viernes, 26 de abril de 2013

Compliance, debido control y unos refrescos (cumplimiento normativo II)

Fernando Pantaleón publicó hace algunos años un merecidamente famoso artículo titulado “La Constitución, el honor y unos abrigos” y Juan Antonio Lascuraín le ha tomado prestado el título para este trabajo sobre los efectos sobre la aplicación de las normas penales que regulan la responsabilidad de la empresa (de la sociedad) por los actos delictivos cometidos por sus empleados. En la entrada anterior dábamos algunas pistas sobre estas reglas penales.
Lascuraín se vale del ejemplo del soborno de empleados de un cliente para captarlo y arrebatárselo así a un competidor, y se pregunta por la responsabilidad penal de la compañía de la que el que realiza el soborno es empleado. Es el tipo penal de la corrupción entre particulares (art. 286 bis CP). La imputación al empleado no excluye la imputación a la compañía.
Para que ésta pueda ser sancionada por el delito cometido por el empleado (art. 31 bis I, 2º CP) y se le puedan imponer a la persona jurídica las penas previstas en el art. 288 CP, es necesario que concurran dos requisitos. El primero es que el delito cometido por el empleado lo haya sido en el ejercicio de su actividad como empleado y que esa actividad la haya desarrollado en interés de la compañía. Obvio en el caso del empleado que soborna a un empleado de un cliente para conseguir un contrato para la empresa del primero. Además, – y esto es lo importante – el Código Penal exige que el empleado haya podido realizar la conducta porque la compañía no hubiera ejercido sobre él “el debido control atendidas a las concretas circunstancias del caso”. Es decir, que se exonera de responsabilidad penal a la persona jurídica por los actos ilícitos de los empleados si ésta demuestra que hizo todo lo que estaba en su mano (in vigilando, in instruendo, in eligendo) para evitar que el empleado cometiera el ilícito.
Cuando las organizaciones tienen un cierto tamaño, la “desorganización” no es una opción. No invertir en organización es eficiente y sensato en organizaciones de reducido tamaño. Los mecanismos informales para conseguir los objetivos del grupo son menos costosos y, a menudo, más eficaces. Pero en las grandes, parece imprescindible la formalización del “debido control” a través de lo que se conocen como programas de cumplimiento normativo (compliance programs). Siempre que no olvidemos – recuerda Lascuraín – que el programa no es el “debido control” sino solo el instrumento de su implementación racional y que si el programa no es bueno en su diseño y en su ejecución, no salvará a la persona jurídica del reproche penal porque no podrá considerarse que ha ejercido, sobre el empleado, el control “debido”. Lo que hace el Juez – dice el autor – es comprobar si “la conducta delictiva individual que se enjuicia fue una conducta sobre la que no se ejercitaba control, cosa que… puede suceder a pesar de que la empresa tenga un amplio y eficaz programa de prevención” si el programa no estaba adecuadamente diseñado e implementado.
La crítica a la opción de política jurídica del legislador penal español (de imputar responsabilidad penal es sencilla “España ha optado por los cañonazos y no por las balas”, por lo que la responsabilidad penal de las personas jurídicas ha de ser administrada con cuidado y ponderación. De especial interés es la observación del autor acerca de la proporcionalidad:
Podemos tolerar una norma de cierta ambigüedad si la sanción es una pequeña multa, pero la misma indeterminación puede parecernos intolerable si lo que está en juego es nuestro ingreso en prisión. No de otro modo se explica la naturalidad con la que en el Derecho Administrativo sancionador aceptamos que una de las partes en conflicto sea quien imponga la sanción, que el procedimiento no sea oral, o que en un pasado reciente conviviera el tabú de la pena a las personas jurídicas con la práctica frecuente y natural de su sanción administrativa”
Y, de especial interés es lo que afirma sobre la ponderación:
La protección de unos principios colide con la protección de otros valores, principios o intereses jurídicos… una norma administrativa que no sancione a las personas jurídicas es más respetuosa con el principio de culpabilidad que otra que lo haga, pero por la propia complejidad de su aplicación es más ineficaz en la protección de los bienes que persigue. Una norma exquisitamente determinada es más acorde con el principio de legalidad que otra que apenas rebase la suficiencia en este requisito, pero será ésta la que con su flexibilidad termine, probablemente, dotando de soluciones más justas a determinado tipo de conflictos”.
