedimien-
to Administrativo Común».

«Artículo 28. Ejercicio del derecho de acceso:


1. Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la
información a través de uno o varios de los siguientes sistemas de con-
sulta del fichero:
aa Visualización en pantalla.
bb Escrito, copia o fotocopia remitida por correo, certificado o no.
cc Telecopia.
dd Correo electrónico u otros sistemas de comunicaciones electrónicas.
ee Cualquier otro sistema que sea adecuado a la configuración o implan-
tación material del fichero o a la naturaleza del tratamiento, ofrecido por
el responsable.
2. Los sistemas de consulta del fichero previstos en el apartado anterior
podrán restringirse en función de la configuración o implantación mate-
rial del fichero o de la naturaleza del tratamiento, siempre que el que se
ofrezca al afectado sea gratuito y asegure la comunicación escrita si este
así lo exige.
3. El responsable del fichero deberá cumplir al facilitar el acceso lo esta-
blecido en el Título VIII de este Reglamento.
Si tal responsable ofreciera un determinado sistema para hacer efectivo
el derecho de acceso y el afectado lo rechazase, aquel no responderá por

303
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

los posibles riesgos que para la seguridad de la información pudieran de-


rivarse de la elección.
Del mismo modo, si el responsable ofreciera un procedimiento para ha-
cer efectivo el derecho de acceso y el afectado exigiese que el mismo
se materializase a través de un procedimiento que implique un coste
desproporcionado, surtiendo el mismo efecto y garantizando la misma
seguridad el procedimiento ofrecido por el responsable, serán de cuenta
del afectado los gastos derivados de su elección».

«Artículo 29. Otorgamiento del acceso:


1. El responsable del fichero resolverá sobre la solicitud de acceso en
el plazo máximo de un mes a contar desde la recepción de la solicitud.
Transcurrido el plazo sin que de forma expresa se responda a la petición
de acceso, el interesado podrá interponer la reclamación prevista en el
artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal de los afec-
tados deberá igualmente comunicárselo en el mismo plazo.
2. Si la solicitud fuera estimada y el responsable no acompañase a su co-
municación la información a la que se refiere el artículo 27.1, el acceso se
hará efectivo durante los diez días siguientes a dicha comunicación.
3. La información que se proporcione, cualquiera que sea el soporte en
que fuere facilitada, se dará en forma legible e inteligible, sin utilizar
claves o códigos que requieran el uso de dispositivos mecánicos espe-
cíficos.
Dicha información comprenderá todos los datos de base del afectado,
los resultantes de cualquier elaboración o proceso informático, así como
la información disponible sobre el origen de los datos, los cesionarios de
los mismos y la especificación de los concretos usos y finalidades para los
que se almacenaron los datos».

«Artículo 30. Denegación del acceso:


1. El responsable del fichero o tratamiento podrá denegar el acceso a los
datos de carácter personal cuando el derecho ya se haya ejercitado en
los doce meses anteriores a la solicitud, salvo que se acredite un interés
legítimo al efecto.

304
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

2. Podrá también denegarse el acceso en los supuestos en que así lo pre-


vea una Ley o una norma de derecho comunitario de aplicación directa o
cuando estas impidan al responsable del tratamiento revelar a los afecta-
dos el tratamiento de los datos a los que se refiera el acceso.
3. En todo caso, el responsable del fichero informará al afectado de su
derecho a recabar la tutela de la Agencia Española de Protección de Da-
tos o, en su caso, de las autoridades de control de las comunidades au-
tónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica
15/1999, de 13 de diciembre».

«Artículo 31. Derechos de rectificación y cancelación:


1. El derecho de rectificación es el derecho del afectado a que se modifi-
quen los datos que resulten ser inexactos o incompletos.
2. El ejercicio del derecho de cancelación dará lugar a que se supriman los
datos que resulten ser inadecuados o excesivos, sin perjuicio del deber
de bloqueo conforme a este reglamento.
En los supuestos en que el interesado invoque el ejercicio del derecho
de cancelación para revocar el consentimiento previamente prestado, se
estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre y en
el presente reglamento».

«Artículo 32. Ejercicio de los derechos de rectificación y cancelación:


1. La solicitud de rectificación deberá indicar a qué datos se refiere y la
corrección que haya de realizarse y deberá ir acompañada de la docu-
mentación justificativa de lo solicitado».
En la solicitud de cancelación, el interesado deberá indicar a qué datos se
refiere, aportando al efecto la documentación que lo justifique, en su caso.
2. El responsable del fichero resolverá sobre la solicitud de rectificación o
cancelación en el plazo máximo de diez días a contar desde la recepción
de la solicitud. Transcurrido el plazo sin que de forma expresa se respon-
da a la petición, el interesado podrá interponer la reclamación prevista
en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal del afectado
deberá igualmente comunicárselo en el mismo plazo.

305
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

3. Si los datos rectificados o cancelados hubieran sido cedidos previa-


mente, el responsable del fichero deberá comunicar la rectificación o
cancelación efectuada al cesionario, en idéntico plazo, para que este,
también en el plazo de diez días contados desde la recepción de dicha
comunicación, proceda, asimismo, a rectificar o cancelar los datos.
La rectificación o cancelación efectuada por el cesionario no requeri-
rá comunicación alguna al interesado, sin perjuicio del ejercicio de los
derechos por parte de los interesados reconocidos en la Ley Orgánica
15/1999, de 13 de diciembre».

«Artículo 33. Denegación de los derechos de rectificación y cancelación:


1. La cancelación no procederá cuando los datos de carácter personal
deban ser conservados durante los plazos previstos en las disposiciones
aplicables o, en su caso, en las relaciones contractuales entre la persona
o entidad responsable del tratamiento y el interesado que justificaron el
tratamiento de los datos.
2. Podrá también denegarse los derechos de rectificación o cancelación
en los supuestos en que así lo prevea una ley o una norma de derecho
comunitario de aplicación directa o cuando estas impidan al responsable
del tratamiento revelar a los afectados el tratamiento de los datos a los
que se refiera el acceso.
3. En todo caso, el responsable del fichero informará al afectado de su
derecho a recabar la tutela de la Agencia Española de Protección de Da-
tos o, en su caso, de las autoridades de control de las Comunidades Au-
tónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgánica
15/1999, de 13 de diciembre».

«Artículo 34. Derecho de oposición:


El derecho de oposición es el derecho del afectado a que no se lleve a
cabo el tratamiento de sus datos de carácter personal o se cese en el mis-
mo en los siguientes supuestos:
aa Cuando no sea necesario su consentimiento para el tratamiento, como
consecuencia de la concurrencia de un motivo legítimo y fundado, refe-
rido a su concreta situación personal, que lo justifique, siempre que una
Ley no disponga lo contrario.

306
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

bb Cuando se trate de ficheros que tengan por finalidad la realización de


actividades de publicidad y prospección comercial, en los términos pre-
vistos en el artículo 51 de este reglamento, cualquiera que sea la empresa
responsable de su creación.
cc Cuando el tratamiento tenga por finalidad la adopción de una decisión
referida al afectado y basada únicamente en un tratamiento automati-
zado de sus datos de carácter personal, en los términos previstos en el
artículo 36 de este reglamento».

«Artículo 35. Ejercicio del derecho de oposición:


1. El derecho de oposición se ejercitará mediante solicitud dirigida al res-
ponsable del tratamiento.
Cuando la oposición se realice con base en la letra a) del artículo anterior,
en la solicitud deberán hacerse constar los motivos fundados y legítimos,
relativos a una concreta situación personal del afectado, que justifican el
ejercicio de este derecho.
2. El responsable del fichero resolverá sobre la solicitud de oposición en
el plazo máximo de diez días a contar desde la recepción de la solicitud.
Transcurrido el plazo sin que de forma expresa se responda a la petición,
el interesado podrá interponer la reclamación prevista en el artículo 18
de la Ley Orgánica 15/1999, de 13 de diciembre.
En el caso de que no disponga de datos de carácter personal de los afec-
tados deberá igualmente comunicárselo en el mismo plazo.
3. El responsable del fichero o tratamiento deberá excluir del tratamien-
to los datos relativos al afectado que ejercite su derecho de oposición o
denegar motivadamente la solicitud del interesado en el plazo previsto
en el apartado 2 de este artículo».

«Artículo 36. Derecho de oposición a las decisiones basadas única-


mente en un tratamiento automatizado de datos:
1. Los interesados tienen derecho a no verse sometidos a una decisión
con efectos jurídicos sobre ellos o que les afecte de manera significativa,
que se base únicamente en un tratamiento automatizado de datos desti-
nado a evaluar determinados aspectos de su personalidad, tales como su
rendimiento laboral, crédito, fiabilidad o conducta.

