Resumen: Se explica de forma didáctica el modelo de transferencia de responsabilidad penal
en la empresa, para acabar recomendando la implantación de un modelo de
prevención de riesgos penales.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
||
Actualizado
|
1 de septiembre
de 2016
|
|
Índice
1. Obligatoriedad de los programas de Compliance Penal
2. Transferencia de
responsabilidad de la PF a la PJ3. Transferencia de responsabilidad de la PJ al administrador
4. El triángulo de responsabilidad penal en la persona jurídica
5. Epílogo
6. Bibliografía consultada
7. Control de cambios del artículo
8. Derechos de autor
0. Artículo disponible en vídeo
1. Obligatoriedad de los programas de Compliance Penal
He tenido ocasión de leer
titulares de artículos donde se señala la obligación de implantar un
programa de prevención de delitos en las empresas. Nada más lejos de la
realidad.
Otro si es que su
implantación, habitualmente en forma de Sistema de Gestión del Cumplimiento
Penal (SGCP), sea, en la coyuntura actual de nuestro ordenamiento jurídico, muy
recomendable y casi imprescindible, como veremos más adelante.
La confusión surge del entonces
proyecto de Ley Orgánica por la que se modificaba la Ley Orgánica 10/1995, de
23 de noviembre, del Código Penal, de fecha 4 de octubre de 2013, [2] en
el que, los que por aquel entonces ya nos dedicábamos a Compliance Penal
recordaremos que se proponía introducir un nuevo artículo 286 seis CP que
penaba directamente al representante legal o administrador de cualquier
sociedad, con el siguiente redactado:
“1. Será castigado con pena de
prisión de tres meses a un año o multa de doce a veinticuatro meses, e
inhabilitación especial para el ejercicio de la industria o comercio por tiempo
de seis meses a dos años en todo caso, el representante legal o administrador
de hecho o de derecho de cualquier persona jurídica o empresa, organización o
entidad que carezca de personalidad jurídica, que omita la adopción de las
medidas de vigilancia o control que resultan exigibles para evitar la
infracción de deberes o conductas peligrosas tipificadas como delito,
cuando se dé inicio a la ejecución de una de esas conductas ilícitas que habría
sido evitada o, al menos, seriamente dificultada, si se hubiera empleado la
diligencia debida (…)”.
Este artículo se consideraba por aquel entonces de efectos devastadores
ya que, partiendo del deber de garante del representante o administrador societario, se le castigaba como sujeto activo
por un delito de omisión respecto a las
medidas de vigilancia y control exigibles para evitar la comisión de determinados
delitos en la empresa.
Dicho artículo 286 seis CP
se cayó del texto definitivo y, en consecuencia, ya no consta en la vigente Ley
Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica
10/1995, de 23 de noviembre, del Código Penal.
No obstante, se verá más
adelante en este artículo que el Código Penal en vigor dispone de mecanismos
para suplir la ausencia del referido artículo 286 seis CP.
2. Transferencia de responsabilidad de la PF a la PJ
Un segundo error que suelo
apreciar es que todavía hay quien considera que el modelo español de
transferencia de Responsabilidad Penal de la Persona Jurídica (RPPJ) le
transfiere la culpa del acto delictivo cometido por la PF a la PJ, cuando lo
único que se transfiere es la responsabilidad penal del mismo y, en
consecuencia, con penas graves, pero distintas. De ahí que pueda haber exención
de esa responsabilidad transferida a la PJ si en base a la debida diligencia se
ha implantado un modelo de prevención penal.
Podemos afirmar que si por
ejemplo una PF sometida al control de la PJ comete en provecho de la sociedad y
durante las actividades societarias uno de los delitos catalogado como
susceptible de acarrear RPPJ, será también la PJ penalmente responsable y
castigada con las penas que en el CP se determinen, a no ser que la PJ disponga
implantado un modelo eficaz de prevención de delitos, como dice la Circular
1/2016 de la Fiscalía General del Estado (FGE), arraigado en la cultura de la
organización.
En el caso de la PJ las
penas pueden oscilar desde una sanción económica, pasando por clausura de
locales o intervención judicial, hasta la disolución de la organización.
3. Transferencia de responsabilidad de la PJ al administrador
En relación a la RPPJ se
habla mucho del artículo 31 bis CP y concordantes, pero el gran
olvidado es el artículo 31 CP, que además permanece casi invariable
desde que entró en vigor el 23 de noviembre de 1995 el Código Penal que, con
sucesivas reformas en 2010 y 2015, ha llegado a nuestros días.
