COMPLIANCE

PARA PYMES

2018
 TEN LA
TRANQUILIDAD
DE SABER QUE
ESTÁS CUBIERTO

COMPLIANCE
LEFEBVRE · EL DERECHO

El software Compliance Lefebvre · El Derecho es una solución práctica e intuitiva

para la implantación, vigilancia y control de un programa de compliance que
sigue las directrices de la Fiscalía General del Estado a la vez que se basa en la UNE
19601 como modelo.

La herramienta va acompañada de la formación y servicio de consultas necesarios

para la adecuada implantación del sistema de cumplimiento en cualquier empresa.

PRUÉBALO AHORA LLAMANDO AL 91 210 80 00

O A TRAVÉS DE clientes@lefebvreelderecho.com

www.efl.es
Sobre el autor

José Antonio
Castañeda Pérez

Abogado que ha desarrollado toda su vida profesional en el mundo empresarial como asesor jurídico en mate-
ria laboral y penal, siendo profesional de reconocido prestigio el campo de la Prevención de Riesgos Laborales.

Actualmente desempeña su labor como abogado en ejercicio en NEGOTIA, siendo el responsable del Área de
Cumplimiento Normativo en Empresas.

Es profesor de Derecho Penal de la Universidad Europea Miguel de Cervantes de Valladolid, donde ingresó en
el año 2010, además de coordinador de la Asesoría Jurídica de la misma y el responsable del órgano de cumpli-
miento, compliance officer, de esa universidad.

> 2
Índice

Pag.

4. Compliance: el concepto

5. Normativa

7. Criterios para implantar un programa de cumplimiento normativo en mi PYME

8. Los dos pilares de un programa de compliance: instrumentos y requisitos

12. ¿Quiénes están obligados a tener un programa de compliance?

13. ¿Porqué debo implantar un programa de compliance?

16. Las PYMES y micropymes deben implantar un programa de prevencion de delitos penales

19. Delitos que pueden cometer las personas jurídicas

> 3
COMPLIANCE
PARA PYMES

“Compliance”: el concepto

Con la expresión inglesa “Compliance” o “Programa de Cumpli-

miento Normativo”, se pretende definir a todo el conjunto de
procedimientos y protocolos establecidos en la empresa con la
finalidad de detectar y prevenir los posibles incumplimientos de
cualquier normativa que le sea de aplicación, (tanto leyes y regla-
mentos como políticas internas, compromisos con clientes,
proveedores o terceros, y aquellos códigos éticos o de conducta
que la empresa se haya comprometido a respetar) con indepen-
dencia de su tamaño y su actividad social.

Con el establecimiento de estos programas se posibilita la adop-

ción de medidas que establezcan el control de los posibles
riesgos y se diseñan protocolos antes de su aparición.

Se trata, en definitiva, de establecer un conjunto de herramientas

de gestión para prevenir que cualquier operación que se lleve a
cabo por quienes actúan en nombre de la empresa, y en el bene-
ficio de la misma, sea contraria a las normas establecidas.

Ello supone para todas las empresas un gran beneficio, ya que la

existencia de un programa eficaz de cumplimiento evita, por un
lado, la posible comisión de delitos por parte de los trabajadores
y proveedores de la compañía, y, por otro lado, se constituye en
un elemento de defensa jurídica ante los tribunales en los
supuestos de la comisión de un ilícito penal.

La existencia de este denominado programa de Compliance,

traducido como “cumplimiento normativo” o “Programa de
Prevención de Riesgos Penales”, viene previsto en el Código
Penal desde la reforma acaecida en 2015 como una causa especí-
fica de exoneración de la responsabilidad penal de las personas
jurídicas, o al menos un elemento determinante para reducir la
misma.

