Varias matizaciones:
- El art. 31 bis CP, NO dice que las personas jurídicas cometan el delito. Lo que establece el precepto, es que las empresas (personas jurídicas) “serán penalmente responsables de los delitos cometidos” por personas físicas. La empresa, pues, NO comete el delito; sino que deviene penalmente responsable por los delitos cometidos por otros.
- La propia condición 3ª del apartado segundo del art. 31 bis CP, recuerda que son los autores individuales los que han cometido el delito.
- Y, en los distintos preceptos que contemplan la responsabilidad de la persona jurídica, NO se atribuye a ésta la comisión del delito; sino que se dice que “cuando –de acuerdo con lo establecido en el art. 31 bis– una persona jurídica sea responsable de los delitos (correspondientes) se le impondrán las siguientes penas.
- La expresión “responsabilidad penal” es utilizada en sentido amplio: Atribuyéndola a la empresa, sociedad o grupo empresarial en virtud de un hecho de conexión, consistente en el previo delito cometido por la persona física, en su nombre o por cuenta de ella.
No obstante, reconocer en el art. 31 bis 1º CP un modelo de responsabilidad vicarial de la persona jurídica, existen también en los siguientes apartados de este precepto y en los arts. 31 ter y 31 quater, importantes elementos que atribuyen una indudable autonomía a la responsabilidad de la empresa, entre los que podemos destacar los siguientes:
– Si bien “la irrelevancia penal del hecho de referencia [conduce] a declarar también extinguida toda responsabilidad criminal respecto de la sociedad” (STS nº 514/2015), la responsabilidad de la persona jurídica no depende de la previa declaración de responsabilidad penal de la persona física. Ni siquiera es necesario que el delito llegue a consumarse pues la expresión “delitos cometidos” permite incluir, además de las diferentes formas de autoría y participación, el delito intentado.
– La no identificación del autor del delito, o incluso la imposibilidad de dirigir el procedimiento contra él, NO excluye la responsabilidad de la empresa (art. 31 ter.1).
– Las agravantes y atenuantes relativas a la culpabilidad de la persona física, NO son trasladables a la empresa, persona jurídica. Cabe exigir plena responsabilidad a ésta, pese a la existencia de circunstancias que afecten a la culpabilidad del acusado o agraven su responsabilidad, haya éste fallecido o se haya sustraído a la acción de la justicia (art. 31 ter.2).
– La empresa tiene unas circunstancias modificativas específicas y un sistema propio de penas, con particulares reglas de aplicación (arts. 31 quater y 66 bis), si bien respecto a la pena de multa el art. 31 ter vincula la responsabilidad de la persona jurídica con la de la física, al establecer una regla de compensación de ambas responsabilidades.
– Finalmente, la autonomía de la responsabilidad de la persona jurídica se refuerza, muy notablemente, con el valor eximente otorgado a los programas de organización.
Ahora bien, conforme con la sentencia del TS, de 29 de febrero de 2016: “ya se opte por un modelo de responsabilidad por el hecho propio, ya por una fórmula de heterorresponsabilidad parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el derecho penal” (STS 514/2015 de 2 de septiembre de 2015), sostiene que el modelo de responsabilidad penal de la persona jurídica es un modelo sustentado en la culpabilidad de la organización y en la ausencia de una cultura de respeto al derecho.: Lo que no admite duda, visto el texto legal, es el hecho de que el sistema de responsabilidad penal de la persona jurídica se basa, sobre la previa constatación de la comisión del delito por parte de la persona física integrante de la organización como presupuesto inicial de la referida responsabilidad, en la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la organización.”
Letra a) del artículo 31 bis.1CP:
- ¿Qué personas físicas, concretas, están capacitadas para transferir la responsabilidad penal a la empresa o sociedad?:
El art. 31 bis CP, NO establece una definición de la persona jurídica penalmente responsable. Tampoco lo hace ningún otro precepto del CP, lo que exige acudir a las previsiones de la normativa civil y mercantil.
Personas físicas idóneas para que la empresa responda penalmente:“ aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica, u ostentan facultades de organización y control dentro de la misma.”
En el terreno de lo concreto, nos referimos a tres grupos de personas físicas:
- Los representantes legales. Concepto ajeno a la legislación mercantil, que se refiere a la representación orgánica y a la voluntaria. En las sociedades de capital, la representación orgánica de la sociedad corresponde exclusivamente a los administradores y se extiende a todos los actos comprendidos en su objeto social (ex arts. 209, 233 y 234 Ley de Sociedades de Capital).
La representación voluntaria, no se regula en dicho texto, sometiéndose a las reglas generales de esta representación en nuestro ordenamiento jurídico. Por eso, aunque propiamente NO cabe la delegación orgánica, nada impide el recurso a la representación voluntaria, mediante el nombramiento de apoderados singulares, con poderes otorgados en escritura pública y debidamente inscritos en el Registro Mercantil; o generales, como Gerentes o Directores Generales.
