En ocasiones, la configuración de una determinada regulación jurídico-penal provoca, en la célebre terminología popularizada por Robert K. Merton, una serie de unintended consequences: consecuencias imprevistas. Probablemente, en una línea similar, quienes introdujeron el conjunto de artículos que conforman el corpus del sistema de responsabilidad penal de las personas jurídicas en España no previeron excesivamente los aspectos relativos a la prescripción. El resultado, lo anticipamos ya al comienzo de este Editorial, es que, para las empresas que operan normalmente en el tráfico jurídico-mercantil y que ni son reincidentes ni meros instrumentos de las personas físicas, el plazo de prescripción de los delitos es siempre de cinco años.

Quizás el lector se lleve las manos a la cabeza ante la afirmación de que, con independencia de la gravedad del delito, el plazo de prescripción es el mismo (5 años) para la gran mayoría de las personas jurídicas. Se advertiría ahí una suerte de “desigualdad” respecto de lo que sucede con las personas físicas. La doctrina penal no ha estado especialmente atenta al tema de este editorial, pero esta consecuencia ha sido lo suficientemente notable como para que la propia OCDE en su informe de 8 de diciembre de 2022 en fase 4 (Implementing the OECD Anti-Bribery Convention. Phase 4 Report: Spain)  –comentado en nuestro anterior editorial– haya solicitado al Legislador español que cambie la regulación de la prescripción respecto de la responsabilidad penal de las personas jurídicas. Y eso, no es poco.

El primer factor decisivo para la peculiar regulación de la prescripción respecto de las personas jurídicas viene dado por el hecho de que la pena de multa es la pena estrella (ya sea proporcional, ya sea por el sistema de días multa) para las personas jurídicas. Y, como es sabido, el artículo 131 CP establece que el plazo de prescripción para las multas es de cinco años.

Ciertamente el elenco de sanciones interdictivas previsto en el artículo 33.7 CP permite la interposición de alguna de ellas – la prohibición de realizar actividad en el futuro (letra e)) y la inhabilitación para obtener subvenciones (letra f)) – por duración superior a cinco años; pero a tenor del artículo 66 bis) CP sólo en dos casos: cuando se trata de una persona jurídica reincidente o cuando la persona jurídica ha sido utilizada como instrumento para la comisión de ilícitos penales. Si no se da ninguna de estas circunstancias, está proscrita la imposición de una reacción interdictiva por más de cinco años.

¿Cómo ha sido acogida esta regulación por parte de los Tribunales españoles? Ciertamente, de forma desigual. Algunas resoluciones judiciales, conscientes de esta regulación -y aún más conscientes de la jurisprudencia del Tribunal Supremo respecto de la responsabilidad penal de las personas jurídicas-, interpretan correctamente los correspondientes postulados. Otras resoluciones, empero, vinculan el plazo de prescripción de las personas jurídicas a las penas de las personas físicas en un denodado intento de evitar las «consecuencias indeseadas». Ello únicamente contribuye a la peor de las consecuencias de una regulación jurídico-penal: la inseguridad jurídica.

Como exponente de la -a nuestro entender- aplicación correcta de los preceptos y jurisprudencia de la Sala Segunda nos encontramos con el Auto de la Sección Tercera de la Audiencia Nacional de 15 de noviembre de 2022 [Ponente Ilmo. Sr. D. Carlos Fraile]. En el mismo se contiene el siguiente razonamiento:

El Auto en apelación confirma dicho planteamiento de la siguiente forma:

No obstante, en sentido contrario, pueden encontrarse diversas resoluciones judiciales, incluso de la propia Audiencia Nacional, en las que se vincula la prescripción de la persona jurídica a los periodos de prescripción previstos para personas físicas. En concreto, el Auto de la Sección Segunda de la Sala de lo Penal de la Audiencia Nacional [Ponente: Ilmo. Sr. D. Joaquín Delgado Martín] razona de la siguiente forma:

“la parte recurrente (Alegación Segunda) se refiere a la existencia de prescripción. Considera que el plazo de prescripción del delito, para hechos ocurridos tras la reforma de la LO 5/2010, respecto de una persona jurídica, es el de 5 años, considerada la pena que lleva aparejada el delito respecto de la persona jurídica acusada y consideradas las reglas particulares del art. 66 bis CP en materia de prescripción del delito y para exigir responsabilidad penal a una persona jurídica.

Ante esta tesitura, el criterio decisivo viene dado por la posición que se adopte respecto de la autonomía de la responsabilidad penal de las personas jurídicas. Y la posición de la Sala Segunda del Tribunal Supremo es clara: la persona jurídica tiene una responsabilidad autónoma independiente de la individual. Por ello, si, como afirma la Sala Segunda, la responsabilidad penal de la persona jurídica debe interpretarse en clave de autorresponsabilidad – y no de heterorresponsabilidad – entonces dicho principio debería regir también para la extinción de dicha responsabilidad. Como señala el mencionado Auto de la Sección Tercera de la Sala de lo Penal de la Audiencia Nacional de 15 de noviembre de 2022, no existe entre persona física y jurídica la conexidad de base natural o sustantiva a la que se refiere el art. 131.4 CP.:

En efecto, el referido Auto es coherente con la posición asumida por nuestro Tribunal Supremo respecto de la responsabilidad penal de las personas jurídicas. En primer lugar, la Sentencia del Tribunal Supremo 710/2021, de 20 de septiembre [Ponente: Excma. Sra. Dña. Ana Ferrer]:

En idéntico sentido, la sumamente relevante Sentencia del Tribunal Supremo 894/2022, de 11 de noviembre [Ponente: Excmo. Sr. D. Ángel Hurtado]:

Por ello, respecto del cómputo de la prescripción desde esta perspectiva, señala con razón el Auto de la Sección Tercera de la Sala de lo Penal de la Audiencia Nacional de 15 de noviembre de 2022 referido anteriormente tanto

Como que

En conclusión, los principios que fundamentan la responsabilidad penal de las personas jurídicas no deberían quedar en el olvido cuando toca valorar la extinción de dicha responsabilidad.

I. Introducción

Algoritmos de alta complejidad, vehículos sin conductor, robots “humanoides”, sistemas de armas autónomos y letales, y mucho más, ya no son sólo material para guionistas y autores de libros de ciencia ficción. Sin duda alguna, hemos entrado en la era de la inteligencia artificial (en adelante también denominada “IA”), que probablemente se convertirá en la tecnología más importante del siglo XXI, gracias a los extraordinarios avances impulsados por el aumento exponencial de los datos digitales y las capacidades computacionales¹. El carácter histórico de tales logros técnicos-científicos explica que observadores atentos vislumbren una cuarta revolución industrial² y, en perspectiva, “el mayor acontecimiento de la historia de nuestra civilización”³. Sus posibles repercusiones afectarán – y, en cierta medida, ya han afectado – a todos los ámbitos de la vida social, tanto en contextos de paz como de guerra, de trabajo o de ocio: medicina, industria, finanzas, tráfico rodado, asistencia, recaudación de impuestos, entretenimiento, funcionalidad de los hogares (la llamada domótica), conflictos armados, etc.⁴.

Por lo tanto, los ordenamientos jurídicos están llamados a hacer frente a las ambivalentes repercusiones de las llamadas máquinas inteligentes de última generación, que, por un lado, representan un factor de mejora de las condiciones de vida de naciones y pueblos enteros, al ser capaces de fomentar el crecimiento humano y social, y, por otro, constituyen una fuente de riesgos potencialmente desmesurados.

Por estas razones, la IA se ha convertido en un campo de investigación muy estimulante también para los estudiosos del Derecho penal, como revela un considerable número de investigaciones y estudios en toda Europa y en todo el mundo. En este contexto, destacan las investigaciones sobre la responsabilidad penal o administrativa de las personas jurídicas u otras entidades colectivas y, en particular, de las sociedades mercantiles, que figuran entre los mayores usuarios de las nuevas tecnologías. Esto se debe a dos razones, que afectan tanto al aspecto relativo a la prevención como a la represión de delitos.  

La primera razón es que las técnicas de inteligencia artificial, en combinación con la denominada blockchain, probablemente cambiarán radicalmente los métodos y prácticas de cumplimientopenal y el diseño de sistemas de control interno en las empresas. En el contexto general de lo que puede designarse como el “mundo RegTech”⁵, las empresas, utilizando sofisticados sistemas informáticos, pueden disparar señales de alarma (red flags) que de otro modo no se hubieran podido identificar a través de las técnicas clásicas de análisis y supervisión. Además, pueden construir sistemas de toma de decisiones transparentes y fiables, en los que sea más complicado ocultar actividades ilícitas⁶.

Obviamente, todo lo dicho hasta aquí pertenece al mundo de las aspiraciones; la realidad podría ser menos idílica, ya que el nuevo hito de la digital compliance también presenta grandes incógnitas y riesgos que hay que gestionar. Entre las cuestiones que exigen atención, podemos mencionar, por ejemplo: la calidad de los datos en los que se basan los sistemas de inteligencia artificial⁷; el impacto sobre la protección de los datos personales y los derechos de los trabajadores, con innegables implicaciones de carácter ético; el papel de la ciberseguridad en la salvaguarda de los datos sensibles objeto de los procesos de cumplimiento digital; las disparidades en el acceso a los recursos digitales; o los efectos macroeconómicos sobre el empleo y la organización del trabajo, que requieren una cuidadosa consideración de las implicaciones sociales y políticas. De todo ello se deduce que, incluso desde la perspectiva de la “conformidad” legal, la regulación y gestión de las herramientas de IA aconsejan la adopción de un enfoque holístico que tenga en cuenta los aspectos tecnológicos, éticos, jurídicos, de seguridad y sociales.

La segunda razón del especial interés que los instrumentos de IA hoy suscitan entre los juristas, incluidos los penalistas, es aún más relevante desde la óptica del impacto social: su uso en el contexto de una empresa puede ocasionar peligros o daños de diversa índole, significativos desde el punto de vista de la comisión de delitos (dolosos o culposos). Piénsese en los sectores, ya de gran importancia y actualidad, de los coches de conducción autónoma (self-driving cars)^{8 9}, la robótica y los sistemas de diagnóstico médico, el trading financiero o la gestión logística mediante algoritmos.

Como ya se ha dicho, el problema se ve amplificado por el siguiente dato fáctico: gran parte de los sistemas de IA son producidos o utilizados por personas, en particular, con forma societaria. A este respecto, la cuestión jurídica clave es si las personas jurídicas involucradas pueden de iure condito o deben de iure condendo ser llamadas a responder en procedimientos penales o para-penales (por ejemplo: en el ordenamiento jurídico italiano, en virtud del Decreto Legislativo nº 231 de 8 de junio de 2001; en sistema penal español, en virtud de los artículos 31-bis y siguientes del Código penal) por delitos relacionados con el uso de IA.

En este artículo pretendemos centrarnos en esta última perspectiva, explorando, en primer lugar, la posibilidad de que una organización pueda ser considerada responsable de la comisión de delitos de diversa índole vinculados al uso de dispositivos o algoritmos de IA. Para ello examinaremos el marco normativo actual¹⁰, exploraremos las técnicas jurídicas que parecen en abstracto viables para responsabilizar a las personas jurídicas en estas peculiares esferas de riesgo, y abordaremos los posibles obstáculos y argumentos que se oponen a tal enfoque jurídico¹¹. Por último, extraeremos conclusiones de las consideraciones realizadas¹².

II. Los regímenes de responsabilidad penal (o para-penal) de las empresas a nivel internacional y los delitos relacionados con la IA: el escenario actual

Ante el dilema de si una persona jurídica puede ser considerada responsable de un delito caracterizado, en la fase de preparación o de ejecución, por el uso de herramientas de IA, hay que distinguir entre los sistemas informáticos no autónomos y los sistemas que pueden tomar decisiones totalmente autónomas, que los propios programadores o usuarios finales son incapaces, en todo o en parte, de prever¹³.

1. Sistemas de IA no autónomos y sistemas autónomos utilizados intencionalmente para cometer delitos

Partiendo de la primera constelación de casos, los sistemas no autónomos no parecen plantear problemas adicionales a los abordados tradicionalmente en el Derecho penal de las personas físicas o en el Derecho punitivo de las entidades pluripersonales.

Tales dispositivos, de hecho, se limitan a ejecutar instrucciones recibidas del programador humano o, en cualquier caso, operan bajo el control directo de una o varias personas físicas. En consecuencia, pueden activarse las vías “ordinarias” o usuales de enforcement e imputación de responsabilidad penal a la persona física y, eventualmente, también a la persona jurídica¹⁴.

En efecto, tanto en los casos en que la herramienta tecnológica se utilice con el propósito específico de cometer un delito contra la vida, la seguridad, la privacidad personal, el patrimonio ajeno, etc., como en las situaciones en que el uso del sistema cause un daño involuntario (es decir, imputable a título de imprudencia) y susceptible de constituir una infracción penal¹⁵, la responsabilidad podrá ser invocada sobre la base de los principios y regulas habituales en los diferentes ordenamientos jurídicos. Podrán ser considerados responsables del delito, según el caso, el productor, el distribuidor o el usuario final del sistema¹⁶, así como la persona jurídica o las personas jurídicas según corresponda. Respecto a la entidad colectiva, los modelos de imputación varían desde las formas basadas en la responsabilidad vicaria (vicarious liability) o en la responsabilidad objetiva (strict liability), hasta las centradas en la culpa de organización (organizational fault) o en la falta de prevención de delitos específicos (failure to prevent model)¹⁷.

Obviamente, incluso entre estos casos más “sencillos», pueden surgir, en la práctica, cuestiones delicadas de atribución de responsabilidad, tanto desde el punto de vista del autor o cómplice individual como de la organización a la que pertenecen. Como ya se ha mencionado, estas dificultades aplicativas no suelen diferir de las que se plantean normalmente en los casos de responsabilidad por productos defectuosos¹⁸. Sin embargo, los problemas tradicionales de imputación se ven agravados, en el contexto que nos concierne, por la incidencia en la dinámica fáctica de tecnologías complejas como las de la IA, especialmente en lo que respecta a los métodos utilizados en la fabricación y la marcada complejidad técnica del output de la producción.

En particular, desde la perspectiva de la responsabilidad individual, se amplían – para mencionar sólo las más evidentes – las cuestiones dogmáticas relacionadas con la identificación de los responsables y las causas penalmente relevantes del resultado, la distinción entre acción y omisión, las fuentes legales y la delimitación de las posiciones de garantía de los distintos actores en el proceso de producción, programación y comercialización de la máquina, la previsibilidad ex ante del eventual carácter defectuoso del producto, los requisitos de la cooperación imprudente y la acumulación de culpas, el papel del principio de confianza en Derecho penal.

También tiene trascendencia la tendencia a distribuir el proceso productivo en cadenas de suministro extremadamente fragmentadas: un aspecto que no sólo caracteriza a la industria de la IA, sino que aquí se eleva a la máxima potencia. La figura del “productor” se descompone en una miríada de operadores económicos, distribuidos nacional y globalmente, para cada componente del producto final. Esto complica la reconstrucción de las posiciones de garantía y los eslabones causales, y agrava las dificultades de previsión de los efectos del conjunto por parte de cada uno de los participantes en la cadena causal. Pero incluso cuando el proceso de producción se concentra en una única organización, la imagen monolítica del “fabricante” o “diseñador” corresponde a un uso sincopado del lenguaje, dado que en los procesos de construcción de máquinas inteligentes intervienen multitud de técnicos que aportan su contribución al proyecto unitario.

Además, pueden surgir problemas de jurisdicción, debido a la división nacional e incluso mundial de los diferentes segmentos productivos¹⁹. Desde este último punto de vista, la relación entre vendedor y consumidor también puede estar profundamente fragmentada geográficamente. Baste considerar que hoy en día cualquiera puede comprar en línea herramientas de IA – drones, por ejemplo – a vendedores que residen en terceros países.

En cuanto a la concreta cuestión de la posible imputación de responsabilidad a una entidad colectiva, también deben tenerse en cuenta las peculiaridades de los distintos regímenes normativos. Sólo a título de ejemplo, considérese el caso en que la puesta en circulación de un vehículo autónomo bajo la supervisión de un conductor humano lleve a la comisión de un homicidio imprudente y, sin embargo, las normas aplicables en materia de responsabilidad de las empresas no incluyan este delito entre los que pueden dar lugar a la responsabilidad de la societas. Evidentemente, este problema de aplicación sólo puede plantearse en los sistemas legales nacionales basados en un “catálogo cerrado” (numerus clausus) de delitos de los que puedan responder las personas jurídicas²⁰.

Los resultados de esta primera fase de nuestro análisis también pueden reproducirse sin demasiada dificultad con respecto a los sistemas de IA que son completamente autónomos pero que han sido diseñados desde el principio con el objetivo de cometer delitos y causar intencionadamente daños a terceros, por ejemplo, con fines terroristas o de desestabilización de gobiernos legítimos.

En estos casos, las aplicaciones de IA actúan como una especie de longa manus de quienes pretenden perpetrar hechos delictivos²¹. Por consiguiente, la responsabilidad penal podrá atribuirse – como se ha subrayado anteriormente – a las personas físicas que utilicen la herramienta con intenciones criminales, así como a la persona jurídica a la que pertenezcan, cuando la legislación vigente lo permita.

Además, en caso de condena de la persona física y/o jurídica, el dispositivo lesivo puede, por regla general, ser decomisado como instrumentum sceleris, es decir,como instrumento utilizado para cometer el delito, en el ordenamiento jurídico español según el art. 127 del código penal y en el ordenamiento jurídico italiano en virtud del art. 240 del código penal.

2. Sistemas de IA completamente autónomos y no programados/utilizados para cometer delitos

Como se ha anticipado, los que se acaban de reseñar son los casos más sencillos, los easy cases, como diría Herbert Hart.

La cuestión se vuelve mucho más nebulosa y compleja en relación con los sistemas de IA completamente autónomos que no se programan ni se utilizan para cometer delitos. Estos son los verdaderos hard cases, los que más ocuparán a los tribunales tan pronto como los escenarios que hoy tememos comiencen a convertirse en una posibilidad más realista. Nos referimos a herramientas digitales estructuradas by design  para aprender automáticamente y actuar “solas”, es decir, capaces de percibir su entorno, interactuar con él, analizar datos, hacer previsiones, tomar decisiones y provocar modificaciones en la realidad externa con total independencia tanto del productor del sistema como del usuario²².

En la literatura científica se habla de machine learning (aprendizaje automático), cuya última evolución son las sofisticadas técnicas de deep learning (aprendizaje profundo)²³. La máquina, en este caso, es un sistema abierto²⁴ que aprende de forma continua y automática, con la consecuente modificación de las conexiones entre neuronas artificiales, por lo que desde este prisma lo que se pretende es imitar, en la medida de lo posible, la “plasticidad” del cerebro humano y el cambio incesante de las redes neuronales que lo componen²⁵.

Desde la perspectiva del Derecho penal, el problema más delicado que suscitan estos avances tecnológicos es precisamente la imposibilidad de predecir, al menos en su totalidad, el funcionamiento futuro del sistema, ergo todas las decisiones que, en las infinitas situaciones de la vida real, el dispositivo de IA podrá tomar independientemente de la instrucción o autorización de una guía humana.