Analiza, a continuación, los principios de personalidad, prohibición del bis in idem y presunción de inocencia cuando se aplican a la responsabilidad penal de la persona jurídica que, por definición, no puede haber realizado la conducta típica – no puede haber cometido el delito (este es el sentido de la expresión societas delinquere non potest) –, puede suponer sancionar dos veces (al empleado y a los “dueños”/titulares residuales del patrimonio que es la persona jurídica) por el mismo delito y, como corolario, atribuir consecuencias dañosas – la pena – a un patrimonio que, a los efectos de la presunción de inocencia, se equipara correctamente a los individuos.
Este análisis pone de manifiesto la importancia de comprender adecuadamente el significado de la atribución de personalidad jurídica a grupos de individuos o de bienes “que el ordenamiento jurídico eleva a unidad, para hacerlas centro de imputación de derechos y obligaciones” (Juan Miquel, Curso del Derecho Romano, p 85). Las personas jurídicas no son individuos pero como son grupos de individuos o de bienes concebidos unitariamente – y por eso, centros de imputación de derechos y obligaciones – es muy eficiente equipararlas a los individuos a efectos de la aplicación de muchas de las normas – las referidas al patrimonio – aplicables a los individuos. Ir más allá en la equiparación de individuos y personas jurídicas conduce, a menudo, a aberraciones. Una corporación no puede “conducir borracho” o “envenenar el agua subterránea”. Y tampoco tiene derecho al honor ni derecho a la intimidad. La – mal llamada – doctrina del levantamiento del velo sirve para evitar esas aberraciones, para lo bueno (para defender el honor de los individuos – dueños del patrimonio de la persona jurídica –) y para lo malo (castigar adecuadamente la conducta de los individuos – los que actúan en interés del patrimonio separado – que se considera socialmente reprochable).
De esos tres problemas, el que más interesa aquí es el de la correcta salvaguardia del principio non bis in idem. Si se sanciona a la sociedad, además de al individuo que cometió el delito, es porque es posible dirigirle un reproche propio:
no se preocupó suficientemente de contrarrestar el efecto criminógeno constituido por los beneficios que para sus administradores, directivos y empleados comporta favorecer a la empresa en un mercado competitivo… el debido control es el modo de organización de la empresa para que sus administradores y empleados no delincan a su favor
En un lenguaje menos analítico que el que nos tienen acostumbrados los penalistas, la idea es que los individuos a través de los cuales actúa la persona jurídica tienen incentivos – derivados de las propias reglas internas de “reparto” de los ingresos de la persona jurídica – para cometer delitos si, con su comisión, se favorece la consecución del “interés social” en maximizar el valor de la empresa social o – en el caso de corporaciones que no desarrollan actividades económicas – los fines del patrimonio separado en que consiste la persona jurídica. Por tanto, pesa sobre la persona jurídica un deber de organizar las relaciones entre todos esos individuos de manera que tales incentivos se vean suficientemente reprimidos como para que, en circunstancias normales, tales incentivos no se traduzcan en la comisión de delitos.
¿Qué consecuencias se siguen de este análisis para la aplicación del art. 31 bis CP? 
