Siguiendo el ejemplo de algunos países europeos, el legislador decidió modificar nuestro Código Penal introduciendo un régimen de responsabilidad penal de las personas jurídicas (sociedades mercantiles), lo que supuso dejar sin efecto el principio de societas delinquere non potest.
De esa manera, y tras la entrada en vigor de la reforma del Código Penal, las sociedades mercantiles se convirtieron en responsables directos de determinados delitos cometidos por su órgano de administración y/o empleados.
Concretamente, el artículo 31 Bis del Código Penal plantea dos escenarios posibles en cuanto a la responsabilidad penal de las personas jurídicas:
a) Delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
b) Delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
El legislador ha optado por un sistema limitado, por cuanto que no todos los delitos contemplados en nuestro Código Penal pueden ser responsabilizados a las personas jurídicas, al estar acotada la responsabilidad a un catálogo de delitos concretos y de diversa índole.
Las consecuencias de la comisión del delito para la sociedad son variadas, abarcando penas que van desde la disolución de la sociedad hasta la imposición de multas dinerarias, dependiendo del tipo delictivo incurrido y circunstancias que pudieran considerarse agravantes o atenuantes. A ello se debe de añadir el no menos importante riesgo reputacional al que se podrían enfrentar las sociedades ante la imputación de conductas delictivas y que, en algunos casos, pudiera acarrear mayores daños que los derivados de la imposición de las penas previstas en nuestra legislación.
La propia norma establece la posibilidad de que las personas jurídicas puedan quedar exentas de responsabilidad penal si con anterioridad a la comisión del delito se ha implementado en el seno de la sociedad un modelo de organización y gestión (Manual de Cumplimiento), suficiente y adecuado para dotar a la entidad de los mecanismos y protocolos de actuación, vigilancia y respuesta necesarios, tanto para prevenir la comisión de delitos como para atenuarlos en caso de que se cometan burlando los controles existentes.
Teniendo en cuenta que cada organización tiene sus propias particularidades, el manual de cumplimiento, para ser eficaz, debe ser un "traje a medida", por lo que su diseño se debe de realizar de manera individualizada y tras completar las fases siguientes: (i) identificación de los riegos penales en los que podría incurrir la persona jurídica, es decir, los delitos que podría cometer según su actividad y su modelo organizativo, (ii) identificación y evaluación de los controles que pudiera haber ya existentes, (iii) diseño de los protocolos de actuación presumiblemente suficientes para evitar la comisión de delitos e (iv) implementación de las medidas de prevención y control concretas, así como de respuesta en caso de que se compruebe la vulneración esos controles y la comisión de alguno de los delitos concretos que puedan ser imputados a la sociedad.
Para darle eficacia al modelo, la sociedad debe contar con un órgano de control ("compliance officer"). Se trata de un supervisor del funcio- namiento y cumplimiento del modelo de prevención de riesgos. Puede ser un órgano interno de la empresa o externo, si bien, en ambos casos, debe estar dotado de la autoridad, facultades y medios suficientes para el correcto desempeño de la función que se le atribuye. Aunque el órgano de administración de la persona jurídica es el responsable de la implementación del manual, es recomendable que el "compliance officer" participe en el diseño del modelo (así al menos se señala en la Circular 1/2006 de la Fiscalía General del Estado), y asuma la función de revisar y actualizar los protocolos de actuación y canales de respuesta.
En las empresas de pequeña dimensión, las funciones de supervisión pueden ser directamente asumidas por el órgano de administración. Si bien puede ser eficaz de cara a controlar las actuaciones de los subordinados, no parece recomendable que sea el propio órgano de administración el que se supervise a sí mismo para evitar el incumplimiento del modelo de actuación.
Finalmente, sería deseable que el modelo de prevención establezca canales que permitan denunciar de manera interna cualquier vulneración de los protocolos de actuación establecidos por la persona jurídica, así como un procedimiento disciplinario que sancione, de manera adecuada, el incumplimiento de las medidas exigidas por la sociedad para la prevención de conductas delictivas.
