La prueba del Sistema de Gestión de Compliance en el proceso penal

Autor: Carlos Cambrón Murillo, responsable del área de certificación de personas de la WCA

Muy recientemente, han surgido resoluciones que, una vez más, han permitido orientar la práctica de la estrategia procesal de cara a probar la efectividad e idoneidad de los modelos de prevención de delitos y enfocando una serie de puntos que dan lugar al fin último de los modelos de compliance, la cultura de cumplimiento.

Nos referimos al Auto del Juzgado Central de Instrucción nº6, de 29 de julio de 2021 por el que se procedió al sobreseimiento provisional de Caixabank S.A. y Repsol S.A. y la sentencia del Juzgado de lo Penal de Avilés, de 13 de febrero de 2020, por el que se absuelve a la persona jurídica AQUAGEST PTFA S.A., en su momento acusada por el delito de cohecho.

Auto del Juzgado Central de Instrucción 6, de 29 de julio de 2021

En este supuesto, se imputó a dichas empresas bajo el fundamento de la existencia de indicios de defectos en los programas de cumplimiento, facilitando la presunta comisión de delitos de revelación de secretos y cohecho. Mediante los escritos de la defensa, se trata de confirmar, que en el momento de la comisión de los hechos objeto de investigación, existían en ambas entidades un plan de cumplimiento normativo y de la implantación de una cultura de Compliance.

Para confirmar lo anterior, Caixabank aportó al procedimiento en fecha de 28 de julio de 2021, documentación consistente y acreditativa de la existencia del modelo de prevención, del código ético, de la matriz de riesgo, del plan de formación, de la política de investigaciones internas y del estatuto del órgano de cumplimiento, así como sus respectivas modificaciones y versiones posteriores, y la certificación por AENOR de las normas UNE 19601:2017 “Sistemas de Gestión de Compliance Penal” e ISO 37001 “Sistemas de Gestión Antisoborno”. Ambos elementos actualizados. Por otro lado, aportaron documentación respecto a los controles específicos sobre los delitos investigados.

En el caso de Repsol, la defensa presentó un informe de 27 de julio de 2021, elaborado por la consultora KPMG, que analiza las medidas implantadas en el ámbito de la prevención de delitos, cultura y cumplimiento normativo.

Dicho informe concluye que la entidad adoptó medidas de debido control antes de la entrada en vigor de la reforma del código penal de 2010. Esto incluye que, en 2011, antes de la comisión de los hechos, ya estaría implementado un programa de prevención de riesgos penales, auditado por un externo el 20 de mayo de 2011, en el que no se apreció aspectos significativos.

Dicho esto, el modelo contaba desde 2011 con un órgano de cumplimiento, mapa de riesgos, procedimientos y controles, canal de denuncia, sistema disciplinario y procedimiento de monitorización para posterior actualización.

En ambos casos, se concluye que “ambas tenían implantado, al tiempo de producirse los hechos objeto de la pieza separada un sistema de prevención y cumplimiento eficaz, sin que se haya aportado por la Fiscalía ni por la acusación particular personada elementos de cargo que permitan concluir la existencia de un defecto estructural en el modelo de prevención, vigilancia y supervisión vigente en la sociedad”.

Sentencia del Juzgado de lo Penal de Avilés, de 13 de febrero de 2020

El fundamento por el que se absuelve a la persona jurídica AQUAGEST PTFA S.A. del delito de cohecho se debe a los argumentos de la defensa, basados en criterios puros de la regulación de la responsabilidad penal de las personas jurídicas, partiendo de 5 ideas fundamentadas en la STS 234/2019, de 8 de mayo:

1. Para la responsabilidad penal de la persona jurídica, debe delinquir la persona física y que se achaque a la jurídica una falta de control grave que facilite la comisión del delito.

2. Es preciso un juicio de culpabilidad específico de la persona jurídica, pues no puede haber una imputación de responsabilidad objetiva, y la persona jurídica cuenta con el derecho a la presunción de inocencia.

3. Que la entrada en vigor de la reforma del código penal de 2015 es más favorable para la responsabilidad penal de la persona jurídica porque se precisan de más requisitos, como es probar la existencia de un defecto estructural grave

4. Las acusaciones no han intentado siquiera probar esa falta de mecanismo de control, pues nada consta en el relato fáctico y ni siquiera se hicieron preguntas. Habla de “desierto probatorio total y absoluto”.

5. No puede hablarse de responsabilidad objetiva y apunta que “se ha sentido más bien como responsable civil subsidiario que como acusado”.

Además, se contempla que, desde la entrada en vigor de la responsabilidad penal de las personas jurídicas, la entidad decide implementar un sistema de prevención penal con el apoyo de asesores y despachos especializados. Se establece así un Compliance Officer, el análisis y elaboración de un mapa de riesgos, protocolos de actuación, un canal de denuncias específico, un plan formativo a los trabajadores y al consejo de administración, y una memoria de actuaciones. Asimismo, se acredita la existencia de un acta del consejo de administración en el que se refleja la adhesión al código ético y al protocolo interno de prevención, detección y gestión de riesgos penales (evidencia una prueba del compromiso traducido en el “tone from the top”). El juzgado suscribe que no se ha podido acreditar la responsabilidad penal del ente, ya que no se ha practicado, por la parte acusadora, ni una prueba que acredite los requisitos que deben probarse para hablar de responsabilidad penal de la persona jurídica.

En resumidas cuentas, la estrategia procesal debe partir de la doctrina jurisprudencial del Tribunal Supremo, que entiende la existencia de un modelo de autorresponsabilidad penal de las personas jurídicas. Es decir, un modelo por el que se condena a una persona jurídica a partir de una previa comisión de uno de los delitos numerus clausus por alguno de los sujetos del artículo 31 bis 1 del Código Penal y el posterior incumplimiento de la obligación de adoptar medidas para controlar y evitar la comisión de dichos delitos. Esto implica, la ausencia de la supervisión y vigilancia del comportamiento de las personas físicas mediante estructuras preventivas, dando lugar a la ausencia de una cultura de Compliance. Es importante señalar esto último porque hablamos del tipo objetivo de la imputación y núcleo de la responsabilidad penal de las personas jurídicas. En estos casos, la Fiscalía debe acreditar la comisión del delito numerus clausus y acreditar el incumplimiento de las obligaciones de supervisión, sin perjuicio de que la empresa, en virtud de su derecho a la presunción de inocencia, aporte sus medios de prueba para demostrar el correcto funcionamiento de su modelo en clave de cumplimiento de la legalidad. En caso de prosperar la defensa, comportará la exoneración de la responsabilidad penal, evitando que la empresa sufra dilaciones indebidas que causen más daños reputacionales.

Sobre al autor

Carlos Cambrón es especialista en compliance por el Ilustre Colegio de la Abogacía de Barcelona. Además, es especialista en Derecho de Empresa por la Universidad Autónoma de Barcelona. Actualmente, se desempeña como responsable área de certificación de personas de la WCA.

Cuenta con un blog dedicado a compliance y al derecho penal, ¿Hay Compliance?: https://haycompliance.blogspot.com/