¿Y si, bajo su apariencia preventiva, este sistema favoreciera en realidad a quienes tienen más poder, recursos y capacidad de organización?
La responsabilidad penal de las personas jurídicas (RPPJ) plantea una finalidad ambiciosa: hacer que las empresas asuman un papel activo en la prevención del delito. Cuando se habla de Derecho penal parece prima, en primera instancia, su aspecto represivo, la idea de castigar a alguien por la comisión de un delito que le es imputable. Pero, sin olvidar la función preventiva que es inherente a las normas penales, en el debate sobre la RPPJ el protagonismo se desplaza, todavía en mayor medida, a una aspiración preventiva, la que pretenden desplegar los programas de cumplimiento normativo, compliance programs o sistemas de prevención de delitos. Dicho de otra manera, en teoría, la RPPJ desea fomentar y reforzar el cumplimiento normativo dentro de las organizaciones empresariales, incentivar a que establezcan buenos controles internos que eviten que los riesgos asociados a su actividad desencadenen lesiones a bienes jurídicos y, en consecuencia, derive en la comisión de delitos. Aspiración muy loable; sin embargo, cuando se examina con detalle el régimen previsto en los arts. 31 bis y siguientes del Código Penal español, aparece una pregunta incómoda: ¿y si, bajo su apariencia preventiva, este sistema favoreciera en realidad a quienes tienen más poder, recursos y capacidad de organización? Esa es la hipótesis inicial sobre la que conviene explorar algunos aspectos del régimen legal aplicable a las personas jurídicas en cuanto a sus posibles efectos plutofílicos o posibles manifestaciones de un Derecho penal del amigo por el que recibirían un tratamiento más benévolo o más privilegiado frente al tratamiento jurídico-penal de las personas naturales y, en ciertos aspectos, también a un régimen más favorable de las grandes corporaciones frente a las de pequeñas dimensiones.
El punto de partida de estas reflexiones es la idea de la autorregulación regulada sobre la que se ha construido el discurso político-criminal de las personas jurídicas y en el que confluyen los distintos planteamientos doctrinales hoy en día imperantes sobre el por qué y el cómo hacerlas penalmente responsables. El Estado, desbordado por la complejidad de la sociedad contemporánea, ya no puede controlar directamente todos los riesgos empresariales. En su lugar, traslada parte de ese control a la propia empresa: la organización interna debe detectar riesgos, prevenir delitos y reaccionar si estos se producen. Así surge la centralidad del compliance program como eje de una nueva forma de control social: la empresa pasa a ser una colaboradora o aliada del Estado en la prevención del delito. Esta lógica discurre en una doble dirección: si la empresa se organiza bien, puede verse beneficiada con la inmunidad o, al menos, una atenuación de la pena; si no lo hace, será sancionada. El sistema se construye, por tanto, sobre una combinación de amenaza y recompensa.
¿Por qué debería el Derecho penal premiar tan intensamente la autorregulación empresarial?
Ahora bien, este planteamiento presenta una primera tensión. En el Derecho penal aplicado a las personas físicas no existe, por regla general, un efecto equivalente por los esfuerzos autorreguladores llevados a cabo. En cambio, en el ámbito empresarial sí se reconoce, en determinadas condiciones, un efecto exonerador a favor de la persona jurídica cuando dispone de un programa de cumplimiento eficaz. Esto no supone necesariamente un trato privilegiado para las empresas frente a las personas físicas. Puede defenderse que las organizaciones empresariales, por la complejidad y la magnitud de los riesgos que generan y, correlativamente, los deberes de organización a los que están sometidas, necesitan un tratamiento diferente. Pero también es legítimo preguntarse si este trato diferencial no acaba produciendo una ventaja estructural para ellas, especialmente, para las grandes corporaciones, que cuentan con más recursos para diseñar, documentar, certificar y defender sus programas de cumplimiento. En este punto se abre el debate sobre la posible dimensión plutofílica, en general, de la RPPJ y, en particular, de la regulación del art. 31 bis CP.