> 4
COMPLIANCE
PARA PYMES
Normativa
La regulación del Cumplimiento normativo o Com-
pliance comenzó con la introducción en el ordena-
miento jurídico español de la responsabilidad penal
de las personas jurídicas, a través de la reforma del
Código Penal que estableció la Ley Orgánica 5/2010,
y se completó con la reforma llevada a cabo en el
Citado código por la Ley Orgánica 1/2015.
Al amparo de las citadas reformas, las personas
jurídicas se convierten en penalmente responsables
de los delitos cometidos en su nombre o por su
cuenta, tanto por sus representantes legales y admi-
nistradores, como también, por quienes estando
sometidos a su autoridad hayan podido realizar los
hechos por no haberse ejercido sobre ellos el debido
control.
Estas normas fueron interpretadas por la Fiscalía
General del Estado en la Circular 1/2016, que marca
la pauta a seguir por los distintos fiscales en los
procedimientos que se inicien contra personas jurídi-
cas.
Se requiere que el programa sea eficaz, como expre-
sa el artículo 31. Bis. 4 cuando dice “Si el delito fuera
cometido por las personas indicadas en la letra b) del
apartado 1, la persona jurídica quedará exenta de
responsabilidad si, antes de la comisión del delito, ha
adoptado y ejecutado eficazmente un modelo de orga-
nización y gestión que resulte adecuado para prevenir
delitos de la naturaleza del que fue cometido o para
reducir de forma significativa el riesgo de su comisión”.
De la misma manera se pronuncia la Circular de la
Fiscalía en el apartado 2.1, que expresa que el progra-
ma implantado debe ser eficaz para prevenir y
detectar la comisión de delitos en el seno de la
persona jurídica.
> 5
COMPLIANCE
PARA PYMES
Son por tanto estas características de detección y
prevención de los delitos las esenciales para la consi-
deración del programa como eficaz.
La citada circular de la Fiscalía General del Estado
destaca la existencia en el Código Penal de dos crite-
rios de atribución de responsabilidad penal a las
personas jurídicas, que podrán ser consideradas
penalmente responsables de un hecho -o, lo que es
lo mismo, ser penalmente condenadas como autoras
de un delito- en dos supuestos:
• Cuando alguno de sus administradores o repre-
sentantes haya cometido un delito por cuenta y
en provecho de la persona jurídica, o
• Cuando el delito por cuenta y en provecho de la
persona jurídica haya sido cometido no por un
administrador o representante, sino por uno o
varios de sus empleados, siempre y cuando el
hecho punible haya sido posible por no haber
ejercido la persona jurídica el debido control
sobre su personal y actividad.
En lo que se refiere al concepto de debido control, la
Circular confirma que al órgano gestor de las empre-
sas le corresponde una obligación de control y
vigilancia sobre sus subordinados.
En este sentido, la Circular señala que “el directivo que
dispone de datos suficientes para saber que la conduc-
ta de sus subordinados, ejecutada en el ámbito de sus
funciones y en el marco de su poder de dirección, crea
un riesgo jurídicamente desaprobado, es responsable
por omisión si no ejerce las facultades de control que le
corresponden sobre el subordinado o no actúa para
impedirla”.
Es por tanto el control a llevar a
cabo por parte de los responsa-
bles de la gestión de la empresa
un elemento esencial para la
atribución de responsabilidad a
la persona jurídica.
El incumplimiento grave de los deberes de supervi-
sión, vigilancia y control ha de valorarse, “atendidas
las concretas circunstancias del caso” expresión que
deberá ser precisada en el ámbito judicial.
A este respecto conviene tener presente lo previsto
en la Circular de la Fiscalía, cuando en el apartado 5.6,
alude a los criterios interpretativos que pueden ser
utilizados por la fiscalía para valorar la eficacia de los
modelos de organización y gestión, en el supuesto de
que el programa de prevención de riesgos penales se
haya implantado.
En consecuencia, se hace necesario que las personas
jurídicas implanten programas de Cumplimiento
Normativo que consigan prevenir, detener y reac-
cionar frente a los posibles delitos de forma efecti-
va, y sancionar a los autores, dentro de sus compe-
tencias, en cuyo caso no responderán penalmente en
caso de imputación de un delito.
En conclusión, con esta reforma una empresa no sólo
debe enfrentarse a las sanciones, generalmente de
gran importancia económica, sino que también debe
enfrentarse a la responsabilidad por un delito.
> 6
COMPLIANCE
PARA PYMES
Criterios para implantar un programa
de cumplimiento normativo en mi PYME
El Código Penal no establece el itinerario a seguir
para implantar un programa de cumplimiento
normativo, limitándose a precisar que es necesario
un “SISTEMA DE GESTION EFICAZ...”, cuando precisa
en el apartado cuatro del articulo 31…”ha adoptado y
ejecutado eficazmente un modelo de organización y
gestión que resulte adecuado para prevenir delitos…”.
Por ello se hace preciso hallar un punto de referen-
cia, un modelo que permita definir las pautas a seguir
para poder definir con cierta seguridad jurídica
procedimientos a seguir, para establecer un progra-
ma de gestión que evite la comisión de delitos.
A este respecto, la publicación de la NORMA UNE
19601:2017 que lleva por título “Sistemas de gestión
de Compliance Penal. Requisitos con orientación
para su uso”, en mayo de 2017, vino a aportar luz al
itinerario que deben las empresas para la implanta-
ción de un programa efectivo de cumplimiento
normativo, estableciendo en el anexo A que lleva por
título “Relación entre la Norma UNE 19601, con el
Código Penal español”, y precisando, en el mismo,
un cuadro de concordancias entre lo establecido en
los apartados del artículo 31 bis. Apartado 5, y los
preceptos correlativos de la Norma.
Como dice la introducción de la citada norma UNE
19601:2017, “ …esta norma UNE facilita diseñar y
evaluar sistemas de gestión de Compliance penal, que
permitan generar o mejorar una adecuada cultura
organizativa sensible a la prevención y detección
penal y/o puesta a las malas praxis que toleran o
amparan conductas ilícitas en el seno de las personas
jurídicas”.
Para añadir, un poco más adelante “esta norma UNE
facilita la implementación de sistemas de gestión de
Compliance penal, no solo respetuosos con las
exigencias legales españolas, sino también dirigidos
a cumplir las expectativas que normalmente se
depositan las organizaciones que operan en los mer-
cados internacionales”. En este sentido, su contenido
recoge las exigencias de nuestro Código Penal.
Su precedente inmediato la norma UNE-EN –ISO
19600 ofrecía, por sí misma, un amplio catálogo de
buenas prácticas para conseguir un adecuado
modelo de Compliance en una organización (grande,
mediana o pequeña), pero planteaba el problema de
que no es certificable por un tercero.
La norma ISO 37001 denominada “Sistemas de
Gestión Antisoborno. Requisitos con orientación para
su uso” publicada en abril de 2017, viene a adicionar
las pautas que se deben tomar en consideración con
el fin de prevenir ciertas conductas delictivas.
A mayor abundamiento del Código Penal, y de la
Circular de la Fiscalía 1/2016, existen otras normas
que deben tomarse en consideración cuando se
diseña un concreto programa de cumplimiento,
como son los Códigos de conducta o los Códigos de
buen gobierno, sin olvidar la Circular de la Fiscalía
1/2011, denominada “Responsabilidad penal de las
personas jurídicas conforme a la reforma del Código
Penal” efectuada por la Ley Orgánica 5/2010.
> 7
COMPLIANCE
PARA PYMES

