Por Beatriz Goena Vives
Doctora en Derecho penal
Profesora asociada en Universidad de Barcelona y en Universitat Pompeu Fabra (Barcelona)
El Dr. Carlos Gómez-Jara es Profesor Titular (Acr.) de Derecho penal y socio fundador de Corporate Defense. Es un experto en responsabilidad penal de las personas jurídicas, Derecho Penal Europeo y Compliance.
Ha desarrollado su actividad profesional tanto en España como en EE.UU. Cuenta con una amplia experiencia en procedimientos penales económicos complejos y figura en varios de los directorios jurídicos más importantes a nivel nacional e internacional como uno de los abogados de referencia en España en el área de Derecho penal.
Doctor Europeo en Derecho, LL.M. Columbia University y profesor acreditado titular de Derecho Penal, imparte clases y conferencias en diversas universidades y centros, siendo autor de más de un centenar de publicaciones sobre derecho penal económico.
Asimismo, es miembro del Comité Técnico de diversos estándares ISO sobre gestión de sistemas de compliance y ha sido uno de los primeros expertos en España en intervenir como perito de compliance en un proceso judicial.
En primer lugar, Carlos, nos gustaría mucho agradecerte tu disponibilidad para contestar a esta entrevista.
Bloque I. Quienes conocen mínimamente la discusión en torno a la teorización y puesta en práctica de la responsabilidad penal corporativa, saben que tus contribuciones son lecturas «de obligado cumplimiento». Cuando publicaste tu monografía sobre la culpabilidad de la empresa en el año 2005, la responsabilidad penal corporativa en la mayor parte de los ordenamientos jurídicos de Europa parecía casi ciencia ficción (1) . Y a pesar de ello, anticipaste que era necesario conformar un concepto de culpabilidad empresarial que fuera el fundamento y límite de las penas a las entidades colectivas. A tal efecto, propusiste un modelo constructivista de culpabilidad corporativa por el hecho propio, que todavía hoy sigue protagonizando la discusión académica y jurisprudencial. Por ello, nos gustaría comenzar la entrevista con un primer bloque de preguntas en torno a esta cuestión.
B. Goena:El modelo de autorresponsabilidad genera opiniones a favor y en contra. Y quizás la propia jurisprudencia de la Sala Segunda del Tribunal Supremo lo refleja de modo paradigmático. Pese a una primera sentencia favorable al modelo de autorresponsabilidad, hubo un voto particular suscrito por siete magistrados y un anuncio de que, por el momento, no cabía esperar un Acuerdo de Sala en esta materia. Y, de hecho, las sentencias posteriores muestran posturas no siempre unánimes. Por ello, y dejando a un lado los argumentos en favor de un (minoritario y casi superado) modelo de responsabilidad puramente vicarial, ¿cuál sería tu principal réplica a los defensores de modelos mixtos? ¿no se adecúan mejor estas propuestas al tenor literal del art. 31 bis CP (LA LEY 3996/1995), de un modo suficientemente respetuoso con el principio de culpabilidad? ¿Por qué no entender el sistema como uno en el que se atribuye una responsabilidad basada en consideraciones de justicia distributiva y no como uno en el que se imputa una culpabilidad en términos de justicia conmutativa?
C. Gómez-Jara: Mi réplica sería, en general, que el modelo que se escoja para imputar responsabilidad penal a las personas jurídicas [RPPJ] debe ser funcionalmente equivalente al modelo para imputar responsabilidad penal a las personas físicas. Si para las personas físicas no nos sentimos cómodos (hoy en día se usa mucho el calificativo de «confortables») con la existencia de modelos mixtos, tampoco deberíamos sentirnos cómodos aplicándolos a las personas jurídicas. Entre otras cuestiones porque si comenzamos a emplearlos con las personas jurídicas, existe un riesgo notable de que se termine aplicando igualmente a personas físicas. Piénsese en posiciones de garantías entre personas físicas: la tentación de acudir a esos modelos mixtos de auto y heterorresponsabilidad es muy grande.
El tenor literal del Art. 31 bis) CP (LA LEY 3996/1995) se asemeja prima facie a modelos mixtos (como escribí hace más de una década (2) ). Pero de ahí la importancia de la labor correctora de la jurisprudencia. Hasta el Legislador de 2015 fue sensible a estas cuestiones y la reforma introducida salió al paso, según la propia Exposición de Motivos, de interpretaciones de nuestra responsabilidad penal de las personas jurídicas como un «régimen de responsabilidad vicarial». Precisamente por ello en su día (2011) propuse la distinción entre presupuestos y fundamentos de la RPPJ, que más tarde ha sido acogida por el Tribunal Supremo.
Finalmente, pese a que se ha discutido mucho (nada más y nada menos que hasta Santo Tomás) sobre lo que Aristóteles quería decir con la distinción entre justicia distributiva y justicia conmutativa, lo cierto es que existe un cierto consenso en que la justicia conmutativa está vinculada en el «dar a cada uno lo suyo». Y ciertamente, en mi opinión, para personas físicas y personas jurídicas es el más adecuado. La justicia distributiva, de nuevo en mi opinión, podría vincularse más al derecho administrativo sancionador donde se pueden tener en cuenta consideraciones más cercanas a una distribución de las cargas en función en los riesgos generados en aras del bien común.
