Por Juan Antonio Lascuraín y Adán Nieto
Son ya varios los procesos penales contra personas jurídicas en los que la discusión sobre la tipicidad de la conducta de estas (si no previnieron razonablemente el delito que se produjo en su seno por parte de uno de los suyos y en su favor) se ha centrado en si su organización preventiva se adaptaba a alguno de los estándares técnicos de organización nacionales o internacionales, si ello estaba acreditado por las organizaciones que se dedican a tales valoraciones y qué rol tenía en ambos debates la aportación pericial de un experto. Como todo ello se enmaraña a veces por las partes en el proceso en la defensa legítima de sus intereses, conviene quizás distinguir las churras de las merinas y reivindicar en todo esto el papel que tiene el juez, que no es desde luego el de adverar sin más que un perito dictamine si la empresa en cuestión se ajustaba a un estándar técnico o limitarse a comprobar si estaba vigente la correspondiente acreditación.
La estandarización
Los estándares a los que nos referimos son normas que establecen asociaciones privadas nacionales o internacionales acerca de cómo deben realizarse determinados productos o procedimientos. Inicialmente esta normalización se refería al ámbito técnico, sobre todo a la electrotecnia y a la telecomunicación, pero terminó recalando en las prácticas de gestión empresarial. Conviene subrayar, para que el término “norma” no resulte equívoco, que los agentes de la misma son asociaciones privadas, que su contenido obedece al consenso de los que participan en las mismas y que su seguimiento es voluntario.
En España, la principal (“única”, según su web) asociación de normalización es la Asociación Española de Normalización (pero su acrónimo no es AEN, sino UNE). Tiene más de quinientos miembros y ha elaborado más de 37.000 normas. Algo de su carácter privado se diluye si se tiene en cuenta que está reconocida por el Ministerio de Economía como organismo nacional de normativización. No hemos sido capaces de encontrar en su página web el listado de sus socios, aunque en su perfil corporativo se indica que sus miembros “representan a la práctica totalidad del tejido productivo español” y que entre estos “se encuentran 150 relevantes asociaciones sectoriales de ámbito nacional”; en la web se señala que en UNE “figuran las principales asociaciones empresariales, primeras empresas de España y una buena representación de Administraciones Públicas de todos los niveles”. Hemos visto que entre los socios hay también universidades públicas y colegios oficiales.
UNE es el representante español de la International Organization for Standardization (ISO), compuesta por 169 asociaciones nacionales (una por Estado). ISO se define como una asociación independiente, no gubernamental, cuyo objetivo es compartir conocimiento y desarrollar estándares internacionales voluntarios, relevantes en el mercado y basados en el consenso.
En materia de cumplimiento hemos asistido a relevante crecimiento de las normas de estandarización, sobre todo en España. Tenemos normas de acreditación generales (UNE – ISO 37301:2021 “Sistemas de gestión del compliance” y, sobre cumplimiento penal, la norma UNE 19601:2017 “Sistemas de gestión del compliance penal”, UNE 165019:2018: “Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión de compliance penal conforme a la Norma UNE 19601”), pero también sectoriales: en materia de corrupción (ISO 37001:2017), sobre sistemas de cumplimiento socio laboral – acoso – (UNE 19604), sobre tax compliance (UNE 19602), sobre canales de alertas (ISO 31301) y sobre investigaciones internas (ISO 37008:2023).
El valor jurídicopenal de la estandarización
La principal cuestión que plantea el cumplimiento o incumplimiento de estos estándares es el de su valor para la tipicidad penal y con ello para el proceso penal. Podría pensarse que, si estas normas no hacen otra cosa que plasmar los requisitos para entender que el procedimiento empresarial es correcto, adecuado, correspondiente al riesgo permitido, estarán con ello plasmando a su vez el nivel de la diligencia penal: el cómo hay que organizarse para evitar o contener razonablemente los riesgos penales que surgen desde la empresa y a favor de la empresa. En cierto modo las normas ISO y UNE no serían sino el destino de una remisión penal implícita del tipo de delito de la persona jurídica.