Los dos pilares de un programa de

compliance: instrumentos y requisitos

Instrumentos

Precisado el programa de Cumplimiento Normativo, o

Programa de Prevención de Riesgos Penales, como aquel
modelo de organización y gestión que la empresa debe
implantar para prever los posibles incumplimientos de la
normativa vigente, abordaremos los elementos fundamen-
tales que a tenor de lo previsto en el Código Penal, debe
tener un programa eficaz de cumplimiento normativo.

Así, siguiendo el tenor literal del artículo 31, bis, en su

número dos, podemos precisar que corresponde a las
personas jurídicas, y en concreto al órgano de administra-
ción, la utilización e implantación de diversos instrumentos
de gestión que incluyan “medidas de vigilancia y control
idóneas para prevenir delitos de la misma naturaleza o para
reducir de forma significativa el riesgo de su comisión”.

En su párrafo segundo, el citado artículo precisa que “la

supervisión del funcionamiento y del cumplimiento del
modelo de prevención implantado haya sido confiada a un
órgano de la persona jurídica con poderes autónomos de
iniciativa y de control o que tenga encomendada legalmente
la función de supervisar la eficacia de los controles internos
de la persona jurídica”.

Con estas dos premisas, el número tercero del artículo

establece “los autores individuales del delito deben haber
cometido el delito eludiendo fraudulentamente los modelos
de organización y de prevención” y completa en el número
cuarto “sin que se haya producido una omisión o un ejercicio
insuficiente de las funciones de supervisión, vigilancia y
control por parte del órgano competente.”

> 8
COMPLIANCE
PARA PYMES
Si se cumplen estas cuatro condiciones, se aplicará
el Modelo de Cumplimiento Normativo, o Programa
de Prevención de Riesgos Penales como eximente
de la responsabilidad penal de las personas jurídi-
cas.
Si, por el contrario, el programa adolece de algunos
de ellos y sólo se cumplen parcialmente, se aplicará
como atenuante.
Especial referencia al apartado segundo, el deno-
minado órgano de cumplimiento (compliance
officer)
El artículo 31 bis del Código Penal, en su apartado
segundo, establece “la supervisión del funcionamien-
to y del cumplimiento del modelo de prevención
implantado haya sido confiada a un órgano de la
persona jurídica con poderes autónomos de iniciativa
y de control o que tenga encomendada legalmente la
función de supervisar la eficacia de los controles inter-
nos de la persona jurídica”.
Nace así la figura del órgano de cumplimiento, que
puede ser un órgano unipersonal o constituido por
varias personas, que cuenten con conocimientos y
experiencia profesional suficientes y dispongan de
recursos necesarios y que se denomina Compliance
Officer o Comité de Compliance, u oficial de cumpli-
miento.
Al mismo, dedica la Circular 1/2016, sobre la respon-
sabilidad penal de las personas jurídicas de la Fisca-
lía General de Estado, su apartado 5.4, cuando habla
de la figura del Oficial de Cumplimiento.
Este órgano, que debe de ser un órgano de la perso-
na jurídica, debe existir de manera obligatoria en
todas las personas jurídicas con poderes autónomos
de iniciativa y control se le atribuye la función del
modelo de prevención de delitos, si bien en aquellas
empresas que presentan cuenta de pérdidas y
ganancias abreviada, esta función puede ser asumi-
da directamente por el órgano de administración.
Una de las decisiones primeras y más importantes
que debe tomar una empresa cuando decide
implantar un Programa de Prevención de Riesgos
Penales, es a qué persona o personas se va a confiar
la supervisión del funcionamiento y del adecuado
cumplimiento del modelo de prevención de riesgos
penales, decidiendo, en su caso, si es más conve-
niente la designación de una única persona o por el
contrario la creación de un Comité de Prevención de
Riesgos Penales.
Requisitos
Establecidos los elementos que debe contener un
programa de Prevención de Riesgos Penales, es
preciso significar los requisitos que debe de reunir
un programa eficaz.
Es el propio Código Penal, en su apartado 5 del
artículo 31 bis, el que precisa el punto de partida y
establece una serie de requisitos que deben conte-
ner los Programas de Prevención de Riesgos Pena-
les para poder ser efectivos.
1. Identificar las actividades en cuyo ámbito
puedan ser cometidos los delitos que deben
ser prevenidos:
Como primer paso, un Programa de Prevención
de Riesgos Penales debe identificar las áreas,
con indicación de las tareas concretas de la
empresa que presentan un riesgo potencial de
incumplimiento legal.
Se deberá evaluar el nivel de riesgo, entendien-
do por tal las posibilidades de que esas conduc-
tas incumplidoras que puedan ser cometidas por
algunos trabajadores, puedan hacerse reales.
> 9
COMPLIANCE
PARA PYMES

