Estas actuaciones ilícitas en el marco de una organización empresarial pueden producirse de muchas formas en función de la casuística, pero se pueden distinguir dos vías de responsabilidad penal de la empresa a la que cualquier organización que se mueva en el mercado debe tener en cuenta.
Por una parte, las acciones delictivas que desarrollen sus empleados o directivos con la intención de obtener un beneficio para la empresa. Por ejemplo, el pago de sobornos para obtener contratos públicos.
Otra vía, menos evidente pero que no debe olvidarse, en cuando terceros utilizan las empresas instrumentalmente para sus fines ilícitos ya sea con la cooperación de sus empleados o por falta de adopción de medidas que lo eviten. Por ejemplo, la utilización de empresas de intermediación inmobiliaria para blanquear dinero procedente de actividades ilegales.
Es por esta razón que desde organizaciones internacionales se hizo en los últimos años un importante esfuerzo para incentivar a los estados a incorporar en sus legislaciones medidas sancionadoras de las empresas.
En España, estas modificaciones se llevaron a cabo por la vía de la responsabilidad penal de las personas jurídicas con las reformas del Código Penal de 2010 y 2015. Estas reformas conllevan la posibilidad de que la organización empresarial pueda ser procesada y condenada por delitos cometidos por sus empleados bajo determinadas condiciones.
La cuestión es ¿cómo puede una empresa evitar la sanción penal?
En la medida en la que la organización empresarial no es en sí misma la que realiza la acción delictiva sino sus empleados o directivos, la única vía que tiene la empresa para protegerse del riesgo penal es establecer medidas de prevención eficaces que minimicen y, en todo caso, dificulten que los empleados puedan cometer delitos.
A diferencia que en otros países, en España la información que desde instancias gubernamentales se da a las empresas respecto a cómo implementar estos programas de prevención de delitos es muy precaria.
El Código Penal establece esta vía de exención de responsabilidad penal en el artículo 31 bis para las empresas que adopten modelos de gestión y organización eficaces en la prevención de delitos. Incluso el apartado 5 del mismo precepto establece los requisitos que tales modelos deberían cumplir para que la empresa pueda eximirse de responsabilidad.
Sin embargo, a diferencia que en otros países, en España la información que desde instancias gubernamentales se da a las empresas respecto a cómo implementar estos programas de prevención de delitos es muy precaria, hasta el punto de que la información contenida en el Código Penal no es más que un conjunto de requisitos, que si bien deben cumplirse, no constituyen un marco de referencia que permita trabajar con la debida seguridad jurídica.
Para poder contar con un modelo de gestión eficaz que se pueda presentar ante un Tribunal como causa de exención de la responsabilidad penal, las empresas deben adoptar medidas de prevención de delitos integradas en un programa de compliance bien implementado y ejecutado.
Es posible que por tamaño o naturaleza de su actividad existan empresas en las que sea factible implementar medidas de prevención de determinados delitos de forma aislada. Sin embargo, a poco que la empresa tenga una cierta estructura o tamaño, las medidas de prevención eficaces sólo pueden serlo dentro de un programa integrado de compliance.
A diferencia de lo que aquí ocurre, en algunos países se han emitido guías de orientación o manuales para la implantación de programas de prevención de delitos en un entorno de compliance. Estados Unidos, Reino Unido, Australia o Alemania destacan por sus guías en materia de compliance penal en general o sobre determinados delitos como la corrupción.
Estados Unidos, Reino Unido, Australia o Alemania destacan por sus guías en materia de 'compliance'.
El estudio comparado de estos antecedentes normativos ha creado un cuerpo de conocimiento en la materia que permite de manera orientativa determinar los requisitos mínimos de exigencia para que las empresas tengan una correcta organización en el cumplimiento de la Ley y la prevención de conductas criminales.
Con diferencias entre ellos, se podría determinar que coinciden en los siguientes principios o directrices:
- The tone from the top: Expresión anglosajona que expresa la necesidad de que las políticas e iniciativas en materia de cumplimiento, de valores éticos y de prevención de conductas ilícitas partan desde los niveles más altos de la organización empresarial. No sólo se trata de que los altos directivos y miembros del Consejo de Administración impulsen las medidas, sino que sean un ejemplo de cumplimiento en los que el resto de la organización se vea reflejada.
- Evaluación de riesgos: Un programa de prevención que no esté diseñado bajo la matriz de un documento de evaluación de los riesgos inherentes a la concreta organización empresarial se convierte en un programa estandarizado con el peligro de que se destinen tiempo y recursos a riesgos de baja intensidad y se desatiendan aquellas áreas de verdadero riesgo de comisión de delitos.
- Estructura normativa de cumplimiento: La empresa debe contar con un cuerpo normativo en materia de cumplimiento y prevención que tendrá su máxima expresión en un Código Ético o de Conducta en el que se reflejan los valores de la organización.
- Debida diligencia: La debida diligencia exige que las empresas articulen los procedimientos adecuados y proporcionales al riesgo al que se enfrentan y constituyen tanto una forma de reducción del riesgo como una forma de evaluarlo.
- Incentivos y medidas disciplinarias: No es posible ejecutar un programa ético y de cumplimiento eficaz si no contiene un sistema de recompensas o sanciones para premiar el cumplimiento y desincentivar el incumplimiento.
- Comunicación y formación: A veces olvidada, la comunicación de los valores éticos, de cumplimiento y prevención de delitos de la empresa es una de las mejores formas de mitigar el riesgo. La comunicación además de concienciar a los empleados permite obtener un buen feedback de los riesgos o zonas grises de incumplimiento.
- Canal de denuncias: Se trata del camino de vuelta de la comunicación, en el que los empleados y terceros encuentran una vía confidencial en la que puedan expresar sin riesgo a represalias la existencia de infracciones, zonas oscuras o conductas infractoras de las que tienen conocimiento.
- Revisión y actualización: La empresa es una organización viva que se mueve en un mundo en cambio. Los cambios estructurales, de actividad o ampliaciones generan nuevos frentes de riesgos que deben ser revisados. En otros casos, son los cambios legislativos que obligan a revisar las medidas. Y, en la mayoría, la revisión y actualización vendrá por los propios defectos de organización detectados por la propia empresa.