En un ordenamiento tan cercano en esta materia como es Italia, el legislador ha optado incluso por realizar remisiones explícitas. El art. 30.5 del Decreto Legislativo 81/2008, que especifica los componentes del modelo organizativo para la prevención de delitos lesivos de la salud y la seguridad de los trabajadores, prevé una presunción de adecuación del modelo que cumpla determinadas reglas/normas técnicas nacionales o internacionales, como la norma británica OHSAS 18001:2007 (ahora ISO 45001:2018). En Italia los delitos contra la seguridad en el trabajo y los homicidios imprudentes dan lugar a la responsabilidad ex delicto de la persona jurídica, por lo que la adaptación a esta norma de estandarización cobra toda relevancia. Sin salirnos de Italia, existe otro precepto y una reciente decisión jurisprudencial que nos debe llamar la atención. El art. 6.3 del Decreto Legislativo 231/2001 prevé que las asociaciones empresariales puedan realizar programas de cumplimiento – modelos de organización estándar – que después presentan ante el Ministerio de Justicia y el ministerio competente por el sector de actividad de la organización, quienes pueden realizar alegaciones. La Corte de Casación Italiana en su leading case Impregilo (Cass. pen., Sec. VI, 15.06.2022, n° 23401) ha indicado que la adopción de estos modelos por parte de la persona jurídica supone una presunción de eficacia de los mismos y que es por tanto necesario argumentar detalladamente por qué puede considerarse que en el caso concreto el modelo que se adapta a ese estándar no resulta idóneo.
En realidad, cuando este problema se analiza con detenimiento aparecen dos problemas diversos a los que vamos a denominar el problema de la eficacia y el de la legitimación.
El problema de la eficacia se puede describir del siguiente modo: las normas de estandarización, ya sean al estilo ISO/UNE ya sean como las que hemos visto que se refiere el art. 6.3 de la Ley 231, representan una fotografía de la totalidad del modelo de organización o de alguna de sus partes, como las medidas relativas a la corrupción, al tax compliance o incluso a los canales de denuncia. Pero lo que tiene que determinarse para establecer la responsabilidad de la persona jurídica no es si en abstracto existe un buen programa de cumplimiento, sino si la persona jurídica desplegó un sistema de control adecuado para prevenir el concreto delito cometido. Y en este punto, existe una discusión abierta en torno a qué elementos del sistema de cumplimiento son los más relevantes. Para algunos autores (vid. por ejemplo Nieto Martín, La eficacia de los programas de cumplimiento: propuesta de herramientas para su valoración,) la eficacia de un programa de cumplimiento no solo debe tener en cuenta la bondad de los concretos controles que debieron servir para evitar o reducir el riesgo de comisión de la conducta realizada, sino que también debe tenerse en cuenta lo que en auditoría interna se denomina “el ambiente de control”, y para medir este factor sí resulta relevante la eficacia del programa de cumplimiento en su conjunto. Otros autores, en cambio, adoptando una metodología similar a la imputación objetiva en el marco del delito imprudente, consideran que lo relevante es en efecto la eficacia específica de los controles (vid. por ejemplo Galán Muñoz, Visiones y distorsiones del sistema español de responsabilidad de las personas jurídicas: un diagnóstico 13 años después). Las normas de estandarización y las certificaciones tendrían lógicamente más importancia de adoptarse la primera de las posiciones, donde el juicio de valoración es más global. En esta disputa no debe olvidarse por ahora que el Tribunal Supremo en su famosa sentencia 154/2016 abogaba por una visión más holística de la eficacia de los modelos.