307
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

2. No obstante, los afectados podrán verse sometidos a una de las deci-


siones contempladas en el apartado 1 cuando dicha decisión:
aa Se haya adoptado en el marco de la celebración o ejecución de un con-
trato a petición del interesado, siempre que se le otorgue la posibilidad
de alegar lo que estimara pertinente, a fin de defender su derecho o inte-
rés. En todo caso, el responsable del fichero deberá informar previamen-
te al afectado, de forma clara y precisa, de que se adoptarán decisiones
con las características señaladas en el apartado 1 y cancelará los datos en
caso de que no llegue a celebrarse finalmente el contrato.
bb Esté autorizada por una norma con rango de Ley que establezca medi-
das que garanticen el interés legítimo del interesado».

No obstante, es preciso detallar determinados extremos con relación a


estos derechos en los supuestos de información relativa a denuncias in-
ternas:
• El derecho de acceso que puede ejercitar el denunciado única-
mente le debe permitir obtener información de la denuncia,
pero siempre y cuando esté relacionada con sus datos perso-
nales, sin que puedan comunicarse los datos identificativos del
denunciante, ya que nos encontraríamos ante un supuesto de
cesión de datos no consentida.
Por consiguiente, habrá que tener en cuenta que, cuando se esté ejecu-
tando este derecho de acceso, no habrá posibilidad de conocer los datos
de otras personas y, más concretamente, del denunciante.
• Durante la tramitación del expediente de la denuncia, no podrá
ser ejecutado el derecho de cancelación que las partes hayan
podido solicitar. No obstante lo anterior, una vez terminado el
expediente, e independientemente de que el denunciado soli-
cite el derecho de cancelación de sus datos, es preciso consi-
derar lo dispuesto sobre los plazos de conservación de la infor-
mación.
• Con referencia al derecho de oposición, los denunciados y/o ter-
ceras partes no podrán oponerse a que sus datos sean tratados
en el sistema de denuncias internas. En todo caso, la entidad
tiene que tener en cuenta que, se ejecuten o no estos derechos

308
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

sobre la información del sistema de denuncias, siempre se ha-


brá de contestar al interesado que ha realizado la petición en
tiempo y forma.

11.2. Establecimiento de medidas de seguridad en los cana-


les de denuncia interna
Todas las denuncias, así como la información surgida y/o elaborada como
consecuencia de las mismas, pueden gestionarse tanto en soporte papel
como en soporte electrónico. Además, al tratarse de datos personales
es imprescindible que los soportes en los que se gestionen/almacenen
(ya sea en soporte informático o en soporte papel), tengan implantadas
las medidas de seguridad correspondientes que permitan garantizar su
confidencialidad, impidan el acceso a personal no autorizado, y eviten
posibles pérdidas de dicha información (la descripción de las medidas de
seguridad se recoge en el Título VIII del RLOPD).
La articulación legal de las medidas de seguridad queda definida del
modo siguiente:

«Artículo 79. Alcance:


Los responsables de los tratamientos o los ficheros y los encargados del
tratamiento deberán implantar las medidas de seguridad con arreglo a
lo dispuesto en este Título, con independencia de cuál sea su sistema de
tratamiento».

«Artículo 80. Niveles de seguridad.


Las medidas de seguridad exigibles a los ficheros y tratamientos se clasi-
fican en tres niveles: básico, medio y alto».

«Artículo 81. Aplicación de los niveles de seguridad:


1. Todos los ficheros o tratamientos de datos de carácter personal debe-
rán adoptar las medidas de seguridad calificadas de nivel básico.
2. Deberán implantarse, además de las medidas de seguridad de nivel
básico, las medidas de nivel medio, en los siguientes ficheros o trata-
mientos de datos de carácter personal:

309
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

aa Los relativos a la comisión de infracciones administrativas o penales.


bb Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgá-
nica 15/1999, de 13 de diciembre.
cc Aquellos de los que sean responsables Administraciones tributarias y
se relacionen con el ejercicio de sus potestades tributarias.
dd Aquellos de los que sean responsables las entidades financieras para
finalidades relacionadas con la prestación de servicios financieros.
ee Aquellos de los que sean responsables las Entidades Gestoras y Servi-
cios Comunes de la Seguridad Social y se relacionen con el ejercicio de
sus competencias. De igual modo, aquellos de los que sean responsables
las mutuas de accidentes de trabajo y enfermedades profesionales de la
Seguridad Social.
ff Aquellos que contengan un conjunto de datos de carácter personal que
ofrezcan una definición de las características o de la personalidad de los
ciudadanos y que permitan evaluar determinados aspectos de la perso-
nalidad o del comportamiento de los mismos.
3. Además de las medidas de nivel básico y medio, las medidas de nivel
alto se aplicarán en los siguientes ficheros o tratamientos de datos de
carácter personal:
aa Los que se refieran a datos de ideología, afiliación sindical, religión,
creencias, origen racial, salud o vida sexual.
bb Los que contengan o se refieran a datos recabados para fines policiales
sin consentimiento de las personas afectadas.
cc Aquellos que contengan datos derivados de actos de violencia de gé-
nero.
4. A los ficheros de los que sean responsables los operadores que presten
servicios de comunicaciones electrónicas disponibles al público o explo-
ten redes públicas de comunicaciones electrónicas respecto a los datos
de tráfico y a los datos de localización, se aplicarán, además de las me-
didas de seguridad de nivel básico y medio, la medida de seguridad de
nivel alto contenida en el artículo 103 de este reglamento.
5. En caso de ficheros o tratamientos de datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual bastará la
implantación de las medidas de seguridad de nivel básico cuando:

310
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

aa Los datos se utilicen con la única finalidad de realizar una transferencia di-
neraria a las entidades de las que los afectados sean asociados o miembros.
bb Se trate de ficheros o tratamientos en los que de forma incidental o ac-
cesoria se contengan aquellos datos sin guardar relación con su finalidad.
6. También podrán implantarse las medidas de seguridad de nivel básico
en los ficheros o tratamientos que contengan datos relativos a la salud,
referentes exclusivamente al grado de discapacidad o la simple declara-
ción de la condición de discapacidad o invalidez del afectado, con motivo
del cumplimiento de deberes públicos.
7. Las medidas incluidas en cada uno de los niveles descritos anterior-
mente tienen la condición de mínimos exigibles, sin perjuicio de las dis-
posiciones legales o reglamentarias específicas vigentes que pudieran
resultar de aplicación en cada caso o las que por propia iniciativa adopta-
se el responsable del fichero.
8. A los efectos de facilitar el cumplimiento de lo dispuesto en este títu-
lo, cuando en un sistema de información existan ficheros o tratamientos
que en función de su finalidad o uso concreto, o de la naturaleza de los
datos que contengan, requieran la aplicación de un nivel de medidas de
seguridad diferente al del sistema principal, podrán segregarse de este
último, siendo de aplicación en cada caso el nivel de medidas de seguri-
dad correspondiente y siempre que puedan delimitarse los datos afecta-
dos y los usuarios con acceso a los mismos, y que esto se haga constar en
el documento de seguridad».

«Artículo 82. Encargado del tratamiento:


1. Cuando el responsable del fichero o tratamiento facilite el acceso a los
datos, a los soportes que los contengan o a los recursos del sistema de
información que los trate, a un encargado de tratamiento que preste sus
servicios en los locales del primero deberá hacerse constar esta circuns-
tancia en el documento de seguridad de dicho responsable, comprome-
tiéndose el personal del encargado al cumplimiento de las medidas de
seguridad previstas en el citado documento.
Cuando dicho acceso sea remoto habiéndose prohibido al encargado in-
corporar tales datos a sistemas o soportes distintos de los del responsa-
ble, este último deberá hacer constar esta circunstancia en el documento
de seguridad del responsable, comprometiéndose el personal del encar-

311
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

gado al cumplimiento de las medidas de seguridad previstas en el citado


documento.
2. Si el servicio fuera prestado por el encargado del tratamiento en sus
propios locales, ajenos a los del responsable del fichero, deberá elaborar
un documento de seguridad en los términos exigidos por el artículo 88
de este reglamento o completar el que ya hubiera elaborado, en su caso,
identificando el fichero o tratamiento y el responsable del mismo e in-
corporando las medidas de seguridad a implantar en relación con dicho
tratamiento.
3. En todo caso, el acceso a los datos por el encargado del tratamiento
estará sometido a las medidas de seguridad contempladas en este regla-
mento».