Si las máquinas inteligentes estuvieran totalmente automatizadas, este problema no se plantearía, ya que por definición se puede automatizar todo lo que es predecible. Por el contrario, los dispositivos de última generación capaces de autoaprendizaje toman decisiones a través del contacto con el entorno externo y los datos almacenados en el cloud, “un potente hub computacional capaz de almacenar, procesar y proporcionar enormes cantidades de datos²⁶, de los cuales extraer continuamente para las actualizaciones, los upgrades”²⁷. La consecuencia es que ni el diseñador, ni el programador, ni el usuario final pueden conocer exactamente de antemano el pattern decomportamiento que la máquina elegirá, una y otra vez, al interpretar las infinitas situaciones de la vida real²⁸.

En algunos aspectos, una dosis de imprevisibilidad está incluso “preordenada”, ya que el objetivo del fabricante de estos dispositivos avanzados no es instruir y regular de antemano cualquier elección de la máquina, sino hacer que la tecnología “pensante” funcione y tome sus decisiones de una manera que se espera que sea lo más eficaz posible. Ésta es también la única declinación concebible del principio de confianza en la relación hombre-máquina inteligente. Pero la principal novedad, frente a las versiones clásicas del principio de confianza en la teoría del delito imprudente, es que en este caso no se trata de confiar en una persona humana de la que se tienen razones para creer que tiene la suficiente experiencia, formación y prudencia para realizar determinadas tareas, sino en una máquina que aprende, hipotéticamente dispuesta a un continuo proceso de aprendizaje basado en la experiencia y perfeccionamiento de sus “habilidades”. Aquí, como se ha dicho, reside el punctum dolens penal de las tecnologías en cuestión.

Es evidente entonces cómo, a través de esta inédita dimensión empírica, se pasa del peligro previsible y en todo o en parte cuantificable, que representa el dominio de la prevención, al riesgo desconocido, que se sitúa, electivamente, en el dominio de la llamada precaución. De hecho, la idea de prevención está marcada por el conocimiento científicamente corroborado. El principio de precaución, en cambio,a se refiere a los ámbitos de riesgo caracterizados por una considerable incertidumbre científica, de modo que se refiere a lo que se supone que pueda ocurrir, pero no se sabe si – y en qué términos – ocurrirá.

En una sociedad que tiende a rechazar la idea de lo “fortuito”, es fácil predecir una enérgica demanda de justicia por parte de las víctimas ante cualquier fallo del algoritmo presuntamente “inteligente”.  Sin embargo, según la opinión doctrinal dominante, en la fundamentación de la responsabilidad por imprudencia no cabe recurrir al principio de precaución como fuente jurídica supletoria del deber de cuidado.

En puridad,  este criterio de imputación subjetiva “requiere, ante todo, la violación de reglas de cautela con fundamento nomológico, orientadas a la prevención de resultados previsibles (y no meramente hipotéticos) ex ante: sobre la base, por tanto, del patrimonio cognitivo disponible (para el agente modelo de referencia o, al menos, para el agente concreto que por azar posee conocimientos superiores) en el momento de la conducta, cuya naturaleza contraria a deber no puede ser afirmada de manera retroactiva”²⁹.

La perspectiva orientada por el principio de precaución se convierte así en un método de buena gestión administrativa del riesgo hipotético, que puede incluso aconsejar, en casos límite, la prohibición absoluta de actividades o del uso de tecnologías de las que se teme que puedan generar peligros aún no corroborados científicamente, pero que parecen previsiblemente insostenibles en cuanto a su gravedad y potencial difusión.

Una vez definido el marco conceptual de nuestra reflexión, no se puede excluir que las decisiones tomadas autónomamente por un sistema de IA puedan constituir, al menos desde un punto de vista material-objetivo, conductas penalmente típicas.  Nos vienen a la mente ejemplos de abusos de mercado llevados a cabo mediante software de IA capaz de gestionar de forma autónoma transacciones bursátiles o financieras³⁰, o daños a la integridad física – homicidio o lesiones imprudentes – causados por robots/sistemas de IA dotados igualmente de autonomía operativa³¹.

A veces, la experimentación sobre el terreno de una determinada máquina (por ejemplo, un dispositivo de diagnóstico o uno utilizado en intervenciones quirúrgicas) o los feedback de los clientes pueden permitir al fabricante y/o al usuario tomar conciencia de que un determinado tipo de IA se desviará, en un cierto porcentaje de casos (aunque no sea exactamente cuantificable), de las funciones programadas, desencadenando cursos causales potencialmente dañinos que no pueden neutralizarse con medidas preventivas adecuadas, en el estado de los conocimientos científicos. En estos casos, podemos hablar de un mínimo riesgo conocido, que puede llevar a la autoridad estatal a la decisión jurídico-política de tolerarlo, cuando el efecto secundario adverso parezca de poca relevancia, o, por el contrario, a prohibirlo como riesgo jurídicamente inadmisible y por esto no permitido.

Sin embargo, en el escenario característico del machine learning y, más aún, del deep learning, el conocimiento científico-experimental, por regla general, ni permite afirmar que el uso de un determinado sistema de IA pueda causar peligros o daños específicos incontrolables, ni excluirlos categóricamente.

En este contexto, la responsabilidad penal individual está expuesta a grandes incertidumbres y dudas potencialmente irresolubles. Pero lo mismo sucede con la cuestión relativa a la responsabilidad penal de las organizaciones empresariales implicadas, que sitúa  al jurista ante un dilema difícil de resolver de modo unívoco. En todo caso, antes de responder a esta última cuestión, parece necesario abordar una hipótesis que, no obstante su carácter fantasioso, surge recurrentemente en el debate científico: la idea de atribuir personalidad jurídica a los sistemas de inteligencia artificial como tales y castigar directamente a la máquina³², en presencia de un mal funcionamiento que genere perjuicios a intereses jurídicamente protegidos, penalmente trascendentes. Esta sugerencia evoca los juicios medievales contra los animales o incluso el animismo de los pueblos primitivos³³, que pasa por atribuir propiedades espirituales a realidades físico-materiales.

Es evidente, sin embargo, que la solución a los problemas jurídicos aquí abordados no puede venir, en el estado actual de modernidad hipertecnológica que nos rodea, de la exhumación del pensamiento arcaico más irracional y, por tanto, de una regresión – por decir lo menos grotesco – a las fases primitivas del desarrollo social; de hecho, hasta la fecha, ninguna legislación (al menos que sepamos) prevé medidas o sanciones penales directamente aplicables a las herramientas informáticas o dispositivos de IA³⁴.

En el estado actual de los conocimientos técnico-científicos, hay consenso unánime en que estos instrumentos supuestamente inteligentes carecen de capacidad de autodeterminación y, por tanto, de verdadera autoconciencia o identidad personal, entendida – al menos a partir del padre del empirismo moderno John Locke – como la conciencia que una persona tiene de su permanencia a través del tiempo y de las fracturas de la experiencia³⁵. La autoconciencia es indispensable para fundar la responsabilidad penal stricto sensu, y de ella depende también la posibilidad de que cualquier medida punitiva (independientemente de su calificación) pueda motivar psicológicamente al destinatario a cumplir la norma. En definitiva, un dispositivo de IA, “aun siendo “inteligente”, no deja de ser siempre una máquina”³⁶. El propio uso del término “inteligencia” refleja un lenguaje metafórico con el que atribuimos al dispositivo cualidades de las que, en realidad, carece³⁷.

En contra podría decirse que: muchos ordenamientos jurídicos nacionales ya admiten la responsabilidad penal de las personas jurídicas, en sí mismas carentes de consistencia psicofísica³⁸. Sin embargo, la comparación no se sostiene: un algoritmo no sólo carece de self-consciousness,sino también del sustrato propio de una colectividad humana. En cambio, una legal person (persona jurídica) no es sólo una abstracción jurídica, sino una organización de personas y recursos, y por tanto también una colectividad de individuos de carne y hueso (como los directivos, empleados y colaboradores de una sociedad mercantil), motivados por un precepto normativo (mandato o prohibición) y la amenaza de sanciones por su incumplimiento.

Queda entonces por abordar la cuestión de si, frente a delitos en cuya dinámica causal hayan intervenido herramientas de IA completamente autónomas, la persona jurídica que – a través de sus miembros – haya hecho uso de esa tecnología, o que haya diseñado, producido, distribuido o vendido el dispositivo, también puede ser castigada.

Para ello son necesarias algunas aclaraciones preliminares. En primer lugar, conviene considerar que, a nivel internacional, la responsabilidad penal de las empresas está, por regla general, indisolublemente vinculada a la comisión de un delito por parte de una persona física (el denominado “hecho de conexión”; en alemán Anknüpfungstat)³⁹. Sin embargo, en los casos mencionados anteriormente, es difícil – y la mayoría de las veces imposible – afirmar la responsabilidad penal de una persona física.

Para empezar, puede resultar imposible la demostración judicial de la existencia del tipo objetivo del delito (en inglés, actus reus), por ejemplo, en lo que respecta al nexo causal entre el resultado final ofensivo y un error de diseño cometido por un individuo, teniendo en cuenta además que muchas personas – y a veces variadas galaxias empresariales y multiempresariales – cooperan para crear y lanzar determinados productos al mercado.

Pero aparte de ello, el verdadero e insuperable obstáculo suele ser la prueba del tipo subjetivo (mens rea), ya que, en los casos en cuestión, no es posible imputar la responsabilidad penal a un individuo del que resulta descartada la intención de cometer un delito y que ni siquiera podía prever el comportamiento del sistema informático, salvo la simple y abstracta posibilidad de que algo negativo pudiera salir mal: pero en este caso estaríamos volviendo no al campo de la prevención, sino al de la precaución⁴⁰ o, a lo sumo, al de una genérica e inconsistente previsibilidad de la imprevisibilidad. Como ya hemos señalado, de hecho, estos dispositivos inteligentes toman decisiones autónomas e impredecibles, a la vez que los mecanismos por los que aprenden y toman determinadas decisiones son a menudo desconocidos (el nodo de la llamada “black-box”)⁴¹.

En resumen, la imposibilidad – ya sea teórica o práctica – de responsabilizar penalmente a un ser humano (por la vía del dolo, la imprudencia o hipótesis intermedias como la recklessness inglesa), significa que tampoco se podrá responsabilizar y castigar a una corporation.

Esto es indudablemente cierto en el caso de los modelos de heterorresponsabilidad, es decir, aquellos en los que la persona jurídica responde indirectamente por el delito cometido por una persona física dentro del marco de la relación que lo une a la organización y en el interés de esta. El tradicional mecanismo estadounidense de imputación, conocido como vicarious liability (responsabilidad vicaria)⁴², implica, de hecho, que las corporaciones sólo pueden ser consideradas culpables y castigadas cuando sea posible identificar a una persona física que ha realizado una conducta que cumple todos los requisitos objetivos y subjetivos del delito relevante⁴³.

Algunos estudiosos han reflexionado sobre la posible extensión de la corporate mind – en la que fundamentar una imputación de responsabilidad – también a los fallos algorítmicos que contribuyen a causar daños a terceros, argumentando la posibilidad de imaginar ilícitos “cometidos” por sistemas digitales y considerarlos ilícitos corporativos (corporate wrongs), similares a los perpetrados por empleados⁴⁴.

Se trata de construcciones claramente artificiosas porque comparan datos empíricos objetivamente incomparables. Partiendo de esta incongruente asimilación, este planteamiento consideraría al algoritmo como un agent de la organización y, sobre todo, le atribuiría una culpabilidad/mens rea que luego imputaría a la persona jurídica. El planteamiento es inasumible, debido a la mencionada imposibilidad de captar un elemento de Gewissen (conciencia moral), o más sencillamente autoconciencia, en la máquina.

La respuesta a tal cuestión sólo puede ser negativa, y ello es así aun asumiendo el recurso a un modelo diferente de responsabilidad, basado en la teoría de la identificación, también de origen anglosajón (identification doctrine), aunque también con ascendientes en la teoría del órgano propia del derecho público de matriz continental⁴⁵. En su caso, conllevaría el problema adicional de cómo concebir el algoritmo como la “directing mind and will of the company”⁴⁶.

Por último, los resultados no cambian al dirigir nuestra atención a los ordenamientos jurídicos en los que la responsabilidad de la persona jurídica se basa en un requisito de “culpa de organización”⁴⁷ o, de forma similar, se construye en términos de no prevención del delito (failure to prevent). La idea que subyace a estas disciplinas es que las organizaciones pueden ser consideradas responsables por no haber implementado compliance programs o procedimientos adecuados para prevenir la comisión de delitos específicos.

No se ignora cómo, en determinadas condiciones, muchos de estos regímenes de responsabilidad empresarial admiten la posibilidad de declararla de forma “autónoma”, es decir, prescindiendo de la identificación material del autor del delito (la llamada “culpabilidad anónima”o anonymous guilt). En este paradigma “autonomista” podemos situar, sin duda, el art. 8 del Decreto Legislativo italiano nº 231/2001⁴⁸ o el art. 31-ter, párrafo 1, del Código penal español. Sin embargo, incluso estos modelos de responsabilidad siguen anclados en la necesidad de determinar la comisión de un delito en todos sus elementos esenciales, objetivos y subjetivos, o al menos los factores objetivos de la conducta humana y del resultado, permitiendo como mucho que la autoridad judicial prescinda de la identificación del autor individual concreto⁴⁹.

III. Las perspectivas de futuro: ¿hacer responsables a las personas jurídicas por delitos relacionados con la IA?

Ha llegado el momento de reflexionar, de manera concisa, sobre las técnicas legislativas que podrían adoptarse, en el futuro próximo, para fundamentar la responsabilidad de una empresa por delitos determinados por el uso de sistemas de IA, y en particular, de aquellos completamente autónomos. Además, es necesario entender si las diversas estrategias político-criminales son adecuadas y justas o no.

Nuestra primera tesis es que este problema no debe abordarse desde una perspectiva unilateral y monista. Especialmente en relación con las nuevas tecnologías de IA, cualquier decisión de política criminal debería ser el último peldaño de un proceso más amplio y articulado de regulación pública, dentro del cual el legislador debería encargarse también de establecer las “reglas del juego” y los límites del denominado erlaubtes Risiko (“riesgo permitido”)⁵⁰.

Las instituciones de la UE, recientemente, han adoptado importantes medidas en la dirección auspiciada, entre las que destaca el Reglamento sobre inteligencia artificial (la llamada “Ley europea de Inteligencia Artificial”), publicado en el Diario Oficial de la Unión Europea el 12 de julio 2024⁵¹. Las Organizaciones Internacionales también podrían adoptar iniciativas normativas similares, a escala global, mediante la celebración de acuerdos multilaterales y la coordinación de su aplicación e implementación⁵².

El instrumento europeo que acaba de ser adoptado tiene como objetivo introducir normas comunes en el mercado único para garantizar la circulación de herramientas de IA seguras, prohibiendo las prácticas más peligrosas – incluyendo algunas formas muy controvertidas de predictive policing ⁵³– y estableciendo medidas específicas de cumplimiento normativo, con inclusión de la supervisión del producto tras su comercialización, o la obligación de adoptar todas las medidas correctivas adecuadas para garantizar el buen funcionamiento del sistema de IA, su eventual retirada del mercado o su posible reintroducción en el mismo dentro del plazo que pueda prescribir la autoridad de supervisión del mercado, según la lógica de la reactive fault o del ilícito por omisión de reacción (véase, por ejemplo, los arts. 20 y 79, párrafo 3, del Reglamento)⁵⁴. Los operadores que deseen comercializar software de IAde alto riesgo deberán cumplir de manera efectiva con estas prescripciones, y se impondrán obligaciones similares a los operadores para la distribución de los diversos dispositivos. El instrumento normativo de la UE también prevé que los Estados miembros (EM) establezcan o designen autoridades nacionales responsables de garantizar la aplicación de estas normas y que establezcan (véase el art. 99) “el régimen de sanciones” – que deberán ser “efectivas, proporcionadas y disuasorias” – “y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del presente Reglamento que cometan los operadores […]”. Por último, se especifica que los Estados miembros deberán adoptar  “todas las medidas necesarias” para garantizar una correcta y eficaz aplicación del referido Reglamento. En consecuencia, el texto deja un amplio margen de apreciación y decisión a los Estados miembros sobre los tipos de medidas sancionadoras a adoptar (así como sobre su contenido), más allá de los requisitos esenciales establecidos por el Reglamento⁵⁵.

En nuestra opinión, antes de considerar cualquier medida penal o punitiva de aplicación directa a las empresas que producen o utilizan herramientas de IA, los Estados – incluso fuera de la UE y, por tanto, no sujetos a disposiciones europeas directamente aplicables – deberían contar con una legislación que regule la producción y venta de tales dispositivos tecnológicos y otras actividades en el sector. Dicha legislación debería, como mínimo, identificar qué productos están permitidos, establecer las reglas de compliance que deben observarse para introducir estos dispositivos en el mercado de forma segura e imponer formas de seguimiento posterior a la comercialización, indicando también la autoridad pública encargada de los controles.

El segundo paso que hay que dar consiste en reflexionar detenidamente sobre el papel que el recurso penal puede desempeñar en esta materia, en particular, en lo que se refiere a las acciones de enforcement dirigidas contra las empresas en relación con los delitos vinculados a la utilización de la IA.

Teóricamente, podrían considerarse y desarrollarse tres estrategias sancionadoras.

1) La primera estrategia consiste en la previsión de sanciones penales/punitivas aplicables al sistema de IA como tal, es decir, como autor directo de un delito, a condición, por supuesto, del reconocimiento de su personalidad jurídica. Desde este enfoque, también debería considerarse la posibilidad de activar las normas ordinarias sobre la responsabilidad penal o ex crimine de las personas jurídicas, vigentes en las distintas jurisdicciones, en caso de que las infracciones penales relacionadas con la IA se cometan en el contexto de una organización empresarial.

2) El segundo modelo de intervención podría contemplar la adopción de sanciones penales/punitivas directas contra la empresa que haya producido o utilizado un sistema de IA, causando daños a terceros y/o realizando los elementos constitutivos de un delito. Según este mecanismo de imputación, la responsabilidad autónoma y directa de la entidad empresarial podría basarse en la falta de adopción de medidas de cumplimiento normativo de carácter preventivo, con anterioridad a la producción del resultado dañoso derivado del mal funcionamiento de la IA. Se trataría, por tanto, de un supuesto de responsabilidad empresarial basado en la culpa o el defecto de organización de la empresa.

3) La tercera solución consiste en la imposición de sanciones punitivas a las empresas, independientemente de la constatación de daños y/o delitos, en consideración a la mera violación de los requisitos y obligaciones de cumplimiento normativo que deben respetarse en la introducción de herramientas de IA en el mercado y la supervisión posterior a su distribución y venta. Como ya se ha mencionado, esta estrategia presupone la previa adopción de una regulación pública que aborde de forma integral el fenómeno en cuestión.

Dicho esto, los tres modelos no parecen igualmente plausibles.

En cuanto a la primera hipótesis normativa (responsabilidad directa de los algoritmos), ya hemos expresado las razones por las que la idea de que machina delinquere potest no es convincente ni practicable. Como se ha explicado, el estado actual de los conocimientos científicos hace imposible captar en el funcionamiento de las herramientas de IA una free will o autoconciencia y capacidad reales de ser motivadas por la amenaza de un mal futuro⁵⁶. Legitimar una responsabilidad de este tenor sería una fictio insensata, sin perjuicio de la posibilidad de “atacar” materialmente al instrumento de IA en función de su objetiva peligrosidad comprobada.

