Últimamente vemos y leemos con cada vez más frecuencia en los medios de comunicación noticias relacionadas con la reforma del Código Penal y sus consecuencias para las empresas. Y, previsiblemente, estas noticias serán más abundantes conforme se acerque el temido 23 de diciembre de 2.010, fecha en la que entra en vigor dicha reforma.
Siguiendo la estela de países como Estados Unidos, Alemania, Austria o Suiza (pioneros en la introducción de la responsabilidad penal de las organizaciones), la práctica totalidad de los países europeos han ido reformando sus ordenamientos jurídicos con el objetivo sancionar penalmente a las empresas en cuyo seno se cometan delitos (Dinamarca, Noruega y Suecia en los años 80; Francia en 1994; Finlandia en 1995; hasta llegar a nuestro país, con esta nueva reforma).
La cuestión no es baladí, ya que, por un lado, el tradicional principio societas delinquere non potest dejará de tener aplicación en nuestro ordenamiento jurídico a partir de dicha fecha, con la nueva redacción del Código Penal, y por otro, es incuestionable el impacto que tendrá dentro de la empresa, que deberá adaptarse a esta nueva regulación ya que podrá ser responsable penalmente por los actos cometidos dentro de su organización.
Con la nueva regulación, el legislador español ha optado por imputar responsabilidad penal a las personas jurídicas desde una doble vertiente:
1. Cuando los delitos sean cometidos por sus representantes legales y administradores de hecho o de derecho.
2. Cuando los delitos sean cometidos por los trabajadores de la empresa, si ésta no ha ejercido sobre ellos el debido control.
En ambos casos se requiere que el delito se cometa en nombre y por cuenta de la organización, en su provecho y en el ejercicio de sus actividades sociales.
La redacción es aparentemente sencilla, pero automáticamente nos surge una duda: ¿qué se considera debido control? Pregunta a la que el Código Penal no da respuesta, ciñéndose a establecer de forma genérica la obligación de establecer el debido control por la organización, imponiendo un deber de Corporate Compliance excesivamente extenso. De esta forma nuestro Derecho Penal pasa de ser reactivo a proactivo.
En nuestro ordenamiento hay muchas normativas sectoriales que ya establecen deberes de compliance como la LOPD, la LSSI o la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo. Sin embargo, nunca hasta ahora se había impuesto una obligatoriedad de compliance tan amplia y, si se me permite la expresión, ambigua, máxime teniendo en cuenta que no va a existir un reglamento de desarrollo del Código Penal.
En este sentido, y aunque ninguna organización tiene implantadas estas medidas de control "penales" de las que hablamos, simplemente, porque hasta ahora no existía esta regulación, muchas de ellas ya tienen un largo camino recorrido ya que podrán adaptar las medidas de compliance que ya tienen implantadas en muchos sectores de su actividad.
A pesar de ello, permítanme insistir, no hay que olvidar que el nuevo Código Penal exige expresamente un "debido control" dentro de la empresa, al objeto de que sus empleados no delincan o, si lo hacen, no se haga también responsable a la organización, por lo que, aunque muchas de las medidas que tengan implantadas serán válidas en el ámbito penal e incluso muchas de estas medidas serán iguales, lo cierto es que en cada organización (desde una PYME hasta una multinacional) deberá existir un código de conducta, código de control (llámenlo x), específico en materia penal, encaminado a eximir a la organización de esa responsabilidad penal.
Y, lo que es más importante, estas medidas de control deberían estar implantadas antes de la entrada en vigor de la reforma, de modo que si un empleado comete un delito en el ejercicio de su actividad social, en nombre de la sociedad, y en su provecho, ésta no responda penalmente.
Ello sin perder de vista las nuevas penas que impone el Código Penal a las organizaciones, que, aunque con carácter general es una multa, puede llegar a la clausura de locales, prohibición de realizar la actividad social, inhabilitación para gozar de beneficios e incentivos fiscales o de Seguridad Social, prohibición de contratar con la Administración hasta, incluso la disolución de la sociedad. A lo que habrá que añadir la responsabilidad civil ex delicto que seguirá existiendo.
En cualquier caso, a pesar de que el nuevo texto del Código Penal no establezca qué medidas de control serán adecuadas o, al menos, suficientes, para eximir de responsabilidad penal a las empresas y de que habrá que esperar a que se dicten las primeras resoluciones judiciales, lo cierto y claro es esta nueva exigencia legal de corporate compliance y que los controles que cada organización considere deberían existir antes de la comisión de algún ilícito penal bajo la nueva regulación.