B. Goena:En tu comentario a la Sentencia del Tribunal Supremo de 8 de marzo de 2019 (Ponente: Excmo. Sr. D. Miguel Colmenero) (3) , consideras acertado distinguir entre los presupuestos de la responsabilidad penal corporativa (delito antecedente de la persona física) y sus fundamentos (posición de garante de la persona jurídica). Sin embargo, el art. 31 bis. 1. b) CP individualiza en los directivos «los deberes de supervisión, vigilancia y control». ¿De qué modo son deberes propios de la empresa y, por ende, elementos configuradores de su autorresponsabilidad?
C. Gómez-Jara: En primer lugar, considero que dicha distinción entre presupuestos y fundamentos es acertada porque …yo mismo la propuse en una obra de 2011 (4) ; esto es, unos cuantos años antes de que captara la atención el Excmo. Tribunal. Por tanto, sería hipócrita por mi parte criticar la adopción de una distinción que yo mismo he propuesto (¡!). Más que criticar no puedo sino agradecer que la haya adoptado un operador jurídico tan fundamental como el Tribunal Supremo.
Tal y como está configurado el Art. 31 bis) CP (LA LEY 3996/1995), el presupuesto de la RPPJ se basa, tanto en el apartado a) como en el apartado b) en los directivos. Resumidamente, y sin entrar en mayores disquisiciones, en el a) por actuaciones de los directivos en el b) por incumplimiento grave de los directivos de los deberes de supervisión etc sobre los empleados. Pero en ambos casos, el foco se centra en los directivos. Ciertamente, se podría anudar a aquellas concepciones (que no es la mía) que consideran que el órgano de administración es una suerte de «alter ego» de la persona jurídica.
Dicho esto, en mi opinión, con este análisis todavía no hemos entrado en el ámbito de la autorresponsabilidad de la persona jurídica. Es decir: de lo propio de la persona jurídica. Por lo tanto, en puridad, «los deberes de supervisión, vigilancia y control» enunciados en el Art. 31 bis).1 b) CP son deberes que incumben a personas físicas; no a las personas jurídicas. Cierto es que, en general, los sistemas de gestión de Compliance (los modelos de organización) contribuyen a definir y comprobar la eficacia de esos deberes que incumben a personas físicas; pero los deberes del tenor literal Art. 31 bis).1 b) CP no son de la persona jurídica.
B. Goena:Uno de los principales argumentos en favor de sostener que la responsabilidad penal corporativa no lo es por un hecho propio, es la de la regla de transferencia de responsabilidad penal del art. 130.2 CP. Para algunos autores, se trata de un precepto inconstitucional. Para otros, se trata de una cláusula que debe supeditarse a la identidad económica entre la empresa sucesora y antecesora y/o a la ausencia de diligencia debida previa y/o posterior por parte de la empresa sucesora. En este sentido, tu posición en los casos que se han planteado hasta ahora en la jurisprudencia de nuestro país es que las personas jurídicas no pueden heredar responsabilidad penal. En esta línea, ¿cuál crees que es la interpretación más adecuada del art. 130.2 CP (LA LEY 3996/1995) en términos no sólo teleológicos, sino también legales y sistemáticos?
C. Gómez-Jara: El Art. 130.2 CP (LA LEY 3996/1995) contiene dos párrafos. Creo que su análisis debe ser diferenciado, aunque, en mi opinión, existe un hilo conductor: la identidad organizativa de la persona jurídica. O, al menos, creo que es una herramienta adecuada para enfocar una interpretación razonable y razonado.
Por lo que respecta al primero, existe una afirmación taxativa al comienzo (se «traslada» la responsabilidad penal) que luego se atempera (el juez puede moderar el «traslado» de la pena); sin que se pueda excluir que no «traslada» —sc. impone— pena alguna. Desde mi punto de vista, si el juez considera que no existe identidad organizativa alguna entre la persona jurídica delincuente inicial y la persona jurídica (fusionada, absorbida o extinguida) resultante, entonces no debe imponer pena alguna; se produce la extinción. Dependiendo del grado de identidad organizativa que guarde, así deberá moderarse el «traslado» de la pena.
En lo que hace al segundo párrafo, se contiene una típica cláusula anti-fraude en virtud de la cual, si se produce una disolución «fraudulenta» de la persona jurídica, dado que sigue gozando de la misma identidad organizativa —sc. «identidad sustancial de clientes, proveedores y empleados»— la responsabilidad penal permanece. Para poner un símil con personas físicas, equivaldría a «fingir» o «aparentar» el fallecimiento de una persona física después de haber cometido un delito. Aunque después aparezca con un nuevo DNI etc., sigue manteniendo su identidad material y en consecuencia no se ha extinguido su responsabilidad penal.