La segunda solución es, en principio, viable. No obstante, también requiere algunas aclaraciones y advertencias. Introducir una disposición por la que se castigue la no prevención del delito-resultado derivado del mal funcionamiento del sistema de IA, en ausencia de una regulación pública que establezca, de manera precisa, los estándares aplicables a la producción y venta de tales instrumentos tecnológicos, equivaldría a confiar – de manera irracional y, por tanto, injusta – a las empresas la tarea de gestionar todos los riesgos (y las cuestiones de responsabilidad correlativas) asociados con la producción y utilización de estos dispositivos.

Por lo tanto, como ya hemos señalado anteriormente, de acuerdo con un principio general de política jurídica racional, la introducción de sanciones – formalmente o sustancialmente – penales contra las empresas debería constituir el último recurso en el contexto de una estrategia más amplia y articulada de regulación pública.

Además, al menos en determinados escenarios que no son en absoluto remotos, es cuestionable que pueda legitimarse – en términos dogmáticos y político-criminales – una disposición que introduzca la responsabilidad penal de las empresas por la causación material de resultados negativos imprevisibles, generados por sistemas capaces de tomar decisiones de forma completamente autónoma⁵⁷. En otras palabras, cabe dudar mucho de la posibilidad de probar en juicio que una organización es culpable si ni siquiera con toda la diligencia abstractamente concebible habría podido prever y, por lo tanto, evitar el daño causado por el “fallo” de un sistema de IA cuyo funcionamiento resulte – total o al menos en parte – inescrutable⁵⁸. Es evidente que, en este caso, la única posibilidad real de evitar el acontecimiento imprevisible sería renunciar por completo a la producción y/o uso del sistema de IA, acogiéndose a una regla de abstención basada en el principio de precaución.

Teniendo en cuenta el conjunto de estos aspectos, la tercera solución podría consistir, al menos en las fases iniciales del proceso de regulación normativa que la materia reclama, en un compromiso equilibrado para evitar, por un lado, injustas imputaciones de responsabilidad y, por otro, una sustancial paralización de la investigación y la producción en el campo de la IA, con un indeseable chilling effect. Como ya hemos subrayado, para desarrollar mejor esta política, el primer paso debe ser la introducción de una legislación que, en línea con el nuevo Reglamento europeo antes mencionado, establezca las “reglas del juego” y todos los requisitos de conformidad asociados a la comercialización y supervisión de los instrumentos de IA. Esta opción también parece más respetuosa con el principio de ultima ratio, según el cual el Derecho penal debería activarse sólo tras haber verificado la capacidad de otras formas de responsabilidad, empezando por la responsabilidad civil y administrativa – para garantizar una protección adecuada de los intereses en juego, teniendo en cuenta asimismo la novedad del fenómeno que debe gestionarse y los riesgos a enfrentar. A este respecto, cabe mencionar también la Resolución del Parlamento de la UE de 16 de febrero de 2017, que contiene recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica, la cual, entre otras cosas, había sugerido el establecimiento de un “régimen de seguro obligatorio” para los posibles daños producidos en tales contextos, así como un “fondo para garantizar la compensación de los daños y perjuicios en los supuestos en los que no exista una cobertura de seguro”⁵⁹.

Por lo tanto, sólo después de haber elaborado un corpus normativo exhaustivo, capaz de ordenar de manera adecuada el fenómeno examinado, sería razonable prever sanciones dirigidas a la entidad colectiva, que desplacen el focus de las actividades de enforcement relativas a las personas jurídicas desde la causación de daños a terceros⁶⁰ a la violación de los requisitos de compliance relativos a  la introducción segura en el mercado y la supervisión postventa de las herramientas de IA.

De este modo, tales medidas sancionatorias permitirían garantizar la correcta aplicación de la normativa pública por parte de los operadores económicos y se orientarían a proteger el respeto de tales (esenciales) disposiciones. En aplicación del principio de precaución, la regulación pública del sector también podría establecer prohibiciones absolutas de producir y comercializar técnicas específicas que no ofrezcan unas garantías mínimas de fiabilidad y que se consideren demasiado arriesgadas por los daños que podrían causar.

En este contexto, sería deseable una estrategia sancionadora articulada, compuesta de medidas punitivas clásicas y medidas “programáticas” dirigidas a la adopción de específicas acciones preventivas  o correctivas por parte de la empresa.

Desde el primer punto de vista, deberían introducirse sanciones pecuniarias por infringir las normas de producción/comercialización/uso de productos de IA o por incumplir el deber de informar a las autoridades en caso de incidentes nocivos o peligrosos. Desde el segundo punto de vista, debería otorgarse al juez el poder de imponer la adopción de medidas para garantizar el cumplimiento adecuado de sus deberes por parte de las empresas y, en particular, la implantación o mejora de los mecanismos de cumplimiento empresarial y los sistemas de control interno⁶¹, a los que podría añadirse un período de supervisión pública (administrativa o judicial, en todo caso por parte de una institución pública), para comprobar escrupulosamente que cumplen con los estándares impuestas por la normativa del sector⁶².

Por otra parte, al menos en una primera fase de “experimentación” de la nueva legislación, es deseable un enforcement puramente sancionatorio administrativo en casos de incumplimiento de la regulación específica en materia de IA. Esto también permitiría, con el tiempo, comprender si un modelo de regulación basado en disposiciones no penales es suficiente para contrarrestar los daños que potencialmente pueden generar los dispositivos de IA.

IV. Conclusiones

En esta contribución, hemos intentado explorar las oportunidades y los retos que debe enfrentar la posible responsabilización de las empresas en relación con los delitos vinculados al uso de sistemas de IA.

En referencia a los dispositivos completamente autónomos, se ha destacado cómo actualmente existe un vacío de responsabilidad, dados los modelos de corporate criminal liability más difundidos a nivel internacional.

También se ha señalado cómo la previsión de sanciones penales dirigidas directamente contra los sistemas digitales de IA y el mismo castigo “directo” de las entidades colectivas que los utilizan no encuentra una base adecuada en el estado actual de los conocimientos científicos.

En este contexto, las únicas alternativas plausibles parecen reducirse a la introducción de sanciones punitivas contra:

(a) la organización que negligentemente no implemente medidas destinadas a contener el riesgo de producción de resultados lesivos debidos a la IA, en los casos y en la medida en que los conocimientos técnico-científicos hoy disponibles permitan identificar estrategias y acciones para prevenir un riesgo previsible: en este caso, la persona jurídica respondería por la no prevención de los daños producidos como consecuencia del uso del dispositivo de IA; o

(b) la corporation que omita adoptar las medidas de cumplimientonormativo o los estándaresestablecidos para producir y comercializar legalmente dichos productos digitales, con independencia de la producción de un delito o resultado lesivo o peligroso.

Así pues, hemos tratado de señalar los puntos fuertes y débiles de ambas opciones, cuya exposición revela lo difícil que resulta regular un universo tecnológico que está creciendo a una velocidad inimaginable hace tan sólo unos años, así como las complejas implicaciones que deben tenerse en cuenta a la hora de adoptar necesarias medidas de política legislativa⁶³.

Frente a estos desafíos, las estrategias para contener eficazmente los riesgos inherentes al uso de las nuevas formas de IA deben tener como objetivo el desarrollo de tecnologías al servicio de la dignidad humana, los derechos fundamentales y el progreso social, sin sacrificar – en el ámbito disciplinar en el que nos hemos centrado – los principios fundamentales del Derecho penal, como logros irrenunciables de la civilización jurídica.

I. Introducción. Sobre la (in)compatibilidad de la teoría del delito y la Responsabilidad Penal Corporativa

Si hubiera que identificar las dos categorías dogmáticas que más porfiadamente han cuestionado la racionalidad de la responsabilidad penal de la persona jurídica, ellas serían la (in)capacidad de acción y la (in)capacidad de culpabilidad. En otros términos, y sin afán de repetir una discusión que décadas después de su advenimiento ya es de sobra conocida, la palanca en que se asienta la mayoría de las críticas descansa en alguna de ellas. La dificultad de encontrar un injusto corporativo que sea compatible con las nociones que históricamente hemos tenido respecto de la conducta y la dificultad de identificar en qué consiste el reproche que se le dirige a la corporación como sujeto diferenciado de los demás, ha permitido poner en cuestionamiento que siquiera pudiera hablarse de responsabilidad “penal” de las personas jurídicas¹. Desde la vereda política, las críticas respecto de la necesidad de una responsabilidad penal corporativa versus una responsabilidad administrativa intensa (solventadas las necesidades expresivas que satisfaría una sanción penal) también son de sobra conocidas. Por último, las críticas respecto de la eventual autonomía de la responsabilidad corporativa (esencial para que la pregunta acerca de la “culpabilidad” siquiera pueda formularse) o su “vicarialidad” respecto de una responsabilidad de las personas naturales también ha llenado volúmenes de doctrina. De alguna manera, y ésta ha sido probablemente la asunción subyacente, la existencia de estos ripios dogmáticos implican una muy dificultosa compatibilidad con la teoría del delito tal como fue construida desde fines del Siglo XIX de modo que ésta resulte útil para la asignación de la responsabilidad penal corporativa.

Como es sabido, tres han sido las respuestas a ello. La primera es el contumaz rechazo a la responsabilidad penal corporativa en atención a la invencibilidad de las críticas mencionadas². El Derecho penal liberal y la teoría del delito construida a partir de él no soportaría una atribución ficticia de reproche a una entidad igualmente ficticia. Sobre ésta no nos detendremos aquí, no porque esté asegurada la inviabilidad política de esta crítica (ello sólo lo dirá el futuro), sino simplemente porque el estado actual de los sistemas jurídicos penales exige más apremiantemente ofrecer luces a los problemas cotidianos que presenta esta forma de asignación de responsabilidad. Las otras dos se resumen en lo que podríamos denominar la opción entre la “convertibilidad” o la “construcción”. En otros términos, se trata de definir si esta “disonancia cognitiva” de la teoría del delito tradicional con la responsabilidad penal corporativa exige la realización esfuerzos analógicos “aceptables” para compatibilizar la imputación corporativa con las categorías de la teoría del delito clásica o, por el contrario, si es necesario crear un sistema de categorías propias que re entienda lo que significa “acción”, “dolo” o “culpabilidad” cuando se predica de una corporación. Este parece ser el eje de la cuestión.

Dos consideraciones creo que habría que hacer prontamente. Por una parte, que incluso las versiones más “constructivistas” disponibles³, de alguna manera sucumben a la convertibilidad. Puesto en otros términos, reconstruyen unos ciertos conceptos, pero para que cumplan la misma función que en la teoría del delito tradicional. Esta aproximación, fundada en los equivalentes funcionales —tan propios de toda aproximación funcionalista— intenta encontrar aquellas estructuras que harán las veces del “injusto” o la “culpabilidad”, pero no busca superar el corsé de la teoría del delito, que exige dicha distinción. Que servirnos de dichas categorías tenga muchos rendimientos y que ofrezca un terreno cierto para la gestión de la complejidad (incluso, tal vez, que sea deseable), no debe hacernos olvidar que se están reconstruyendo categorías probablemente sin tratar con decisión la pregunta más ácida, esto es, si son necesarias estas categorías para imputar responsabilidad penal a las personas jurídicas o si estamos haciendo el ejercicio infausto de introducir a presión nuestras necesidades funcionales en los casilleros que tiene la teoría del delito en su formulación actual⁴. Por otro lado, el socorrido recurso a la “normativización” de los conceptos para esta reconstrucción, tampoco puede constituir una “patente de corso” dogmática que permita, so pretexto de su equivalencia funcional, situar en su posición cualquier categoría funcional sin referencia a principios igualmente funcionales⁵.

En segundo lugar, y esta sería probablemente la razón de lo anterior, es probable que estas discusiones simplemente sean los episodios de manifestación (síntomas) y no realmente la fuente de las dificultades. Puesto de otra forma, si se tratara solo de encontrar la correcta “convertibilidad”⁶ o los límites de la “reconstrucción” para alcanzar la adecuada equivalencia funcional, el problema sería menor que si la dificultad estribara en que la forma de la responsabilidad penal corporativa aconsejara (o exigiera) prescindir de algunas categorías tradicionales. Naturalmente no será posible ofrecer una solución a esta cuestión —de inmenso calado—, pero al menos baste sugerir algunas cuestiones que no se suelen encontrar en la discusión sobre la responsabilidad penal corporativa.

Anticipando lo que sigue, en estas breves notas voy a sugerir que el centro de la cuestión se encuentra en un plano subyacente y que puede resumirse básicamente en la siguiente premisa: mientras la teoría del delito formulada para las personas naturales el esfuerzo máximo de la dogmática ha sido distinguir el ser del hacer, en la responsabilidad corporativa ello es simplemente imposible. En otros términos, el logro evolutivo histórico que significó el paso desde un derecho penal de “autor” a un derecho penal “de actos” descansa en la tajante distinción entre el autor del injusto y su acto reprochable. Las características del autor, más allá de la incidencia concreta que hayan tenido en el hecho cometido, no pueden considerarse para efectos de indagar su responsabilidad⁷. La responsabilidad penal individual se refiere a lo que un autor “hace”. Por el contrario, la indagación por la responsabilidad penal corporativa consiste en un juicio, más o menos confeso, de cómo la corporación “es”⁸. La segunda cuestión tiene que ver con la función de la dogmática y el frecuente error en su autocomprensión. La dogmática es una observación científica del Derecho que pone a su disposición estructuras para que su operación se dote de consistencia, pero en ocasiones se siente tan identificada con el sistema del Derecho, que parece olvidar que ella opera a partir de un Derecho “dado” con el que ni siquiera tiene que estar de acuerdo⁹.

En la discusión actual del injusto y la culpabilidad corporativa aparecen dos conceptos enfrentados (o articulados, como en la propuesta constructivista) para ofrecer una explicación dogmática de la responsabilidad corporativa. Ambos, de cualquier modo, hacen referencia a la forma de la persona jurídica. Así, tanto el defecto de organización como el déficit de la cultura de cumplimiento se refieren en realidad, eufemismos aparte, a la forma de organización de la compañía y solo marginalmente (y a veces nada) a la intervención en un “hecho”. El hecho, para ponerlo de algún modo, corresponde a una persona natural mientras que el “contexto” en que ese hecho tiene lugar es la organización (que no la “actividad”) corporativa. La determinación de ese contexto como favorable o desfavorable a la comisión del delito se realiza evaluando la forma de la persona jurídica, o lo que es lo mismo, cómo es. Que posteriormente haya de buscarse una conexión entre cómo la persona jurídica “es” con el concreto hecho de la persona natural, no cambia esencialmente la cuestión¹⁰.

La orientación de estas consideraciones sigue una línea que a estas alturas es bastante conocida y que ha venido en autodescribirse como el “modelo constructivista”, pero sin eludir algunos de los problemas que resultan difíciles de sortear. Ello significa que parte de la premisa que es la interacción de una serie de elementos sistémicos la que “genera” desde la personalidad corporativa material (no formal) hasta la responsabilidad que se le puede asignar. Tanto el injusto como la culpabilidad corporativas, se quiera o no perseverar en la distinción entre ellas, resultan “propiedades emergentes” en un determinado estadio de complejidad. Las variaciones que aquí aparecen respecto de su formulación más conocida e influyente —la del Profesor Gómez-Jara—resultan fácilmente identificables.

II. La fuente de los problemas: La culpabilidad corporativa y la paradoja de la “irrenunciabilidad”

La temprana asunción jurisprudencial de que los principios fundamentales del Derecho penal —principio de culpabilidad incluido— eran necesariamente aplicables a la Responsabilidad Corporativa fueron sin duda un paso fundamental¹¹, pero al mismo tiempo una fuente inagotable de problemas Esta asunción, como ya se ha anticipado, fue promovida decididamente por quienes aceptaron el advenimiento de la responsabilidad corporativa y quisieron dar un sustento dogmático a la aplicación de las leyes. Desde esta perspectiva, ha de entenderse como un hito altamente relevante. La certeza que entregaban las categorías de la teoría del delito, aunque hubiera que modificarlas una enormidad, permitía abordar las cuestiones que presentaba la imputación corporativa con un arsenal conceptual conocido y del que la dogmática siempre se ha mostrado particularmente orgullosa.

Pero tal vez fue precisamente ese entusiasmo el que impidió ver que muchas de las declaraciones resultaban profundamente contradictorias. El propio fundamento de derecho número 3 de la tan mencionada STS 514/2015, contiene en sus términos una paradoja de la que parece difícil escapar: “ya se opte por un modelo de responsabilidad por el hecho propio, ya por una forma de heterorresponsabilidad, parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el Derecho penal”. Más allá de la retórica de la “irrenunciabilidad” —que la historia evolutiva del Derecho penal se ha encargado de desmentir una y otra vez— ¿en qué ordenamiento respetuoso de dichos principios sería aceptable una forma de heterorresponsabilidad o de responsabilidad vicaria? El propio fundamento de la sentencia parte tolerando una contradicción con su principio fundante. Pero de alguna manera parece haber sido inevitable. El advenimiento de la responsabilidad penal de las personas jurídicas estremeció a tal punto nuestra concepción del Derecho penal que sumió en un principio a la dogmática en una especie de estupor melancólico del que todavía no parece haber salido del todo. Y tal vez llegue el momento en que esté dispuesta a asumir que toda categoría de la que se haya dotado, por irrenunciable que hubiera parecido, debe volver a revisarse y revalidar su “patente de irrenunciabilidad”. No asumirlo es volver a hacerse trampas al solitario y conduce casi inevitablemente a la hipocresía de terminar haciéndolo sin decirlo.

Sea como sea, esta asunción principialista introdujo inmediata e irremediablemente el problema de determinar cómo asignar “culpabilidad” (su principio por antonomasia) a un ente que por sus características (no por su “naturaleza”) no parecía contar con la estructura mínima de “reprochabilidad individual”. Había que encontrar un sustrato de imputación desapalancado de la “psique”, uno que superase los lastres subjetivos inaplicables a las corporaciones y, por cierto, un injusto propio que reemplazara aquello que con tanta solvencia se había descrito para las personas naturales. No podemos aquí reproducir las conocidas disputas surgidas en los últimos años sino simplemente asumiremos que la jurisprudencia española se ha ido progresivamente abriendo a aceptar que ha de exigirse un sustrato de imputación con suficiente complejidad y, es más, ha mostrado una línea jurisprudencial dispuesta a fundar la culpabilidad en la “cultura corporativa”. Lo más llamativo de ello, sin duda, es que con dicha opción parece volver a espolonear otro principio “irrenunciable” del Derecho penal.

Como es sabido, los tratamientos iniciales de la cuestión tendieron a construirse sobre el concepto de “defecto de organización”¹² para describir la culpabilidad corporativa y nadie podría negar que aún gozan de buena salud dogmática al día de hoy. El eje de su planteamiento es que la culpabilidad corporativa tiene como estructura fundamental un defecto en su organización que da cuenta de una “propensión”, es decir, a la creación o permisión de una inclinación de cometer delitos en su seno. Las críticas que desde un principio se dirigieron este planteamiento descansan principalmente en el hecho de que una declaración de este tipo debería reconocer que la culpabilidad de una persona jurídica no se basaría en una acción u omisión de ésta si no en un “estado de cosas peligroso”¹³. Y esto, aunque insuficiente para explicarlo, es esencialmente verdadero. La contribución corporativa consiste precisamente en aportar un entorno que ofrece un sentido enlazable al delito cometido y ello puede describirse también como un “peligro”. Sin embargo, la necesidad de traducir esto en una acción u omisión en sentido clásico insiste en la utilización de categorías intrínsecamente inaplicables.