Determinadas las áreas, y el

nivel de riesgo, procede esta-
blecer por parte de la empre-
sa mecanismos para detectar-
las.

La actividad mercantil de cada

empresa determinará el nivel
y la probabilidad de comisión
de un tipo de delito u otro.

2. Establecer los protocolos o

procedimientos que concre-
ten el proceso de formación
de la voluntad de la persona
jurídica, de adopción de deci-
siones y de ejecución de las
mismas con relación a aqué-
llos.

Identificadas las áreas, y las

tareas más sensibles a come-
ter ciertos delitos, así como el
nivel de riesgo, se precisa con-
cretar de manera fehaciente y
real los protocolos y las herra-
mientas de gestión tendentes
a eliminar esos riesgos.

Se trata de adoptar pautas de

conducta que deben conocer
y seguir todos los trabajado-
res, que deberán ser exquisi-
tos en la ejecución de las
mismas, llevándose a cabo
por la empresa las correccio-
nes oportunas en caso de
incumplimiento.
3. Disponer de modelos de
gestión de los recursos finan-
cieros adecuados para impe-
dir la comisión de los delitos
que deben ser prevenidos.
Para que el Programa de
Prevención de Riesgos Pena-
les sea eficaz, la dirección de
la empresa debe dotar al
órgano o persona encargada
de la supervisión y vigilancia
de los medios adecuados para
que el programa de
> 10
COMPLIANCE
PARA PYMES
gestión que se implante sea eficaz y operativo.
4. Imponer la obligación de informar de posibles
riesgos e incumplimientos al organismo encargado
de vigilar el funcionamiento y observancia del
modelo de prevención.
La información de los posibles riesgos, así como de
las medidas a adoptar, a todos los implicados se
convierte en un elemento clave
dentro del Programa
de Prevención de Riesgos Penales, puesto que el
éxito de su aplicación depende del conocimiento que
tengan todos los trabajadores de lo que puede y no
puede hacerse en nombre de la empresa.
Es por ello que, para que un programa sea operativo
y eficaz, debe garantizar, además del conocimiento
por parte de todos sus trabajadores de las políticas y
procedimientos que lo integran, una adecuada
comunicación a través de los canales adecuados,
permitiendo que aquellas personas que tengan
conocimiento de los incumplimientos que se llevan a
efecto, tomen la decisión de hacérselo saber a los
responsables, sin que ello les ocasione perjuicio
alguno.
5. Instaurar un programa disciplinario que sancione
adecuadamente el incumplimiento de las medidas
que establezca el modelo.
Una vez detectado el incumplimiento del Programa
de Prevención de Riesgos Penales, es preciso la
aplicación de las medidas sancionadoras oportunas
contra aquellos que no cumplan con las normas.
A este respecto, debemos tener presente que los
incumplimientos de los trabajadores deben ser
sancionados actuando dentro del marco de lo permi-
tido por la legislación laboral.
6. Realizar una verificación periódica del modelo y
de su eventual modificación cuando se pongan de
manifiesto infracciones relevantes de sus disposi-
ciones, o cuando se produzcan cambios en la orga-
nización, en la estructura de control o en la activi-
dad desarrollada que los hagan necesarios.
El Programa de Prevención de Riesgos Penales debe
ser algo en constante evolución. Es por ello que el
seguimiento y la mejora continua para evitar la apari-
ción de nuevas formas de incumplimiento se convier-
ten en algo esencial en los procesos implantados por
la empresa.
La evolución en la actividad de las empresas con la
aparición de nuevas formas de trabajo, la introduc-
ción de procedimientos tecnológicos novedosos
lleva consigo nuevos hábitos que acarrean riesgos no
previstos inicialmente y que deben ser evaluados con
periodicidad, simultáneamente a los cambios legales
que implican la aparición de nuevas reglamentacio-
nes jurídicas.
De esta manera y a modo de
conclusión, se puede finalizar que la
previsión, la supervisión, el control y
los chequeos o revisiones del
programa son fundamentales para
detectar esos incumplimientos y
valorar el riesgo y en consecuencia
eximir a la persona jurídica de una
posible responsabilidad.
> 11
COMPLIANCE
PARA PYMES

¿Quiénes están obligados a tener un

programa de compliance?

