1. Introducción.
Desde el mismo momento en que a la administración de justicia se le hace imposible la persecución de los presuntos culpables de la comisión de delitos, cometidos tras los entramados societarios de todo tipo, tipificados en nuestro código penal, el legislador instaura las reformas que dan un paso adelante en la evolución hacia un derecho preventivo a cambio del derecho reactivo que hasta ahora venimos ejercitando con el fin de evitar riesgos.
Este cambio supuso un antes y un después en nuestra legislación y sistema, otorgando responsabilidad, no solo al equipo directivo de administración y gestión de la sociedad, sino a demás a la persona jurídica, por el mero hecho de estar constituida como tal pueda ser sujeto de recibir una sanción tanto económica, como poder llegar a ser condenada a ser cesada su actividad, intervenida, suspendida, etc.
Esta reforma fue criticada por el entorno empresarial, por lo que el legislador, instauró la segunda reforma donde proveía al entorno societario de todas las personas jurídicas, de herramientas para poder eliminar esa responsabilidad general sobre la corporación, además de poder individualizar al que comete el delito. Situando así una situación de “win-win” para ambas partes, tanto para el empresario por quedar exento y velar por el control de su empresa, como por la administración de justicia, facilitando su tarea de búsqueda y condena a quienes cometan delitos tipificados en nuestro código penal.
2. El riesgo inherente
Entendemos por riesgo inherente, aquel que, por el mero hecho de estar constituida una persona jurídica, bajo un objeto social, recae sobre ésta, debido a que siempre podrá ser sujeto penal de la comisión de un ilícito desde las reformas de 2010 y 2015. Una responsabilidad penal que tenga aparejada una sanción económica o una medida a llevar a cabo sobre esta como condena, equiparando la estructura de una sociedad a la de una persona física con capacidad de obrar y de ser condenada a prisión (ejemplo – suspensión o cese de actividades de una persona jurídica).
Esto, rompe con la base de nuestro histórico derecho romano, que mencionaba el principio “societas delinquere non potest”, la sociedad no puede delinquir, por el hecho de no tener capacidad de obrar como tal, es decir, ser un ente, que tiene capacidad jurídica, pero no puede actuar físicamente. De esto se aprovecharon empresarios en el pasado, ya que sí que se pueden llevar a cabo actuaciones bajo el nombre de una persona jurídica y a posteriori que no se pueda saber quién fue el verdadero ejecutor. La lógica llevó al legislador a emitir riesgo inherente de comisión de delitos a las personas jurídicas como si fuesen personas, ya que existe la posibilidad de que pase, como en un pasado ya ocurrió.
Aún más complicado de controlar a una persona, es controlar a toda una entidad con personas dentro, que mantienen una cierta responsabilidad y poder de decisión sobre la misma, que expongan a la persona jurídica en la comisión de posibles delitos. Esto solo lo podemos paliar, a través de controles, medidas, indicadores que reflejen una imagen fiel tanto de los riesgos, como de los avances en contra de ellos y además genere carga de prueba de cara a demostrar ante un tribunal la inocencia del total de la persona jurídica, menos del comitente particular.
3. Indicadores y controles
El legislador además de otorgar responsabilidad también cedió en la posición de poder desarrollar determinadas herramientas que nos ayuden a quedar exentos de responsabilidad en el caso de ser sujeto de un procedimiento judicial penal, por la presunción de la comisión de un ilícito en la persona jurídica o su entorno que le reportase a ésta un beneficio directo o indirecto.
Estas Herramientas mantienen dos escenarios, el primero de ellos se refiere a la apariencia o riesgos generales de la misma y a posteriori un análisis departamental más exhaustivo. Lo que el legislador nos requiere como mínimo a nivel general sería: el análisis de la documentación corporativa, el nombramiento de un Oficial de Cumplimiento o Compliance Officer, quien se encargará de velar y/o supervisar por el correcto funcionamiento de la sociedad; una documentación que muestren los riesgos en los que incurre esta sociedad, y por último la revisión y la creación de informes relacionados con esas medidas, protocolos y normas llevadas a cabo en la persona jurídica.
4. El riesgo residual
Una vez estos controles están en funcionamiento, siempre existe la posibilidad de buscar alternativas, para poder cometer delitos, o incluso para actuar imprudentemente, generando una responsabilidad para la persona jurídica, a esto lo denominamos riesgo residual. Aquel riesgo que una vez hemos implantado medidas y controles internos, los estamos revisando, y controlamos de mejor manera el funcionamiento de la persona jurídica, pero aun así pueden aparecer alertas, puede existir riesgos no contemplados en el análisis de riesgos inicial, o puede llevarse a cabo un cambio sustancial en la empresa que genere un riesgo que previamente no era sujeto de ser controlado.
Siempre será mejor vivir de riesgos residuales, que, de riesgos principales inherentes, ya que el riesgo residual estará muy acotado y podremos controlarlo de mejores maneras y además podremos continuar implementando controles y revisiones sobre el mismo hasta que éste sea simbólico.
5. La revisión necesaria
La necesidad de control y revisión de estos controles es tal, que el legislador lo categoriza de servicio dinámico y constante, ya que debemos de ajustarlo a las necesidades en cada momento de la persona jurídica, y por ende ir actualizando en función del momento y posición en la que se encuentre la persona jurídica, su personal, su operativa, etc.,
No existe delimitado un plazo estricto de revisión, pero se ha llegado a recomendar hacer la misma anualmente, ya que se cree que no es una periodicidad larga, como para que la persona jurídica cometa una infracción y pueda llegar a repercutir al completo a la corporación.
Fuera de lo que el legislador pueda llegar a imponer, sabemos que controlar una estructura societaria no puede ser algo puntual, que no evolucione y vaya adaptándose con el tiempo, es por esto por lo que uno de ellos pilares más importantes de una política de cumplimiento normativo, es el avance y evolución de esta.
6. Conclusiones
Para poder eliminar, o prevenir las situaciones de riesgo en las que se puede ver inmersa una persona jurídica, vemos necesario el análisis de los riesgos inherentes a esta. Una vez delimitados estos, deberemos implementar medidas y controles que gestiones la reducción de ese riesgo todo lo que podamos para poder delimitar la responsabilidad de la persona jurídica, cuando esto ocurra se nos reportará la responsabilidad inherente por los riesgos residuales hacia la corporación, con los que podremos establecer una estrategia a seguir, ya sea a través de más medidas y controles, una supervisión más intensiva, etc., y por último y probablemente uno de los pilares más importantes, lo encontremos en la revisión y actualización del sistema de cumplimiento normativo implementado en la persona jurídica.