Una forma en la que parece que se está intentando abordar la problemática del Art. 130.2 CP (LA LEY 3996/1995) por parte del Tribunal Supremo es una suerte de extensión del requisito fraudulento contenido en el párrafo segundo, al párrafo primero. En sendas Sentencias de 2019 y 2020, el siempre habilidoso e ingenioso Excmo. Magistrado D. Vicente Magro parece sugerir que una forma de evitar las conculcaciones de los principios informadores penales es exigir que las modificaciones estructurales sean de alguna forma «fraudulentas».
Así en la STS 530/2019, de 31 de octubre (LA LEY 158443/2019) se indica:
Si no se produjera la transmisión de la responsabilidad penal y civil en lossupuestos de modificación estructural de las sociedades mercantiles podrían admitirse supuestos de fraude en estas transmisiones para dejar sin cumplir la pena, o escapar de los regímenes de la responsabilidad subsidiaria del art. 120 CP en la modalidad de los n.o 2 o 3 CP, dejando a las víctimas y perjudicados sin percibir sus indemnizaciones ante una transmisión societaria de transformación de su estructura y denominación social.
En la STS 109/2020, de 11 de marzo (LA LEY 60498/2020) afirma:
Existe, pues, una directa traslación de la responsabilidad penal a la sociedad en que se transforme, quede fusionada o absorbida. Y ello, paraevitar el fraude de la transmisión de empresasque están sometidas a un proceso penal con extinción de la investigada y traslación del patrimonio a una nueva, que en base a este art. 130.2 CP (LA LEY 3996/1995) asume la «responsabilidad penal de la transmitente», lo que no deja de ser curioso, aunque entra de lleno en la propia especialidad del campo de la responsabilidad penal de las personas jurídicas,y para evitar el referido fraude.
El «único» problema con dicha interpretación es que en el párrafo primero no aparece ni rastro del requisito del fraude. No obstante, como sería una interpretación en favor del reo, podría argumentarse que el requisito de la fusión/absorción/escisión fraudulenta viene dado por necesidades de llevar a cabo interpretaciones conformes a los principios informadores básicos del Derecho penal puesto que está prohibida la responsabilidad penal objetiva. En definitiva, sólo operaría el Art. 130.2 si se ha producido una fusión/absorción/escisión con la finalidad de evitar la responsabilidad penal. Si no se acredita esa finalidad espuria, entonces debe declararse extinta la responsabilidad penal de la persona jurídica resultante.
Cuestión distinta, que no puedo abordar ahora, es la relativa al mantenimiento de la identidad (ya sea de personas físicas o jurídicas) a lo largo del tiempo. Sobre esta cuestión se ha escrito mucho en el ámbito de las personas físicas, tanto desde un punto de vista jurídico como incluso filosófico, ya que está en la base de determinadas construcciones jurídico-penales. Sobre las personas jurídicas también se ha producido un debate importante (5) , principalmente en el ámbito anglosajón, pero como digo desbordaría esta entrevista.
Bloque II. Junto a la discusión acerca del modelo de responsabilidad penal corporativa, otra cuestión importante es la del papel que la cultura corporativa debe jugar en la imputación. A tal efecto, formulamos las siguientes preguntas:
B. Goena:Actualmente, tanto doctrina como jurisprudencia se encuentran divididas en relación con la valoración de la ausencia de cultura ética como requisito de atribución de responsabilidad penal a las personas jurídicas. Desde tu concepción, la ausencia de tal cultura ética no constituye un elemento autónomo del tipo objetivo de la responsabilidad de las personas jurídicas (6) , sino el elemento configurador de la culpabilidad corporativa (7) . Sin embargo, la ausencia de un compliance no está tipificada penalmente y emplearla como criterio delimitador de la culpabilidad podría terminar por legitimizar una suerte de responsabilidad por la conducción de vida. ¿Qué contenido debe tener una cultura ética para ser elemento configurador de la culpabilidad? ¿Se trata de contar con un programa de compliance que cumpla con los requisitos del art. 31 bis 5 o de algo más? ¿Qué sentido tiene extender la normativización de la cultura ética (o del compliance) más allá de la lógica de los incentivos-desincentivos o del sistema de defences angloamericano?
C. Gómez-Jara: Precisamente por no estar tipificada entiendo complicado que se pueda sostener que la cultura de compliance (no estoy muy de acuerdo con lo de cultura «ética», si bien la discusión sobre dicha calificación y el porqué de su inclusión por ejemplo en las Sentencing Guidelines estadounidenses nos llevaría un buen rato (8) ) es un elemento del tipo; entiendo más adecuada considerarla un (el) elemento conformador de la culpabilidad de la persona jurídica. Al igual que ocurre con las personas físicas, la culpabilidad es un elemento interno, íntimo y muy propio del acusado. Entiendo que la cultura empresarial refleja precisamente esa dimensión interna.
