Por Adán Nieto Martín y Patricia Pérez Fernández

La finalidad última del derecho penal cuando sanciona a las personas jurídicas es incitar  a sus dirigentes a que adopten un sistema de autorregulación interno que les lleve a prevenir, detectar y sancionar las infracciones de sus empleados y dirigentes.  Como también todos sabemos, para que el derecho penal sea eficaz éste no puede actuar como una suerte de “llanero solitario”. Las armas del derecho penal, por muy temibles que parezcan, en realidad son un tigre de papel si no van acompañadas de otros controles sociales o jurídicos que empujen en la misma dirección.

Este principio básico de la política criminal deriva directamente, a su vez, del principio de ultima ratio. La asociación que existe actualmente entre responsabilidad penal (o sancionadora) de personas jurídicas y programas de cumplimiento quizás puede dar a entender que en este caso, al legislador se la ha ido la mano y ha utilizado la responsabilidad penal como prima ratio, sin ensayar antes otros medios de coacción, con idéntica finalidad.

Nada más lejos de la realidad. La necesidad y conveniencia de implantar programas de cumplimiento es algo que trasciende al derecho penal. Baste como ejemplo  la reciente Directiva de la UE sobre contratación pública de 2014 que otorga una gran importancia a los programas de cumplimiento dentro de sus sistemas de listas negras. O, sin salirnos del derecho europeo, la también reciente Directiva sobre “estados no financieros”  que consagra el compliance en materia de derechos humanos, obligando a las empresas de más de 500 trabajadores a publicar, como si de cuentas anuales se tratara, los progresos de sus sistemas de cumplimiento en materias como la lucha anticorrupción, el medio ambiente o los derechos humanos.

Más en este juego regulador, hasta ahora no nos hemos detenido demasiado en una de las armas que poseen un mayor poder de coacción: la acción social de responsabilidad contra los administradores, que en el caso de las sociedades de capital, se regula en los artículos 236 y siguientes de la Ley de Sociedades de Capital. La tesis es la siguiente:

Cuando la falta de adopción o la adopción ineficaz de un programa de cumplimiento ocasiona daños a una compañía (imposición de multas, reclamaciones civiles, pérdidas de oportunidades de negocio…) puede afirmarse que los administradores han infringido sus deberes de diligencia en la gestión de la empresa social.

Aunque en la UE, en lo que conozco, no existe aún jurisprudencia relevante en este punto, en los EEUU la conexión entre los programas de cumplimientos y la responsabilidad social de los administradores se inició con la sentencia  Caremark (In re Caremark International, Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).

Los empleados de Caremark, una importante empresa sanitaria, habían pagado sobornos a médicos con el fin de que recomendaran sus productos. Los sobornos se articulaban a través de contratos de investigación o de consultorías que en la fecha en que ocurrieron no se encontraban claramente prohibidos por la legislación americana, y tampoco por el código de conducta de Caremark, que en este sentido, había descuidado establecer un perímetro preventivo. Como consecuencia de estos hechos Caremark, que llegó a un acuerdo con la fiscalía, tuvo que pagar una multa de 250 millones de dólares. El acuerdo sirvió en cualquier caso para que no fuera incluida en una lista negra, y pudiera continuar siendo suministradora de servicios médicos.

Como indica el tribunal de Delaware, las  acciones de responsabilidad derivadas de la infracción del deber de diligencia tienen menos posibilidades de éxito que las que tienen como fundamento la infracción del deber de lealtad (que proceden cuando los administradores incurren en conflicto de intereses). Y menos todavía cuando lo que se reprocha a los administradores no es tanto una decisión equivocada, sino, como ocurre en este caso, una omisión, consistente en la falta de supervisión de sus empleados y concretamente una falta de supervisión que asegure que los empleados actúan conforme a la legalidad cuando realizan sus actividades para la empresa.

La jurisprudencia que hasta entonces se había vertido sobre este asunto resultaba ser bastante restrictiva. A comienzos de los años sesenta, en un supuesto en el que una empresa había sido multada por prácticas restrictivas de la competencia, los jueces habían señalado que las infracciones realizadas por los empleados, sólo generaban la responsabilidad de los administradores cuando existía una fuerte sospecha de que estaban actuando irregularmente. Más allá de este supuesto los administradores carecían de responsabilidad. El tribunal fue además bastante gráfico a la hora de extraer los programas de cumplimiento del deber de diligencia:

absent cause for suspicion there is no duty upon the directors to install and opérate a corporte system of espionage to ferret out wrongdoing which they have no reaons to suspect exists”.