El problema de la legitimación se expresa muy bien con la vieja y sabia advertencia de que no hay que confiar el cuidado de las ovejas al lobo. Existen normas de estandarización en los sectores más variados; de hecho, la normalización constituye una herramienta de regulación esencial en el tráfico económico global, que ha ocupado en muchos sectores el hueco de la incapacidad técnica o política de los Estados para regular muchos aspectos de la producción de bienes y servicios. La legitimidad de este private law es principalmente de carácter técnico, lo que le concede aparentemente un aurea de neutralidad política. No obstante, y lógicamente, queda siempre la duda de que estos estándares sean confeccionados conforme a intereses de parte y que en ellos no se sopesen adecuadamente todos los intereses en juego; que, por ejemplo, al establecer lo razonable para la prevención de daños pese en ellos más el ahorro de costes empresariales que la protección del medio ambiente o cualquier otro interés social relevante. Por esta razón, la regulación pública de la estandarización exige transparencia y la participación de los diversos stakeholders.
Sea cual sea la solución que se le dé al problema de la eficacia, habrá de reconocerse su imbricación con el problema de la legitimación. La regla de tres sería la siguiente: a mayor legitimación de las normas de estandarización, mayor debe ser su capacidad para fijar los estándares legales adecuados de cumplimiento o, en sintonía con lo que ha indicado la Corte di Cassazione italiana, más fuerte debe ser la presunción de que la empresa que se acoge a ellos ha obrado correctamente. Es verdad que finalmente la determinación de cuál es el riesgo permitido ante la protección de un bien jurídico es tarea del juez. Es él quien debe determinar hasta qué punto es exigible que una persona jurídica prevenga la corrupción o el abuso de mercado, más si resulta que las partes implicadas han fijado estas normas en un proceso abierto y transparente – podríamos decir habermasiano – no es mala solución que el juez acoja su solución.
El valor de la prueba pericial.
Una cuestión relacionada, aunque independiente al valor de los estándares, es la cabida de la prueba pericial, cuyo terreno es el de la aportación de conocimientos científicos, artísticos, técnicos o prácticos y cuyo límite suele situarse en lo jurídico, pues ahí el perito es el juez. Nótese en lo brumoso de esa frontera, pues son muchas las ocasiones en las que la aportación científica o técnica tiene por objetivo final demarcar la antijuridicidad de la conducta, como sucede con la lex artis médica como parámetro de la imprudencia. Si nadie discute que se llame al perito médico para que indique cómo debería hacerse una determinada operación quirúrgica y si la operación enjuiciada se ajustaba a ese canon, cabe pensar que lo mismo procede para conocer si una empresa estaba bien organizada para prevenir la comisión de un determinado delito: si la lex artis es el estándar, llamemos a un conocedor de ese estándar ISO o UNE para que lo explique y para que dé su opinión técnica sobre la adecuación de la conducta empresarial enjuiciada a esa conducta.
La analogía no parece tan cercana. Primero, porque en el caso de la medicina es claro el carácter científico y técnico del saber, mucho menos accesible para el juez que los conocimientos de organización y gestión de una empresa. Y segundo, porque mientras que es claro que la lex artis médica depende fundamentalmente del consenso de los especialistas médicos, no lo es que lo correcto coincida con lo que indica la norma estandarizada ni que la misma alcance el grado de precisión necesario para que baste un juicio de subsunción de lo acaecido con la misma. Puede requerirse un perito para que informe de cómo funcionaba la empresa; mucho más discutible es que sea procedente una pericial sobre el ajuste de la organización empresarial en el caso concreto a un estándar ISO o UNE, por mucho que por supuesto las partes puedan invocar ese estándar en el sentido que crean que favorece a sus intereses.
La certificación
El ajuste de la organización de una empresa a un estándar UNE o ISO puede ser objeto de una certificación por parte de una entidad acreditada para proceder a tal verificación. En España la principal sociedad de certificación es AENOR, cuyo titular único es la entidad de normalización UNE. Las certificadoras utilizan en realidad la estrategia de la auditoría: inspeccionan la empresa y verifican que su organización corresponde al estándar pretendido o, de no darse tal correspondencia, conceden un plazo para la corrección. La vigencia del certificado exige una auditoría anual de seguimiento y la renovación en un plazo determinado.