Ya hablar de un “defecto” o “déficit” da cuenta de la fijación de un cierto estándar que no se ha alcanzado. Las organizaciones deben contar con una cierta forma estructural que mantenga acotada esa propensión y en general se entendió que la organización adecuada era aquella que era eficaz en la identificación y cuantificación de sus contingencias penales y que contaba con mecanismos adecuados para la gestión de esos riesgos. Más allá de la serie de cuestiones que esta aproximación no parece haber sido capaz de resolver, como por ejemplo la determinación si esa propensión es estructural o coyuntural (o incluso si lo coyuntural hace referencia al injusto y lo estructural a la culpabilidad), el modelo constructivista se presentó como una alternativa superadora, y no hay duda de que en cierto sentido lo es. Ella funda la culpabilidad en una “falta o déficit de la cultura de cumplimiento” reservando el defecto de organización para el injusto. Sin embargo, probablemente sea necesario hacer algunas precisiones previas.

En primer, lugar la propia denominación de esta postura puede llevar a algunas confusiones. Varios de los modelos que se presentan como fundados en el “defecto de organización” son tan constructivistas como este último, aunque nunca se hayan servido del mismo rótulo. Si entendemos la premisa constructivista como superadora de todo naturalismo, así como de la noción de la persona jurídica como un ·ente ficticio”, la asunción —más o menos confesa— de que la “organización” es un sistema que puede alcanzar un nivel de autonomía operativa que la hace distinta tanto de sus elementos como de su entorno, que es tan observable en sí misma como auto-observable y que los daños que de ella puedan emanar le son atribuibles por la forma que ha adoptado su organización (y que se cataloga como “defectuosa”), ese modelo puede reclamar con la misma convicción —aunque no le interese hacerlo— ser “constructivista”. Luego, un modelo constructivista no precipita aceptar que el “defecto de la cultura de cumplimiento o de integridad” sea el eje de la culpabilidad corporativa, por el contrario, es una de sus vertientes posibles. En efecto, las nociones aquí vertidas resultan palmariamente constructivistas y no son compatibles con la asunción de un modelo apalancado en la “cultura” o en el “carácter” corporativo como estructura de la culpabilidad.

Pero más allá de esta cuestión nominal, el asunto verdaderamente problemático es el tránsito, en la esfera de la culpabilidad, desde el defecto de organización a un defecto cultural. El Tribunal Supremo español en alguna sentencia ha hecho equivalentes los conceptos de defecto de organización o ausencia de una cultura de respeto al derecho¹⁴ lo que de alguna forma muestra la dificultad de entender si se habla de injusto, de culpabilidad o de ambos a la vez. El llamado modelo constructivista distingue entre el injusto propio de la persona jurídica —su defecto de organización— y la culpabilidad propia de las personas jurídicas —su déficit de cultura de cumplimiento¹⁵—.  Como hemos mencionado, ya la normalización del concepto vinculado a la cultura como una estructura de imputación debería producir un chirrido. Más allá de las adaptaciones, la noción misma de cultura hace referencia a un conjunto de valores, conocimientos, creencias y formas de expresión que caracterizan a una organización¹⁶. A través de ella se define la identidad corporativa guiando el comportamiento de sus miembros, incidiendo en la toma de decisiones y en la forma de relacionarse con el entorno. Es, en nomenclatura parsoniana, una estructura latente. La cultura corporativa, y su dimensión de cumplimiento, que en caso alguna es la única, es extremadamente relevante para la sostenibilidad de las organizaciones. De hecho, la cultura de cumplimiento normativo es una de las dimensiones de la integridad corporativa que la inmuniza frente a las contingencias de entornos competitivos y adversos, a los que pueden adaptarse sin perder identidad¹⁷. Sin embargo, ceder a la “cultura” que es lo que se rescata en la teoría de la organización, como “razón de atribución”, no parece aceptable. Simplemente se trata de jugar un juego con las reglas de otro. En cierto sentido —y aquí sí vale una analogía con las personas naturales— es confundir el indicio con la razón de la responsabilidad. Una buena/mala cultura corporativa es un indicio de la razón del injusto, pero no puede ser ni el injusto ni la culpabilidad. No se trata solo de un concepto “evanescente” como criticó el voto particular de la misma sentencia —de alguna manera todos los conceptos dogmáticos han tenido “fases evanescentes” hasta consolidar sus criterios de distinción—, si no que carece de los rendimientos necesarios incluso si llegara a precisarse adecuadamente su contenido. El plástico y funcional concepto de cultura corporativa como estructura de identidad, propia de la teoría de la organización, no tiene el contenido necesario para convertirse en una categoría dogmática.

Probablemente uno de los factores más incidentes en esta asociación haya tenido lugar al incorporar —de un modo relativamente acrítico— la noción del “buen ciudadano corporativo” (Good corporate citizen), sin la conveniente reluctancia a utilizar el concepto de “bueno”, cuyo contenido está mucho más apalancado en el juicio moral que en el jurídico. Esta característica, descriptiva de una forma de ser, también hace referencia a una estructura más o menos permanente, mientras que la culpabilidad penal es intrínsecamente episódica y vinculado con el hecho injusto.

El buen ciudadano corporativo, tiene un contenido relativamente definido en el ámbito anglosajón y está precisamente apalancado en un compromiso con las normas¹⁸, pero no puede perderse de vista que la delimitación del sistema jurídico con el moral en la raigambre anglosajona es largamente más difusa que la que acomoda a la tradición europeo-continental¹⁹. El lenguaje resulta equívoco porque nadie se atrevería a decir que lo que se espera del ciudadano persona natural es que sea “bueno”. De hecho, las expectativas parecen ser largamente más modestas y de ellos se espera simplemente que cumplan con las normas que se han impuesto a los ciudadanos, pues su bondad parece estar vinculada a conductas supererogatorias a las meramente jurídicas. En otros términos, nadie calificaría como “buena” a aquella persona que se limita a no cometer delitos. Resulta extraño que respecto de las personas jurídicas este lenguaje no resulte menos escandalizador.

Pero claramente estas intuitivas dificultades no son el meollo del problema, pues en realidad este se aloja en que detrás de la expresión otra vez se asocia una característica permanente de la organización o la persona. El muy visible giro que ha tenido la teoría de la organización corporativa que ha pasado desde la cultura del cumplimiento a la cultura de la integridad, da cuenta de esa estructuralización de la característica organizativa. El cumplimiento e incumplimiento se analiza episódicamente y permite separar el hecho cometido de la cultura organizacional. Cuando el “hecho” de la corporación es su defecto cultural, su seña, su característica, la verdad es que de “hecho” resulta muy difícil hablar. Para Gomez-Jara²⁰, el buen ciudadano corporativo es aquel que ha institucionalizado una cultura corporativa de cumplimiento. Creo que la referencia a la cultura resulta innecesariamente problemática y la única manera de evitar los riesgos que entraña es poner el énfasis en la “institucionalización”. Porque institucionalizar lo que ahí se denomina cultura de cumplimiento no es sino dotarse de estructuras (instituciones) que incrementen las posibilidades de mantenerse en la ribera del cumplimiento. Usando clásica nomenclatura de gestión de riesgos de cumplimiento, esto equivale a decir que se hayan establecido mecanismos (instituciones) que mantengan el riesgo residual de incumplimiento en niveles tolerables. Llamar a ese aparataje “cultura” solo podría resultar tolerable bajo dos supuestos. En primer lugar, entendiendo que lo que se escruta es la existencia e idoneidad de mecanismos de gestión de riesgos estandarizados, bien diseñados e implementados efectivamente. El segundo es que no se trata de un escrutinio general de sus mecanismos de cumplimiento sino específicamente de aquellos comprometidos en el específico delito cometido por la persona natural.

Ha resultado relativamente natural que el curso de la jurisprudencia haya terminado perfilando al buen ciudadano corporativo como aquel que puede mostrar una “cultura de integridad” y que incluso los modelos de prevención de delitos se entienden como estructuras perfiladoras de esa cultura, pero ello no puede significar que la culpabilidad corporativa deba identificarse con una cultura (llámese de cumplimiento o de integridad) defectuosa en sentido amplio²¹.

Pero más allá de la forma en que termine describiéndose la estructura de imputación a la culpabilidad, otra vez no necesariamente éste es necesariamente el problema, sino más bien intentar dilucidar si es necesario realmente distinguir el injusto de la culpabilidad en las personas jurídicas, para lo que, pareciera, no resulta encontrar razones indefectibles.

III. La “culpabilidad corporativa” como “propiedad emergente”: la autonomía

No deja de ser curioso que sea como sea que se formule la pregunta respecto de qué hace (o hizo) a una persona jurídica responsable de un delito (o al menos, receptora de una pena), la respuesta siempre se refiere a su forma. Por la inversa, para indagar el cumplimiento de sus deberes, esto es, “qué debe hacer” una persona jurídica para estar exenta de responsabilidad penal (o “cómo debe” ser una persona jurídica para esos efectos), la respuesta será la misma enumeración: contar con un sistema de cumplimiento robusto, tenerlo efectivamente implementado, tener un oficial de cumplimiento, canales de denuncia, una matriz o mapa de riesgos fruto de una identificación y cuantificación adecuada de ellos y una larguísima lista de supermercado que a estas alturas resulta bien conocida. Por la misma razón, exhibidas esas características, la respuesta sirve tanto para afirmar que no ha cometido injusto alguno, como que no ha obrado culpablemente.

La posibilidad de renunciar a un lenguaje performativo, para centrarse en lo descriptivo, nos fuerza a volver sobre la cuestión inicial. Puesto de otro modo, si la pregunta puede formularse de cualquiera de las dos formas: qué debe “hacer” una persona jurídica para incurrir en el injusto o ser culpable o cómo debe “ser” para ello, es necesario detenerse en ese cómo debe ser. Esto porque frente a la pregunta por cómo debe ser una persona jurídica para ser responsable, las respuestas también presentan una considerable dispersión aun cuando algunas corporaciones carezcan de los atributos mínimos para esa consideración (ser susceptibles de culpabilidad).

El modelo constructivista de responsabilidad penal corporativa ha sido eficaz en explicar la vinculación entre complejidad corporativa y culpabilidad. Los principios fundamentales sostendrían lo siguiente: (1) no toda persona jurídica, por contar con reconocimiento del sistema jurídico civil, debe entenderse como penalmente responsable; (2) la culpabilidad corporativa requiere de un cierto nivel de complejidad en la organización; (3) dicha culpabilidad tiene un contenido material.

Desde estas premisas, puede afirmarse que la culpabilidad corporativa se aparece como una propiedad emergente, es decir, una propiedad que se detona a partir de ciertos niveles de complejidad y que no puede encontrarse en los niveles inferiores, aun cuando el sistema contenga los mismos elementos. En otros términos, no se trata de una suma de elementos determinados sino más bien de una forma de relacionarse entre ellos²².

Solo aquellas corporaciones que hayan alcanzado ese nivel de complejidad corporativas son actores relevantes desde la perspectiva jurídico penal. Antes de ello, no son distinguibles de aquellos que cometen los delitos respectivos y apenas puede tratárselas como un instrumento. De hecho, cualquier medida que se interpusiera en su contra sería poco más que una medida administrativa conjuradora de peligrosidad, pero en caso alguno un reproche penal fundado en culpabilidad.

El eje sobre el que debe construirse la culpabilidad corporativa es la autonomía, esto es, la capacidad de auto-dotarse de normas de conducta que lo imperen. Esta capacidad siempre está establecida en contraposición a reglas impuestas desde afuera. Incluso aquellas impuestas desde el entorno (como la ley), en caso de ser seguidas, responden a esa capacidad interna y no a la determinación desde el exterior. En un modelo constructivista esta paradoja es inevitable, pues el sistema es autónomo y heterónomo al mismo tiempo. Es su autonomía la que le permite tomar postura conforme a normas propias, respecto de la heteronomía que impone el Derecho. Esta autonomía operativa, que es la que le permite tomar postura frente a las normas, es la verdadera propiedad emergente sobre la que descansa la responsabilidad corporativa²³. Si bien este concepto es difuso en sus contornos, da cuenta de aquellos casos en que existen vehículos corporativos que son instrumentos de otros en los que se toman las decisiones. En tales casos es posible que la responsabilidad penal pueda alojarse en aquella que sí presenta esa autonomía y que determina el ser/hacer de la otra²⁴.

La autonomía operativa, como propiedad emergente es un logro evolutivo que se da a partir de una cierta complejidad interna. Ella, por lo mismo no descansa ni en las características formales ni jurídicas de la organización, si no precisamente en la existencia de ella en sentido material²⁵. Desde esta perspectiva, la forma de organización jurídica de la persona jurídica no juega ningún papel, sea esta una sociedad anónima que cotiza en bolsa o una empresa individual de responsabilidad limitada, el escrutinio ha de ser material. Mientras la primera puede ser una sociedad de inversiones que bien es controlada por grandes corporaciones o que las aloja entre sus activos sin tener más complejidad que la de una oficina familiar, la segunda puede presentar una compleja estructura organizacional y decisoria. Por lo mismo, tampoco es relevante el tamaño de la compañía (sea medido en facturación, niveles de producción, rubros, recursos humanos, etc.)²⁶.

Si existe una inevitable relación entre la complejidad y la culpabilidad corporativas —y la culpabilidad sólo aparece como propiedad emergente cuando se alcanza un cierto grado de complejidad— no resulta extraño que a veces se haya utilizado la noción de persona deliberativa²⁷ para atribuir dicha propiedad. Desde esta perspectiva, sólo aquella que ha llegado a constituirse como un ente capaz de participar en la generación de comunicaciones sociales por sí misma y definir mediante ella tanto la información como el modo de notificación de que se sirvan. Ello es una mera aplicación analógica de la idea de tener la capacidad de poner en cuestionamiento la vigencia de la norma: solo aquella corporación capaz de deliberar y participar de la reproducción de la comunicación social puede mostrar complejidad suficiente para ser imputable. De alguna manera, la noción de que la corporación puede tomar postura, de un modo autónomo, permite la asignación de culpabilidad. Si bien es evidente que esto aún muestra algunos ripios teóricos, no puede negarse que algunos ordenamientos, como el chileno, han reconocido legalmente estas tomas de postura, como al establecer la posibilidad de una “objeción de conciencia” institucional, frente a determinados hechos (en su caso el aborto) que se estiman incompatibles con la cultura organizacional de la persona jurídica (el prestador de salud). Difícilmente haya un mejor ejemplo de reconocimiento de “la capacidad y el derecho a expresar un juicio respecto de la configuración de la sociedad”²⁸.

Sea como sea, debe reconocerse que existe un momento en que la complejidad corporativa alcanza un nivel que cristaliza en autonomía. Ese momento evolutivo es el mismo en que puede hablarse de una organización y coincide también con el momento en que dicha organización puede diferenciar una determinada cultura. Pero ello no es equivalente a que sea, esa “cultura” la que sea razón de la imputación a título de culpabilidad.

A la incorporación del concepto del buen ciudadano corporativo a la que ya nos hemos referido, han contribuido premisas adicionales para que el modelo constructivista se apalancase en el déficit cultural. En primer lugar, la caracterización de la persona jurídico-penal como aquella que tiene capacidad de cuestionar la vigencia de la norma. La visible, y a mi juicio correcta, orientación jakobsiana de este postulado, naturalmente opera como punto de partida en la indagación de la culpabilidad corporativa²⁹. Y aquí empieza —o probablemente vuelve a manifestarse— el problema. Porque el anverso del incumplimiento de la norma suele definirse como una falta de fidelidad hacia el Derecho³⁰. Este concepto de falta de fidelidad naturalmente da cuenta de una cierta permanencia de la característica y no en el episodio de la infracción. Muchas críticas del modelo jakobsiano se habrían ahorrado si no hubiera sido por algunas palabras utilizadas (aunque más se habrían ahorrado con rigor de los intérpretes). Pero el concepto mismo de la fidelidad o infidelidad habla de una característica latente y no de una infracción episódica. La defraudación de la norma daría cuenta de alguna manera de una “forma de ser”. Las críticas a este planteamiento las hemos tratado largamente en otro lugar³¹, pero son de sobra conocidas. Sea como sea, la nomenclatura se transforma en un aliciente infausto para dar el paso a la comprensión de la culpabilidad como un rasgo cultural, desvinculándolo de su naturaleza episódica y concreta.

En la misma línea se encuentra el recurso al “carácter” de la persona jurídica³², entendido como “una aptitud en orden a tener un sello, aptitud merced a la cual ésta es provista de ciertas disposiciones, tendencias y propiedades, a cuyo efecto, por lo pronto, carece de toda importancia que dichas disposiciones sean contingentes o adquiridas, si permanecen inalteradas o son modificables”³³. Si bien hablar de “carácter” traza una analogía más intensa con los rasgos internos de las personas naturales —mientras que “cultura” a una normatividad evolutivamente desarrollada—, ambas presentan el mismo problema: la desvinculación del episodio. Ninguna de ellas permite por sí misma determinar la conexión de una cultura o carácter criminógeno al concreto delito cometido por alguien en su seno³⁴ y, por la misma razón, una mera valoración global de ellas para reprochar a la empresa no resulta aceptable³⁵.

Para enfrentar esta cuestión probablemente deba repararse en lo que ambos conceptos, aunque de modos diversos, entrañan: tanto “carácter” como “cultura” son estructuras de reducción de complejidad. Ambas, en la operación episódica de los respectivos sistemas, reducen posibilidades disponibles (o cuando menos hacen menos probables algunas de ellas). Una cultura de cumplimiento indisponibiliza posibilidades de defraudación, así como una cultura defraudatoria indisponibiliza esfuerzos de cumplimiento. Y esa es precisamente una contribución al hecho. Por eso ha de haber una vinculación de sentido entre la reducción de complejidad de la persona jurídica y la conducta de la persona natural³⁶. La forma concreta que tome esa vinculación de sentido puede ser diversa y transitar desde un enlace causal con el hecho hasta un favorecimiento o facilitación del delito de la persona natural. Ambos, que son recíprocamente sistema y entorno, se encuentran estructuralmente acoplados, o lo que es lo mismo, ambos ponen su propia complejidad a disposición del otro³⁷. La conducta de las personas naturales incide tanto en la persona jurídica como viceversa y ambas en su interacción forjan el “carácter” o la “cultura”. Ambas son parte de la operación del sistema y van adoptando su forma contingente a medida que el sistema opera e interactúa con su entorno. Esto hace que la conducta de las personas naturales está tan incidida por la cultura corporativa como incidida esta última por la conducta de las personas naturales. En un ejemplo, la respuesta corporativa a un hecho de corrupción interno descubierto (su investigación y sanción conforme a sus protocolos de cumplimiento) es tanto muestra de su cultura como reproducción y forja de ella.