Dicho artículo 31 CP dispone:
“El que actúe como administrador de hecho o de derecho de una
persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá
personalmente, aunque no concurran en él las condiciones, cualidades o
relaciones que la correspondiente figura de delito requiera para poder ser
sujeto activo del mismo, si tales circunstancias se den en la entidad o
persona en cuyo nombre o representación obre”.
Lo que señala este artículo
es la transferencia de responsabilidad desde la entidad o persona jurídica que
representa, hacia el administrador, por el mero hecho de serlo. [3]
4. El triángulo de responsabilidad penal en
la persona jurídica
La relación matemática transitiva
implica que cuando un elemento se relaciona con otro, y éste con un tercero,
entonces el primero se relaciona con el tercero.
Si este simple razonamiento lo aplicamos a las transferencias de
responsabilidad tratadas en los apartados anteriores, obtenemos el que se me ha
dado por llamar triángulo de responsabilidad penal en la PJ, [1]
que a continuación se representa gráficamente:
5. Epílogo
El resultado del triángulo de responsabilidad penal en la PJ
provoca un efecto análogo, aunque indirecto, al que se pretendía con el
desaparecido artículo 286 seis del proyecto de reforma del Código Penal de
2013.
Si una PF comete un delito en la organización que ocasione RPPJ, si se acredita
la inexistencia de un modelo de prevención penal, la PJ será penalmente
responsable por lo dispuesto en el art. 31 bis CP y, en consecuencia, también
lo será el administrador por lo dispuesto en el art. 31.
Esto explica mi afirmación inicial de que la implantación en las empresas
de un modelo de prevención de delitos penales en base a un Sistema de Gestión
de Compliance Penal, pese a no ser obligatorio en base a normativa jurídica, si
que es muy recomendable, casi imprescindible.
NOTA DEL EDITOR: Para profundizar, más
allá de este planteamiento didáctico, puede consultarse el artículo “El
Derecho procesal penal, los artículos 31 CP - 31 bis CP y el Administrador de
la PJ” en este mismo Blog.
6. Bibliografía
consultada
- [1] José Luis
Colom. PPT de la ponencia “Cómo
integrar los controles de Prevención
de Blanqueo de Capitales y de la Financiación del Terrorismo con los
sistemas basados en la norma ISO 19600”. Programa de actualización INBLAC. Barcelona,
julio de 2016.
- [2] Boletín
Oficial de las Cortes Generales. Congreso de los Diputados. ”Proyecto
de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de
noviembre, del Código Penal”. 121/000065. 4 de octubre de 2013.
Proyecto
de reforma del CP 2013
- [3] José Luis Colom. “Responsabilidad por deber de garante:
Aplicación al CCO y al DPO”. Blog Aspectos Profesionales. 3 Mayo de
2015.
Responsabilidad
por deber de garante
-
[4] Jesús
María Silva Sánchez. “El
delito de omisión. Concepto y sistema”. Editorial B de F. Colección
maestros del Derecho penal nº 12. 2ª edición. Buenos Aires, 2010. ISBN:
9974-578-30-2.
7. Control de cambios del artículo
Siguiendo voluntariamente
las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se
incorpora el control de cambios a los artículos de este Blog permitiendo
conocer la trazabilidad de los mismos una vez han sido publicados por primera
vez. Todo ello en concordancia con el último párrafo de la cláusula general de
exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
01/09/2016
|
Redacción inicial del artículo
|
Autor
|
8. Derechos de autor
Imágenes bajo licencia 123RF
internacional. La licencia únicamente es válida para su publicación en este
blog.
Tablas creadas por el autor.
La presente obra y su título
están protegidos por el derecho de autor. Las denominadas obras derivadas, es
decir, aquellas que son el resultado de la transformación de ésta para generar
otras basadas en ella, también se ven afectadas por dicho derecho.
Sobre
el autor:
José
Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).
A
nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando
adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management
by EXIN (Examination Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que
aportan las organizaciones profesionales, es asociado sénior de la APEP
(Asociación Profesional Española de Privacidad), miembro de ISACA
(Information Systems Audit and Control Association), miembro de ISMS Forum
Spain (Asociación Española para el Fomento de la Seguridad de la
Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), ENATIC (Asociación de expertos nacionales
de la abogacía TIC), CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo) y asociado de INBLAC (Instituto
de expertos en prevención del Blanqueo de Capitales), habiendo sido
ponente o colaborado en casi todas las referidas organizaciones. También lo es
de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT)
habiendo obtenido, junto a algunos colaboradores del mismo, un premio
compartido otorgado por la AEPD.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.