Tres décadas después, el tribunal consideró que esta doctrina tan restrictiva no puede mantenerse, y en ello juega un papel esencial el incremento de la presión del derecho penal sobre las empresas, que se produce tras las aprobación de las Sentencing Guidelines en los Estados Unidos, y las indicaciones que allí se ofrecen en relación con  los programas de cumplimiento. El tribunal manifiesta pocas dudas acerca de la necesidad de implantar un programa de cumplimiento como consecuencia del deber de diligencia, ahora bien, tal como señala a continuación, resulta mucho más complejo determinar cuándo éste es correcto y adecuado por aplicación de la business judgment rule

Como es bien conocido, en el Derecho norteamericano, la business judgment rule funciona como una suerte de limitación de la responsabilidad de los administradores. Los administradores no deben ser considerados responsables de los daños sufridos por la compañía cuando se han informado adecuadamente y han perseguido el interés social a la hora de tomar decisiones y éstas eran decisiones estratégicas o de gestión. Es el proceso de la toma de decisión y no la decisión misma la que se juzga. A los administradores se les exige que actúen de buena fe asegurándose que tienen acceso a toda la información necesaria y que disponen de las vías necesarias para actualizar periódicamente la información.

La regla del margen de apreciación es hoy derecho positivo en buena parte de los ordenamientos de la UE. La Ley de Sociedades de Capital la recoge en su art. 226 e igualmente en Alemania se menciona expresamente en el § 93 (1) de la Aktiengesetz ) como consecuencia de la Sentencia del Tribunal Supremo alemán de 21 de abril de 1997 en el caso ARAG/ Garmenbeck.

En nuestro ordenamiento, al igual que en el alemán, para el caso de las sociedades cotizadas está bien claro que el deber de diligencia exige la adopción de programas de cumplimiento. El  Código de Buen Gobierno Corporativo alemán, en la última versión de mayo de 2015, prevé que el Consejo de administración deberá velar por el cumplimiento de la normativa así como de los Estatutos de la compañía y de todas las filiales del grupo de sociedades, en su caso. ). En España la Recomendación nº 54 del Código de Buen Gobierno Corporativo en su versión de 2015 obliga a identificar las prácticas concretas relacionadas con prevención de conductas ilegales (letra c), los resultados o los métodos de aplicación de dichas prácticas, los riesgos asociados y su gestión (letra d) y los “mecanismos de supervisión del riesgo no financiero, la ética y la conducta empresarial”.

Estas disposiciones ponen de manifiesto que las sociedades cotizadas, y nos atreveríamos a decir, que en cualquier empresa de cierto tamaño, la adopción de un programa de cumplimiento no entra ni tan siquiera en el margen de apreciación empresarial. Supone una concretización quasi positivizada del estándar de diligencia. Lo que a los efectos que aquí interesan implica que la imposición de sanciones a la empresa, o cualquier otra consecuencia negativa (inclusión en una lista negra, pérdida de oportunidades de negocio…) derivada de la inexistencia de un programa de cumplimiento puede dar lugar a una acción de responsabilidad social.

Ahora bien, sentado lo anterior, y como pone de manifiesto Caremark, en relación con las grandes empresas la regla de apreciación empresarial es básica para apreciar el cómo: ¿cuál debe ser la extensión del programa de cumplimiento?, ¿cuántos cuidados y esfuerzos debe invertirse en la prevención de cada uno de los riesgos penales? etc..

La respuesta a estas preguntas, al menos desde el punto de vista de la acción de responsabilidad social, es que se trata fundamentalmente de apreciar la calidad y el cuidado que ha puesto el consejo de administración a la hora de recabar información y no tanto si ex post, a la vista del caso concreto, su decisión de cómo conformar el programa de cumplimiento fue correcta. Y en este punto, la herramienta que deben utilizar los administradores  no es otra que en análisis de riesgos a que hace referencia el art. 31 bis 5 1º del CP: “identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”.

El análisis de riesgos constituye el elemento clave para la racionalidad de un sistema de cumplimiento, con el fin de dedicar recursos allí donde se necesitan en atención a la intensidad de riesgos. Claro está, que para asegurar que se ha recopilado información de manera diligente no bastará cualquier análisis de riesgos. En primer lugar, y como mínimo será necesario demostrar que las personas que lo han realizado disponían de los suficientes conocimientos en materia penal, como para no pasar por alto ningún riesgo importante. A partir de aquí, esta actividad requiere, tal como indica el CP,  establecer los delitos que pueden ser cometidos por la empresa, no de manera genérica, sino pormenorizadamente: determinando en cada uno de los procesos o actividades de la empresa, los delitos que pueden aparecer y el modo en que han de hacerse.

Quizás algún día nos ocuparemos con más detenimiento de la extrema importancia que tiene un buen análisis de riegos para excluir la responsabilidad penal de la persona jurídica, pero lo que ahora debemos acentuar es que realizar un correcto análisis de riesgos es presupuesto de la aplicación de la regla del juicio discrecional (business judgment rule) y, por consiguiente, de la exención de responsabilidad, si los administradores.

Por cierto, las compañías de seguro a la hora de establecer las pólizas para cubrir la responsabilidad civil de administradores debieran estar atentas a este hecho, lo que sin duda representa otro estímulo más en este juego regulador en el que el derecho penal no debe caminar sólo.