Si de verdad se necesitara un injusto/culpabilidad de la persona jurídica, por tanto, probablemente ello consistiría en aportar, en forma de contexto, el sentido al que se enlaza la comisión del delito. Dicho sentido puede reconocerse bien cuando el delito es la consecuencia de la oferta de complejidad de la empresa, bien cuando dicha comisión se ve favorecida o facilitada por ella. En cualquier caso, estas formas que puede adoptar el enlace de sentido son contingentes y sea que el legislador las explicite o no, ello no cambia el fondo del asunto. En el caso de la legislación española, es probable que el silencio de la ley a este respecto haya permitido una cierta dispersión de opiniones, pero cada vez que se exige alguna forma de vinculación entre la forma persona jurídica y el delito de la persona natural, se está realizando esta misma operación. La legislación chilena, por ejemplo, actualmente en tránsito de modificación³⁸, se está desplazando desde la indagación del sentido en alguna forma de causalidad a uno de facilitación. Así, además de los requisitos habituales de la responsabilidad corporativa, la primera y actualmente vigente versión de la ley 20.393 de 2009 exige que, en virtud de la autonomía de la responsabilidad penal corporativa, el delito cometido por el funcionario tuviera lugar “a consecuencia del incumplimiento de los deberes de dirección y supervisión de la empresa”. Ello exige una vinculación directa entre la falla corporativa (la falla en la identificación del riesgo que se concretó en el caso, la falla metodológica en su cuantificación o la falta de un control adecuado al riesgo residual, o la que corresponda) y el delito del individuo. Esta consagración hace difícil entender la responsabilidad de la persona jurídica como un déficit cultural y estructural y fuerza a entenderlo como un defecto concreto y vinculado precisamente a la comisión del delito del funcionario. Una buena cultura de cumplimiento (manifestada en una correcta gestión de los riesgos y cumplimiento de deberes) no es suficiente para conseguir la declaración de inculpabilidad corporativa cuando un fallo concreto en su organización había permitiera precisamente que por esa fisura se filtrase el hecho delictivo.

La modificación de dicha ley, que entrará en vigencia el año entrante, establece que la corporación será responsable cuando “la perpetración del hecho se hubiera visto favorecida o facilitada por la falta de implementación efectiva, por parte de la persona jurídica, de un modelo adecuado de prevención (…)”. Además de las cuestiones relativas a conceptos dogmáticos, como la consagración legal de la teoría del incremento del riesgo, el escrutinio que ha de realizarse para indagar el sentido injusto corporativo parece haber cambiado.

Inicialmente había que encontrar una vinculación directa entre la brecha de cumplimiento corporativo y el episodio mismo (delito) de la persona natural. Ese delito debía ser una consecuencia de la infracción. A modo de ejemplo: faltaba el control pertinente aprovechado por el empleado para cometer el delito. Es difícil afirmar que un incumplimiento episódico es necesariamente indiciario de un déficit cultural. Otro tanto aparece con la facilitación o favorecimiento del hecho. Es posible que la forma concreta de ese favorecimiento sea cultural (y que en empresas que han naturalizado el incumplimiento normativo se produzca esa propensión al hecho), pero eso no significa que sea la cultura de incumplimiento la culpabilidad corporativa, si no solo que en el caso esa ha sido su forma de contribuir.

Como conclusiones preliminares de estas afirmaciones podríamos sostener que (1) afirmar que la culpabilidad de la corporación descansa en un déficit en la cultura de cumplimiento no resulta generalizable y (2) en aquellos casos en que la legislación permitiría esa descripción, no parece conveniente adoptarla.

Pero resta aún lo más importante, puesto que incluso estas afirmaciones siguen asumiendo que ha de distinguirse el injusto corporativo de la culpabilidad corporativa y solo se limita a desafiar cuál es el contenido de la culpabilidad corporativa (negando que sea la cultura de cumplimiento).

IV. El desarrollo de la autonomía como un suceso progresivo y el rol de la “cultura de incumplimiento corporativo”

Como hemos dicho, en el ámbito de las organizaciones imputables, o lo que es lo mismo, complejas, el ser y el hacer se confunden, de modo que la distinción entre injusto de la persona jurídica y culpabilidad de la persona jurídica es forzada e innecesaria³⁹. El defecto de su organización es tanto su “ser” como su “hacer” y por ello solo puede describir adecuadamente su imputabilidad una estructura monista en que injusto y culpabilidad están construidos a partir del mismo defecto. Y dicho defecto es un defecto que presenta su organización.

La estructura binaria que insiste en distinguir y dotar de contenido el injusto y la culpabilidad corporativa responde más a una necesidad atávica de servirse de las categorías propias de la teoría del delito de las personas naturales, que a una necesidad sistémica real. Luego, afirmar que el injusto es el defecto de organización y la culpabilidad el defecto de cultura de cumplimiento es describir dos veces lo mismo: ausencia de instituciones dentro de la organización que mantengan el riesgo de comisión de delitos fuera de una medida residual aceptable. Si eso se quiere ver como un defecto de organización o como una falta de cultura de integridad tiene que ver más con un sesgo del observador (que parece necesitar cognitivamente una doble categorización) que con aquello que se observa.          

La premisa fundamental de un modelo constructivista exige aceptar que no toda persona jurídica es un actor corporativo imputable para el Derecho penal. El primer factor relevante a veces suele pasarse por alto y tiene que ver con que una carcasa o armazón jurídico (como una sociedad de papel) no solo no es un ente del que no se puede predicar suficiente autonomía, sino que ni siquiera una organización. Por organización se entiende un sistema social que se constituye sobre la base de reglas de reconocimiento que lo vuelven identificable y que le permiten especificar sus propias estructuras, establecer sus programas y evacuar sus propias decisiones. Este sistema no solo es reconocido en sus interacciones si no que puede reconocerse a sí mismo.

Esta premisa permite trazar distinciones entre los diferentes tipos de personas jurídicas e intentar escrutar la emergencia de su culpabilidad —autonomía—. Solo una persona jurídica que alcanza este nivel puede denominarse una organización y ser imputable. La analogía respecto de la imputabilidad de las personas naturales es plástica para explicar que hay ciertas personas jurídicas que no han alcanzado un mínimo grado de desarrollo (complejidad) que los mantiene en una especie de incapacidad de obrar culpablemente. Esa afirmación en principio es correcta, pero puede llevar a la confusión precisamente respecto de aquellas personas jurídicas que no tienen una forma mínima (por ejemplo, las sociedades pantallas o de papel). En ellas no hay falta de autonomía, no hay sustrato de imputación, no hay organización. En el caso de las personas naturales puede haber personas inimputables, pero siempre serán personas; en el caso de las personas jurídicas, puede haber algunas que simplemente no son una organización. Esta es una observación que en ambos casos —tanto para las personas naturales como para las jurídicas— realiza el propio sistema jurídico penal: un juicio de autorreferencialidad o autonomía⁴⁰.

Luego de entre las personas jurídicas, hay algunas que son imputables y otras no, precisamente en la medida de que alcancen una verdadera forma de organización. Aquí el modelo constructivista, con las referencias al trabajo de Günther Teubner, debe acogerse como la mejor explicación teórica disponible. Respecto de esas premisas aquí solo se propone matizar teniendo presente la existencia de las no-organizaciones jurídicamente reconocidas como personas, que son inimputables. Recordando alguna ácida polémica⁴¹, estas sí podrían disputar el carácter de ameba jurídica, por su escasa complejidad y por cierto no son, de usarse estos conceptos, susceptibles de culpabilidad.

Desde esta perspectiva, el expediente a la negación de su responsabilidad debe centrarse en la ausencia de un sustrato organizacional observable por el Derecho. No cabe, conforme a ello, servirse de la prohibición de ne bis in idem para fundar su inimputabilidad⁴². Aunque ello también haya tenido reconocimiento jurisprudencial⁴³, que ha entendido que habría un bis in idem “si quien padece las dos penas es materialmente el mismo individuo, aunque formalmente sean dos sujetos diferenciados”. En estos casos, sin embargo, la razón de la no aplicación de sanciones no tiene que ver con impedir una doble sanción, pues no la habría como tampoco la hay en el comiso de un arma: no se sanciona a esa persona jurídica como tampoco se sanciona a un coche luego de un atropello doloso. La distinción aquí se traza no entre dos sujetos si no entre un sujeto y un objeto. Es efectivo, por tanto —o más bien, puede serlo— que una fachada jurídica indistinguible de su controlador no debe ser sancionada como no es sancionado ningún instrumento utilizado para la comisión del delito⁴⁴. La sanción de la persona jurídica pantalla no puede entenderse como la sanción de la persona natural que la controla e instrumentaliza, si no como una sanción al instrumento, más parecido a los latigazos ordenados contra el mar. De este modo, no es que el recurso a la complejidad corporativa sea preferible a la argumentación del ne bis in idem⁴⁵, simplemente esta última no resulta aplicable⁴⁶.

Luego, de entre aquellas que conforme a unos determinados criterios ya pueden entenderse como actores corporativos jurídico-penalmente responsables, cabe aún hacer unas distinciones, aunque probablemente sea necesario apartarse de los criterios que se han ido consolidando.

Ello pues pueden distinguirse aquellas personas que, siendo responsables, son organizaciones en cuyo seno se puede haber cometido el delito, pero que cuya infracción (en singular o plural) no presenta una significación relevante en la operación corporativa. Por así decirlo, se trata de comisiones de delitos que si bien dan cuenta de un defecto de organización no están enquistados en la operación corporativa de modo de que haya una cierta frecuencia o relevancia numérica en su comisión. Estas son, de alguna manera, las corporaciones responsables coyunturalmente⁴⁷. En flagrante oposición a ellas están aquellas organizaciones que se forman para la comisión de delitos (y que pueden presentar una forma jurídica). Sobre éstas, cuyas características son análogas a las de las asociaciones ilícitas u organizaciones delictivas, no cabe entrar en detalle aquí.

Sin embargo, entre las corporaciones responsables, existen algunas personas jurídicas en que la comisión delictiva juega un papel significativo en su operación, es decir, en que la comisión de delitos está incorporada de un cierto modo estructural. En ellas probablemente sí pueda hablarse de una cultura de incumplimiento. La búsqueda de criterios para esta distinción tiene un recorrido en la normativa española que resulta relativamente conocido pero que lamentablemente se ha decantado por una regla cuantitativa. El curso fue la progresiva distinción —más allá de los problemas en la nomenclatura— entre empresas legales o ciudadanos corporativos y empresas ilegales⁴⁸. Las sociedades pantalla quedarán entre aquellas a las que se le niega el carácter de organización y por lo tanto nunca han de entenderse como corporaciones imputables. El origen doctrinario de la distinción entre corporaciones legales e ilegales debe entenderse como uno de los principales aportes del modelo constructivista y ha de reconocerse a Gómez-Jara (casi a lo Spencer Brown) como el principal impulsor de la distinción (la imputabilidad organizativa en la responsabilidad penal de las personas jurídicas. Sin embargo, como se sabe, la opción para trazar la distinción tiene que ver con cuánta es la actividad delictiva, lo que se expresa en frases como “las sociedades que desarrollan una cierta actividad, en su mayor parte ilegal”⁴⁹ o “se entenderá que se está ante este último supuesto siempre que la actividad legal de la persona jurídica sea menos relevante que su actividad ilegal”⁵⁰.

El problema con esta solución es que, en rigor, y salvo el caso de las asociaciones ilícitas, aunque tal vez ni siquiera en ellas, parece inaplicable alcanzar un nivel cuantitativo tan relevante. Análisis de casos particularmente graves y en que la comisión de delitos ha sido frecuente, no son capaces de alcanzar el nivel de mayoritaria dentro de sus operaciones. A modo de ejemplo, casos como el de la empresa Odebrecht, con una red de corrupción generalizada en los más diversos países de Sudamérica, seguía realizando más operaciones lícitas (compras, ventas, construcción, licitaciones a proveedores, compras de empresas, creación de personas jurídicas, etc.) que aquellas ilícitas (sobornos a una gran cantidad de funcionarios para ganar licitaciones, conseguir contratos u otros favores) y no cabe duda de que debe entenderse como una empresa ilegal.

Luego, el eje sobre el que ha de construirse este reproche no puede ser la cantidad de delitos (aunque ella pueda ser indiciaria del defecto), si no la incardinación de la comisión delictiva en el respectivo modelo de negocio o en la ejecución del giro corporativo. ¿Qué es lo que hacía a Odebrecht o a Siemens —que también tenía una cantidad mayor de operaciones lícitas que de delitos— una empresa ilegal? Que la comisión de delitos, más allá de la cantidad, respondían a una forma de operar que no se concebía sin ellos. Una gran empresa de ingeniería y construcción puede adjudicarse cuatro contratos EPC y por cada uno de ellos realizar miles de operaciones lícitas, pero si a la hora de participar en las licitaciones tiene como modus operandi el soborno de los licitantes públicos o privados, no es relevante la significación comparativa entre los cuatro sobornos y las miles de operaciones lícitas: será una empresa ilegal. Si una empresa minera en la construcción y operación de sus faenas realiza miles de operaciones lícitas anualmente, pero cada vez que se enfrenta al sistema de evaluación ambiental, fracciona falsamente los proyectos para sortear sus obligaciones, es también una empresa ilegal.

Dos consideraciones finales emanan naturalmente de estas asunciones, que la calificación de ilegalidad no puede emanar simplemente de la proporción de delitos versus operaciones lícitas si no que se trata de un escrutinio material y específicamente de la función que cumplen los hechos ilícitos en la operación de su giro, aunque sean pocos numéricamente.

La segunda es más interesante porque en estos casos sí se da cuenta de un rasgo cultural en la corporación. Ese rasgo cultural —incardinar la comisión de delitos en su modelo de negocio— produce un incremento del injusto y de la peligrosidad que debe acompañarse de un incremento relevante de las sanciones e incluso aconsejar la disolución. Se trata precisamente de corporaciones que se encuentran de a caballo entre los ciudadanos corporativos y las asociaciones ilícitas y en la misma proporción debe ubicarse su reproche y sanción.

I. Introducción: los “elementos de conexión” en el Derecho penal vigente

El art. 31 bis del Código Penal español, en su redacción vigente desde 2015, dispone que una persona jurídica es responsable de los delitos cometidos por determinadas personas físicas cuando estas hayan delinquido en beneficio directo o indirecto de aquella. La previsión de este elemento, como presupuesto de la llamada responsabilidad penal corporativa, supone una importante diferencia entre las razones del castigo de las personas jurídicas y las físicas. Así, en el caso de los seres humanos su responsabilidad penal depende, fundamentalmente, de la atribución de determinados daños sociales o individuales, asociados a sus acciones u omisiones, que las hacen merecedoras de respuesta penal; en cambio, en el caso de las personas jurídicas a dicha exigencia se añade la necesidad de que, además de la imputación de un estado de cosas valorado negativamente, sea esperable la obtención de un determinado provecho derivado del delito.

Como se expondrá en las siguientes páginas, la exigencia de este elemento adicional -la actuación en beneficio- resulta perturbadora para una adecuada atribución de responsabilidad penal a las entidades colectivas y sería preferible su supresión del texto de la ley. Para justificar esta afirmación, en la primera parte del trabajo se resumirá el marco legal aplicable y lo que hasta el momento ha dicho al respecto la jurisprudencia (II); seguidamente, se mostrarán las propuestas ofrecidas hasta la fecha en la doctrina para tratar de encontrarle un sentido a este elemento dentro del sistema de responsabilidad penal de las personas jurídicas (III); a continuación, se señalarán algunos problemas especialmente evidentes que la previsión de este requisito plantea en el Derecho vigente (IV); y, por último, se expondrán los argumentos por los que se considera que no existe una interpretación posible que, de lege lata,permita superar los problemas que plantea este elemento y, por lo tanto, sería preferible su eliminación del art. 31 bis CP para lograr una regulación más coherente de esta forma de responsabilidad penal (V).

En el presente trabajo no se ignora que, hoy por hoy, la necesidad de que el delito de la persona física se cometa “en beneficio directo o indirecto” de la jurídica es un requisito vigente que tiene un efecto limitador de la responsabilidad penal corporativa y, por tanto, el art. 31 bis CP no puede interpretarse como si dicho elemento no existiera sin entrar en conflicto con el principio de legalidad (art. 25.1 CE)¹. Sin embargo, el objetivo principal de estas páginas no será ofrecer una interpretación del Derecho vigente que resulte lo menos problemática posible -propuesta que ya se ha formulado en otro trabajo previo²-, sino exponer las razones por las que se considera que los problemas que plantea este requisito son insalvables con una interpretación judicial respetuosa con el texto de la ley y, por ello, conviene una actuación legislativa para garantizar la coherencia del modelo de responsabilidad vigente³.

II. La actuación en beneficio: marco normativo e interpretación de la jurisprudencia

II.1. Requisitos de pertenencia del hecho de la persona física a la persona jurídica

Aquellos ordenamientos jurídicos que prevén la responsabilidad penal de las personas jurídicas exigen la concurrencia de determinados vínculos entre dichas entidades y la persona física que comete un delito para que las primeras sean condenadas por su relación con el hecho de la segunda. A estos vínculos se los puede denominar “elementos de conexión” y su concurrencia es fundamental, no solo en términos de atribución de responsabilidad, sino también para determinar hasta dónde alcanzan los deberes de vigilancia de la persona jurídica respecto de las actividades de sus miembros. Solo si una conducta (punible) de la persona física pertenece también a la jurídica tiene sentido que se condene a esta última por no haber controlado adecuadamente -e impedido o intentado impedir- el comportamiento de la primera. Fuera de este ámbito de pertenencia las personas jurídicas no solo no tienen la obligación de controlar los hechos de la vida privada de su personal, sino que sería de dudosa legalidad que intentaran hacerlo.

Los “elementos de conexión” permiten determinar cuándo un delito pertenece a la actividad de una organización (y, por consiguiente, debe impedirlo) y cuándo es un hecho ajeno a esta (y, por ende, no está legitimada para controlarlo)⁴. En el Derecho español vigente estos criterios de pertenencia son los siguientes, según se desprende del tenor literal del art. 31 bis CP⁵:

1. En primer lugar, la persona física debe ocupar determinados cargos o posiciones dentro de la estructura de la persona jurídica. En tal sentido el Código Penal menciona a tres clases de sujetos en particular: a) Los representantes legales o aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de esta; b) Aquellos sujetos que tienen facultades de organización y control dentro de la persona jurídica, a los que en estas páginas se denominará “directivos”; y, por último, c) Aquellos sujetos que están “sometidos a la autoridad de las personas físicas mencionadas”, a los que se hará referencia en lo sucesivo como “subordinados” o “dependientes”⁶. El denominador común a todos estos sujetos es la existencia de un acto previo de delegación por el que la persona jurídica o sus socios, titulares de la correspondiente estructura, han atribuido la capacidad de gestionar dicho ámbito de actividad y el sujeto en particular ha aceptado dicho encargo⁷. Ello permite descartar cualquier responsabilidad de una persona jurídica cuando, por ejemplo, quien delinque se hace pasar por directivo sin serlo, o es un sujeto que fue cesado o despedido con anterioridad a su actuación delictiva.

2. En segundo lugar, para que exista responsabilidad corporativa alguna de las personas físicas citadas tiene que cometer una conducta delictiva de las que puede dar lugar a dicha responsabilidad concurriendo alguno de los siguientes contextos en su actuación: a) Haber cometido la infracción actuando en nombre o por cuenta de la persona jurídica en el caso de los administradores y los directivos; o b) Haber perpetrado la conducta punible obrando en el ejercicio de actividades sociales y actuando por cuenta de la persona jurídica en el caso de los subordinados⁸.

3. Finalmente, para que exista responsabilidad penal, tanto unos como otros sujetos tienen que cometer el delito en beneficio directo o indirecto de la persona jurídica: el requisito en el que se centrará el presente trabajo. Este elemento debe concurrir además de los anteriores y no de manera alternativa, como sucede en otros ordenamientos como el italiano o el chileno⁹. La gran diferencia con estos sistemas es que, mientras en estos la gestión en interés y la actuación en beneficio son elementos de la responsabilidad que se presentan unidos por una conjunción disyuntiva -y, por tanto, elementos de concurrencia alternativa-, en España es necesario que concurran ambos requisitos a la vez. Tal circunstancia impide una traslación automática a la discusión española de los argumentos que en estos dos países se proponen para interpretar los respectivos preceptos reguladores de la responsabilidad penal corporativa¹⁰.