La reforma de 2015 consolidó legalmente el que un sistema de prevención de delitos previo a la comisión del hecho delictivo y eficaz puede excluir la RPPJ bajo determinadas condiciones explicitadas en los apartados 2 y 4 del art. 31 bis, dependiendo de que el delito lo cometa un sujeto con facultades de decisión, organización o control o un subordinado de estos. Desde una perspectiva dogmática, hay quien atribuye a este sistema de prevención de delitos o programa de cumplimiento como una causa de atipicidad, de acuerdo a un modelo de estricta autorresponsabilidad avalado nuestro Tribunal Supremo, y quien lo interpreta como una causa de exclusión de culpabilidad, de responsabilidad o de pena, según fórmulas de fundamentación con una tendencia menos marcada a la autorresponsabilidad. Pero, más allá de la etiqueta, lo importante es la pregunta de fondo: ¿por qué debería el Derecho penal premiar tan intensamente la autorregulación empresarial? La respuesta es, a mi juicio, pragmática: porque la prevención funciona mejor si la empresa tiene incentivos reales para el cumplimiento normativo. Además, una empresa no puede aspirar a controlar absolutamente todo lo que sucede en su interior, sobre todo cuanto más grande y compleja es. Exigir un control total sería irreal y, además, ineficiente. Por eso el cumplimiento normativo no debe entenderse como garantía de perfección, sino como una forma razonable de contener riesgos.
Pero lo anterior se vuelve más delicado cuando se compara con la persona física. La ineficacia del Estado para intervenir directamente en la prevención de riesgos en un mundo complejo puede justificar la exoneración de la persona jurídica, a pesar del delito cometido, si demuestra que su programa de cumplimiento fue eficaz. Pero entonces, ¿no habría que deslegitimar o, al menos, atenuar el castigo penal en el caso de las personas físicas cuando cometen determinados delitos por razones de pobreza y exclusión social cuando el Estado es igualmente ineficaz a la hora de garantizar la igualdad material y las condiciones de vida digna de los individuos debería? Parece, por ello, que el rasgo plutofílico de la RPPJ del art. 31 bis no estaría en lo que se “concede” a las empresas por la vía de la exclusión de su responsabilidad por sus esfuerzos autorreguladores, sino en lo que se “niega” a otros actores en otros ámbitos de criminalidad.
En otro orden de cosas, también conviene ser prudentes antes de transformar cualquier programa de cumplimiento en una especie de salvoconducto automático. Su mera existencia, incluso constando con un certificado emitido por una auditoría externa, no debe equivaler a una exoneración casi automática. Esta cautela es especialmente importante porque, en la práctica, la valoración judicial puede verse arrastrada por una apariencia de cumplimiento que no siempre refleja una cultura auténtica de legalidad. Por eso, el control judicial no debe limitarse a verificar si hay documentos, organigramas o protocolos, sino si esos instrumentos eran adecuados para prevenir el concreto riesgo que terminó materializándose. De lo contrario, el compliance corre el riesgo de convertirse en una técnica de legitimación más que en una herramienta de prevención. La cuestión debe resolverse caso por caso, atendiendo a la idoneidad temporal, formal y sustantiva del programa de cumplimiento en el momento de la comisión del hecho delictivo.
El supuesto beneficio normativo puede transformarse en una trampa
Otro gran foco del análisis de un posible sesgo plutofílico en relación con el efecto exonerador del cumplimiento normativo es el trato que reciben las personas jurídicas de pequeñas dimensiones. El apartado 3 del art. 31 bis CP permite que, en estas personas jurídicas, las funciones de supervisión del modelo de organización y gestión (denominación utilizada por el legislador español para referirse al programa de cumplimiento) sean asumidas directamente por el órgano de administración. Sobre el papel, esto parece una ventaja: menos burocracia, menos costes y una estructura más sencilla en entidades que, por regla, cuentan con menores recursos para materializar las exigencias del cumplimiento normativo. Pero en la práctica puede convertirse en un problema serio. Si quienes dirigen la empresa son también quienes supervisan el sistema de prevención de delitos, se produce una concentración de funciones que dificulta la independencia real del control, que es precisamente una de las condiciones que se requieren para la exoneración de la persona jurídica. Y si el delito ha sido cometido, ordenado o tolerado por ese mismo órgano de administración, la posibilidad de exoneración se debilita enormemente. En otras palabras: el supuesto beneficio normativo puede transformarse en una trampa.