En materia de protección de datos de carácter personal, el plazo máximo


para dictar y notificar resolución en el procedimiento será de tres meses,
a contar desde la fecha de entrada de la solicitud del responsable del fi-
chero en la Agencia Española de Protección de Datos. Si en dicho plazo
no se hubiese dictado y notificado resolución expresa, el afectado podrá
considerar estimada su solicitud. Así viene contemplado en el artículo
158 del RLOPD:
«Artículo 158. Duración del procedimiento y efectos de la falta de re-
solución expresa:
1. El plazo máximo para dictar y notificar resolución en el procedimiento
será de tres meses, a contar desde la fecha de entrada en la Agencia Es-
pañola de Protección de Datos de la solicitud del responsable del fichero.
2. Si en dicho plazo no se hubiese dictado y notificado resolución expre-
sa, el afectado podrá considerar estimada su solicitud».
Con relación a dichas medidas de seguridad es necesario hacer constar
que, debido a la tipología de información de las denuncias internas, re-
sultaría conveniente, como mínimo, que la entidad implante en los siste-
mas de gestión de denuncias las medidas de seguridad de nivel medio.
Como excepción, en caso de que se traten datos personales de nivel alto
deberán implantarse medidas de seguridad de nivel alto.
De esta forma, tanto en lo concerniente a las denuncias como en lo refe-
rente a toda información relacionada, ya sean en soporte electrónico o
en soporte papel, se deberá tener en cuenta lo siguiente:

312
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

• Únicamente se deberá permitir el acceso a las denuncias (así


como a la información relacionada) a un grupo reducido de per-
sonas que lo requieran por razón del ejercicio de sus funciones
(por lo tanto, no deberá contar con acceso a estos datos la to-
talidad del personal del departamento de auditoría; tan solo la
concreta persona que lo gestione).
• Deberá elaborarse una relación actualizada de usuarios con ac-
ceso a los sistemas, así como un listado que refleje los perfiles de
los usuarios con acceso autorizado para cada uno de ellos.
• Deberá hacerse firmar a las personas encargadas de la gestión
de estos sistemas compromisos de confidencialidad específicos.
• Se deberá comunicar de inmediato cualquier incidencia de se-
guridad; esto es, se trasladará inmediatamente al comité de
denuncias cualquier anomalía, problema, acceso no autorizado,
etc., relacionado con dicha información.
• Deberá llevarse un registro de entrada y salida de la información,
ya sea en papel o por correo electrónico (por ejemplo, un regis-
tro de salida con la información enviada a jueces y tribunales).
• Se realizará la auditoría que exige el RLOPD sobre el fichero de
denuncias internas, al menos, cada 2 años.
Respecto a las denuncias, así como en lo concerniente a toda informa-
ción surgida y/o elaborada como consecuencia de las mismas en soporte
electrónico, se deberán implantar las siguientes medidas de seguridad
complementarias:
• El establecimiento de usuario y contraseña para la autenticación
del sistema, cuya fecha de caducidad y obligada renovación de-
berá sucederse, como mínimo, una vez al año,. Por otra parte,
las contraseñas deberán ser almacenadas, mientras estén vigen-
tes, de forma ininteligible.
• Se almacenará toda la información relativa a denuncias internas
en el sistema de información; esto incluirá aquellos correos con
información sobre denuncias internas (no deberá guardarse en
el buzón de correo ni en el equipo informático, sino que deberá
estar protegido en lugar aparte; la mejor recomendación es ha-
cerlo en una memoria externa).

313
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

• Realizar copias de seguridad, por lo menos una vez a la semana


(salvo que la información haya sido modificada).
• Prohibir expresamente almacenar este tipo de información en
USB, pen drives y/o cualquier tipo de dispositivos portátiles.
• De cada intento de acceso al sistema de información (en caso
de que se almacenen datos de nivel alto) se guardarán durante 2
años, como mínimo:
ȃȃ La identificación del usuario, la fecha y hora en que se
realizó el fichero accedido, el tipo de acceso y si ha sido
autorizado o denegado. En el caso de que el acceso haya
sido autorizado, será preciso guardar la información que
permita identificar el registro de nivel alto al que se haya
accedido.
En este caso de acceso autorizado, el responsable de seguridad, o bien la
persona delegada por este, se encargará de revisar, al menos una vez al
mes, la información de control registrada. Con los resultados, elaborará
un informe de las revisiones realizadas y los problemas detectados.
Por otra parte, y respecto a las denuncias e información surgida y/o ela-
borada como consecuencia de las mismas en soporte papel, se deberán
cumplir con los siguientes requerimientos:
• Se procederá a su archivo conforme a criterios que permitan ga-
rantizar la correcta conservación de los documentos, su localiza-
ción y posible consulta de la información.
• Se almacenará en armarios o cajones que deberán estar cerra-
dos con llave.
• No se almacenará sobre las mesas de trabajo, excepto cuando
se esté trabajando dicha información en concreto, siendo su
usuario responsable de su custodia.
• Se registrará la salida y/o la entrada de documentos.
• Se eliminará la información cuando sea necesario, sin que pueda
recuperarse (por ejemplo, con el uso de destructoras de papel).
• La información deberá archivarse (en caso de que existan docu-
mentos con datos de nivel alto) en salas cerradas en las que el
acceso esté protegido por puertas de acceso con llave, las cuales

314
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

deberán permanecer cerradas cuando no la pertinente revisión


de dichos documentos o soportes no sea necesaria.
• En caso de transporte de los documentos, estos deberán ser cus-
todiados por una persona hasta su destino.
• Finalmente, debe señalarse que, en el caso de que la entidad
haya categorizado el fichero ante la AEPD como de nivel alto
(o que, sin que sean datos de nivel alto, estén notificados como
parte de otro fichero que sí sea de nivel alto), podrá darse la
situación de que existan ficheros que sean de un nivel inferior
(que no contengan información de dicha tipología), en donde
se apliquen otras medidas de seguridad. Un ejemplo en este
caso podrían ser los archivos concernientes a la gestión de per-
sonal.

Así viene previsto en el artículo 81.8 RLOPD:


«Artículo 81. Aplicación de los niveles de seguridad:
A los efectos de facilitar el cumplimiento de lo dispuesto en este títu-
lo, cuando en un sistema de información existan ficheros o tratamientos
que en función de su finalidad o uso concreto, o de la naturaleza de los
datos que contengan, requieran la aplicación de un nivel de medidas de
seguridad diferente al del sistema principal, podrán segregarse de este
último, siendo de aplicación en cada caso el nivel de medidas de seguri-
dad correspondiente y siempre que puedan delimitarse los datos afecta-
dos y los usuarios con acceso a los mismos, y que esto se haga constar en
el documento de seguridad».
Por ende, siempre que se puedan delimitar los datos y los usuarios con
acceso autorizado (además de hacer referencia a esta circunstancia en el
documento de seguridad de la organización), podrán establecerse medi-
das de seguridad diferentes a las declaradas para el fichero principal, las
cuales deberán adaptarse y responder a la tipología de los datos tratada.
De este modo, en el supuesto de un sistema que contenga datos de ni-
vel alto se aplicarán las medidas de seguridad pertinentes; ahora bien,
si incluye datos que no contengan esta tipología, y siempre y cuando se
cumplan los requisitos especificados en el mencionado artículo, la orga-
nización podrá aplicar las medidas de seguridad de nivel medio para los
mismos.