La primera es que cuando los individuos que cometen el delito son los administradores, la sociedad podrá alegar, igual que en relación con la conducta de cualquier empleado, que lo hicieron a pesar de que existía “el debido control atendidas a las concretas circunstancias del caso”. Solo en el caso de una sociedad que tenga un administrador único se podría poner en duda tal afirmación señalando que el administrador único no está sometido al debido control en cuanto que puede adoptar las decisiones sin dependencia ni control por parte de nadie. Modestamente, creemos que, ni siquiera en el caso del administrador único está justificado no exigir el requisito del art. 31 bis. Porque los socios han podido poner en funcionamiento un adecuado sistema de control sobre el administrador único, sometiendo su actuación a un control por parte de un órgano específicamente dedicado a tal función u obligando al administrador a una rigurosa rendición de cuentas y a unos requisitos estrictos de autorización previa, por ejemplo, para la realización de conductas peligrosas desde el punto de vista de su posible carácter ilícito. Nuestro Derecho de Sociedades se basa en el principio de soberanía de la Junta y la obligación de los administradores de someterse a las instrucciones de los socios (expresamente, para la sociedad limitada, el art. 161 LSC).
La segunda cuestión es que la carga de probar la falta del debido control pesa sobre la acusación. Lascuraín funda esta conclusión en la idea de que la responsabilidad penal de la persona jurídica que prevé el art. 31 bis CP no lo es “por hecho de otro”, sino “por hecho propio” (la falta de debido control) y, por lo tanto, la presunción de inocencia obliga al que acusa a probar la falta de debido control como elemento del supuesto de hecho de la norma que impone la pena. No es responsabilidad vicarial como la que analizábamos en la entrada anterior. Esto parece obvio si se tiene en cuenta que el art. 288 establece las penas que pueden imponerse a la persona jurídica y aquí no estamos hablando de la responsabilidad civil derivada del delito cometido por el empleado.
Es probable que esta regla no sea trasladable al Derecho Administrativo Sancionador, de manera que, de acuerdo con la norma aplicable, es legítimo que incumba a la sociedad la carga de probar que la comisión de la infracción resultó a pesar de que la sociedad había puesto en marcha los mecanismos para evitarlo. La Administración sancionadora solo habrá de probar que, normalmente, si se hubiera ejercido el “debido control”, la conducta no se habría producido.
Así pues, la persona jurídica ha de organizarse para que los que actúan en su interés no cometan delitos movidos por su deseo de favorecer dicho interés, lo que no significa que haya de suprimir tal riesgo a no importa el coste, porque tal afirmación conduciría a la paralización de la actividad económica (“la manera más radical de inocuidad es la de no producir”).
El primer criterio para determinar cuándo la persona jurídica ha actuado dentro de los riesgos permitidos es el del cumplimiento de la legalidad y, en un sentido más amplio, cumplimiento normativo en general, para incluir en él a todas las reglas que sean de obligado cumplimiento por la sociedad, bien en virtud de que existe una norma imperativa aplicable (desde las normas sobre blanqueo hasta las medioambientales pasando, especialmente, por las normas que determinan el comportamiento “correcto” de las empresas en el mercado, esto es, las normas sobre competencia desleal, marcas y patentes, Derecho de la competencia o normas sobre mercado interior y organización del comercio), bien en virtud de los usos (industriales, profesionales) que establecen los estándares de diligencia (“calidad”), bien en virtud de los contratos (en el sentido más amplio del término y con el contenido para éstos que incluya obligaciones explícitas e implícitas – art. 1258 CC –) que haya celebrado con clientes, proveedores, trabajadores etc. La empresa ha de desarrollar las actividades que constituyen su objeto social lícita y legítimamente, cumpliendo con todas las reglas aplicables, reglas que tienen su origen en normas legales, consuetudinarias y en los contratos celebrados por la empresa con todos los que se relacionan con ella.
Ese es el contenido de un programa de cumplimiento ambicioso. Y lo que nos permite distinguirlo de la llamada responsabilidad social corporativa. Esta “doctrina” debe quedar para las conductas y actividades de la empresa a las que no viene obligada por las leyes y por los contratos que haya celebrado pero que los administradores de la sociedad pueden desarrollar legítimamente porque y solo en la medida en que contribuyan a maximizar el valor de la empresa a largo plazo al incrementar la reputación de la empresa cuya correlación con su valor está ampliamente demostrada.