El artículo 31 bis del Código Penal, en su apartado cuatro precisa “4. Si el La adopción de un
delito fuera cometido por las personas indicadas en la letra b) del aparta- programa de prevención
do 1, la persona jurídica quedará exenta de responsabilidad si, antes de la
eficaz en las pymes y
comisión del delito, ha adoptado y ejecutado eficazmente un modelo de
micropymes podrá
organización y gestión que resulte adecuado para prevenir delitos de la
naturaleza del que fue cometido o para reducir de forma significativa el
evitar, además de las
riesgo de su comisión.” responsabilidades pena-
les de sus responsables,
Es decir, que nuestra norma penal exige para eximir a las personas jurídi- la responsabilidad de la
cas de la responsabilidad penal que hayan “…adoptado y ejecutado propia compañía.
eficazmente un modelo de organización y gestión que resulte adecuado
para prevenir delitos de la naturaleza…”, lo que nos lleva a considerar el
programa de cumplimiento penal como un requisito exigible si no
queremos que nuestra empresa pueda ser condenada penalmente por
delitos cometidos en su seno.

Siendo el Compliance Penal un requisito exigido para evitar o atenuar la

responsabilidad penal, se puede afirmar que el Código Penal no obliga
expresamente a tener un programa de cumplimiento normativo o
Programa de Prevención de Delitos Penales. Por tanto, se puede ser
contundente añadiendo que no hay ninguna Ley en España, ni siquiera
el Código Penal, que obligue a las personas jurídicas a tener un progra-
ma de cumplimiento normativo.