Aquí aparece una paradoja importante. Las grandes empresas, con estructuras más complejas, pueden permitirse órganos específicos, compliance officers, auditorías y sistemas más sofisticados. Las pequeñas, en cambio, disponen de menos medios y, al mismo tiempo, pueden quedar más expuestas a una imposibilidad práctica de cumplir con todas las exigencias que les permitirían exonerarse. El resultado es un tratamiento injustificadamente desigual ocasionado por una previsión normativa disfuncional que no tiene en cuenta un criterio material de qué es exigible a las personas jurídicas de pequeñas dimensiones en materia de cumplimiento normativo, sino un criterio puramente contable y que conlleva solapar dos figuras que pueden entrar en conflicto por las funciones asignadas a cada uno. Así, el régimen de RPPJ, tal como está diseñado, puede terminar siendo más benévolo con las grandes corporaciones y más severo con las pequeñas.
El sistema de responsabilidad pierde fuerza preventiva y gana en arbitrariedad
El segundo gran elemento sospechoso de entrañar una expresión propia de un Derecho penal del amigo es el catálogo cerrado de delitos para los que puede aplicarse la RPPJ. No todas las infracciones penales generan responsabilidad para la persona jurídica; solo aquellas en las que expresamente así se prevea. Ahora bien, la existencia de un sistema de numerus clausus no es, por sí sola, criticable. De hecho, desde la lógica de la intervención mínima puede tener sentido limitar la sanción penal a los ámbitos en los que la prevención empresarial resulta especialmente relevante. El problema está en la selección concreta de delitos y, sobre todo, en las ausencias existentes. Ciertamente, la decisión respecto de los delitos incardinables en la RPPJ siguen la estela de los compromisos internacionales asumidos por España, en los que destaca la noción del beneficio directo o indirecto que el delito procura o puede procurar a la persona jurídica. Pero ahí se está en un compromiso de mínimos y no es impedimento para que el legislador español decida ampliar a otros tipos penales muy vinculados a la actividad empresarial donde también opera la lógica del beneficio, y sin embargo, están fuera del régimen. Uno de los casos más sangrantes, los delitos laborales, pero hay otros. Todavía más, si el núcleo de la RPPJ está en exigir a las empresas que controlen sus riesgos, el criterio del beneficio directo o directo como requisito inherente al régimen de RPPJ deja de tener sentido y, en consecuencia, deja de “arrastrar” al ámbito de aplicación objetiva del art. 31 bis.
Se trata, por tanto, de una discusión fundamentalmente política. Si la RPPJ pretende impulsar una cultura de cumplimiento normativo, de legalidad en las organizaciones, debería aplicarse allí donde la empresa puede y debe prevenir el delito. En cambio, cuando el legislador deja fuera conductas relevantes, el sistema de responsabilidad pierde fuerza preventiva y gana en arbitrariedad por asumir compromisos parciales, presiones sectoriales o lógicas de conveniencia. Y eso sí puede terminar beneficiando a los actores económicos más poderosos. La solución no es, en mi opinión, convertir la aplicación del art. 31 bis en un sistema de numerus apertus, puesto que con ello se corre el riesgo de convertir la regulación en una aún más severa para las pequeñas empresas, sino en definir el ámbito de aplicación conforme a una reflexión político-criminal sobre los riesgos que deben ser prevenidos y guiada por los principios de lesividad y necesidad en clave de derechos humanos. No debemos olvidar que todo el discurso político-criminal de las personas jurídicas ha tenido y tiene como protagonistas principales a las grandes empresas transnacionales y su papel central en las graves violaciones de derechos humanos en su cadena de valor.
La RPPJ no debe ser abandonada. Sería un error renunciar a ella, porque hoy por hoy las empresas son un foco de enormes riesgos y el Estado necesita herramientas eficaces para evitar que se traduzcan en daños y lesiones de bienes jurídicos. Pero tampoco conviene idealizarla. El compliance posee indudables elementos positivos para la protección de bienes jurídicos, pero no es una varita mágica ni un escudo absoluto. Debe servir para fomentar una prevención real, no para construir una zona de impunidad ni para generar desigualdades de tratamiento jurídico-penal.
Profesora de Derecho Penal, Universidad de Deusto