Se preguntará el lector que quién certifica al certificador: quién dice que esas entidades privadas certificadoras reúnen los requisitos de imparcialidad, independencia y capacidad técnica para realizar dicha función. Pues existe una “entidad nacional de acreditación” (ENAC) que es una certificadora de certificadoras. ¿Y quién le dota de tal función (quién es a su vez el certificador de la certificadora de certificadoras)? El Ministerio de Industria, Comercio y Turismo. ENAC es una asociación sin ánimo de lucro y de utilidad pública a la que pertenecen las sociedades acreditadas como certificadores y varios entes y administraciones públicas.
El valor jurídico penal de la certificación
Aún queda mucho por discutir acerca cuál es el valor de las certificaciones dentro del proceso penal. De un lado, admitamos o no la prueba pericial, una cuestión ulterior es el valor probatorio que debe concedérsele a la certificación. En el marco del proceso administrativo algunos acreditados colegas han mantenido de hecho que la certificación supone una suerte de prueba pericial anticipada. De otro lado, y con independencia de lo anterior, contestar a esta pregunta depende también del resultado de la polémica a la que antes hacíamos referencia; esto es, en qué medida importa a la hora de establecer la eficacia de los programas de cumplimiento el funcionamiento general del mismo o de una de sus secciones: imaginemos que una empresa tiene un certificado específico conforme a la UNE en materia de corrupción (UNE – ISO 37001:2017) y otro genérico (UNE 19601:2017).
De admitirse los peritajes en materia de cumplimiento, nada impediría por ejemplo que la persona jurídica propusiera como perito a la persona que ha realizado la certificación. De negarse esta posibilidad, otra vía sería que tuviera cabida en el proceso penal como testigo con conocimientos científicos. Sea cual sea el encaje que se le dé a las certificaciones en el proceso penal, lo que no debe perderse de vista es que aquí el acreditador final es el juez, a quien además le pedimos una verificación negativa, estricta, concreta y con un canon peculiar. Es negativa, porque su único juicio es que la organización era defectuosa, insuficiente. Es estricta porque solo puede proceder a la acreditación si está seguro de la misma: más allá de toda duda razonable. Es concreta porque al juez no le importa directamente (solo como posible indicio) que la persona jurídica en un determinado momento tenga un sistema de cumplimiento en general satisfactorio, sino que en el concreto momento del delito individual había en el procedimiento en el que se produjo tal conducta una carencia relevante de controles. Y ahí viene el último rasgo que mencionábamos: esa carencia relevante no le va a venir determinada solo por un estándar ISO o UNE sino por una estándar más sutil que viene determinado sobre todo por la protección del bien jurídico concernido y por el ejercicio de la libertad empresarial.
No hará falta enfatizar entonces que la certificación ISO o UNE se queda bastante lejos de lo que en realidad busca el proceso penal: la realiza un perito particular, en un momento histórico dado, con el estándar ISO o UNE y probablemente con una genericidad que no abarque la pregunta concreta del juicio, que es una conducta empresarial concreta en un momento determinado.
Nuestra anterior conclusión no debe desalentar el ajuste de las empresas a los estándares de organización ni a su certificación. Nuestra conclusión lo es solo de un cierto escepticismo a su valor en un proceso penal en el que la persona jurídica figure como acusada. Por lo demás, bienvenida sea la normalización organizativa y su certificación. A la empresa le fija una senda segura de cómo hacer bien las cosas internamente, lo que va a tener un reflejo adicional inmediato en la contratación privada y pública, para las que las certificaciones van a constituir un instrumento ágil que sustituya los pesados costes económicos y temporales de los procesos de due diligence. Incluso en un proceso penal las certificaciones aportarán una muestra de afán práctico por una cultura de cumplimiento. El que no sean una carta de triunfo no significa que no puedan ser una buena carta, una buena aportación a la partida.
foto: JJBOSE