315
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

11.3. Cómo gestionar un canal de denuncias internas para


un grupo de empresas
Es frecuente que en los grupos de empresas convivan entidades que se
encuentren afincadas en distintos países. Por ello es posible que, a la
hora de implantar un canal de denuncias dentro de un grupo de empre-
sas, nos enfrentemos a una realidad multinacional y multicultural. Ante
este hecho, se deberán revisar las normativas de aplicación de los distin-
tos Estados.
De este modo, puede ser necesario que la compañía tenga que decidir
previamente:
1.- Si los requisitos y funcionamiento del canal de denuncias se aplicarán
por igual en todas las entidades del grupo. Para tal contingencia, se de-
berán especificar los requisitos de la normativa que sea más restrictiva.
2.- Si, por el contrario, se aplicarán criterios comunes más laxos, esta-
bleciendo un sistema más restrictivo únicamente para aquel país cuya
limitación sea mayor.
No obstante, si revisamos los dos textos de referencia (Dictamen 1/2006
del Grupo de Trabajo del artículo 29, e Informe 128/2007 de la AEPD), en
los que se contemplan los extremos que deben ser observados por las en-
tidades que pretendan implantar un canal de denuncias para cumplir con
la normativa de Protección de Datos, nos encontramos con una diferencia
relevante de criterios. En el el primero de ellos (Dictamen 1/2006 del Grupo
de Trabajo del artículo 29), a pesar de establecerse una preferencia por la
confidencialidad, el organismo europeo es consciente del hecho de que las
denuncias anónimas son una realidad en toda organización, motivo por
el cual concluye que ese tipo de denuncias serán aceptadas, pero siempre
como excepción a la regla general; en cambio, en el segundo caso (AEPD),
la autoridad española establece que se evitará la existencia de denuncias
anónimas, ya que se considera que es la mejor forma de poder garantizar
la exactitud e integridad de la información.
Dicha diferencia supone que, si la entidad que va a gestionar el sistema
de denuncias está ubicada en un país fuera de España, se permitirá la
interposición de denuncias anónimas; mientras que, si dicha entidad se
encuentra en España, el criterio del anonimato deberá ser modificado,
en un sentido restrictivo, a fin de cumplir con el criterio de la AEPD.

316
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

Otra cuestión relevante a considerar en los grupos de empresas es la del


flujo de datos de la denuncia. De esta forma, puede ocurrir que la empre-
sa matriz (o la que gestiona el tratamiento y respuesta de las denuncias
internas planteadas en el grupo) sea una organización que se encuentre
bien en un país dentro del Espacio Económico Europeo (EEE), o en un
país cuyo nivel de protección haya sido considerado equiparable al euro-
peo por la Comisión o por la AEPD. También puede darse el caso de que
se trate de una entidad estadounidense que se encuentre adherida a los
principios de “Puerto Seguro”.
Los principios internacionales “safe harbor” en materia de privacidad ha-
cen referencia a un proceso de cooperación por el que las organizaciones
de Estados Unidos cumplen con la Directiva 95/46/CE de la Unión Euro-
pea, relativa a la protección de datos personales.
Dichos principios internacionales, conocidos como “safe harbor” y es-
tablecidos para aquellas organizaciones que alojen datos personales de
sus clientes y/o usuarios, y siempre que operen entre Estados Unidos y
la Unión Europea, están pensados para prevenir pérdidas o filtraciones
no autorizadas de información. Para optar a incorporarse al programa
“safe harbor”, toda entidad deberá cumplir con los siete principios de la
Directiva 95/46/CE:
• Información: los interesados deberán ser informados de que sus
datos personales están siendo recogidos y que serán tratados
únicamente con la finalidad para la que fueron recogidos.
• Elección: los interesados tendrán el derecho de cancelación y
oposición a que sus datos sean recogidos una vez sean recaba-
dos, y a oponerse a la cesión o transferencia a terceros.
• Transferencia progresiva: la cesión de datos a terceros se lle-
vará a cabo con organizaciones que también garanticen un ade-
cuado nivel de cumplimiento de protección de datos.
• Seguridad: se deben establecer y cumplir determinadas medi-
das de seguridad para prevenir pérdidas de información y acce-
sos no autorizados.
• Integridad de los datos: los datos deberán ser relevantes y
exactos para el propósito para el que fueron recogidos.

317
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

• Acceso: los interesados podrán acceder, en todo momento, a la


información que haya sido recabada acerca de ellos, y podrán
corregirla o eliminarla si es inexacta o inadecuada.
• Ejecución: se deben destinar medios y recursos para garantizar
el debido cumplimiento de estos principios.
Los principios fueron desarrollados por el Departamento de Comercio de
Estados Unidos en colaboración con la Unión Europea; sin embargo, el
6 de octubre de 2015, los acuerdos de “safe harbor” entre la Comunidad
Europea y los Estados Unidos fueron declarados inválidos, como conse-
cuencia de las revelaciones de Edward Snowden.
En caso de no darse ninguno de los supuestos anteriormente citados, se
estará produciendo lo que se conoce como una Transferencia Interna-
cional de Datos (TID). Esta se define como la comunicación a y/o acceso
de datos desde países que se encuentren fuera del Espacio Económico
Europeo (EEE), o desde países que no cuenten con un nivel adecuado
de protección (según la Comisión Europea o la Agencia de Protección de
Datos). También se considerará como TID la comunicación o el acceso
de datos desde una entidad estadounidense que no esté adherida a los
principios de “Puerto Seguro”, cuestión previamente desarrollada.
Para este supuesto, la normativa española exige que, previamente a
cualquier comunicación y/o acceso desde estos supuestos, se haya soli-
citado y obtenido la autorización del director de la AEPD. Dicho proceso
de autorización, es decir, el plazo máximo estimado para recibir la apro-
bación, puede durar hasta un máximo de 3 meses desde su solicitud. Esto
conlleva que, en caso de que una organización envíe información y/o per-
mita el acceso desde una entidad (aunque sea de su grupo empresarial)
que se encuentre en alguno de los supuestos anteriores, sin la preceptiva
autorización del director de la AEPD, dicha organización podría ser san-
cionada por un incumplimiento de la normativa de Protección de Datos
(artículos 33 y 34 LOPD, Título VI y Título IX. Capítulo V del RLOPD).

«Artículo 33. Norma general:


1. No podrán realizarse transferencias temporales ni definitivas de datos
de carácter personal que hayan sido objeto de tratamiento o hayan sido
recogidos para someterlos a dicho tratamiento con destino a países que
no proporcionen un nivel de protección equiparable al que presta la pre-

318
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

sente Ley, salvo que, además de haberse observado lo dispuesto en esta,


se obtenga autorización previa del Director de la Agencia de Protección
de Datos, que solo podrá otorgarla si se obtienen garantías adecuadas.
2. El carácter adecuado del nivel de protección que ofrece el país de desti-
no se evaluará por la Agencia de Protección de Datos atendiendo a todas
las circunstancias que concurran en la transferencia o categoría de trans-
ferencia de datos. En particular, se tomará en consideración la naturaleza
de los datos, la finalidad y duración del tratamiento o de los tratamientos
previstos, el país de origen y el país de destino final, las normas de dere-
cho, generales o sectoriales, vigentes en el país tercero de que se trate,
el contenido de los informes de la Comisión de la Unión Europea, las nor-
mas profesionales y las medidas de seguridad en vigor en dichos países».

«Artículo 34. Excepciones:


Lo dispuesto en el artículo anterior no será de aplicación:
aa Cuando la transferencia internacional de datos de carácter personal re-
sulte de la aplicación de tratados o convenios en los que sea parte España.
bb Cuando la transferencia se haga a efectos de prestar o solicitar auxilio
judicial internacional.
cc Cuando la transferencia sea necesaria para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos
médicos o la gestión de servicios sanitarios.
dd Cuando se refiera a transferencias dinerarias conforme a su legislación
específica.
ee Cuando el afectado haya dado su consentimiento inequívoco a la
transferencia prevista.
ff Cuando la transferencia sea necesaria para la ejecución de un contrato
entre el afectado y el responsable del fichero o para la adopción de medi-
das precontractuales adoptadas a petición del afectado.
gg Cuando la transferencia sea necesaria para la celebración o ejecución
de un contrato celebrado o por celebrar, en interés del afectado, por el
responsable del fichero y un tercero.
hh Cuando la transferencia sea necesaria o legalmente exigida para la sal-
vaguarda de un interés público.

319
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
IV. Implementación y puesta en marcha de un programa de compliance

Tendrá esta consideración la transferencia solicitada por una Administra-


ción fiscal o aduanera para el cumplimiento de sus competencias.
ii Cuando la transferencia sea precisa para el reconocimiento, ejercicio o
defensa de un derecho en un proceso judicial.
jj Cuando la transferencia se efectúe, a petición de persona con interés
legítimo, desde un Registro público y aquella sea acorde con la finalidad
del mismo.
kk Cuando la transferencia tenga como destino un Estado miembro de la
Unión Europea, o un Estado respecto del cual la Comisión de las Comuni-
dades Europeas, en el ejercicio de sus competencias, haya declarado que
garantiza un nivel de protección adecuado».

