El beneficio, directo o indirecto, de la empresa o sociedad.
La expresión legal “en beneficio directo o indirecto”, tiene naturaleza objetiva, como acción tendente a conseguir un beneficio, sin necesidad de que éste se produzca: Resultando, pues, suficiente que la actuación de la persona física se dirija, de manera directa o indirecta, a beneficiar a la empresa.
Incluso cuando la persona física haya actuado en su exclusivo beneficio o interés o en el de terceros ajenos a la sociedad, TAMBIÉN se cumplirá la exigencia típica, siempre (CLARO ESTÁ) que el beneficio pueda alcanzar a ésta.
Piénsese que, normalmente, la persona física actuará motivada por el deseo de obtener un beneficio personal; y no tanto, (o en absoluto) con el ánimo de beneficiar a la sociedad.
Valga el ejemplo del portero de una discoteca que, defectuosamente controlado por sus superiores, vende droga a los clientes en su propio beneficio económico; lo que, indirectamente, puede redundar en beneficio de la sociedad a la que podría generar una mayor afluencia de clientes. Solo quedarán excluidas aquellas conductas que, al amparo de la estructura societaria, sean realizadas por la persona física en su exclusivo y propio beneficio o en el de terceros, y resulten inidóneas para reportar a la entidad beneficio alguno, directo o indirecto.
Letra b) del artículo 31 bis 1CP
- El incumplimiento grave de los deberes de supervisión, vigilancia y control.
Estos deberes son exigibles a las personas a que se refiere la letra a); y NO directamente a la empresa o sociedad. Se trata, por tanto, de un incumplimiento de las personas físicas, por dolo o imprudencia grave; y NO una culpabilidad por “defecto de organización” de la empresa. Quedan, extra muros, del ámbito penal aquellos incumplimientos de escasa entidad, de acuerdo con una razonable aplicación del principio de intervención mínima del CP. Tales incumplimientos deberían ser objeto de corrección por la correspondiente normativa administrativa y mercantil, No Penal.
Sobre la responsabilidad por omisión, en estructuras organizadas, la STS nº 1193/2010, de 24 de febrero, advertía que “no existe ninguna razón de peso para excluir la responsabilidad penal del superior que conoce la ejecución del acto antijurídico del inferior, cometido, tanto dentro del ámbito de las funciones de este último como de las facultades de supervisión del superior, y, pudiendo hacerlo, no ejerce sus facultades de control o no actúa para evitarlo. Dicha responsabilidad penal se extiende a aquellas “actividades o actuaciones que ordinariamente no generan peligro para terceros, si en el caso concreto, el directivo conoce la existencia del riesgo generado y la alta probabilidad de que supere el límite del riesgo jurídicamente permitido,” concluyendo la citada sentencia que “el directivo que dispone de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo jurídicamente desaprobado, es responsable por omisión si no ejerce las facultades de control que le corresponden sobre el subordinado o no actúa para impedirla”.
III.-El régimen de exención de responsabilidad de las personas jurídicas. Los modelos de organización y gestión: Programas de cumplimiento normativo o compliance guides.
Que las organizaciones se estructuren dotándose de sistemas organizativos y de control que, entre otras cosas, tiendan a evitar la comisión de delitos en su seno (o, al menos, lograr su descubrimiento) constituye un objetivo legítimo y, por ello, se deberá mosttar especial preocupación por el establecimiento de un adecuado control y una eficiente y prudente gestión de los riesgos societarios.
Por lo demás, significar que los modelos de organización y gestión o corporate compliance programs, NO tienen por objeto evitar la sanción penal de la organización sino promover una verdadera cultura ética empresarial. La empresa, pues, debe contar con un modelo para cumplir con la legalidad en general y, por supuesto, con la legalidad penal en particular; pero no solo con ella, sino con el resto del ordenamiento jurídico. A parte, clara esta, de su conducta ética corporativa o interna.
Tales programas, por lo tanto, no pueden enfocarse a conseguir este propósito sino a reafirmar una cultura corporativa de respeto a la Ley, donde la comisión de un delito constituya un acontecimiento accidental y la exención de pena, una consecuencia natural de dicha cultura. De otra manera, se corre el riesgo de que en el seno de la entidad los programas se perciban como una suerte de seguro frente a la acción penal.
Los modelos de organización y gestión, a que se refieren la condición 1. ª del apartado 2 del art. 31 bis CP, deberán cumplir los siguientes requisitos:
Debemos entender que son mínimos.