Pero la omisión a la hora de implementar “un modelo de organización y

gestión adecuado” conlleva la exposición a importantes riesgos, que
determinaran, en caso de incumplimiento de la normativa, las responsa-
bilidades prevenidas en la normativa a aplicar, a veces de ámbito secto-
rial y que consistirán en sanciones fundamentalmente económicas y, por
otro lado, en las responsabilidades penales, que a modo general se
podrían concretar: por un lado, las de carácter económico, por las eleva-
das sanciones que pueden ser impuestas a la empresa y, por otro, de
carácter personal, por la concurrencia de penas de privación de libertad
al órgano de administración, además de otras penas como las posibles
> 12
inhabilitaciones a las que se pueden enfrentar los responsables.
COMPLIANCE
PARA PYMES
¿Por qué debo implantar un programa
de Compliance?
Lo que el Código Penal precisa es que no disponer
de un modelo de Prevención de Riesgos Penales
puede llevar aparejadas consecuencias que exce-
den de la responsabilidad económica.
Para ello, es preciso tener presente que las empre-
sas, y por lo general los trabajadores, no cometen
delitos, o al menos no lo hacen de manera conscien-
te, pero no por ello se puede obviar que ciertas prác-
ticas son ilegales, aunque se tuviera la creencia de
que son inocuas.
Es verdad que la regulación y las exigencias a las
distintas empresas varía en función de su actividad
económica. Así, por ejemplo, una empresa que lleve
a efecto su actividad en sectores financieros puede
ser más propensa a la comisión de delitos de blan-
queo de capitales que una empresa dedicada al
sector alimentario, que presenta más susceptibili-
dad de incurrir en conductas que pongan en riesgo
la salud de sus consumidores, o una empresa cuya
actividad sea formación académica que podría incu-
rrir en delitos contra la propiedad intelectual e
industrial, el mercado y los consumidores.
Pero la realidad ha demostrado que muchas perso-
nas ignoran que determinadas actividades están
perseguidas por la ley. Sirva como ejemplo que
descargarse una copia pirata de un programa infor-
mático es un delito que está castigado con penas de
cuantiosas multas y prisión, del que puede derivarse
responsabilidad a la empresa.
Tampoco es infrecuente el uso ilícito de software, lo
cual es un delito a tenor de lo previsto en el artículo
270 del Código Penal, castigado con prisión.
Desde la modificación del Código Penal en 2015 tan
solo se requiere la obtención de un "beneficio direc-
to o indirecto" para perseguir este tipo de delitos.
Siguiendo la previsión del Código Penal, las penas
previstas para los administradores comprenden
multas de hasta 280.000 euros y prisión de hasta
cuatro años de cárcel.
Estas penas se completan con las previstas para la
empresa, que pueden alcanzar la pena de multa de
hasta cuatro veces el valor de mercado del software
ilícitamente copiado y utilizado, así como otras
penas accesorias (pérdida de subvenciones o
ayudas públicas, inhabilitación para contratar con el
sector público, pérdida de beneficios o incentivos
fiscales o de seguridad social y, en casos extremos,
cese de la actividad de la empresa).
Es decir, la empresa se convierte en responsable de
esta acción desleal del trabajador, que incluso igno-
rará las consecuencias de esa acción, hasta el punto
de que los tribunales pueden rechazar todos tipo de
excusas, habida cuenta de que el artículo 1903 del
Código Civil hace responsable al empresario de los
actos de sus empleados.
Otro ejemplo, no infrecuente, acontece cuando un
trabajador, en vez de enviar un papel a la destructo-
ra, acabe tirando a un contenedor público papeles
con información sensible, contable, fiscal, de salud, …
de clientes, lo que podría dar lugar a un
> 13
COMPLIANCE
PARA PYMES
delito contra la intimidad o de revelación de secre-
tos, del que puede derivarse responsabilidad a la
empresa, según la regulación prevista en el Código
Penal en los artículos 197 a 201, denominados “del
descubrimiento y revelación de secretos”, que
precisa una pena por la difusión o revelación del
secreto: de prisión de dos a cinco años si se difun-
den, revelan o ceden a terceros los datos o hechos
descubiertos o las imágenes captadas a que se
refieren los números anteriores.
No debemos olvidar la previsión del código en el
artículo 197, cuando establece que “Cuando de
acuerdo con lo establecido en el artículo 31 bis una
persona jurídica sea responsable de los delitos
comprendidos en los artículos 197, 197 bis y 197 ter,
se le impondrá la pena de multa de seis meses a
dos años…”.
Aunque los ejemplos son muy variados, es una
situación muy común. Sirva como ejemplo ilustrati-
vo: en el quehacer comercial de las empresas parti-
cipar en eventos públicos de empresa donde los
empleados, con buena fe, deciden grabar sin
consentimiento imágenes en un acto corporativo y
subirlas a la web de la propia compañía o a las redes
sociales, pudiendo incurrir en un delito contra la
intimidad, del que puede derivarse responsabilidad
a la empresa.
Todo lo expuesto, con ejemplos muy profusos, nos
lleva a la conclusión de que la implantación de los
procedimientos de Prevención de Riesgos Penales,
además de ser un instrumento de gestión, determi-
na la exoneración de las responsabilidades penales.
Por ello, la elaboración de procedimientos de cum-
plimiento normativo determinará pautas que esta-
blezcan de una manera metódica y ordenada para
todos los trabajadores lo que se puede hacer y que
no, convirtiéndose en algo conveniente y muy posi-
tivo para la empresa, dado el conjunto de utilidades
y beneficios que su implantación despliega, tanto
en la práctica de su actividad diaria de manera inter-
na como en las relaciones con terceros.
Por todo lo antedicho, la existencia de un Programa
de Prevención de Riesgos Penales se convierte en
un instrumento útil y eficaz para el desarrollo de la
actividad de las empresas, por lo que su existencia
> 14
COMPLIANCE
PARA PYMES

se convierte en un elemento vital de la propia supervivencia

de la empresa.

Evitar el riesgo de la comisión de los delitos tipificados, y la

consecuencia de incurrir en penas muy graves, que van
desde multas económicas, hasta el cierre definitivo de la
empresa, es el mayor beneficio de una compañía, si se tiene
en cuenta el régimen sancionador, en función de los delitos
que se cometan, que viene previsto en el Código Penal.

Hemos de pensar en el daño reputacional derivado de la

falta de sensibilización con la prevención de delitos por parte
de la dirección de la empresa, que el estar inmerso en un
proceso penal puede suponer para la imagen de una compa-
ñía, su aparición en los distintos medios de comunicación, los
comentarios en las redes sociales, las especulaciones,
muchas veces malintencionadas, generarán todo un abanico
de sospechas, dudas, opiniones e incluso acusaciones que
deteriorarán y menoscaban la imagen de la empresa de una
manera desproporcionada, con independencia de lo que
suceda en el curso del procedimiento y obviando cualquier
atisbo de presunción de inocencia.

El desprestigio que trae consigo el deterioro de la imagen de

la empresa puede acarrear dificultades para el acceso a la
financiación, ya que se producirá indudablemente un deterio-
ro en su perfil de riesgo. Esta pérdida de confianza llevará
indudablemente a una reducción de su actividad comercial,
con lo que su actividad económica se va a ver profundamen-
te deteriorada, sin olvidar tampoco la contabilización como
gasto de las posibles sanciones que se puedan imponer a la
persona jurídica.

Con todo lo antedicho, aunque el devenir de procedimiento

penal concluya con una sentencia absolutoria, el menoscabo
de la imagen va a ocasionar un perjuicio de muy difícil repara-
ción cuyo efecto es incalculable y de un gran impacto para
una compañía.