11.4. Consecuencias de un incumplimiento en materia de


protección de datos en un canal de denuncias
Las previsiones legales ante un incumplimiento aparecen contempladas
en la LOPD y su reglamento (RLOPD). Las conductas objeto de un posi-
ble incumplimiento son las que a continuación se formulan:
• Admitir en el sistema denuncias anónimas (artículo 4 LOPD):
ȃȃ Infracción grave (40.001 € a 300.000 €).
• No eliminar la denuncia en el plazo establecido a tal efecto (ar-
tículo 4 LOPD):
ȃȃ Infracción grave (40.001 € a 300.000 €).
• No informar al denunciante (artículo 5.1 LOPD):
ȃȃ Infracción leve (600 € a 40.000 €).
• No informar al denunciado y/o terceros (artículo 5.4 LOPD):
ȃȃ Infracción grave (40.001 € a 300.000 €).
• No implantar medidas de seguridad requeridas (Título VIII,
RLOPD):
ȃȃ Infracción grave (40.001 € a 300.000 €).
ȃȃ Infracción muy grave (300.001 € a 600.000 €).

320
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Fases de implantación de un programa de compliance (III): Canal de denuncias

• No haber obtenido autorización para la TID (Transferencia Inter-


nacional de Datos) en caso de que sea necesario. Previsto en los
artículos 33 y 34 LOPD (Título VI, RLOPD).
ȃȃ Infracción muy grave (300.001 € a 600.000 €).

321
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Parte V

El compliance reactivo en
las organizaciones

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
Capítulo 12
El compliance reactivo: Investigación y
defensa jurídica de la empresa

12.1. Introducción
Los incumplimientos o infracciones dentro de una empresa u organiza-
ción corporativa de cualquier tipo son sumamente difíciles de identificar
y gestionar.
Pueden surgir preguntas tales como: ¿de qué forma puede un emplea-
do presentar una denuncia? ¿Quién debe ser receptor de esa denuncia y
cómo debe gestionarse? ¿Quién o quiénes deben ser conocedores de las
alegaciones motivo de dicha denuncia? ¿Debemos hacer caso de todas
las denuncias que nos llegan? ¿Cuál es el primer paso a la hora de intentar
verificar la veracidad o no de los hechos denunciados? ¿Cuáles deben ser
las consecuencias de tales hechos si, efectivamente, hemos sido capaces
de comprobar que los hechos denunciados son reales? Todas estas cues-
tiones aparecen cuando un empleado, o bien una tercera parte ajena a la
organización, presentan una denuncia. Frente a este escenario, debere-
mos intervenir como compliance officers o responsables de cumplimiento
en nuestras respectivas organizaciones. En el presente capítulo no solo
nos centraremos en las cuestiones teóricas y jurídicas de lo que acontece
cuando debemos afrontar una situación como la descrita anteriormente,
sino que propondremos un enfoque práctico que nos ayudará a entender
y manejar más adecuadamente estas situaciones.

© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial


V. El compliance reactivo en las organizaciones

12.2. Recepción y manejo de denuncias


Como punto de partida, debemos tener claro cuáles son los mecanismos
habilitados para la presentación de una denuncia en la empresa. Esto sig-
nifica conocer la respuesta a la siguiente pregunta: ¿cuáles son los me-
dios que mi organización pone al alcance de cada uno de nosotros, como
empleados, para que podamos gestionar una denuncia? En opinión del
autor, el primer paso deberá ser conocer el tipo de empresa del que for-
memos parte.
Ello nos llevará a plantearnos nuevas cuestiones: ¿Debería ser lo mismo
establecer un canal de denuncias apropiado para una pequeña o media-
na empresa que para una multinacional que opere en diferentes regiones
(y que, por tanto, esté sujeta a múltiples jurisdicciones)? Por otra parte,
¿deberán seguirse los mismos pasos para una pequeña empresa, cuya
plantilla será limitada, y una multinacional que cuente con un elevado
número de empleados? Evidentemente, la respuesta a estas interrogan-
tes será negativa. No obstante, dicha respuesta no deberá responder so-
lamente a una cuestión de recursos o costes, sino que, además, deberá
tener en consideración el carácter práctico ligado a dicho canal, sin olvi-
dar las distintas cuestiones culturales o sociales que van más allá de la
pura teoría, pero que podrán influir en el resultado final.
Cada vez es más frecuente que las compañías pongan a disposición de
todos sus empleados un canal de denuncias adecuado. El Código Pe-
nal español, en su artículo 31 bis, establece una serie de nuevos requisi-
tos para que las personas jurídicas establezcan modelos de prevención
adecuados. Mediante los mismos podrán, incluso, lograr la exención de
responsabilidad penal en el caso de que puedan demostrar que dichas
medidas -encaminadas a prevenir infracciones en el seno de la organiza-
ción- han sido suficientemente eficaces.
«Artículo 31 bis:
4. Si el delito fuera cometido por las personas indicadas en la letra b) del
apartado 1, la persona jurídica quedará exenta de responsabilidad si, an-
tes de la comisión del delito, ha adoptado y ejecutado eficazmente un
modelo de organización y gestión que resulte adecuado para prevenir
delitos de la naturaleza del que fue cometido o para reducir de forma
significativa el riesgo de su comisión».

326
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

Entre los requerimientos que la legislación impone al respecto, encon-


tramos el artículo 31 bis 5º de la Ley Orgánica 10/1995 del Código Pe-
nal, que sostiene que la “obligación de informar de posibles riesgos e
incumplimientos al organismo encargado de vigilar el funcionamiento y
observancia del modelo de prevención». Por tanto, lo que se pretende es
implementar un adecuado canal de denuncias para que los empleados
puedan hacer uso del mismo:
«Artículo 31 bis:
5. Los modelos de organización y gestión a que se refieren la condición
1ª del apartado 2 y el apartado anterior deberán cumplir los siguientes
requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos
los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el pro-
ceso de formación de la voluntad de la persona jurídica, de adopción de
decisiones y de ejecución de las mismas con relación a aquellos.
3.º Dispondrán de modelos de gestión de los recursos financieros ade-
cuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumpli-
mientos al organismo encargado de vigilar el funcionamiento y obser-
vancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente
el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual mo-
dificación cuando se pongan de manifiesto infracciones relevantes de sus
disposiciones, o cuando se produzcan cambios en la organización, en la
estructura de control o en la actividad desarrollada que los hagan nece-
sarios».
A pesar de lo expuesto, la realidad es que el concepto de persona jurídi-
ca engloba una tipología diversa de organizaciones que presentan múl-
tiples diferencias organizativas entre sí, especialmente en materia de
recursos. Por ende, si nuestra organización es una pequeña o mediana
empresa, y siguiendo lo dispuesto en la LO 1/ 2015, de 30 de marzo, texto
que reforma la LO 10/1995, de 23 de noviembre, del Código Penal, será

327
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

el administrador de la empresa quien gestione las denuncias que puedan


ser presentadas (en contraposición a la anterior redacción, en donde se
mencionaba tanto al administrador de hecho como de derecho, y no solo
a aquel que actúe como administrador o miembro del consejo de admi-
nistración). Este supuesto ya fue visto ampliamente con anterioridad.
«Artículo 31 bis:
3. En las personas jurídicas de pequeñas dimensiones, las funciones de
supervisión a que se refiere la condición 2ª del apartado 2 podrán ser asu-
midas directamente por el órgano de administración. A estos efectos,
son personas jurídicas de pequeñas dimensiones aquellas que, según la
legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y
ganancias abreviada».

Sin embargo, es obvio que, en cualquier caso, siempre podremos poner en


duda el carácter autónomo o independiente de esta persona, cualidad in-
dispensable que se presupone de antemano a cualquier individuo u orga-
nismo encargado de implementar un adecuado programa de compliance.
Observemos lo expuesto de un modo práctico: pongamos el caso de una
empresa de tamaño mediano dedicada al sector de la distribución, en la
cual el director comercial ejerce al mismo tiempo como administrador
único de la compañía. Es fácil imaginar que, dada la naturaleza de este
tipo de compañías, las cuales se encuentran jerárquicamente organiza-
das de forma vertical, el proceso de toma de decisiones recaerá en última
instancia en este director o administrador. En este contexto, tampoco
sería ilusorio considerar que la fuerza comercial de esta compañía siga
estrictamente las órdenes, pautas o criterios establecidos por esta per-
sona, y que algunos de los mismos puedan suponer un quebranto de las
normas o políticas internas (en el caso de que las haya). También puede
darse el caso de que, lisa y llanamente, se dé una infracción que pueda
suponer un delito o falta de acuerdo a la legislación aplicable vigente.
Ante una situación como la que hemos descrito, ¿se sentiría el emplea-
do condicionado de alguna manera a la hora de presentar una denun-
cia dentro de su organización? ¿Estaría temeroso de sufrir algún tipo de
represalia por parte de la dirección de la compañía, llegando al extre-
mo de sentir amenazado su puesto de trabajo? Si añadimos, además, a
estas variables coyunturales una situación económica complicada para