Dicho esto, desde mi punto de vista, para abordar cualquier cuestión relativa a la culpabilidad de las personas jurídicas debemos tomar como referencia, al igual que he dicho anteriormente, la culpabilidad de las personas físicas. No se puede exigir más a las personas jurídicas en términos de acreditación de la culpabilidad de lo que se exige a las personas físicas. No voy a entrar aquí (porque de nuevo desbordaría los límites razonables) en la discusión sobre la culpabilidad por conducción de vida tanto en personas físicas (denostada durante años por su vinculación con determinados juristas poco «democráticos») como en jurídicas (principalmente a raíz de las aportaciones del tristemente fallecido Günter Heine), pero entiendo que lo relevante en cualquier caso es la manifestación que se produce en el momento de comisión de los hechos.
A nivel internacional hemos intentado hacer un esfuerzo en los comités ISO para estandarizar precisamente el contenido de la cultura de compliance (Compliance culture). Tanto en la ISO 19.600 (actualmente ISO 37.301) como en la UNE 19.601 intentamos ofrecer una serie de indicadores para poder acreditar esa cultura de compliance (y, por cierto, en la revisión que estamos efectuando de la ISO 37.001 se está proponiendo precisamente estresar la importancia de la cultura de complicance). La cultura de compliance no consiste en meramente tener un programa de compliance que cumpla con los requisitos del Art. 31 bis) CP. (LA LEY 3996/1995) Una persona jurídica puede cumplir formalmente con dichos requisitos, pero no gozar de una cultura de compliance. El comúnmente conocido «paper compliance» existe (y mucho) en empresas españolas.
Respecto del «sentido» de la extensión de la «lógica de la normativización», creo que dicho «sentido» está muy vinculado a la importancia de la seguridad jurídica para los ciudadanos corporativos. Cualquier persona que se dedique al mundo del Compliance habrá podido comprobar cómo se produjo una verdadera explosión en la adopción de programas de cumplimiento por parte de empresas a partir de la reforma de 2015. Y esa explosión está muy vinculada a que en el Código penal se establecían esos requisitos mínimos que debían tener los programas de cumplimiento (modelos de prevención, detección y reacción frente al delito).
B. Goena:Nuestros Tribunales se han pronunciado sobre el alcance del concepto de «imputabilidad» a las personas jurídicas. Y, en línea con lo que avanzaste hace más de una década (9) , parecen optar por un criterio material, construido sobre dos factores: el nivel de complejidad interna y el grado de actividad ilegal desplegada. De este modo, es frecuente calificar de inimputables a las sociedades pantalla o meramente instrumentales (STS 154/2016, 108/2019 y 3430/2020). Algo que resulta difícilmente conciliable con una voluntad legislativa exclusivamente basada en criterio formales: tanto para imputar a sociedades de pequeñas dimensiones (31 bis 3 CP) e instrumentales (66 bis 2ª b CP), como para no imputar a organizaciones potencialmente complejas, pero no registrables como personas jurídicas (129 CP). ¿Qué diferencia a las empresas pantalla u organizaciones de orientación mayoritariamente ilegal de las entidades que se integran en el art. 129 CP? ¿Dónde situar el umbral mínimo de complejidad requerido para que una empresa sea imputable? (10) ¿No sería más sencillo optar por un sistema de sanciones flexible que permita responder de modo diferenciado a los diferentes tipos de entidades?
C. Gómez-Jara: ¿Qué diferencia a las empresas pantalla u organizaciones de orientación mayoritariamente ilegal de las entidades que se integran en el art. 129 CP?
La diferencia radica en que las entidades del Art. 129 CP (LA LEY 3996/1995) no tienen, por definición, personalidad jurídica. Sobre las sociedades pantalla se debe aplicar el Art. 33.7 b) CP (LA LEY 3996/1995) (la disolución de la personalidad jurídica) puesto que, por definición, son un instrumento (Art. 66 bis (LA LEY 3996/1995)) 2 CP). Sobre las organizaciones de orientación mayoritariamente ilegal, si gozan de personalidad jurídica, se debe aplicar igualmente la disolución puesto que, de nuevo, de conformidad con el Art. 66 bis (LA LEY 3996/1995)) 2 CP, serán siempre un instrumento cuando «la actividad legal de la persona jurídica sea menos relevante que su actividad ilegal». Finalmente, a las organizaciones de orientación mayoritariamente ilegal pero sin personalidad jurídica no se les puede imponer la pena del Art. 33.7 b) CP (LA LEY 3996/1995) puesto que al consistir ésta en la «disolución de la personalidad jurídica» y carecer dichas organizaciones precisamente de personalidad jurídica, resulta de imposible aplicación por imperativo legal. No obstante, en algunos casos la disolución está prevista expresamente como consecuencia accesoria del tipo penal concreto (aunque no se recoja en el Art. 33.7 CP (LA LEY 3996/1995)).
¿Dónde situar el umbral mínimo de complejidad requerido para que una empresa sea imputable?