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
Identificar los requisitos legales, normativos o contractuales aplicables para cada organización. Se trata de determinar en cada empresa, compañía o sociedad cuáles son los riesgos delictivos más frecuentes: Para ello se tiene que concretar qué delitos sean los más usuales en la rama de actividad a que se dedica la organización, y las actividades donde se cometen o pueden cometerse los ilícitos penales a prevenir. Resulta un indicador positivo el análisis de los bloques normativos que impactan en la actividad de la organización y los riesgos eventuales que de los mismos puedan derivarse, fijando una probabilidad del riesgo en cada uno de los bloques normativos y de actividades. En otra palabras, se trata de la Identificación de los riesgos penales que puedan tener mayor incidencia: Se considerará la tipología de negocio y los delitos relacionados con la actividad de la empresa, así como los riesgos penales derivados de las actuaciones de los empleados, procediendo a su clasificación y priorización.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
Identificar los procesos, áreas o servicios que pueden verse afectados por esos escenarios de riesgo, para conocer cuáles están más expuestos y priorizar las acciones a seguir. El Programa de cumplimiento y prevención debe prever esos procesos de formación de la voluntad de la organización que afecten a las actividades de la empresa potencialmente peligrosas o de riesgo, señalando qué personas (con el perfil adecuado) deben intervenir, a quien debe reportarse la información sobre los riesgos y, en todo caso, debe asegurarse que la decisión adoptada tiene el mínimo riesgo posible en la comisión de los delitos que pretenden prevenirse. Es decir, identificación de los procesos donde pueden residir los riesgos: Análisis de los procesos que se llevan a cabo en la organización para evaluar con mayor detalle dónde pueden residir los potenciales riesgos penales (proceso de comercialización de productos, gestión de compras, pago a proveedores, gestión de residuos, etc.).
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
Resulta cristalino que un programa de prevención de los delitos necesita disponer de recursos financieros suficientes para poder atender a las necesidades puntuales del plan. Asignación, por lo tanto, de una dotación presupuestaria concreta y específica: Demostración evidente de la inversión en recursos, por parte de la organización, para impedir la comisión de delitos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
Dicha obligación vincula directamente con el reporte de cumplimiento. Los cometidos de reporte no sólo se entienden como una función del órgano encargado del cumplimiento hacia el órgano de administración, sino también como una actividad hacia la función de cumplimiento, es decir, desde los empleados hacía el encargado de cumplimiento.
5.º Establecerán un sistema disciplinario que sancione, adecuadamente, el incumplimiento de las medidas que establezca el modelo.
La obligación de establecer un sistema disciplinario adecuado que sancione el incumplimiento de las medidas adoptadas en el modelo presupone, per se, la existencia de un código de conducta en el que se establezcan claramente las obligaciones de los directivos y los empleados.
Y lleva consigo el deber de garantizar la confidencialidad en las denuncias, para lo cual son esenciales los canales de denuncia protectores para con el denunciante. Al efecto, resulta de vital importancia y deberá ser tenida presente LOPD, así como el criterio de la AEPD sobre la creación de sistemas de denuncias internas en las empresas, o WHISTLEBLOWING.
En este sentido, las acciones correctoras de los fallos detectados son esenciales y entre las medidas correctoras destacan las disciplinarias oportunas en el ámbito laboral y contractual. No es admisible, por inconcebible, que un incumplimiento significativo que ponga o pueda poner en riesgo a la organización quede impune.
Una política de tolerancia cero, por parte de la organización, demuestra el grado de implicación y el compromiso de la empresa con el compliance. El establecimiento de una guía disciplinaria básica, dirigida a los empleados, puede ser útil para prevenir el delito habida cuenta de que los empleados de la organización conocerán las consecuencias de la vulneración del corporate compliance.
El mismo programa debe contar con una protección del “delator”. Quiere decirse con ello que si el empleado está obligado a denunciar las conductas irregulares de la empresa, debe protegerse al empleado que cumple su obligación, siendo así que una de las formas más interesantes en la protección del delator (empleado cumplidor-denunciante) será, sin duda, la confidencialidad de la denuncia. En definitiva, establecer canales de denuncia que garanticen la confidencialidad de las mismas es una de las piezas claves del sistema de compliance de una compañía, siendo aconsejable la externalización de los sistemas o canales de denuncia, lo que incidirá positivamente en la garantía de anonimato en el denunciante.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
Se trata, obviamente, de detectar los fallos y corregirlos, de adaptarse a las circunstancias de cada momento. Es lo que se conoce con el término «monitoreo», que exige una revisión periódica para valorar la eficacia del plan; adaptarse a las novedades que se vayan produciendo dentro de la organización (por ejemplo, la presencia en nuevos mercados) y fuera de ella (fundamentalmente cambios de normativa); y salir al paso de los fallos que se hayan producido, lo que requiere una adaptación a los mismos del programa.
Conclusión: El sello distintivo de un programa eficaz es que la organización ejerza la diligencia debida para tratar de prevenir y detectar la conducta criminal de sus empleados y otros agentes, de suerte tal que, para poder hablar de un programa eficaz, es preciso acreditar una cultura de cumplimiento dentro de la organización.
Ahora bien, la existencia de la comisión de un delito pese a la implementación del programa de cumplimiento NO lo convierte, per se, en ineficaz; la eficacia ha de ser medida por la razonabilidad del mismo en relación con las actividades de riesgo de la organización, en definitiva, el programa ha de ser eficaz para prevenir el delito, no siendo preciso que sea infalible.
Posts relacionados:
Responsabilidad penal de las empresas: Sistemas compliance como modelo de prevención, I. Responsabilidad penal de las empresas: Sistemas compliance como modelo de prevención, y III. 
La validación provisional como una de las funciones del Director de Seguridad y Jefes de Seguridad. 
Wanna Cry y el Código Penal: artículos 264, 264 bis y 264 ter.