328
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

cualquier sector económico, en donde se constate una elevada tasa de


desempleo, seguramente la respuesta a todas estas preguntas será un sí
rotundo y claro.
La actuación más coherente ante una situación como esta -lo más bene-
ficioso para la empresa, en todo caso-, será externalizar el canal de de-
nuncia. Ello presenta inevitablemente un problema añadido, como es el
incremento de costes que puede suponer para una empresa dotada de
recursos limitados el abonar a un proveedor externo cierta cantidad por
unos servicios que, en el mejor de los casos, nunca llegará a utilizar. Des-
de la perspectiva de un empresario que actúe en todo momento con la
debida diligencia (due diligence) que se le presupone, comprenderemos
entonces que sería sumamente costoso otorgar a un tercero la recepción
y gestión de denuncias, sobre todo si dicho empresario acredita haber
implementado aquellos sistemas de control interno destinados a evitar, o
al menos a mitigar, cualquier tipo de infracción dentro de su organización.
No obstante, en el mundo empresarial toda decisión que se adopte en-
traña siempre un posible riesgo o consecuencia y, en ocasiones, podría
bordearse peligrosamente la interpretación de una norma. El complian-
ce o cumplimiento normativo debe entenderse siempre como un valor,
como una forma de comportarse o como la asunción estándares propios
de conducta, por lo que, en todo momento, se debe concebir como la
responsabilidad personal propia de cada empleado en su tarea diaria.
El compliance lo hacen las personas y, por consiguiente, siempre nos en-
contraremos con que es muy complicado establecer un programa al uso
que no tenga defecto alguno, o que no pueda ser sorteado por cierto tipo
de empleado, sobre todo por aquellos que tengan capacidad de decisión
dentro de una organización. En ningún caso podremos hablar de riesgo 0
para una empresa u organización.
Ante esta evidencia, no nos quedará más que preguntarnos si el canal de
denuncia que hemos establecido dentro de nuestra organización cumple
con los mayores estándares de cumplimiento que se podrían presupo-
ner, tales como autonomía, independencia, confidencialidad, evitación
de represalias, etc…
En caso contrario, nos veremos obligados a establecer un balance entre
los costes que suponga externalizar este servicio. Otra opción podría ser
reservar los costes que puedan derivarse de un posible incumplimiento

329
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

por parte de nuestra empresa, tanto en términos económicos, como re-


putacionales o de imagen. Este es el interminable dilema que aparece
una y otra vez a la hora de abordar las causas y consecuencias de estable-
cer un adecuado programa de compliance.
Si finalmente, y de forma correcta y adecuada (siempre desde una óptica
práctica), decidimos encomendar la gestión de nuestro canal de denun-
cias a un agente externo o tercera parte, debemos poner todo el énfasis
que podamos en la elección del mismo. No obstante, frente a una posible
coyuntura de indefinición, ciertamente puede ser positivo atribuir esta
tarea a la firma jurídica o representante legal de la compañía.
En términos de ahorro económico, esta opción puede ser, quizás, la solu-
ción más factible a la que podamos optar, ya que se trataría simplemen-
te de añadir un costo adicional a los ya facturados por nuestro abogado
por las gestiones que el desempeño habitual de una actividad económi-
ca pueda generar. Otra solución más efectiva aún si cabe consistiría en
contratar los servicios de una empresa especializada en tales funciones.
Aquellas empresas dedicadas a servicios de compliance especializados,
auditoría, investigaciones internas o realización de indagaciones me-
diante métodos propios (forensic) suelen aportar una dilatada experien-
cia en el manejo de denuncias dentro de una organización.
Además, son estas empresas las que se encargarían (siempre dentro de
nuestra viabilidad económica) de llevar a cabo las investigaciones perti-
nentes derivadas de la denuncia presentada, así como de formular cuáles
deberían ser las medidas correctivas a implementar para evitar que se
produzca una situación similar en el futuro. Finalmente, una opción más
sofisticada dentro de las que se han propuesto sería la de contratar los
servicios de una consultoría o asesoría en materia de compliance.
Si oteamos y fijamos nuestro objetivo en países de nuestro entorno que
se encuentren a la vanguardia en materia de compliance, detectaremos
que hay un floreciente número de empresas que se encargan de asesorar
no solamente acerca de cuáles deben ser nuestros estándares de cumpli-
miento, sino también acerca de áreas tales como la integridad o el ma-
nejo de recursos éticos dentro de nuestra organización. En España, no
es muy frecuente encontrarse con este tipo de firmas, aunque, a buen
seguro, en un plazo de tiempo cercano o muy cercano serán cada vez
más las empresas que operen en tal ámbito.

330
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

Si, frente a lo anterior, nuestra compañía es una multinacional, o par-


te de un grupo o de un holding empresarial, con sedes distribuidas a lo
largo de todo el mundo, dotada de un importante número de recursos,
tanto humanos como económicos, asignados a tareas de compliance, la
situación indudablemente será muy diferente. Lo normal será que, acor-
de a nuestra responsabilidad como compliance officers, seamos nosotros
quienes actuemos como receptores de cualquier tipo de denuncia dentro
de nuestra organización, y que marquemos, en cada caso, la hoja de ruta
a seguir. A este respecto, surge una pregunta: ¿qué debe entenderse por
carácter autónomo e independiente ligado a todo responsable de cum-
plimiento?

12.3. Autonomía e independencia del compliance officer


Cuando leemos que el “compliance officer” de una empresa debe ser in-
dependiente, ¿quiere ello significar que no puede relacionarse con cual-
quier compañero, que se encuentra aislado del resto de la organización?
Nada más lejos de la realidad. Por independencia y autonomía no debe
entenderse algo distinto a una línea de reporte diferente a cualquier otra
dentro de una empresa. En todo caso, sí debe recalcarse la obligatorie-
dad casi absoluta de este empleado de no reportar, en ningún caso, a
la línea comercial o de negocio principal de la empresa. Asimismo, será
necesario que pueda disponer, en todo caso, de recursos propios e inde-
pendientes a las demás áreas de negocio de la empresa.
El porqué de contar con recursos propios e independientes es algo evi-
dente: la capacidad de actuación no debe verse de manera alguna in-
fluenciada por intereses comerciales, porque, si así fuera, esta figura
carecería de sentido. Recordamos que se trata de un departamento de
apoyo a la actividad económica de la organización, y su labor debe ser
la de un vigilante dentro de la organización (es decir, alguien cuya fun-
ción consistirá en prevenir infracciones; de ahí la interpretación de “vi-
gilante”), recomendando cuál es la mejor opción dentro de una serie de
parámetros no solo legales o normativos, sino sustentados en supuestos
éticos.
Los responsables de cumplimiento normativo son garantes de la inte-
gridad dentro de la organización. Y si bien esperamos de nuestros com-

331
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

pañeros que actúen de forma responsable dentro de la empresa y que


apliquen los mismos estándares que puedan regir su vida diaria más allá
del ámbito laboral, no se debe confiar en que este sea siempre el caso.
Es por ello que, en virtud del carácter preventivo, debemos adelantarnos
a que se produzca cualquier potencial conflicto de intereses entre esta
función y lo que podría ser más beneficioso para la empresa, cuando este
hecho presuponga un hipotético incumplimiento de lo establecido por la
ley o los estándares de conducta.
Visto esto, un compliance officer no deja de ser un compañero más dentro
de la empresa, el cual (a pesar de las dificultades que su puesto de traba-
jo pueda originar en ocasiones) puede y debe socializar, así como tener
una más que estupenda relación con el resto de colegas de trabajo. Esta
situación nos puede poner siempre en una tesitura muy complicada (re-
cordemos que no se trata de un puesto de fácil desempeño) cuando nos
podamos ver ante el caso de haber recibido una denuncia que pueda im-
plicar a un compañero con el que mantengamos una estupenda relación.
¿Acaso podrá servir esto de excusa para no ser diligentes en nuestras
funciones y desarrollar de forma adecuada lo que se establece como una
de nuestras responsabilidades? Para nada. No hay excusa posible cuan-
do hablamos de incumplimiento en nuestra organización, y la postura
debe ser siempre la de tolerancia cero ante cualquier situación irregular
(sea quien sea, caiga quien caiga).
No obstante, es cierto que, en la práctica, en organizaciones que cuentan
con múltiples recursos dedicados en su totalidad a asuntos de complian-
ce, es adecuado establecer canales de denuncia que puedan tener como
destinatarios a distintos empleados, de modo que su función se centre
en exclusiva en la recepción y gestión de las alegaciones presentadas.