Esta es una cuestión que tanto para personas físicas como para personas jurídicas es complicada. Como escribí hace más de una década (11) entiendo que en ambos casos es un límite que va variando con el tiempo. La pregunta es, en todo caso, la misma: cuándo consideramos que una persona (física o jurídica) goza de una autonomía propia suficiente. La respuesta teórica es, en mi concepción y siguiendo a Gunther Teubner (12) , cuando surge el denominado «Actor Corporativo», de tal forma que las normas de la organización determinan quién es miembro de la organización y las decisiones organizativas se vinculan a la identidad organizativa.
Dejando el ámbito teórico, en primer lugar, ya en el Art. 130.2 párrafo segundo se contiene un criterio inicial: debe tener «clientes, proveedores y trabajadores». Dicho criterio inicial, en mi opinión, debe ponerse en relación con cuándo el ordenamiento jurídico comienza a exigir determinados deberes organizativos fundamentales que dotan a la persona jurídica de una organización con una complejidad propia y suficiente autonomía. Por ejemplo, en el ámbito laboral, se debe contar con un servicio de prevención propio cuando la empresa tiene, en general, más de 500 trabajadores o, específicamente, cuando existen determinados riesgos laborales. El tema es discutible y probablemente sea la jurisprudencia la que marque a partir de qué nivel de complejidad organizativa se considera que una persona jurídica es independiente de las personas físicas que son miembros de la misma.
¿No sería más sencillo optar por un sistema de sanciones flexible que permita responder de modo diferenciado a los diferentes tipos de entidades?
Si te fijas el Código penal español contiene un grado de flexibilidad a este respecto en el Art. 31 ter) CP. (LA LEY 3996/1995) Sobre la base de la «proporcionalidad» puede modular las penas de multas a personas físicas y jurídicas. Ello sólo resulta lógico cuando se considera que la persona jurídica no es realmente autónoma respecto de la persona física y, en consecuencia, la imposición de una pena a ambas supone una suerte de ne bis in ídem porque hay identidad o quasi identidad de sujeto. Al no ser plenamente imputable la persona jurídica, se le rebaja la pena de multa en función de la pena de multa que se impone a la persona física.
Respecto de las sanciones interdictivas, en el Art. 66 bis) CP (LA LEY 3996/1995) contiene una serie de criterios que permiten una cierta flexibilización: en primer lugar (a) la necesidad de prevenir la continuidad delictiva (b) las consecuencias económicas y sociales, sobre todo para trabajadores y (c) la posición en la estructura corporativa de la persona física que incumplió el control; en segundo lugar, para su imposición por más de 2 años se exige reincidencia o instrumentalidad) que también permiten una cierta flexibilización.
¿El sistema es mejorable? Por supuesto. Pero eso no significa que no se cuenten con herramientas de flexibilización en el sistema actual.
Bloque III. Junto a las anteriores cuestiones relativas al fundamento y a los presupuestos que legitiman el modelo de responsabilidad penal corporativo, existen otros muchos retos vinculados a su viabilidad práctica, que todavía constituyen retos pendientes. Quizás, uno de los temas más necesitados de respuestas es el de las investigaciones empresariales internas: Pese a que el art. 31 bis.5 CP (LA LEY 3996/1995) no las menciona como un elemento necesario para acreditar la eficacia de un programa de compliance, se las considera como un elemento vinculado a la adecuada gestión del canal de denuncias (art. 31 bis.5.5º CP (LA LEY 3996/1995)) y de la evaluación de riesgos (art. 31 bis.5.1º CP (LA LEY 3996/1995)). Ahora bien, el hecho de que las investigaciones internas no se encuentren reguladas se presta a multitud de problemas. Nos centraremos en los siguientes:
B. Goena:Desde el punto de vista del modo en el que se realizan las investigaciones internas, así como de la flexibilización de la exclusionary rule en EE.UU. y en España, ¿qué valor cabe esperar de la información obtenida mediante la vulneración de los derechos fundamentales de un trabajador?
C. Gómez-Jara: En este punto creo que el criterio rector viene dado por la jurisprudencia de la Sala Segunda del Tribunal Supremo a propósito del caso Falciani (y en parte por los desarrollos en EEUU sobre la base de United States of America v. Mathew Conolly et al) (13) . El valor que cabe esperar está muy vinculado a si consideramos que las investigaciones internas constituyen una suerte de brazo extensivo de las autoridades estatales. Desde este punto de vista, creo que hay que distinguir entre las investigaciones internas con anterioridad a que se judicialice un asunto, y las que tienen lugar una vez judicializado (o al menos, una vez que la Fiscalía inicia Diligencias de Investigación). En el primer caso el riesgo de que sean excluidas determinadas evidencias es relativamente bajo debido a que no pueden aplicarse los estándares garantistas del proceso penal; sin embargo, en el segundo caso, sí existe un riesgo cierto de exclusión en caso de no aplicarse rigurosamente dichas garantías.