> 15
COMPLIANCE
PARA PYMES
Las PYMES y micropymes deben implantar
un programa de prevencion de delitos
penales
El artículo 33.7 determina el catálogo general de
penas específicas susceptibles de ser impuestas a la
persona jurídica.
Las penas que en ese artículo aparecen para ser
aplicadas a las personas jurídicas tienen todas la
consideración de graves, lo que supone, al amparo
del artículo 133 del Código Penal, que prescriben a los
10 años y que sus antecedentes penales, de confor-
midad con lo prevenido en el artículo 136 del citado
código se cancelan pasados 10 años sin haber delin-
quido desde la extinción de la pena.
En cuanto a las penas a aplicar, éstas pueden ser de
dos tipos: por un lado pecuniarias, únicamente la
multa, y por otro las penas privativas de derechos.
En relación con las penas privativas de derechos, el
art. 33.7 CP recoge una serie de supuestos que van
desde la disolución de la persona jurídica, hasta la
intervención judicial, pasando por la suspensión de
actividades, la clausura de locales y establecimientos,
la prohibición de realización de actividades, la inhabili-
tación para obtener subvenciones y ayudas públicas,
contratar con el sector público y gozar de beneficios e
incentivos fiscales o de la seguridad social.
El código procede, en su apartado g) del punto sépti-
mo del artículo 33, a efectuar una detallada regula-
ción del contenido de la pena de intervención judicial,
cuya finalidad ha de ser la de salvaguardar los dere-
chos de los trabajadores o de los acreedores de la
persona jurídica.
Además de las penas del Código Penal, existe otra
consecuencia jurídica para las empresas responsa-
bles penalmente y es la prohibición de contratar con
la Administración Pública, y aquí hemos de poner de
manifiesto que con la entrada en vigor de Ley 9/2017,
de 8 de noviembre de Contratos del Sector Público,
desde el 9 de marzo de 2018, aparece una nueva
limitación establecida en su apartado 71.1 a) en cuyo
párrafo segundo expresa “La prohibición de contratar
alcanzará a las personas jurídicas que sean declara-
das penalmente responsables, y a aquellas cuyos
administradores o representantes, lo sean de hecho o
de derecho, vigente su cargo o representación y hasta
su cese, se encontraran en la situación mencionada
en este apartado”.
Para ello, es preciso en consonancia con el párrafo
primero “a) Haber sido condenadas mediante senten-
cia firme por delitos de terrorismo, constitución o
integración de una organización o grupo criminal,
asociación ilícita, financiación ilegal de los partidos
políticos, trata de seres humanos, corrupción en los
negocios, tráfico de influencias, cohecho, fraudes,
delitos contra la Hacienda Pública y la Seguridad
Social, delitos contra los derechos de los trabajado-
res, prevaricación, malversación, negociaciones
prohibidas a los funcionarios, blanqueo de capitales,
delitos relativos a la ordenación del territorio y el
urbanismo, la protección del patrimonio histórico y el
medio ambiente, o a la pena de inhabilitación especial
para el ejercicio de profesión, oficio, industria o
comercio”.
En los casos en que por sentencia penal firme así se
prevea, y de conformidad con lo previsto en el artícu-
lo 72.6 de la citada Ley 9/2017, la duración
> 16
COMPLIANCE
PARA PYMES
de la prohibición de contratar será la prevista en la
misma. En los casos en los que ésta no haya estable-
cido plazo, esa duración no podrá exceder de cinco
años desde la fecha de la condena por sentencia
firme.
Por otro lado, el artículo 71.1 b) de la Ley 9/2017, de 8
de noviembre, recoge la prohibición de contratar a
personas físicas con la Administración “por haber sido
sancionadas con carácter firme por infracción grave
en materia profesional que ponga en entredicho su
integridad, de disciplina de mercado, de falseamiento
de la competencia, de integración laboral y de igual-
dad de oportunidades y no discriminación de las
personas con discapacidad, o de extranjería, de
conformidad con lo establecido en la normativa
vigente; o por infracción muy grave en materia
medioambiental de conformidad con lo establecido
en la normativa vigente, o por infracción muy grave
en materia laboral o social, de acuerdo con lo
dispuesto en la Ley sobre Infracciones y Sanciones
en el Orden Social, aprobado por el Real Decreto
Legislativo 5/2000, de 4 de agosto, así como por la
infracción grave prevista en el artículo 22.2 del Real
Decreto Legislativo 5/2000, de 4 de agosto”.
Si bien para este último supuesto, y de conformidad
con lo previsto en el Art. 72.5 Ley 9/2017, de 8 de
noviembre “No procederá, sin embargo, declarar la
prohibición de contratar cuando, en sede del trámite
de audiencia del procedimiento correspondiente, la
persona incursa en la causa de prohibición acredite el
pago o compromiso de pago de las multas e indem-
nizaciones fijadas por sentencia o resolución adminis-
trativa de las que derive la causa de prohibición de
contratar, siempre y cuando las citadas personas
hayan sido declaradas responsables del pago de la
misma en la citada sentencia o resolución, y la adop-
ción de medidas técnicas, organizativas y de personal
apropiadas para evitar la comisión de futuras infrac-
ciones administrativas, entre las que quedará incluido
el acogerse al programa de clemencia en materia de
falseamiento de la competencia”.
Estas penas son independientes de las que corres-
ponde aplicar a la Persona Física, y obviando el daño
a la imagen comercial de la marca, ya aludido, al
hablar del daño reputacional.
De la lectura del Código Penal se desprende que el
código no proporciona una definición de "persona
jurídica" penalmente responsable,
> 17
COMPLIANCE
PARA PYMES