12.4. Métodos para la recepción de denuncias


Para la recepción de denuncias surgen con fuerza los llamados departa-
mentos de gestión e investigación de denuncias. Estos departamentos
se encargan exclusivamente de gestionar toda denuncia que tenga lugar
dentro de una empresa y que llegue a través de los canales adecuados.
En la práctica, suele tratarse de departamentos centralizados, localiza-
dos físicamente en la sede corporativa o headquarters de la organización.

332
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

El hecho de que se decida hacer uso de estos departamentos para rea-


lizar esta función no debe suponer, en caso alguno, un menoscabo a la
confianza en el compliance officer, o una «liberación» de sus responsabi-
lidades.
Nunca será del agrado de un responsable de compliance llevar a cabo
una investigación interna que afecte a compañeros de trabajo, con inde-
pendencia del tipo de relación que mantenga con ellos, ya que, en fon-
do, lo que subyace detrás de una denuncia que resulta ser veraz son dos
hechos: en primer lugar, que la empresa cuenta con empleados que no
asumen el cumplimiento como un valor propio y, a consecuencia directa
de ello, la evidencia o constatación de un fallo en los sistemas preventi-
vos de control interno destinados, en su objetivo principal, a evitar que
la organización y, consiguientemente, sus empleados, puedan cometer
algún tipo de infracción. Sin embargo, eso no significa que nuestro pro-
grama de compliance no se haya implementado de la mejor forma posi-
ble.
Cuando decimos que eso no significa que nuestro programa de complian-
ce no se haya implementado de la mejor manera, nos referimos a que,
al menos, el hecho de que hayamos recibido una denuncia por parte de
un empleado supondrá que habremos implementado con éxito una es-
tupenda labor de formación y concienciación previa sobre cómo se debe
actuar cuando somos conocedores de una infracción cometida dentro
de la organización. No es fácil denunciar, y el que haya empleados que
estén dispuestos a hacerlo significa que estaremos en la buena senda.
Las personas que suelen formar parte de estos departamentos deben
contar con una amplia experiencia en la recepción de denuncias y con
un profundo conocimiento de la actividad empresarial y de las diferentes
unidades que lo integran, de forma que puedan hacer llegar el contenido
de las alegaciones presentadas solamente a aquellas personas que, de
forma indispensable e ineludible, deban conocer el contenido de las mis-
mas para su resolución.
En tal sentido, las empresas que cuentan con departamentos exclusivos
de gestión de denuncias (al igual que debería suceder también en el caso
de pequeñas y medianas compañías, teniendo siempre en cuenta el hán-
dicap que supone contar con recursos muy limitados), suelen hacer uso
en sus indagaciones preliminares, así como en las posteriores investiga-

333
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

ciones formales, de terceras partes o empresas externas especializadas


en ello. Todo ello se regirá siempre en función del tipo de denuncia reci-
bida y de la gravedad que pueda suponer para la organización el que el
contenido de la misma sea verídico.
Un ejemplo muy evidente que nos lleva a confirmar este punto es el am-
plio abanico de situaciones que pueden denunciarse en una empresa. No
es lo mismo una denuncia cuya alegación principal sea la diferencia en
trato de un mánager con respecto a uno de sus empleados (y, en todo
caso, no se pretende establecer aquí una comparativa entre las diferen-
tes situaciones que puedan suponer un quebranto del código de con-
ducta o normativa interna, como tampoco minusvalorar la gravedad de
cualquier conducta que pueda parecerse a la descrita) que afrontar una
situación en la que la compañía haya cometido un fraude contable, fiscal
o un soborno sobre un funcionario público, por poner una serie de ejem-
plos concretos.
En ambos casos, la imagen reputacional de la empresa sufrirá un gra-
ve deterioro, y si dichas conductas o denuncias llegaran a ser de conoci-
miento público, conllevaría un gran trabajo para la organización el recu-
perar parte del prestigio perdido. No obstante, en términos de gestión
de la propia denuncia en sí y de su consecuente averiguación, las diferen-
cias entre ambos supuestos son evidentes.
A pesar de las diferencias entre ambos supuestos señalados, existen al-
gunos factores comunes como pueden ser la pérdida de reputación en la
imagen de la empresa, los costes que puedan derivarse de la indagación
sobre el fondo de las alegaciones recibidas y, sobre todo, la comproba-
ción de que la empresa tiene un efectivo canal de denuncias dentro de la
organización.
Entonces, ¿significa todo esto que debemos dar credibilidad a cualquier
denuncia recibida, sea del tipo que sea? Sin dudarlo, la respuesta debe
ser un sí rotundo. Nuestra misión no es clasificar o denunciar infraccio-
nes, sino intentar averiguar si los hechos denunciados son reales o no y,
en caso de que así se demuestre, llevar a cabo una investigación diligente
que muestre las causas de dicha infracción y las potenciales medidas mi-
tigadoras o correctoras que deberán implementarse para evitar que esta
situación vuelva a ocurrir.

334
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

12.5. Cómo gestionar una denuncia


¿Cuáles son los canales más adecuados para llevar a cabo una denuncia y
qué debe saber cada empleado o integrante de la organización respecto
a las mismas? Anteriormente, hemos hecho una breve mención al có-
digo de conducta de la compañía. Toda empresa que presuma de tener
un adecuado programa de cumplimiento deberá contar con un código
de conducta que establezca los valores y principios que regirán nuestro
comportamiento en todo momento y circunstancia. Dichos códigos ac-
túan de tal forma que pueden considerarse como el documento de refe-
rencia al que deberá acudirse en caso de duda.
Un código de conducta debe reflejar todas aquellas potenciales infrac-
ciones o riesgos en las que la organización pudiera incurrir, siempre en
función de la actividad empresarial y de los resultados del análisis de
riesgo llevado a cabo para determinar cuáles pueden ser las principales
áreas de incumplimiento. Así, mientras que para una empresa financiera
su principal riesgo puede ser el blanqueo de capitales, para una compa-
ñía petrolífera especializada en acudir a licitaciones internacionales para
perforar en busca de hidrocarburos los riesgos pueden darse en forma de
corrupción de funcionarios públicos extranjeros.
Por consiguiente, el texto del código incluirá un de listado de posibles
infracciones, explicando brevemente en qué consisten, y dejando claro
la posición de la compañía de no tolerar cualquier comportamiento que
pueda devenir en tales infracciones o incumplimientos. Ante la cuestión
de si dicha mención a las infracciones debe venir configurada como una
relación de “numerus apertus o clausus” de posibles incumplimientos, el
mejor criterio operacional es remitirse al sentido común: ninguna organi-
zación está, en modo alguno, exenta de cometer un delito que suponga
responsabilidad penal para la persona jurídica, por muy efectivo que sea
su programa de compliance.
Sin embargo, esto no quiere decir que se deba incluir en el código a
todos y cada uno de los delitos que puedan conllevar responsabilidad
penal de las personas jurídicas conforme a la reforma del código penal
efectuada por la Ley Orgánica 1/2015, de 30 de marzo, por la que se mo-
difica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
Empero, debemos ser prácticos y centrarnos en los principales riesgos
que la organización puede confrontar (por ejemplo, es muy difícil que

335
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

una empresa que opere fuera del ramo industrial pueda incurrir en deli-
tos medioambientales; de cualquier forma, cada caso deberá analizarse
individualmente).
Del mismo modo, el código de conducta debe animar a los empleados
o integrantes de la organización a denunciar toda aquella conducta que
suponga un quebranto de dicha normativa interna o modelo de compor-
tamiento. Y no solo esto: el código de conducta debe incluir todos los
canales puestos a disposición para hacer efectiva la denuncia, indicando
dónde se debe acudir (o cuáles son los cauces) para presentar la misma.
Todo aquello concerniente a los canales de denuncias ha sido abordado
en anteriores capítulos.
Respecto a cuáles deben ser los medios más adecuados a tal efecto, la
recomendación al punto de esta cuestión es: cuantos más medios, me-
jor. Es fundamental que los empleados se sientan cómodos a la hora de
denunciar y, para ello, es mejor ser prácticos:
• Denuncia realizada de forma física.
• Denuncia realizada mediante comunicado escrito (por ejemplo,
correo postal o valija interna).
• Denuncia presentada de forma telemática (línea telefónica, co-
rreo electrónico, formulario electrónico disponible en la intranet
corporativa, etc.
En los dos primeros supuestos, es importante hacer constar quiénes son
los receptores de la denuncia a realizar, siendo los casos más habituales
el propio mánager o director del denunciante, así como los departamen-
tos de recursos humanos, legal, compliance y/o auditoría interna, esto es,
aquellas áreas de negocio acostumbradas a afrontar este tipo de situa-
ciones. Es importante que, en el caso de la denuncia realizada de forma
escrita, se incluya en nuestro código de conducta una dirección postal a
donde pueda remitirse. En relación a las denuncias realizadas de forma
telemática, es importante, asimismo, enumerar dos factores:
• Debemos indicar en el código de conducta los medios disponi-
bles para la presentación de denuncias y cómo podemos encon-
trar los datos de contacto de los mismos.
• Debemos ser concretos y facilitar el trabajo a nuestros compa-
ñeros.