B. Goena:Respecto al material que se genera en las investigaciones internas, y a la vista de que una misma empresa se puede ver sometida a la jurisdicción de Estados con regímenes muy distintos en esta materia, pueden existir dudas sobre el tratamiento confidencial que cabe esperar de las informaciones generadas en el marco de una investigación interna (y, por extensión, de un programa de compliance). Ya sea a la luz del derecho-deber de secreto profesional, como al amparado del derecho a la no auto-incriminación. Desde tu experiencia profesional como abogado en España y en EE.UU. en esta clase de cuestiones, ¿cuándo y cómo puede considerarse que el material generado en una investigación interna y/o en un programa de compliance está sujeto a la confidencialidad abogado-cliente y/o al derecho al silencio?; ¿cuáles serían tus recomendaciones en este campo?
C. Gómez-Jara: ¿Cuándo y cómo puede considerarse que el material generado en una investigación interna y/o en un programa de compliance está sujeto a la confidencialidad abogado-cliente y/o al derecho al silencio?
Creo que son dos ámbitos diferenciados. En el caso de una investigación interna creo sinceramente que el nivel de protección que proporciona la confidencialidad abogado/cliente no la proporciona ningún otro profesional. Respecto del cómo, es importante que en todos los documentos (y comunicaciones al respecto) se incluya una referencia al hecho de que se trata o de una comunicación abogado / cliente, o de un trabajo derivado de la misma (work product). También es decisivo que la interacción del abogado con el cliente esté muy limitada a una persona (o reducido grupo de personas muy definido) puesto que, en caso contrario (esto es: la «manía» de poner en copia de los correos a muchas personas), se corre el riesgo de que no se considere una comunicación confidencial. Equivaldría a que un cliente y un abogado se reunieran en un bar y el abogado le diera los consejos al cliente «a voces» de tal forma que lo escucharan las personas de alrededor. Difícilmente puede considerarse que esos consejos y la correspondiente información son confidenciales.
En cuanto a los programas de cumplimiento, creo que ahí difícilmente opera la confidencialidad. Por ejemplo, no son pocas las empresas que en su propia página web especifican qué políticas, estructura, sistema etc. de compliance tienen. Dichos programas (sistemas de gestión) también pueden ser objeto de certificación por un tercero independiente, de tal forma que es complicado ver la estricta confidencialidad abogado/cliente. Cuestión diferente es, no obstante, algún apartado específico del programa de cumplimiento; de manera específica, el mapa de riesgos penales. Ahí los papeles de trabajo que se han elaborado para determinar cuáles son esos riesgos etc, pueden contener referencias confidenciales a las entrevistas, etc que se hayan mantenido para dicha determinación. Eso, en mi opinión, si está elaborado por abogados, sí goza de la protección característica de la confidencialidad. Y por cierto, debería estar siempre elaborado por abogados, no sólo por dicha protección, sino porque, en general, si se trata de auditores u otros profesionales, difícilmente van a tener conocimiento alguno de los tipos penales y su interpretación por parte de los tribunales españoles. Personalmente, me he encontrado con ejemplos de no juristas elaborando mapas de riesgos penales, y si algún día ven la luz del día en un tribunal penal, incurrirán en problemas tanto el cliente como el profesional no jurista que los ha elaborado. Para el bien y protección de todos los implicados, es mejor que los elabore un jurista (a ser posible penalista). Se me tachará de «corporativismo» pero, sinceramente, es mi opinión.
Bloque IV. Para finalizar, un par de preguntas en torno a cuestiones procesales de defensa de la persona jurídica:
B. Goena:En cuanto a la exención de pena por contar con un programa de compliance (art. 31 bis (LA LEY 3996/1995) 2 CP): Hasta la fecha, quizás el pronunciamiento más significativo es el de la empresa INDRA en el caso conocido (Auto de la Sala de lo Penal de la Audiencia Nacional de 8 de julio de 2021, en el marco del caso conocido como «Operación Púnica»). No obstante, una lectura atenta al razonamiento de la resolución judicial podría sugerir que también fue decisiva la colaboración post-delictiva por parte de la persona jurídica con las autoridades. ¿Cuál es tu opinión al respecto? ¿Es posible pensar en una exención por compliance que no vaya acompañada de una actitud proactiva (defensa afirmativa) por parte de la empresa imputada?¿Crees que la defensa de la persona jurídica debe ser siempre —en términos angloamericanos— afirmativa?
C. Gómez-Jara: ¿Cuál es tu opinión al respecto?
Creo que tanto el Auto de la Sala como los anteriores Autos de Juzgado Central de Instrucción número 6 de 23 de marzo de 2021 y de 10 de mayo de 2021 son importantes.
¿Es posible pensar en una exención por compliance que no vaya acompañada de una actitud proactiva (defensa afirmativa) por parte de la empresa imputada?
Creo que en fase de instrucción no es posible en una exención a menos que haya una defensa afirmativa. Ahora bien, esa defensa afirmativa no implica necesariamente una colaboración post-delictiva. Es decir, se puede afirmar la vigencia y bondad del programa de cumplimiento con independencia de si se investiga y colabora. Por lo que se refiere al Juicio Oral creo que incluso es posible una exención por compliance sin una defensa afirmativa. Es decir, creo que se puede llegar a la absolución simplemente cuestionando la carga de la prueba por parte de la acusación respecto de la falta de idoneidad del programa de compliance.