Solo si concurren estos tres vínculos entre persona física y jurídica y, además, el delito de la primera ha tenido lugar por haberse incumplido las medidas de vigilancia, control y supervisión que la persona jurídica debía aplicar de conformidad con el art. 31 bis CP, la entidad colectiva deberá ser considerada penalmente responsable de aquellas infracciones penales para las que el legislador ha previsto la denominada responsabilidad penal corporativa.

II.2. La actuación en beneficio directo o indirecto: doctrina y jurisprudencia dominantes

II.2.A. Principales interpretaciones posibles

¿Qué significa que una persona física ha obrado en beneficio directo o indirecto de una persona jurídica? Al respecto parecen existir dos grandes interpretaciones posibles:

1. La primera, y más amplia, pasa por entender que un sujeto actúa en beneficio de otro siempre que el primero no obra gestionando sus propios intereses, sino los intereses del segundo. En esta interpretación, actuar en beneficio viene a ser lo mismo que actuar por cuenta o en interés de otra persona. La equivalencia entre estos términos se observa, sin ir más lejos, en el texto de numerosas directivas y decisiones marco de la Unión Europea que regulan los presupuestos de responsabilidad de personas jurídicas por hechos ilícitos de sus empleados: en las correspondientes traducciones oficiales las expresiones citadas se emplean de manera totalmente intercambiable¹¹.

Acogiendo esta interpretación afirma, por ejemplo, Luis Chiesa en Estados Unidos que “el énfasis no debe ponerse en si el acto delictivo en sí mismo beneficia a la compañía pues, después de todo, los delitos eventualmente pueden acabar perjudicándola. El foco debe situarse, más bien, en si la modalidad de conducta que el empleado ha realizado pertenece a aquella clase de actos que son aptos para beneficiar a la empresa”. A tal efecto este autor cita como ejemplo el caso Vaughan and Sons Inc v. State, resuelto en 1987 por la Corte de Apelaciones de Texas¹², en el que dos empleados causaron negligentemente una muerte en un accidente de tráfico. Desde su punto de vista, lo decisivo no es si el accidente benefició a la empresa -es evidente que la respuesta deberá ser negativa-, sino si “el acto de conducir en general, realizado por el sujeto cuando mató a la víctima, puede beneficiar a la compañía”¹³.

Esta interpretación permite sostener que prácticamente siempre que alguien comete un delito cuando está desarrollando las tareas que le ha encomendado su principal puede dar pie a la responsabilidad penal de este último si se trata de una persona jurídica. Con esta interpretación, por ejemplo, cabe sostener que existe responsabilidad de la persona jurídica en ciertos casos de la llamada “banca paralela”, como aquellos supuestos en los que un director de una sucursal bancaria engaña a los clientes para que le entreguen sus ahorros, asegurándoles que el capital está garantizado, a fin de invertirlos en productos financieros de alto riesgo que nada tienen que ver con los que la entidad bancaria comercializa¹⁴. Con arreglo a esta interpretación amplia, el banco es responsable penalmente, por cuanto la estafa cometida por el director ha tenido lugar en el contexto de su actividad profesional, que por lo general realiza en interés de la entidad bancaria y con los recursos de esta (en su oficina, con sus clientes etc.), y se trata de un riesgo que la persona jurídica debía controlar.

Esta interpretación supone la práctica equiparación entre los presupuestos de la responsabilidad penal corporativa del art. 31 bis CP y la responsabilidad civil subsidiaria del art. 120.4 CP, aplicable a “las personas naturales o jurídicas dedicadas a cualquier género de industria o comercio, por los delitos que hayan cometido sus empleados o dependientes, representantes o gestores en el desempeño de sus obligaciones o servicios”. Sin embargo, la asunción de semejante criterio plantea algunos problemas en el vigente Derecho español:

a) La exigencia de que el delito se cometa en beneficio resulta ser redundante respecto de otros elementos de conexión, como la necesidad de que el delito de la persona física se cometa actuando “en nombre” o “por cuenta” de la persona jurídica, así como en el ejercicio de sus actividades sociales.

b) Además, con semejante interpretación parece perder su sentido la previsión normativa de que el beneficio para la persona jurídica pueda ser tanto directo como indirecto. Esta precisión en el texto de la ley penal fue incorporada en 2015 -el texto inicial del art. 31 bis solo hablaba de que el delito se cometiera “en provecho”¹⁵– al objeto de dejar claro que la entidad colectiva también debe ser hecha responsable aunque la persona física no haya tenido el propósito de beneficiarla con su delito, si dicho beneficio es un efecto colateral de la infracción¹⁶. Para que esta interpretación tenga sentido, es necesario que el beneficio sea un efecto -derivado o, al menos, esperable- del delito y no el contexto en el que se comete la infracción penal.

c) Además, como argumento sistemático adicional cabe observar que, en el caso de algunos delitos (como se desprende del art. 52.4 CP¹⁷), el Código tiene en cuenta el beneficio obtenido como criterio de determinación de la pena de multa, lo que exige que tal elemento sea en principio susceptible de cuantificación económica, algo que no es posible si se interpreta como la mera descripción de un contexto en el que se lleva a cabo un hecho delictivo.

2. La segunda y más estricta interpretación consiste en entender que el carácter beneficioso del hecho delictivo para la persona jurídica debe concretarse en una consecuencia -al menos esperable- de la conducta realizada por la persona física. Esta perspectiva permite tratar como dos requisitos distintos la actuación “en nombre” o “por cuenta” y la “actuación en beneficio” y, por ello, resulta más exigente que la anterior cuando corresponde asignar responsabilidades.

Así, volviendo al ejemplo antes mencionado de la “banca paralela”, en el caso propuesto supra no existiría responsabilidad alguna del banco, en la medida en la que este no puede esperar ningún beneficio del hecho de que un director de una sucursal engañe a los clientes para que estos inviertan sus ahorros en productos financieros de alto riesgo que la entidad bancaria no comercializa¹⁸. Semejante conclusión, por cierto, tiene también consecuencias respecto de los deberes de prevención, por cuanto con tal interpretación el banco queda liberado (cuando menos en términos jurídico-penales) de tener que incluir en su modelo de prevención de delitos medidas de vigilancia de las prácticas de banca paralela, sin perjuicio de que decida añadirlas para evitar riesgos civiles o reputacionales.

Esta segunda interpretación es la que ha acogido la doctrina dominante en España¹⁹ y también la jurisprudencia se ha decantado por ella: en tal sentido, ya en la Sentencia 830/2014, de 28 de noviembre (ponente Sánchez Melgar)²⁰, el Tribunal Supremo se enfrentó al caso de un coordinador de planta de un supermercado condenado por acoso sexual a dos empleadas y al posible deber de la empresa de responder civilmente ex art. 120.4 CP. Al respecto sostuvo la Sala que, para que pudiera apreciarse tal responsabilidad, era necesario: “a) una relación de dependencia del autor de la acción y la persona o entidad implicada en aquella; b) que el responsable penal actúe en el marco de las funciones propias del cargo o empleo, aun cuando lo hubiera hecho con cierta extralimitación; y, c), consecuentemente, cierto engarce o conexión entre el delito y la clase de actividad propia de la relación de empleo”.

Seguidamente añade obiter dictum el mismo Tribunal que, tratándose de un caso de acoso, “ciertamente no puede llegarse a declararse un beneficio a la empresa por razón de tal actividad delictiva, al modo de cómo hoy se describe en el art. 31 bis del Código Penal, pero ha de convenirse que no estamos juzgando la responsabilidad penal de la persona jurídica, cuyos controles para su activación han de ser más rigurosos, sino estamos declarando un aspecto meramente civil, cual es la responsabilidad civil subsidiaria, que por tal carácter, deberá recaer directa y principalmente sobre el acusado (…)”. Así, lo que claramente se desprende de esta sentencia es que, a juicio del Tribunal Supremo, los presupuestos vigentes de la responsabilidad civil y penal son distintos y que la diferencia radica, precisamente, en la exigencia de la actuación en beneficio en el caso de la segunda.

II.2.B. La actuación en beneficio como aptitud del comportamiento delictivo

Posteriormente, en su Sentencia de 2023 sobre el llamado “caso Pescanova”²¹, entre otras, el Tribunal Supremo ha confirmado el anterior criterio, señalando que “nuestro legislador penal ha resuelto que, de entre los referidos riesgos, las personas jurídicas únicamente respondan penalmente en los casos en los que dichos riesgos estén asociados a comportamientos aptos para beneficiarla, riesgos con relación a los cuales se ha entendido reforzado, particularmente exigible, su deber general de prevenirlos”. Partiendo de esta idea, precisa la Sala Segunda que “resulta indispensable así que la conducta delictiva resulte beneficiosa, contemplada ex ante y enmarcada en el proyecto delictivo de su autor, directa o indirectamente, para la persona jurídica, con independencia de que dicho beneficio llegue o no a materializarse”. Por su parte, la Fiscalía General del Estado entiende también que, con este criterio de imputación, “estamos pues ante una objetiva tendencia de la acción a conseguir el provecho, que conlleva la constatación de la idoneidad ex ante de la conducta para que la persona jurídica obtenga alguna clase de ventaja asociada a aquella, aunque tal beneficio no fuere directo o inmediato por ser, por ejemplo, una posibilidad futura que finalmente no tuviera lugar”²².

Esta interpretación de la “actuación en beneficio” como una aptitud del hecho delictivo y no como un efecto derivado resulta claramente preferible a un planteamiento ex post, que solo permitiría castigar en aquellos supuestos en los que la persona jurídica obtuviera de manera efectiva algún tipo de ventaja. La mayoría de delitos corporativos, cuando se descubren, acaban siendo una auténtica ruina para la empresa responsable, que tiene que hacer frente a sanciones, responsabilidades civiles y costas procesales, además de padecer el correspondiente daño reputacional. De tal manera que acoger una perspectiva ex post de este requisito llevaría a convertir en prácticamente ilusoria la responsabilidad penal corporativa: delinquir casi nunca es beneficioso para quien acaba siendo descubierto. Ello además de ofrecer importantes problemas para la persecución del delito, pues el saldo total entre ventajas y perjuicios que para una empresa supone la comisión de un delito por parte de un directivo o empleado a menudo no puede determinarse hasta mucho tiempo después de su comisión.

La interpretación de la actuación en beneficio como aptitud objetiva de la conducta de la persona física también es preferible a la interpretación subjetivista, que considera que, para que la persona jurídica responda, la física tiene que actuar con el propósito específico de beneficiar a su principal²³. Semejante interpretación no solo deja fuera de la respuesta penal aquellos casos en los que el sujeto actúa por móviles egoístas -pero, sin buscarlo, beneficia colateralmente a su empresa-, sino que en España parece haber sido desterrada por el legislador desde el momento en que, a partir de la reforma de 2015, amplió este elemento de conexión a los casos de actuación en beneficio indirecto del principal. Tal sería el caso, por ejemplo, del visitador médico que, con el único propósito de incrementar su retribución variable, sobornara a varios facultativos para que recetaran determinados fármacos, provocando que su empresa incremente la facturación. Como afirma acertadamente la Fiscalía en su Circular de 2011, en caso de acogerse una interpretación íntegramente subjetiva costaría entender “las razones por las que los motivos del sujeto deban elevarse a la categoría de factor decisivo para la determinación de la responsabilidad de la organización para la que trabaja”²⁴.

II.2.C. El concepto de beneficio

En cuanto a la cuestión sobre qué cabe entender por beneficio, el Tribunal Supremo se ha declarado partidario de un concepto amplio. Así, en su Sentencia 154/2016, de 29 de febrero (ponente Maza Martín)²⁵, la Sala Segunda señaló -tras advertir que “se trata de un extremo que, sin duda, habrá de resolverse de forma casuística en el futuro y que, junto con otros que incorpora el precepto, será, con toda seguridad objeto de importantes debates”- que “ese término de ‘provecho’ (o ‘beneficio’) hace alusión a cualquier clase de ventaja, incluso de simple expectativa o referida a aspectos tales como la mejora de posición respecto de otros competidores, etc., provechosa para el lucro o para la mera subsistencia de la persona jurídica en cuyo seno el delito de su representante, administrador o subordinado jerárquico, se comete”. Otros pronunciamientos judiciales abogan también por un entendimiento amplio de este concepto, que concurre, por ejemplo, cuando una empresa evita perder un cliente²⁶.

En la doctrina, por citar algunos ejemplos, José Luis Díez Ripollés, ha afirmado, respecto de la exigencia de una actuación en beneficio, que “la ventaja susceptible de lograrse no ha de ser necesariamente económica, y cuando lo sea puede concernir a un incremento de ingresos, ahorro de gastos, mejora de posición en el mercado o cualquier otro beneficio con traducción económica, incluso si no tiene relación funcional con el giro de la empresa”²⁷. Por su parte, José Miguel Zugaldía señala que “la actuación en beneficio de la persona jurídica (que puede ser compatible y compartido con el beneficio propio de la persona física) no debe entenderse solamente en términos estrictamente económicos (aunque será lo más usual), sino en el sentido de que la actividad delictiva facilite de algún modo el funcionamiento de la persona jurídica o la consecución de su objeto social (basta, por ejemplo, con la intención de conseguir una posición de ventaja para evitar la libre competencia logrando que los competidores retrasen el lanzamiento de un producto)”²⁸. En una línea parecida, en un trabajo anterior he defendido que concurre este elemento en “aquellas infracciones susceptibles de contribuir a la consecución de las finalidades de la persona jurídica, ya sea generando a ésta algún tipo de ventaja económica o de otra naturaleza, o siendo el desarrollo de determinadas políticas de incentivo o tolerancia de conductas ilícitas”²⁹. De manera más específica, el magistrado Antonio del Moral ha considerado que pueden concurrir también beneficios “electorales, políticos o propagandísticos”³⁰.

Con todo, algunos autores han manifestado sus dudas sobre las interpretaciones expansivas de este concepto. Tal es el caso, por ejemplo, de Adán Nieto, quien se ha mostrado crítico con las perspectivas que consideran que cualquier ahorro de costes ya supone una actuación en beneficio, así como con el criterio de la Fiscalía, expuesto en su Circular de 2016, que considera como un supuesto de responsabilidad corporativa el caso del “portero de una discoteca que, defectuosamente controlado por sus superiores, vende droga a los clientes en su propio beneficio económico lo que, indirectamente, puede redundar en beneficio de la sociedad a la que podría generar una mayor afluencia de clientes”. En palabras del autor citado, “todas estas extensiones resultan incongruentes con el modelo del delito corporativo y en algunos casos manifiestamente contrarias al principio de legalidad”³¹.

II.2.D. Atribución del beneficio al comportamiento delictivo

Finalmente, conviene precisar -como con acierto ha señalado el Tribunal Supremo- que el beneficio debe ser un efecto esperable derivado de la conducta delictiva y no de cualquier otro comportamiento. Así, se afirma en la STS 298/2024, de 8 de abril (ponente Del Moral García), que “el beneficio o interés de que habla el art. 31 bis CP ha de estar asociado al delito por el que se hace responsable penal a la persona jurídica: un beneficio que surgiría precisamente del delito, aunque no sea de forma directa. No basta que el beneficio aparezca de alguna forma relacionado con actuaciones anteriores que hayan revestido interés crematístico para la empresa. Es necesario que sea precisamente el delito el origen o causa, directa o indirecta, del beneficio”³².

En tal sentido, basta con que la probabilidad de beneficiar no sea irrelevante, aunque sea baja. Por ello, no puede compartirse la tesis recogida en el Auto de la Audiencia Provincial de Navarra 91/2016, de 22 de marzo (ponente Huarte Lázaro), sobre el denominado “caso Osasuna”, relativo a la imputación de este club de fútbol por una supuesta alteración de resultados deportivos acordada por sus directivos. Concretamente, en esta resolución se convalidó la decisión del juez instructor de archivar la causa seguida contra el club navarro, un archivo para cuya justificación se emplearon argumentos como los siguientes: “lo cierto es que la posibilidad de que Osasuna mantuviera la categoría era tan remota y dependía de tantas variables incontrolables y, a la par, estadísticamente improbables, que dicha circunstancia excluye que quepa considerar que los directivos y empleados de Osasuna…actuaran en provecho del club desde un punto de vista objetivo… no parece una situación objetivamente provechosa para un club arruinado el dedicar 900.000 € a pactar fraudulentamente unos resultados que no garantizaban de ninguna manera el objetivo presuntamente perseguido”.

Discrepando de dicho criterio cabe sostener que, aunque la obtención del beneficio fuera en este caso poco probable, ello no excluye que la manipulación de los partidos aumentara de manera no insignificante las probabilidades de que el equipo mantuviera la categoría³³. Tal incremento debería haber bastado para entender que los actos de corrupción se realizaron en provecho de club. Como acertadamente se afirmó en el recurso (desestimado) de la Liga de Fútbol Profesional, “los delitos de corrupción deportiva se llevaron a cabo para obtener un determinado resultado en la competición, lo cual beneficiaba al club ya por el solo hecho, no monetario, sino desde la propia competición futbolística, pues el beneficio recíproco que obtenía el club era una determinada situación para la competición futbolística y por tanto obviamente le suponía un provecho, no siendo necesario que ese provecho se consiguiese finalmente”.

II.2.E. Balance

Más allá de las discrepancias expuestas en las anteriores páginas, puede concluirse este apartado constatando cómo reina un consenso bastante amplio, tanto en la doctrina como en la jurisprudencia, acerca de concebir el presente requisito como la aptitud relevante del comportamiento delictivo de la persona física de proporcionar algún tipo de ventaja relacionada con aquellas finalidades que la persona jurídica persigue.

III. Las razones de la exigencia legal de la actuación beneficio: justificaciones en la doctrina

Una vez expuestas las interpretaciones posibles de este requisito legal, así como aquella perspectiva que se considera mayoritaria, procede pasar ahora al estudio de las principales razones que se han esgrimido en el debate académico para justificar la presencia de dicho elemento en el texto del vigente art. 31 bis CP³⁴. Conviene precisar que estos fundamentos se proponen en algunos trabajos de manera aislada y en otros de modo cumulativo y que en muchos casos no se trata de un desarrollo teórico en profundidad, sino solo de breves comentarios formulados a propósito del fundamento de la responsabilidad penal corporativa en general.

III.1. La exclusión de la punibilidad de las autolesiones

Desde una primera perspectiva, con la exigencia de que la actuación delictiva se cometa en beneficio de la persona jurídica pretenderían excluirse del ámbito de lo punible aquellos hechos en los que la persona jurídica es víctima del delito cometido por la persona física. Sin duda, este planteamiento parece razonable, en la medida en que no tendría mucho sentido castigar a quien, en realidad, resulta perjudicado por el hecho delictivo que no ha logrado impedir³⁵. Como afirma Íñigo Ortiz de Urbina, lo que el art. 31 bis CP pretende sentar es “un modelo de imputación a la persona jurídica que le incentive a la evitación de delitos que puedan afectar a terceros, en el lógico entendido que ya tiene incentivos para protegerse a sí misma”³⁶.

Sin embargo, el problema de esta interpretación es que no se corresponde estrictamente con el alcance de la previsión legal analizada, pues, para evitar que se castigue a la persona jurídica por hechos que la perjudican (o la puedan perjudicar), no es necesario reducir su responsabilidad solo a aquellos hechos susceptibles de beneficiarla. Así, con este criterio, para lograr un objetivo ciertamente razonable acaba estableciéndose una restricción a la responsabilidad corporativa cuyos efectos van mucho más allá de los casos que supuestamente se quiere excluir del radio de acción de la intervención penal.