336
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

Como compañía interesada en cumplir con nuestras obligaciones lega-


les y éticas, agradeceremos el que nos remitan denuncias sobre posibles
conductas inapropiadas o infracciones de cualquier normativa aplicable.
Es por ello que debemos facilitar, en la medida de lo posible, la recepción
de las mismas.
Al establecer un canal de denuncias adecuado, deberán contemplarse
todos los idiomas que se hablen dentro de la empresa (como mínimon
tantos como filiales en países tenga la empresa). De la misma forma,
deberán establecerse canales de denuncia gratuitos o que no supongan
coste alguno para los integrantes de la organización. Si ya de por sí de-
nunciar implica una decisión difícil de aceptar, no la hagamos más difícil
nosotros.
Además del canal de denuncia que la empresa establezca, hay un aspec-
to que debe quedar clarificado en todo momento, y es la prohibición ab-
soluta de que los denunciantes sufran cualquier tipo de represalias por el
mero hecho de presentar una denuncia. En España, a diferencia de otros
países más avanzados en materia de compliance, persiste una cierta con-
sideración negativa o rechazo hacia la figura del denunciante o «soplón»
(“whistleblower“ es el término más usado). Si a ello le sumamos el hecho
de que nuestra organización no sea capaz de poner los medios adecua-
dos a disposición de los empleados para que puedan hacer uso de estos
canales de denuncia, que las denuncias realizadas no lleguen a manos de
personas que dispongan de autonomía e independencia para su manejo,
o que la empresa no informe de forma clara y expresa sobre su absolu-
to rechazo a cualquier tipo de represalia, entonces muy difícilmente se
cumplirán los estándares que rigen una adecuada operatividad del buzón
de denuncias por infracciones cometidas en el seno de la empresa.
La prohibición de represalias no es algo meramente accesorio; reviste
gran trascendencia. De la revelación, comunicación o denuncia de tales
hechos, podrían resultar consecuencias negativas para el denunciante,
ya que las personas u organizaciones involucradas en los hechos denun-
ciados, o que tengan intereses contrarios a la revelación, podrían tomar
represalias en contra de la persona que haya decidido revelar los hechos.
Estas represalias podrían revestir las más diversas formas y maneras, ge-
nerando el detrimento de los derechos e intereses del denunciante, los
cuales podían afectar a las parcelas laboral, económica o de cualquier

337
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

otra índole. Además, la presencia de ciertas normas legales que prohíben


o limitan la divulgación de información, e incluso la existencia de ciertos
factores sociales o culturales pueden constituir también una barrera para
quien denuncia.
Algunos ejemplos de normativas que establecen la prohibición de im-
posición de represalias al denunciante son las estadounidenses Whistle-
blower Protection Act y la Sarbanes-Oxley Act (SOX).
La Ley de Protección de Denunciantes de 1989 (Whistleblower Protec-
tion Act) cuenta, en su versión modificada, con la conocida como Ley de
Denunciantes de Protección y Fortalecimiento, de 2012 (“WPEA”, por
sus siglas en inglés), mediante la cual se efectuaron muchas revisiones
al anterior texto legal. Finalmente, 14 de julio de 2014, la Cámara de Re-
presentantes votó favorablemente una nueva ampliación, la Ley de Re-
visión Total del Circuito de Extensión, de ámbito federal y cuyo objetivo
es fortalecer y mejorar la protección de los derechos de los empleados
federales, evitando las potenciales represalias que pudieran surgir por
parte de la propia organización. Sin embargo, esta norma no estable-
ce criterios para proteger las revelaciones. Ello muestra que el enfoque,
fundamentalmente, se centra en la protección de la persona que efectúa
la revelación, y no tanto en la revelación de los hechos que motivaron la
infracción. Aunque esta norma fue pionera en la protección de denun-
ciantes, su ámbito de aplicación es muy diferente al que tratamos en el
presente tema, ya que, en ella, se regula la protección de empleados gu-
bernamentales.
A la hora de contemplar la prohibición de represalias respecto de em-
pleados pertenecientes a corporaciones empresariales, tenemos que
acudir a la segunda de las regulaciones mencionadas, la SOX. Esta ya fue
objeto de nuestro estudio con anterioridad, al igual que lo referente al
“Dictamen 1/2006 sobre la aplicación de las normas de la UE relativas a
la protección de datos a programas internos de denuncia de irregularida-
des en los campos de la contabilidad, controles contables internos, audi-
toría, lucha contra el soborno, delitos bancarios y financieros”, realizado
por el Grupo de Trabajo del Artículo 29.

338
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
El compliance reactivo: Investigación y defensa jurídica de la empresa

12.6. Investigación de la denuncia y control de evidencias


Una vez se ha producido la denuncia, toca el turno de la gestión y el aná-
lisis de la misma. Esta función debe encomendarse a personas que cuen-
ten con la debida experiencia en este tipo de responsabilidades.
Una vez analizados los hechos que motivan la denuncia, lo que procede
es nombrar a aquellas personas que se encargarán de la investigación que
debe llevarse a cabo. Sin embargo, por la tipología de delitos que, presu-
miblemente, podrían darse en mayor grado en empresas que operan en
nuestro país, lo ideal es tener un grupo de colaboradores con un amplio
bagaje contable y legal, además de expertos en materia de colección de
evidencias y realización de entrevistas. Observamos grandes similitudes
entre investigaciones de compliance y los procesos de auditoría.
Hay que recordar, en este punto, que debe tratarse de personas que
cuenten con total independencia respecto de quienes sean considerados
sospechosos de haber cometido la infracción y, por supuesto, también
de quienes sean sus supervisores o directores. En esta coyuntura juega
un papel fundamental la figura del compliance officer, quien se encargará
de actuar como enlace entre el equipo que se encargue de desarrollar la
investigación y los empleados de nuestra empresa o filial. Este sería el
supuesto de una multinacional o gran corporación.
Un panorama muy distinto se dará cuando la denuncia se produzca en
una pequeña o mediana empresa. En este caso, y siempre que contemos
con esta figura, será el responsable de cumplimiento normativo quien se
encargue de gestionar la investigación por su propia cuenta, externali-
zando dichas funciones en aquellos casos en que pueda darse un conflic-
to de intereses de cualquier clase o consideración.
El primer paso que debemos adoptar es ponernos en contacto con la per-
sona que presentó la denuncia. Es fundamental manejar bien los tiem-
pos, de tal modo que nos reunamos con el denunciante lo antes posible.
El objetivo de ello es preservar la información recibida y, sobre todo, no
provocar desánimo en el denunciante, esto es, haciéndole ver que la or-
ganización tiene un gran interés en conocer qué es lo que puede haber
ocurrido exactamente. Por otra parte, mientras antes empecemos la in-
vestigación, menos opciones tendrán los infractores de ocultar los he-
chos y de destruir evidencias que puedan ser esenciales para el posterior
desarrollo de la misma.

339
© Editorial Tébar Flores. Prohibida la reproducción sin la autorización expresa de la editorial
V. El compliance reactivo en las organizaciones

En dicha reunión es importante que pueda esar presente una persona


del entorno laboral del denunciante. Aconsejable sería que el complian-
ce officer de la organización tomara parte en dicha entrevista, al menos
como enlace o con carácter introductorio, esto es, como persona de su-
puesta confianza que explique el inicio del procedimiento, la razón y la
necesidad para el bien de la empresa de mantener esa entrevista, enrte
otras cuestiones. Es muy probable que la persona denunciante incluso
agradezca y colabore de forma más espontánea, sin sentir presión algu-
na, si es el responsable de compliance quien toma parte activa en la en-
trevista.
Es fundamental, como ya se ha mencionado anteriormente, que se pro-
teja la confidencialidad del denunciante. Para ello, debemos evitar man-
tener reuniones o entrevistas con la persona que reportó los hechos en
lugares donde podamos ser vistos por el resto