Dicho esto, en general, creo que resulta mucho más plausible una exención por compliance si se produce una colaboración activa por parte de la persona jurídica. Cuestión diferente es que nos estamos encontrando en varios procedimientos con colaboraciones absolutamente ficticias. Esto es, al igual que existe el «paper compliance» existe el «paper investigation». Algunas personas jurídicas simulan una investigación y colaboración en profundidad cuando, en realidad, ocultan información relevante o simplemente inundan con información irrelevante.
¿Crees que la defensa de la persona jurídica debe ser siempre —en términos angloamericanos— afirmativa?
Creo que debe ser fundamentalmente afirmativa. Con independencia de que, en algunos casos, cuando las «cartas vienen mal dadas» habrá que centrarse en cuestionar la prueba de cargo; pero lo mismo ocurre con las personas físicas.
B. Goena:En los últimos años, hemos asistido a un esfuerzo por parte de los expertos en materia de compliance hacia la objetivación de criterios respecto de lo que se considera una adecuada organización en términos de compliance. A tal efecto, tú has intervenido como miembro del Comité Técnico de los estándares ISO 19600, ISO 37301, ISO 37001 UNE-ISO 19601. Asimismo, han cobrado importancia los informes periciales relativos a estos sistemas de gestión. Tú has sido uno de los primeros —si no el primero— en informar como perito respecto del sistema de gestión de cumplimiento de la entidad Deloitte, en el caso Bankia. Por lo que se refiere a la primera cuestión: ¿Qué relevancia tienen o pueden llegar a desplegar los referidos estándares a efectos de una defensa en compliance? ¿Están pensados únicamente para empresas con cierto tamaño y/o determinada capacidad adquisitiva? Y por lo que se refiere a las periciales de compliance: ¿En qué consiste una pericial de compliance? ¿Se emplea en otros países? ¿Qué perfil y background debería tener una persona que quiera prestar este servicio? ¿Crees que sería necesario un registro de peritos?
C. Gómez-Jara: ¿Qué relevancia tienen o pueden llegar a desplegar los referidos estándares a efectos de una defensa en compliance?
Creo que dichos estándares son sumamente importantes para poder abordar con propiedad la eficacia e idoneidad de los programas de compliance. Como indica la propia denominación de estos estándares, se trata de estándares de «sistemas de gestión» (management systems). Ello hace que su orientación sea hacia la implementación efectiva y funcionamiento eficaz de los programas/sistemas; y no solamente hacia su conservación en un repositorio de documentación. Cada vez estamos llevando a cabo más estandarizaciones que entiendo son muy relevantes para el ámbito del compliance. Ahora estamos trabajando en estándares sobre los sistemas de compliance en la contratación pública (sobre lo que escribí hace casi diez años (14) proponiendo que fueran un requisito de contratación pública…pero no tuvo mucha repercusión la verdad (15) ), sobre las investigaciones internas y, en fin, sobre otras cuestiones relacionadas.
¿Están pensados únicamente para empresas con cierto tamaño y/o determinada capacidad adquisitiva?
Están pensados para cualquier empresa que tenga una cierta organización; sin organización no hay sistemas de gestión. Eso no significa que sean sólo para sociedades cotizadas o similares. En general: cualquier empresa que pueda certificarse en la ISO 9.001 (sistemas de gestión de calidad) —que es probablemente la ISO más conocida en el mundo empresarial— puede certificarse en las ISO 37.301 o 37.001, así como en la UNE 19.601. Existen muchas PYMES que tienen la certificación ISO 9.001 y que, en consecuencia, podrían obtener las ISO 37.301, 37.001 o la UNE 19.601.
Y por lo que se refiere a las periciales de compliance:
¿En qué consiste una pericial de compliance?
Como cualquier pericial, consiste en proporcionar «conocimientos científicos o artísticos» (artículo 456 LECrim (LA LEY 1/1882)) que puedan ayudar al Juzgado en el desempeño de su labor. En mi opinión, desde la perspectiva de la RPPJ, dicha pericial debe centrarse en la eficacia y funcionamiento del sistema. Es decir, no puede ser una opinión jurídica (legal opinion) sobre la aplicación del Art. 31 bis) CP (LA LEY 3996/1995) al caso concreto puesto que están vedadas (16) las periciales el Derecho (salvo que sea derecho extranjero). Precisamente por ello entiendo que son muy importantes los estándares internacionales puesto que proporcionan un estándar (valga la redundancia) respecto del cual el perito puede emitir una opinión fundada sobre si un determinado programa de cumplimiento (modelo de prevención, detección y reacción frente al delito) puede considerarse un sistema de gestión de compliance (penal) eficaz.
¿Se emplea en otros países?