Por otra parte, es discutible la necesidad de incluir expresamente en el texto de la ley la punibilidad de aquellas conductas en las que la persona jurídica es víctima cuando menos potencial, pues esta parece una consecuencia que viene prácticamente impuesta por el sentido común, aunque la ley no diga nada al respecto de modo expreso. Nadie se plantea seriamente, proponiendo una analogía con los delitos de comisión por omisión, que, si el propietario de un perro peligroso es mordido por este, deba responder por un delito de lesiones. Semejante conclusión se explica por el criterio general según el cual el Derecho penal vigente no castiga las autolesiones, ya sean estas infligidas activamente por el propio sujeto que las padece, o bien por omisión de los deberes de control de riesgos derivados de personas, animales u objetos peligrosos. En todo caso, dicho criterio no excluye la responsabilidad corporativa en aquellos casos en los que, además de causar una autolesión, el hecho de la persona física lesiona también a terceros: tal es el caso, volviendo al anterior ejemplo de la “banca paralela”, en el que el director con su engaño no solo perjudica al banco, sino también a sus clientes.

III.2. La necesidad de incentivar la prevención de ciertas conductas en particular

En ocasiones se ha señalado que la reducción legal de la responsabilidad penal corporativa a aquellos comportamientos delictivos aptos para beneficiar a las personas jurídicas se explica por la voluntad de centrar los efectos del incentivo penal en la evitación de las actividades que dichas entidades tienen menor interés en prevenir, como son aquellas que tienen capacidad de aportarles algún tipo de ventaja. De algún modo, con este planteamiento se da por hecho que las personas jurídicas por sí solas ya están suficientemente interesadas en evitar aquellas potenciales conductas delictivas de sus representantes, directivos o subordinados que no son aptas para aportar beneficios, de tal modo que el recurso a la pena puede limitarse a aquellos supuestos en los que falte tal interés porque los potenciales delitos pueden resultar provechosos³⁷.

Así, la pretensión de que las personas jurídicas se involucren en la prevención de delitos -que, según muchos autores, late tras la decisión legislativa de sancionarles penalmente- no tendría hasta la fecha un carácter absoluto, sino fragmentario. Ello se desprende, sin ir más lejos, del sistema de incriminación en vigor, según el cual la persona jurídica solo responde cuando la persona física ha cometido alguno de los delitos que forman parte del catálogo de infracciones expresamente previstas por el Código Penal. Esta selección de delitos por parte del legislador genera, evidentemente, un efecto reductor de las obligaciones (jurídico-penales) de supervisión y control de riesgos por parte de las personas jurídicas. A resultas de la selección legislativa, cuando las empresas establecen medidas de vigilancia pueden centrarse exclusivamente en los riesgos asociados a determinados delitos y despreocuparse –por lo menos en términos jurídico-penales- de todos los restantes. Ello tiene consecuencias de naturaleza diversa, pero básicamente aligera las dificultades y los costes de implantación de los modelos de prevención de delitos.

Otro elemento importante que determina esta voluntad de intervención fragmentaria guarda relación con el hecho de que el art. 31 bis CP solo establezca el castigo para los casos de incumplimiento grave de los deberes de vigilancia, supervisión y control, una previsión que se complementa con la posibilidad de que la persona jurídica no sea declarada responsable si, efectivamente, contaba con tales medidas y el delito se produjo por razones difícilmente previsibles. Como sostiene una parte importante de la doctrina, no puede pretenderse una eliminación absoluta de todos los riesgos inherentes a la actividad empresarial, lo que ahogaría la libertad de empresa y generaría unos costes inasumibles, sino que solo cabe esperar una reducción razonable de los riesgos de criminalidad³⁸. No en vano, para eximir de responsabilidad el propio Código Penal se conforma, en el mismo art. 31 bis,con que los sistemas de prevención reduzcan significativamente el riesgo de producción de delitos, pero sin exigir la eliminación absoluta de cualquier peligro.

Partiendo de estas premisas, desde una perspectiva político-criminal cabe pensar en vincular también la cláusula “en beneficio directo o indirecto” con esta voluntad de protección fragmentaria. Así, en virtud de la previsión legal de este elemento quedan limitados los deberes de prevención del delito solo a aquellos riesgos derivados de actividades aptas para generar algún tipo de ventaja para las personas jurídicas. O, dicho en sentido inverso, tales entidades quedan eximidas de la obligación reforzada penalmente de implantar medidas de protección respecto de aquellas actividades de sus representantes, directivos o empleados que, por su naturaleza, no son aptas para producir ningún tipo de beneficio para la propia entidad.

En palabras de Richard S. Gruner, “con la exigencia del beneficio se centran la responsabilidad penal corporativa y los incentivos para prevenir los delitos relacionados con ella en aquellas modalidades de criminalidad corporativa que, de no existir tal responsabilidad, los directivos tolerarían o, incluso, estimularían, porque proporcionan (o al menos tienen la capacidad de generar) provechos deseables para la empresa. Esto es, la limitación de la responsabilidad penal empresarial a los casos de beneficio responde a la voluntad de distinguir entre delitos de subordinados que los directivos normalmente intentarán controlar por iniciativa propia y sin la amenaza penal (es decir, aquellos en los que probablemente la empresa resultará perjudicada después de la infracción) y aquellos que los directivos tenderán a tolerar si su empresa no se enfrenta a la amenaza de la responsabilidad (es decir, infracciones realizadas en provecho de la organización)”³⁹. En España algunos autores como Juan Antonio Lascuraín han sostenido que la exigencia de tal aptitud para beneficiar se justificaría con el propósito de limitar la responsabilidad corporativa a aquellos supuestos en los que esta tiene sentido criminológico, concretamente, a aquellos “delitos que impulsan la competitividad propia de la actividad empresarial y que deban por ello ser desalentados con la sanción a los titulares económicos del patrimonio personificado”⁴⁰.

Si bien en la ya citada sentencia del “caso Pescanova” el Tribunal Supremo declara no querer decantarse por ningún fundamento en particular⁴¹, el ahora analizado es el que parece convencer más a la Sala Segunda. Así, se afirma en dicha resolución que “nuestro legislador penal ha resuelto que, de entre los referidos riesgos, las personas jurídicas únicamente respondan penalmente en los casos en los que dichos riesgos estén asociados a comportamientos aptos para beneficiarla, riesgos con relación a los cuales se ha entendido reforzado, particularmente exigible, su deber general de prevenirlos”.

Desde esta perspectiva, en la selección de aquellos comportamientos que pueden dar lugar a responsabilidad penal de las personas jurídicas el legislador español no habría acogido la lesividad como principio rector pues, si así hubiera sido, conductas como el homicidio, el secuestro o la violación, por ejemplo, tendrían que haber dado lugar a responsabilidad corporativa, al ser los hechos considerados más lesivos, como se desprende de sus propias penas. Al seleccionar los delitos, el legislador más bien habría optado, como regla general, por recurrir a la incriminación en aquellos ámbitos en los que las personas jurídicas son intervinientes habituales y, en la mayoría de los casos, respecto de aquella clase de actuaciones aptas para proporcionarles determinadas ventajas⁴². A la vista de este criterio –seguramente cuestionable, pero en todo caso admisible dentro de los amplios márgenes con los que cuenta el legislador para diseñar la política criminal⁴³– la adición del elemento del beneficio guardaría cierta coherencia, pues el recurso al Derecho penal queda entonces circunscrito a aquellos comportamientos relacionados con sectores de actividad en los que más a menudo intervienen las empresas y a propósito de aquellos comportamientos más necesitados de incentivos para su evitación.

III.3. La actuación en beneficio como criterio de especial pertenencia

Sin rechazar necesariamente las anteriores explicaciones, para algunos autores la exigencia de la actuación en beneficio como “elemento de conexión” refuerza la idea de pertenencia del hecho de la persona física a la persona jurídica: el delito ya no es algo que sucede en la empresa, sino que se trata de un hecho de la propia empresa⁴⁴. Este vínculo más intenso complica la previsible voluntad de la persona jurídica de desvincularse de la actuación delictiva de la persona física apelando a que se trata de una actuación individual desligada de los intereses del ente colectivo⁴⁵. Además, los riesgos asociados a aquellas actividades que aportan beneficios a alguien por regla general deberán ser más fácilmente previsibles y evitables⁴⁶. Con esta clase de argumentos parece darse a entender que en tales situaciones existe un mayor merecimiento de respuesta penal para la persona jurídica en cuya estructura se ha cometido un delito atribuible a una prevención deficiente.

Aunque, en lo que se alcanza, estas ideas no han sido desarrolladas muy a fondo, permiten sentar las bases teóricas para tratar de vincular el elemento de la “actuación en beneficio” con alguna de aquellas teorías que considera necesario que la responsabilidad de las personas jurídicas tenga un contenido propio y distinto de la atribución de la mera infracción de los deberes de control de la propia entidad. Más concretamente, con aquellos planteamientos doctrinales -o aquellas resoluciones judiciales, como la conocida STS 154/2016, de 29 de febrero⁴⁷– que buscan dicho contenido en una disposición permanente del ente colectivo a respetar o no la legalidad, lo que se asocia con elementos como la concreta cultura empresarial, las políticas corporativas de respecto a la ley, etc⁴⁸. En tal sentido, la petición legal de que el sujeto actúe “en beneficio” de su principal podría interpretarse como un indicio de que la conducta del sujeto pueda valorarse como una manifestación del “clima” imperante en la empresa en relación con el respeto a la legalidad⁴⁹. De tal modo que, si el acto delictivo fuera un hecho aislado y no la expresión de un determinado clima o política corporativos, el hecho no se podría imputar a la empresa como propio⁵⁰.

En alguna resolución estadounidense se aportan algunos mimbres que permitirían fundamentarla teóricamente⁵¹. Sin ir más lejos, en la Sentencia del caso U.S. v. Hilton Hotels Corporation –dictada en 1972 por el Tribunal de Apelaciones del Noveno Circuito federal de los Estados Unidos⁵²– se emplean argumentos que pueden resultar interesantes a tal efecto. En este caso se había condenado a la compañía Hilton por una vulneración de la Sherman Act en materia de competencia por el hecho de que un empleado suyo hubiera exigido a determinados proveedores del sector hotelero de Portland que efectuaran donativos a una asociación patronal hotelera, para así atraer convenciones a la ciudad bajo la amenaza, en caso contrario, de reducir sus encargos. Uno de los principales argumentos de la defensa de Hilton fue que dicha actuación era contraria a la política general de la entidad y que en varias ocasiones se había exigido al concreto empleado por algunos superiores que dejara de formular semejantes exigencias. El trabajador reconoció tales afirmaciones y confesó haber amenazado a la empresa proveedora debido a un enfado personal con la persona que la representaba.

Pese a este reconocimiento, el Tribunal desestimó con los siguientes argumentos la alegación de la defensa de la compañía: “Las infracciones de la Sherman Act son una consecuencia probable de la presión para maximizar ganancias que habitualmente los empresarios ejercen sobre el personal directivo y, a su vez, sobre los empleados subordinados. Debido a esta presión, casi nadie se toma en serio las directrices generales de obedecer la Sherman Act, con el probable efecto en los beneficios futuros. Y, si efectivamente se produce una infracción de la Ley, es la empresa y no los agentes individuales quien hace suyos los beneficios de la actividad ilegal. En resumen, la identificación de los agentes particulares responsables de la infracción de la Sherman Act resulta especialmente difícil y su condena y castigo son particularmente inefectivos como acto disuasorio, mientras que la condena y castigo de la entidad empresarial es probable que resulte tan apropiada como efectiva”⁵³.

A partir de este pronunciamiento podría tratar de desarrollarse la idea –que ciertamente no se expresa con estas palabras en esta resolución- de que, aunque determinadas conductas de sus agentes se opongan a la política formal de una persona jurídica, podrán dar lugar a responsabilidad si favorecen a la compañía en tanto que efecto derivado de una determinada cultura empresarial (la presión para maximizar ganancias). De este modo, actuación en beneficio sería todo aquel comportamiento delictivo singular que pueda interpretarse como un acto de concreción o desarrollo de una determinada forma de relacionarse con la legalidad por parte de un ente colectivo. Y, al a inversa, los actos aislados de empleados o directivos opuestos a la cultura de respeto a la legalidad que realmente impera en la empresa nunca podrían considerarse como realizados en su beneficio. En todo caso, las anteriores ideas responden más a elucubraciones propias sobre el rendimiento que podría extraerse a este fundamento que no a la descripción de planteamientos teóricos acabados que, en lo que se alcanza, no se han publicado.

III.4. Balance e insuficiencia de las justificaciones ofrecidas

Ninguna de las principales razones ofrecidas en el debate doctrinal para justificar la necesidad de este “elemento de conexión” ofrece una respuesta plenamente convincente y libre de objeciones que justifique la previsión legal de este requisito.

a) En primer lugar, y como ya se ha adelantado, la supuesta pretensión de excluir los supuestos de autoperjuicio no logra explicar por qué también deben quedar fuera del alcance de la responsabilidad penal aquellos hechos que no son aptos para beneficiar, pero tampoco para perjudicar, a la persona jurídica.

b) Por su parte, la justificación que trata de limitar los incentivos de la sanción penal a la prevención solo de aquellos delitos que pueden aportar ventajas a la persona jurídica no consigue explicar por qué este criterio debe pasar por delante de la necesidad de incentivar el control de las conductas potencialmente más dañinas, beneficien o no a su responsable. En tal sentido, puede haber riesgos en la actividad de una persona jurídica que no puedan proporcionar a dicha entidad beneficio alguno, pero que, por su elevado potencial lesivo, exista un gran interés social en mantenerlas bajo control. Este último parece ser el criterio que se aplica a las personas físicas respecto de la mayoría de comportamientos delictivos.

Ciertamente, respecto de algunos delitos clásicos de personas físicas el legislador ha considerado la motivación en busca de una ganancia como un factor de modulación de la pena. El ánimo de lucro, por ejemplo, que debe concurrir en el hurto o en la estafa, pero no en los daños, seguramente explica que los primeros dos delitos tengan atribuidas unas penas más graves que el tercero. Sin embargo, no es lo mismo considerar este elemento como un factor más de estimación de la gravedad del hecho que convertirlo en el elemento clave para determinar la relevancia penal con independencia de cuáles sean los perjuicios ocasionados.

c) Finalmente, y en cuanto al criterio de mayor pertenencia de aquellos hechos cometidos en beneficio de la persona jurídica, cabe señalar que con semejante fundamento se introduce un elemento diferenciador con respecto a la responsabilidad de las personas físicas cuya justificación es poco clara. En efecto, en el caso de estas últimas lo que determina su responsabilidad penal son los daños ocasionados (o el riesgo de tales), con independencia de si tales daños generan algún tipo de provecho correlativo al sujeto o de cuál haya sido la trayectoria pasada de este en relación con el Derecho. Nunca se ha defendido -en lo que se alcanza- que la ausencia de beneficio deba ser un factor de exclusión de la responsabilidad cuando quien delinque es un ser humano. Por otra parte, el criterio de la mayor previsibilidad de las conductas beneficiosas tampoco resulta convincente: cabe imaginar perfectamente casos de delitos muy probables y fáciles de prevenir -en los que la ausencia de controles sea particularmente inexcusable para la empresa- y, sin embargo, que tales delitos no sean aptos para aportar ventaja alguna a la entidad en cuyo seno se cometen.

Es desde luego convincente la idea ya expuesta de que, para que exista responsabilidad corporativa, el delito debe poder considerarse un hecho de la empresa y no algo simplemente acontecido en la empresa. Sin embargo, es muy dudoso que la aptitud de determinados hechos para proporcionar beneficios a la organización sea una característica adecuada para trazar dicha distinción. Así sucede en aquellos casos, por ejemplo, en los que existe una absoluta indiferencia o tolerancia de los principales dirigentes de la estructura empresarial en la comisión de determinados delitos, pero estos no aportan ventaja alguna a la entidad⁵⁴. O, a la inversa, en aquellos delitos que sí aportan un provecho de manera accesoria (el citado caso del portero de discoteca, por ejemplo), no parece que tal circunstancia sea lo bastante relevante como para atribuirle la capacidad de transformar un hecho individual en un acontecimiento corporativo.

Por último, cabe señalar que algunos autores muy críticos con la responsabilidad penal de las personas jurídicas han apuntado a que dicha responsabilidad responde a un modelo de justicia distributiva en el que la exigencia de beneficio desempeñaría un papel fundamental. En palabras de Ricardo Robles, “dado que la actuación de la persona física produce en todo caso un estado injusto en beneficio de la organización, a ésta le deben co-corresponder -desde el punto de vista de una justa distribución- los costes de prevención y, en su caso, de eliminación de tales situaciones jurídicamente indeseadas estrechamente vinculadas a aquella finalidad de obtención de beneficios a la que se consagra la masa patrimonial de sus titulares”⁵⁵. Con todo, el propio autor reconoce que esta posible justificación “no explica la complejidad del modelo adoptado por el CP español” y, en particular, “abandona todo esfuerzo por encontrar un desvalor en la organización que fundamente su responsabilidad en un sentido más fuerte y que, de no concurrir, la excluya, como parece suponer la eximente de los modelos de prevención de delitos acogida explícitamente por nuestro Derecho positivo”⁵⁶.

IV. Aspectos problemáticos de este presupuesto de la responsabilidad penal de las personas jurídicas

Tras haber expuesto las dificultades que en el plano teórico plantean las explicaciones ofrecidas en el debate doctrinal para la exigencia de este concreto “elemento de conexión”, procede pasar ahora a mostrar diversos problemas en particular que, hoy por hoy, ya plantea su previsión legal en el Derecho vigente y en su aplicación judicial.

IV.1. Los delitos inidóneos para beneficiar. En particular, el acoso sexual

El sistema español de responsabilidad penal de las personas jurídicas, como es ampliamente conocido, solo establece tal responsabilidad respecto de aquellos delitos que especialmente la prevén: el llamado sistema de numerus clausus. Ciertamente, la mayoría de delitos que se incluyen en la relación aprobada por el legislador parecen susceptibles de cometerse por un empleado o directivo de una entidad con la aptitud de beneficiar a su principal. Cabe imaginar perfectamente que un comercial estafe a clientes logrando que su empresa gane más dinero, que un directivo decida deducir indebidamente determinados gastos de la declaración tributaria de su compañía para que esta pague menos impuestos, o que un administrador soborne a un funcionario para que este no inspeccione a su sociedad ahorrándole las correspondientes sanciones.

Sin embargo, existen otros delitos cuya comisión en beneficio de una persona jurídica es difícilmente imaginable: uno de los casos más evidentes es el delito de acoso sexual⁵⁷. Cuando en 2010 se introdujo por primera vez la responsabilidad penal de las personas jurídicas en Derecho español, este delito no estaba entre aquellas infracciones penales que podían dar lugar a tal responsabilidad. Sin embargo, doce años más tarde la Ley Orgánica 10/2022, de Garantía Integral de la Libertad Sexual, introdujo en el Código el art. 184.5 CP, un precepto que proclama que, “cuando de acuerdo con lo establecido en el artículo 31 bis, una persona jurídica sea responsable de este delito, se le impondrá la pena de multa de seis meses a dos años”. También se amplió tal punibilidad, dicho sea de paso, al delito contra la integridad moral del art. 173.1 CP, cabe suponer que para combatir el fenómeno del llamado acoso laboral no sexual (mobbing), o ciertos supuestos del denominado acoso inmobiliario, aunque lo cierto es que nada se dice en el preámbulo de la ley para justificar ambas reformas⁵⁸.