El cumplimiento normativo es un deber que pesa sobre los administradores de garantizar que la empresa que gestionan actúa en la legalidad. La responsabilidad social corporativa es una política que los administradores pueden desarrollar sin incurrir en responsabilidad si, y solo si, y solo en la medida en que contribuya a la maximización del valor de la empresa a largo plazo. Normalmente, porque, como decimos, incremente la reputación de la empresa o porque reduzca los costes de operar para la empresa – los costes de sus transacciones – al facilitar la celebración de contratos, la obtención de insumos o la expansión a nuevos mercados, por ejemplo.
Este planteamiento permite calificar como conducta generadora de responsabilidad indemnizatoria de los administradores los actos de filantropía que, vistos por un tercero imparcial, no puedan vincularse con un beneficio a largo para la sociedad. Lo que será especialmente evidente cuando los beneficiados por la actuación filantrópica de los administradores sean partes relacionadas con ellos. En términos más simples, no están amparados por la business judgment rule los gast”os realizados ad maiorem gloriam de los administradores o de terceros relacionados con ellos. Esta es la misma valoración que se encuentra recogida, simétricamente, en el art. 227 LSC cuando prohíbe al administrador utilizar el nombre de la sociedad o invocar la condición de administrador.
Los programas de cumplimiento normativo – dice Lascuraín – adoptan la forma de códigos en el sentido que le damos los juristas a la expresión: son conjuntos de reglas ordenadas externa e internamente (Larenz). El orden interno es el que le proporciona los principios que inspiran cada una de las reglas y que no pueden ser otros que los recogidos en las normas legales para cuyo cumplimiento se promulga el código. A veces, un código ético es la herramienta más útil. En otras, el procedimiento lo es todo, porque seguir un procedimiento garantiza la no comisión de la infracción. A menudo, el procedimiento reduce notabilísimamente la comisión de las infracciones.  Sorprende, en este sentido, la diferente vara de medir que se utiliza, a menudo, para enjuiciar la responsabilidad de los administradores sociales y la de los gobiernos que ponen en marcha medidas sin adoptar, simultáneamente, las precauciones necesarias para evitar la comisión de delitos en ejecución de esas medidas por parte de los funcionarios públicos y agentes privados que las ponen en marcha. Si una medida legislativa o administrativa es criminógena, debería afirmarse la responsabilidad penal de los legisladores o gobiernos que las ponen en marcha si la medida no iba acompañada de las cautelas necesarias para contrarrestar este efecto criminógeno. Protocolos anticorrupción los llama Lascuraín a los de las empresas privadas.
Los códigos han de aplicarse, lo que implica que la empresa debe organizarse para poder detectar los incumplimientos y sancionarlos. Siemens convenció a las autoridades norteamericanas de que estaba arrepentida de su conducta anterior calificada como sistemáticamente dirigida a sobornar a funcionarios y empleados de otras empresas para lograr la adjudicación de contratos, cuando puso en marcha un equipo de cumplimiento normativo que hoy incluye a más de 600 personas bajo la dirección de un Chief Compliance Officer y tras haberse gastado cientos de millones de euros en asesores externos que velaran por la ejecución del programa y en la “educación” de sus empleados. En 2011, fue la propia Siemens la que denunció a dos empleados suyos que, al parecer, habían sobornado a algún funcionario en Kuwait. La inmediata denuncia debería constituir un poderoso indicio de que la sociedad ejercía el “debido control” sobre sus empleados. Porque, no olvidemos, la denuncia ex post actúa como freno ex ante a las conductas delictivas de los empleados. La sensación de impunidad es la madre de todas las delincuencias por la misma razón que el Derecho Penal es la última garantía de la prevención del delito.

No hay comentarios:

Archivo del blog