el art. 31 bis continúa sin facilitar una definición de la
persona jurídica penalmente responsable. Tampoco
lo hace ningún otro precepto del Código Penal, por lo
que exige acudir a las previsiones de la normativa
civil y mercantil, en los términos que ya analizaba la
Circular 1/2011, con lo que se puede afirmar que es
obligatorio a casi todas las empresas la implantación
de un Programa de Prevención de Riesgos Penales,
siendo penalmente responsables todas las socieda-
des civiles, las mercantiles (personalistas y capitalis-
tas), las asociaciones, las fundaciones, las sociedades
ocultas, las sociedades en formación, la sociedad
irregular, los partidos políticos y los sindicatos. (Estos
dos últimos tipos de personas fueron incluidas como
penalmente responsable en la reforma del Código
Penal de 2015).
El legislador, al no haber establecido una definición,
nos obliga a remitirnos a la legislación civil y mercantil
y, por ende, debemos concluir que se refiere a
cualesquiera empresas, entidades o agrupaciones de
personas que ostenten personalidad jurídica.
No obstante, a tenor de lo previsto en el artículo 31
quinquies, hay personas exentas de responsabilidad
penal, y por ello no se les puede aplicar esta eximen-
te.
apartado 7 del artículo 33. Esta limitación no será
aplicable cuando el juez o tribunal aprecie que se
trata de una forma jurídica creada por sus promoto-
res, fundadores, administradores o representantes
con el propósito de eludir una eventual responsabili-
dad penal”.
Una cuestión particular se plantea con los entes sin
personalidad, para lo cual el Código Penal proporcio-
na una solución, según lo previsto en el artículo 129
penal, para aquellas empresas, organizaciones, que
carezcan de personalidad jurídica y por lo tanto no
estén comprendidas en el artículo 31 bis, en cuyo
seno, con su colaboración o a través o por medio de
ellas, se cometiesen delitos, no se les aplica el
régimen de responsabilidad penal de las personas
jurídicas, sino una o varias consecuencias accesorias
a la pena que corresponda al autor del delito.

La responsabilidad penal de las personas jurídicas no

es exigible según el tenor literal articulo 31 quinquies
"al Estado, a las Administraciones públicas territoria-
les e institucionales, a los Organismos Reguladores,
las Agencias y Entidades públicas Empresariales, a
las organizaciones internacionales de derecho públi-
co, ni a aquellas otras que ejerzan potestades públi-
cas de soberanía o administrativas".

El número dos del citado artículo establece “2. En el

caso de las Sociedades mercantiles públicas que
ejecuten políticas públicas o presten servicios de
interés económico general, solamente les podrán ser
impuestas las penas previstas en las letras a) y g) del
> 18
COMPLIANCE
PARA PYMES

Delitos que pueden cometer

las personas jurídicas

Llegados a este punto, es preciso señalar los delitos que pueden ser cometidos por las personas jurídicas y
por ello, se debe afirmar que la responsabilidad penal de las personas jurídicas responde a una naturaleza
tasada, esto es, dicha responsabilidad sólo puede exigirse en relación con aquellos concretos tipos penales en
cuyo tenor literal se prevea de manera expresa su aplicación a las personas jurídicas.

Solo en los tipos penales en los que aparezcan una expresión similar a (ejemplo obtenido del artículo 189 bis,
relativos a corrupción de menores) “Cuando de acuerdo con lo establecido en el artículo 31 bis una persona
jurídica sea responsable de los delitos comprendidos en este Capítulo, se le impondrán las siguientes penas:..”
o similar como lo previsto en el artículo 288 contra la propiedad intelectual, e industrial el mercado y los
consumidores “Cuando de acuerdo con lo establecido en el artículo 31 bis una persona jurídica sea responsa-
ble de los delitos recogidos en este Capítulo, se le impondrán las siguientes penas…”.

Sirvan estos ejemplos para poner de manifiesto que los delitos que pueden ser cometidos por una persona
jurídica se hallan precisados por el Código Penal con lo que se trata de un númerus clausus, cerrado.
Recordemos que en todos los supuestos la aplicación de la exención de responsabilidad penal requiere la
existencia de los modelos de organización y gestión, “adoptados y ejecutados eficazmente”, que resulten
adecuados para “prevenir los delitos de la naturaleza del que fue cometido o para reducir de forma significativa el
riesgo de su comisión”.

> 19