Español
Dr. Juan Alberto Díaz López
Director de J. A. DÍAZ –Litigación Penal-
La última reforma de nuestro Código Penal, operada por la LO 1/2015 y en vigor desde el pasado 1 de julio de 2015, constituye un importante hito en lo que a la importancia de contar con un buen programa de cumplimiento normativo (Compliance Program) para evitar riesgos penales se refiere. Despejando muchas de las dudas que planteó la modificación anteriormente operada por la LO 5/2010, ahora parece claro que la correcta implementación de estos programas excluirá o atenuará la responsabilidad penal de las personas jurídicas. La nueva redacción del artículo 31 bis.2 CP resulta suficientemente esclarecedora:
“la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;
3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y
4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª
En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena.”
Ahora bien, lo que aquí quiero destacar es que las obligaciones de cumplimiento normativo para las personas jurídicas no se limitan a los cambios legislativos y no se circunscriben sólo a evitar su posible responsabilidad penal. Mucho antes de la introducción de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento, se contemplaba la posibilidad de condenar a las personas jurídicas como responsables civiles subsidiarios en un proceso penal. Esta posibilidad no sólo no se ha desvanecido, sino que en paralelo a la reforma legislativa y a nivel jurisprudencial va delimitándose de modo cada vez más contundente una obligación para las empresas –especialmente, para las entidades financieras- consistente en evitar que en sus establecimientos se cometan delitos. Desde luego –insisto-, esta obligación, derivada de lo tipificado por el artículo 120.3º CP (de decimonónico origen), no es nueva. Este precepto establece que serán “también responsables civilmente, en defecto de los que lo sean criminalmente: […] 3.º Las personas naturales o jurídicas, en los casos de delitos cometidos en los establecimientos de los que sean titulares, cuando por parte de los que los dirijan o administren, o de sus dependientes o empleados, se hayan infringido los reglamentos de policía o las disposiciones de la autoridad que estén relacionados con el hecho punible cometido, de modo que éste no se hubiera producido sin dicha infracción.” Pero la interpretación de su alcance parece ir en aumento en los últimos tiempos.
Son dos las sentencias del Tribunal Supremo que quiero destacar a efectos ilustrativos del actual alcance de esta clase de responsabilidad civil subsidiaria. La más reciente es la STS Nº 413/2015, de 30 de junio, Excmo. Sr. Juan Ramón Berdugo Gómez de la Torre (me remito a mi colaboración motivada por esta resolución y publicada en la revista Legal Today el 29 de septiembre de 2015 con el título “Responsabilidad civil de un Banco por no prevenir que quienes entren en sus sucursales puedan ser víctimas de delitos”). La segunda Sentencia, del mismo Ponente, es la Nº 357/2013, de 29 de abril (para un extenso comentario sobre su contenido, véase mi artículo “¿Responsabilidad civil “ex delicto” de un Banco por la crisis nerviosa del cliente que presenció un atraco?”, en: Revista de Derecho Bancario y Bursátil, ISSN 0211-6138, Año nº 33, Nº 134, 2014, págs. 197-220).
La Sentencia más reciente condenó como responsable civil subsidiaria a una conocida entidad al pago de más de 11 millones de euros para indemnizar a las víctimas de una de las conocidas como “estafas nigerianas”. Aunque esa condena radicó en la aplicación del apartado 4º del artículo 120 CP (y no en la del apartado 3º, que es el que aquí nos ocupa), reconoció el Tribunal Supremo la posibilidad de exigir responsabilidad civil a los Bancos que incumplieran una normativa “tendente toda a proteger no solo a los clientes que acaban firmando un contrato bancario sino también a los clientes potenciales cuando contactan con una entidad bancaria”. Si bien coincido con el fallo, parece evidente que es necesario delimitar en mayor medida el alcance de esta obligación consistente en prevenir que sea víctima de un delito (¿cualquier delito?) cualquier persona que entre en el establecimiento de una entidad financiera. Por eso traigo también a colación esa otra Sentencia de 2013 en la que, también con buen criterio, el Tribunal Supremo rechazó la posibilidad de responsabilizar civilmente a un Banco de la indemnización por la crisis nerviosa que padeció una cliente de una de sus sucursales al presenciar un atraco.
En cualquier caso y a la vista de lo anterior, desde la óptica de la empresa, un buen programa de compliance resultará de utilidad no sólo para evitar su posible responsabilidad penal, sino para hacer lo propio con una eventual responsabilidad civil subsidiaria ex artículo 120.3º CP, si es que la implementación de dicho programa acreditara la correcta observancia de los “reglamentos de policía o disposiciones de la autoridad” a los que dicho precepto se refiere.