Aunque para determinados efectos, “los directivos o las personas con poder de representación de la sociedad” se consideran administradores ( ex art. 157 LSC), con carácter general resulta dudoso que tales representantes voluntarios puedan ser considerados “representantes legales” mas: en todo caso, accederían al apartado siguiente como “autorizados para tomar decisiones en nombre de la persona jurídica.”
- Quienes, actuando individualmente o como integrantes de un órgano, de la persona jurídica, están autorizados para tomar decisiones en su nombre.
Comprende, (desde luego) a los administradores de derecho que, en autoría única o colegiada, ejercen las funciones de administración de una empresa o sociedad en virtud de un título jurídicamente válido. Si se trata de una sociedad de capital, es preciso que el sujeto haya sido nombrado a tal efecto, a d hoc, por la Junta de Socios ( ex art. 214.1 LSC). Debe tenerse en cuenta, además, que administrador de derecho puede serlo tanto una persona física como empresa, una persona jurídica. PERO en este caso, “será necesario que ésta designe a una sola persona natural para el ejercicio permanente de las funciones propias del cargo” ( ex art. 212 bis LSC).
No aparecen claramente incluidos los administradores de hecho: Es cierto que se trata de un concepto interpretado por la jurisprudencia en sentido lato, pues “… no ha de estarse a la formalización del nombramiento, de acuerdo a la respectiva modalidad societaria, ni a la jerarquía en el entramado social, sino a la realización efectiva de funciones de administración, del poder de decisión de la sociedad, la realización material de funciones de dirección” (STS nº 59/2007 de 26 de enero), de tal modo que lo será “toda persona que por sí sola o conjuntamente con otras, adopta e impone las decisiones de la gestión de una sociedad y concretamente las expresadas en los tipos penales, quien de hecho manda o quien gobierna desde la sombra” (STS nº 598/2012, de 5 de julio).
En todo caso, el administrador de hecho, NUNCA puede ser un mando intermedio, pues imparte las instrucciones, incluso a los administradores de la sociedad (art. 236.3 LSC). NO las recibe, ya que “debe participar activamente en la gestión y dirección, de forma permanente y no sujeta a esferas superiores de aprobación o decisión.” (STS nº 59/2007).
Por lo tanto, los administradores de hecho solo encajarían en este apartado de los “autorizados para tomar decisiones”. NO en el de quienes “ostentan facultades de organización y control”. Y aun para conseguir tal encaje, ha de interpretarse que la autorización para tomar decisiones en nombre de la empresa, puede ser también tácita. Otra interpretación, u otro entendimiento llevarían a la (injustificada) exclusión de los administradores de hecho del círculo de sujetos capaces de transferir la responsabilidad penal a la empresa a la que sirven.
También se incluyen en este apartado a quienes, sin ser propiamente administradores ni representantes legales de la empresa o sociedad, forman parte de órganos sociales con capacidad para tomar decisiones, así como a los apoderados singulares y a otras personas en quienes se hayan delegado determinadas funciones.
- c) Quienes ostentan facultades de organización y control. La expresión engloba a un potencialmente alto número de cargos y mandos intermedios que tengan atribuidas tales facultades, entre ellas las medidas de vigilancia y control para prevenir delitos. Esta nueva redacción del año 2.015, amplía y define mejor la posición de garante en la empresa, utiliza un lenguaje más adecuado a las categorías de imputación y establece con mayor precisión el hecho de conexión que genera la responsabilidad penal de la persona jurídica lo que permite, como consecuencia más relevante, incluir en la letra a) del art. 31 bis.1 al propio oficial de cumplimiento (compliance officer).
Sobre dicho oficial, en cuanto que responsable de cumplimiento normativo, el ámbito de su esfera de responsabilidad puede sr doble: Desde el punto de vista interno, en su relación con la empresa o sociedad; y desde una perspectiva externa, es decir, frente a terceros. Ahora bien, NO todo incumplimiento en la prevención de los ilícitos penales pueda dar lugar a su responsabilidad automática; sino que ese incumplimiento debe ser imputable a la acción u omisión negligente del responsable de cumplimiento; de modo y forma que cuando el daño a terceros sea debido a un defecto en el modelo de prevención la responsabilidad tenderá ser derivada hacia los administradores de la compañía. Pero si el daño es consecuencia de una defectuosa aplicación del modelo de prevención la responsabilidad, será normalmente atribuible al propio compliance officer.
Conclusión: El compliance officer es un sujeto idóneo para trasferir responsabilidad penal a la empresa, sociedad o grupo empresarial, en su condición de responsable del control normativo.
Posts relacionados:
Responsabilidad penal de las empresas: Sistemas compliance como modelo de prevención, I. Responsabilidad penal de las empresas: Sistemas compliance como modelo de prevención, II. 
La validación provisional como una de las funciones del Director de Seguridad y Jefes de Seguridad. 
Wanna Cry y el Código Penal: artículos 264, 264 bis y 264 ter.