En el ordenamiento que yo más conozco después del español, que es el estadounidense, no se utilizan en el acto del juicio oral, fundamentalmente debido a cómo está estructurado dicho sistema de RPPJ. Pero sí se llevan a cabo informes de expertos (que es el equivalente a nuestra pericial) sobre los sistemas de compliance tanto en las presentaciones que se hacen al Departamento de Justicia para convencerles de que no lleguen a acusar (indict) a la empresa como posteriormente una vez que se ha alcanzando un acuerdo para certificar que las medidas sobre los sistemas de cumplimiento que se impusieron con el acuerdo (medidas que siempre aparecen en dichos acuerdos, por cierto) se han implementado correctamente.
¿Qué perfil y background debería tener una persona que quiera prestar este servicio?
Creo que es importante tener conocimientos del funcionamiento de los sistemas de gestión de cumplimiento y también un dominio importante de la responsabilidad penal de las personas jurídicas. Lo primero para poder elaborar adecuadamente la pericia; lo segundo para poder hacer frente a un interrogatorio y contrainterrogatorio duro sobre el informe pericial. Un perfil de mero auditor de sistemas puede hacer un buen informe, pero en un interrogatorio duro sobre el informe y sus repercusiones en la RPPJ se va a encontrar, en mi modesta opinión, algo perdido. Y viceversa, un letrado muy versado en RPPJ pero que desconoce el mundo de los sistemas de gestión etc., va a realizar informes que son más bien opiniones jurídicas y como tal serán rechazados por el tribunal.
¿Crees que sería necesario un registro de peritos?
Creo que ya se está trabajando bastante en ello. No obstante, ese registro entiendo que es de ayuda sobre todo para órganos judiciales que desean llevar a cabo una pericial judicial sobre un determinado modelo de prevención, detección y reacción frente al delito. Para la selección de un perito por las partes (acusadoras o defensoras) no será un requisito ineludible, pero si importante.
Bloque V. Para terminar, simplemente un par de preguntas, mirando al futuro:
B. Goena:En términos de legislación, ¿qué opinión te merecen las Directivas en materia de whistleblowing y de diligencia debida? ¿Cuáles serán sus principales aplicaciones en cuanto se traspongan en nuestro ordenamiento jurídico?
C. Gómez-Jara: ¿Qué opinión te merecen las Directivas en materia de whistleblowing y de diligencia debida?
Creo que son avances importantes, sobre todo la primera en materia de whistleblowing. Con independencia de que muchas empresas tenían ya sus regulaciones internas a efectos del canal de denuncias, política antirepresalias, etc., constituye un refuerzo notable su implementación legislativa. También creo que va a contribuir a esta tendencia la estandarización internacional que hemos llevado a cabo mediante la ISO 37.002 respecto de los sistemas de gestión de Whistleblowing. Aunque se trata de Directrices y no de requisitos como tal, creo que ayudará a la implementación eficaz de estos canales.
¿Cuáles serán sus principales aplicaciones en cuanto se traspongan en nuestro ordenamiento jurídico?
Como bien conoce el lector, con independencia de la transposición efectiva, desde que finaliza el período de transposición (que finalizó en diciembre de 2021) la Directiva despliega derechos (no deberes) para los justiciables (sobre todo para los «informantes»). El problema del actual proyecto de ley de transposición de la Directiva es que, en mi opinión, se ha administrativizado en exceso y no incluye medidas de protección anti-represalias en el ámbito judicial, por lo que los jueces y magistrados tendrán que llevar a cabo interpretaciones de la legislación nacional conforme a la normativa europea; sería conveniente que se incluyeran medidas específicas para el ámbito judicial.
En cualquier caso, ya se está percibiendo un incremento de la utilización de los canales de denuncia en diversos sectores empresariales, y creo que ello resultará en una mayor cooperación público-privada en la persecución del delito (como ocurre en otros ordenamientos donde llevan implantados los canales de whistleblowing desde hace más tiempo).
B. Goena:¿Cuál sería tu recomendación para los profesores de Derecho penal económico de las universidades españolas, para mejorar su docencia en relación con las materias aquí tratadas? ¿Y para los alumnos que están interesados en especializarse en la responsabilidad penal corporativa y el compliance?
C. Gómez-Jara: Creo que los profesores de Derecho penal económico (y los alumnos) se encuentran ahora mismo expuestos a una sobreproducción científica (y mayor aún pseudo-científica) sobre esta materia. El problema principal es la selección de aquello que es obligatorio estudiar para tener una formación adecuada. En nuestro Tratado sobre RPPJ, tanto Miguel Bajo q.e.p.d. como Bernardo Feijoo y un servidor, intentamos cubrir con cierto detalle el mayor número de áreas posibles. Pero la doctrina y la praxis de la RPPJ han avanzado mucho desde la segunda edición (2016); por no hablar del ámbito del Compliance, que se aborda sólo parcialmente en el Tratado y en el que se han producido numerosas actualizaciones de hard law y de soft law.
Muchas gracias de nuevo, por tu amable disponibilidad y por tu tiempo (17) .