Desde una perspectiva político-criminal esta decisión legislativa parece razonable por varios motivos. En primer lugar, el acoso sexual es una conducta que, muy a menudo, se comete en contextos laborales/empresariales, por lo que resulta difícil de entender que en su día no se incluyera entre aquellos delitos que podían dar lugar a la responsabilidad penal de las personas jurídicas. Con esta incriminación parecen generarse incentivos para que las empresas incorporen este delito a sus respectivos modelos de prevención y adopten medidas concretas para su prevención o para su denuncia y sanción, aunque antes de esta reforma muchas lo habían hecho ya, para evitar sanciones administrativas y reclamaciones civiles, además del correspondiente daño reputacional. Sin embargo, pese a estos aspectos positivos de la nueva regulación, el legislador parece no haber tenido en cuenta que, dados los criterios generales de imputación de responsabilidad penal a la persona jurídica en el Derecho vigente, con el actual texto de la ley será imposible condenar a una sola entidad por hechos de tal naturaleza. Ello tiene que ver con la concurrencia de los elementos de conexión citados supra y, en particular, con la exigencia de que el delito se comenta en beneficio de la persona jurídica.

Tal como se define este delito en el art. 184 CP, el acoso sexual consiste en solicitar favores sexuales para uno mismo o para una tercera persona creando a la víctima una situación objetiva y gravemente intimidatoria, hostil o humillante (acoso horizontal). La pena prevista para este hecho puede agravarse si el delito lo comete el culpable “prevaliéndose de una situación de superioridad”, ya sea laboral o de otro tipo, con el anuncio expreso o tácito de causar al sujeto pasivo un mal relacionado con las legítimas expectativas que pueda albergar en el marco de su relación con el autor (acoso vertical).

Por regla general, cuando una persona somete a otra a las conductas constitutivas de este delito lo que pretende es conseguir que la víctima acabe cediendo a requerimientos de tipo sexual. Cuesta imaginar, francamente, supuestos de tal naturaleza que resulten mínimamente verosímiles y que puedan llegar a cometerse con la aptitud de proporcionar algún tipo de beneficio, ya sea directo o indirecto, a una persona jurídica⁵⁹. Al contrario: en los casos del llamado acoso horizontal esta conducta puede enrarecer sensiblemente el ambiente de trabajo y resultar muy perjudicial para el rendimiento laboral de la víctima y, por ende, para la compañía que le paga el sueldo. Por su parte, en los supuestos de acoso vertical –que supedita la estabilidad laboral o ciertas promociones profesionales a los deseos sexuales de quienes tienen poder de decisión al respecto- el acoso introduce un factor de evidente distorsión en los ascensos o mejoras laborales, que puede ser muy disfuncional para cualquier empresa, en la medida en que tales promociones, o la simple estabilidad, ya no dependan de los méritos de los trabajadores, sino de su capacidad de oponer resistencia a requerimientos de tipo sexual. De hecho, y como ya se ha expuesto anteriormente, en la citada STS 830/2014, que condenó civilmente a la sociedad titular de una cadena de supermercados por el acoso sexual de un director de planta a varias empleadas, se señaló obiter dictum por la Sala Segunda que, si bien en aquel caso era posible declarar responsable civil a la empresa titular, no habría sido viable, en cambio, declararla responsable penal por la falta de un beneficio esperable.

Algún autor como Bernardo Feijoo parece intentar explicar este modelo regulatorio apelando a la idea de fragmentariedad antes señalada y argumentando en tal sentido que “el criterio del beneficio permite que el Derecho Penal no quede convertido en un mero instrumento coactivo para forzar el cumplimiento de la regulación laboral”⁶⁰. Sin embargo, una fragmentariedad bien entendida debería llevar a centrar los deberes de prevención en aquellos supuestos más graves de acoso sexual -aquellos que es más necesario prevenir- lo que no depende necesariamente de que sean aquellos hechos susceptibles de generar alguna ventaja para la persona jurídica, si es que cabe imaginar alguno que sea mínimamente verosímil.

Algo parecido puede afirmarse respecto del supuesto de acoso laboral, aunque en este caso tal vez puedan imaginarse algunos ejemplos creíbles, como el de quien somete a un trabajador a acoso reiterado para lograr que abandone voluntariamente la empresa sin tener que abonarle indemnización alguna o con la pretensión de que rinda más en el desempeño de su actividad. También en los casos del llamado acoso inmobiliario son imaginables situaciones en las que directivos o empleados de personas jurídicas titulares de inmuebles recurran a actos de grave humillación de inquilinos para forzarles a abandonarla.

De todos modos, aunque en este último supuesto sean imaginables ejemplos más verosímiles, no deja de ser difícil justificar por qué en estos casos la persona jurídica deberá responder penalmente y no, en cambio, cuando el acoso tenga lugar sencillamente porque uno de los directivos desprecia profundamente a un empleado o le tiene envidia. Si lo que se pretende con la responsabilidad de estas entidades es incentivar la prevención de delitos que se cometen en contextos empresariales, resulta complicado entender por qué los primeros ejemplos requieren un mayor esfuerzo de prevención que los segundos cuando el daño que se acaba ocasionando a la víctima no debe ser necesariamente mayor en unos casos que en otros, ni tampoco cambia mucho el grado de previsibilidad del hecho. Con la regulación vigente cuestiones absolutamente accesorias, como los motivos del acoso, acaban determinando la existencia o no de responsabilidad penal para la persona jurídica.

Lo dicho respecto del acoso sexual puede valer mutatis mutandis para otros delitos como los daños informáticos (art. 264 ter CP) o la financiación o enaltecimiento del terrorismo (art. 580 bis en relación con arts. 576 y 578 CP)⁶¹. Ciertamente, respecto de estas conductas delictivas cabe imaginar ejemplos rocambolescos en los que su comisión por parte de un representante, directivo o empleado sea apta para beneficiar a la persona jurídica por cuenta de quien actúa dicho sujeto. Sin embargo, parece difícilmente justificable que unos pocos casos de improbable comisión deban dar lugar a responsabilidad penal y, en cambio, que los casos más prototípicos, dañosos y previsibles de un determinado delito queden fuera del alcance de dicha responsabilidad. En el caso de los daños informáticos, por añadidura, llama la atención que el factor considerado por el Código Penal para graduar la pena no sea el beneficio obtenido por la persona jurídica responsable, sino literalmente “el perjuicio causado” a la víctima (art. 264 ter CP).

Sorprende, en cambio, que respecto de otros delitos la existencia de aptitud para beneficiar a la persona jurídica sea prácticamente automática. Tal es el caso, por ejemplo, de los delitos contra la Hacienda Pública y contra la Seguridad Social o de las insolvencias punibles: resulta complicado, por no decir imposible, imaginar un caso en el que un sujeto –actuando como administrador de hecho o de Derecho de una persona jurídica- cometa una defraudación tributaria en nombre de su principal y esta no sea apta ex ante para beneficiar a esta última, ya sea por el ahorro de costes fiscales o por la obtención de ventajas tributarias indebidas. La misma conclusión debe alcanzarse, a propósito de las insolvencias, si lo que hace dicho sujeto es ocultar bienes de la compañía que administra a fin de evitar su ejecución por parte de los acreedores. Llama la atención que, mientras la exigencia de actuar en beneficio apenas limita la responsabilidad de la persona jurídica en lo que respecta a algunos delitos, en otros casos su previsión legal convierte en prácticamente inviable dicha responsabilidad. La exigencia de este criterio convierte en imposible la tarea de intentar encontrar una cierta coherencia político-criminal en el vigente modelo de responsabilidad penal de las personas jurídicas.

IV.2. El problema de los beneficios fugaces o insignificantes

El ejemplo del acoso sexual ha permitido constatar cómo la exigencia de que el delito de la persona física se cometa en beneficio directo o indirecto de la jurídica acaba dependiendo en algunas infracciones penales de la concurrencia de determinadas circunstancias fácticas que no parecen suficientemente relevantes como para justificar que exista o deje de existir responsabilidad penal. Este mismo problema se plantea en el caso de los denominados beneficios fugaces o insignificantes.

a) Por beneficios fugaces o transitorios puede entenderse aquellos ingresos o ganancias que obtienen (o es previsible que obtengan) determinadas personas jurídicas a resultas de un delito, pero que no tienen como fin consolidarse en su patrimonio, sino trasladarse en un breve lapso temporal a otra entidad. Por expresarlo coloquialmente, son aquellas ganancias que “tal como entran, salen”. En estos supuestos cabe interpretar que el beneficio ha existido, por cuanto es indiscutible que en un determinado momento la compañía ha experimentado un incremento patrimonial y la ley penal no exige en modo alguno que este se consolide para que concurra responsabilidad. No en vano, si en estos casos el administrador de la sociedad en cuestión decidiera impedir la salida de los activos recibidos, una vez los tiene en su poder, podría perfectamente hacerlo. Sin embargo, la fugacidad de la ganancia y el hecho de que la persona jurídica acusada no sea su último destinatario son dos datos que parecen entrar en contradicción con los diversos fundamentos que se han ofrecido en el anterior apartado para exigir la concurrencia de este elemento.

En la ya citada Sentencia del “caso Pescanova” el Tribunal Supremo absolvió del delito de frustración de la ejecución (art. 257 CP) a dos sociedades mercantiles pertenecientes al entorno familiar de los máximos responsables de la citada multinacional pesquera que fueron utilizadas para descapitalizar a esta (la española KIWI ESPAÑA y la portuguesa QUINTA DE SOBREIRO). Así, a través de las cuentas de estas empresas pasaron unas cantidades procedentes del Grupo PESCANOVA que debían acabar en otras cuentas de la esposa del máximo mandatario de dicho Grupo en Hong Kong. De este modo, las sociedades fueron empleadas -dice el Tribunal Supremo- como “como meras ‘coberturas formales’ con el propósito de eludir el pago de los créditos del primero, sin que se advierta que dichas mercantiles no ya obtuvieran con ello beneficio, directo o indirecto, alguno, sino tampoco que potencialmente pudieran alcanzar de ese modo ventaja o provecho de ninguna naturaleza; ventaja o provecho que, como ya se ha señalado, tampoco se describe de ningún modo ni en el relato de hechos probados de la resolución que aquí se impugna ni a lo largo tampoco de su fundamentación jurídica”. Por tal motivo el Tribunal Supremo decidió absolver a las dos mercantiles.

La decisión de la Sala Segunda de rechazar que exista un delito en beneficio de la persona jurídica en casos de obtención de ganancias transitorias respalda algunos pronunciamientos previos en tal sentido tanto en la doctrina de las audiencias provinciales como en trabajos académicos⁶². Además, con dicha interpretación se refuerza la tendencia a rechazar la responsabilidad de las personas jurídicas en aquellos supuestos en los que se hace un uso meramente instrumental de tales entidades, como también se observa en pronunciamientos recientes en materia de «sociedades pantalla» o unipersonales. En todos estos casos la jurisprudencia está optando por una reducción teleológica del art. 31 bis, que en su tenor literal no establece semejantes distinciones. Se trata, seguramente, de una demostración palpable del desacierto que supuso en su momento la decisión legislativa de extender la responsabilidad penal de las personas jurídicas a todas las entidades de tal naturaleza sin establecer límites que tomaran en cuenta su objeto real o sus dimensiones cuantitativas.

Con todo, en este concreto caso surgen algunas dudas sobre si realmente podía hablarse de beneficios meramente fugaces o transitorios: en primer lugar, porque, como se recoge en el relato de hechos, los fondos procedentes de PESCANOVA entraron en KIWI ESPAÑA en el mes de febrero de 2013 y no salieron de sus cuentas hasta el mes de agosto siguiente, es decir, medio año más tarde; y, en segundo término, porque, una vez que los fondos pasaron a QUINTA DE SOBREIRO S.L., cuando intentaban transferirse a Hong Kong quedaron bloqueados por la entidad bancaria en la cuenta de dicha mercantil y, como se explica en la resolución, al cabo de unos días el acusado pidió que se dejara sin efecto la transferencia. Por más que el dinero quedara en la cuenta de la sociedad contra los designios de su administrador de hecho y a merced de los acreedores, ello no impide afirmar que, en un sentido material, la acabara beneficiando.

Ni la literalidad del Código Penal ni los argumentos ofrecidos en la doctrina para justificar la necesidad de este “elemento de conexión” logran ofrecer criterios claros para decidir cómo debe resolverse el anterior dilema. Por una parte, es cierto que del hecho de que rápidamente entren y salgan de las cuentas de una sociedad determinadas cantidades de dinero, dicha entidad en poco o nada se beneficia. Pero también es verdad que en un determinado momento la sociedad en cuestión dispuso de una ganancia que, en caso de haberlo querido sus máximos gestores, la mercantil podría haber hecho suya. Que un delito se cometa en beneficio de una persona jurídica no necesariamente debe significar que la persona jurídica sea la última y única beneficiaria del delito: si el art. 31 bis CP se interpreta en estos términos difícilmente una persona jurídica podrá ser considerada jamás culpable, pues normalmente las ganancias que estas obtienen suelen acabar, en última instancia, en el bolsillo de sus socios o administradores.

b) Parecidos problemas plantean los beneficios aquí denominados insignificantes, es decir, aquellos que, ciertamente, tienen aptitud para proporcionar una ganancia a la persona jurídica, pero el beneficio obtenido o esperable es cuantitativamente muy poco relevante. Por poner un ejemplo, cabría citar un supuesto de blanqueo de capitales en el que un empleado de banca hubiera aceptado realizar una transferencia altamente sospechosa a una cuenta en un paraíso fiscal a un cliente de alto riesgo⁶³. En tal caso la responsabilidad penal de la entidad bancaria dependería de la percepción o no por parte del banco de una comisión por llevar a cabo la citada operativa, de tal suerte que, si por algún motivo, al cliente se le condonara el coste de la transferencia, la entidad no respondería, a no ser que el concepto “beneficio” se difumine completamente y se considere subsumible en tal término una ventaja tan etérea como la que supone tener satisfecho a un cliente. En este punto puede traerse de nuevo a colación el ejemplo ya expuesto de la discoteca en la que trabaja un portero que vende droga: ¿realmente la responsabilidad penal de la persona jurídica titular del establecimiento debe depender del precio de la entrada que pagan unos pocos clientes cuyo propósito es adquirir dicha sustancia?

Los supuestos de beneficios fugaces e insignificantes ponen de manifiesto cómo en el vigente art. 31 bis CP la existencia o no de responsabilidad de las personas jurídicas acaba dependiendo de la concurrencia o no de circunstancias a menudo anecdóticas, que no influyen en absoluto en la lesividad del hecho, ni tampoco en su previsibilidad. Resulta difícilmente justificable que a tales elementos fácticos de segundo orden se les atribuya nada menos que la capacidad de convertir hechos acontecidos en el marco de la actividad empresarial en hechos pertenecientes a la empresa como tal, con las consecuencias que ello supone desde el punto de vista de la atribución de la responsabilidad penal.

Ciertamente tal problema puede resolverse con una reducción teleológica consistente en negar que en ambos casos concurra responsabilidad penal: una opción que, como ya se ha expuesto, acoge el Tribunal Supremo en el “caso Pescanova” para los beneficios fugaces. Con este estricto criterio solo habría responsabilidad penal cuando el beneficio esperable fuera relevante en términos económicos y la persona jurídica fuera su beneficiaria final y no meramente transitoria. Sin embargo, quedaría sin respuesta la pregunta sobre por qué casos que no reúnen tales requisitos, pero causan un grave daño (personal o colectivo), pese a ser fácilmente evitables, deben quedar fuera del radio de acción del Derecho penal y porqué también deberían quedar al margen de la responsabilidad penal aquellos hechos (no pocos precisamente) en los que el beneficio no se pretende para la empresa en sí, sino para las personas físicas que rigen sus destinos.

IV.3. ¿La interpretatio abrogans como solución aceptable?

Ante todos estos problemas cabe plantearse si, tal vez, no convendría obrar como si este elemento no estuviera presente en el texto del Código Penal y entender que para la responsabilidad penal corporativa basta con que un sujeto cometa un delito en el contexto de su actuación para una persona jurídica. Se trataría de aplicar a la responsabilidad penal corporativa los criterios que ya vienen aplicándose desde hace décadas para fijar los límites de la responsabilidad jurídico-penal del empresario en tanto que garante de los riesgos propios de su actividad o el supuesto de responsabilidad civil subsidiaria del art. 120.4 CP, por lo menos en el caso de aquellos delitos en los que, como ya se ha expuesto, la previsión de este elemento genera unos efectos jurídicos de muy difícil comprensión y justificación.

Sin embargo, como ya se ha expuesto anteriormente, la abolición de facto del citado requisito tendría como efecto incuestionable una ampliación del ámbito de lo punible, dudosamente compatible con el principio de legalidad. La reforma de 2015 -en la que el término “en provecho” se sustituyó por “en beneficio directo o indirecto”- es, además, una clara muestra de que el legislador quiso añadir este elemento como una exigencia diferenciada de la mera actuación de la persona física por cuenta de la persona jurídica o en el desempeño de los servicios encomendados por esta. De ahí que un juez o tribunal que prescinda de este requisito y condene a una persona jurídica sin explicar dónde radica la aptitud del hecho delictivo de la persona física para beneficiarla se expone a que su resolución sea declarada inconstitucional por vulneración del art. 25.1 CE. La actuación del legislador parece ser la única solución aceptable⁶⁴.

V. Conclusiones

V.1. Argumentos para la eliminación de este “elemento de conexión”

Como ya se ha señalado en páginas anteriores, la lógica del Derecho penal es tratar de impedir las conductas más perjudiciales para los intereses personales o colectivos que pueden poner en riesgo la estabilidad social. La entidad de dicho perjuicio, junto al grado de evitabilidad del hecho, son las principales razones de la incriminación y, a la vez, la medida de graduación de la pena asociada a cada delito. En dicha lógica no tiene mucho sentido exigir, adicionalmente, que el sujeto considerado responsable obtenga algún beneficio de su conducta delictiva, pues cabe imaginar conductas muy nocivas y fácilmente evitables de las que, sin embargo, no sea esperable que derive ningún tipo de ganancia o provecho para quien las lleva a cabo.

Por razones históricas que se han expuesto en otro trabajo con mayor detalle⁶⁵, la exigencia del elemento del beneficio en la responsabilidad penal corporativa parece explicarse por la traslación automática de criterios de imputación propios del Derecho civil de daños al Derecho penal, que se produjo a principios del siglo pasado en los Estados Unidos. Pero la lógica y los fines del Derecho civil (la reparación económica del daño y la asignación de los correspondientes costes al responsable, costes que, por cierto, pueden trasladarse a terceros mediante el contrato de seguro) no pueden ampliarse sin más al Derecho sancionador, en el que impera un enfoque retributivo y/o preventivo: sancionar (o no) a alguien porque se ha beneficiado de un hecho puede no ser respetuoso con la exigencia de merecimiento y/o no asegurar mejores niveles de prevención de hechos dañosos socialmente⁶⁶.

En este último sentido, con la exigencia de dicho elemento se dirige un extraño mensaje a aquellas empresas a las que el legislador pretende incentivar para que implanten sus modelos de prevención de delitos: así, en el diseño del correspondiente mapa de riesgos se les dice que pueden despreocuparse de aquellos peligros más graves para terceras personas derivados de posibles delitos de directivos o empleados cuando sea difícilmente imaginable que de tales delitos surja algún beneficio para la empresa. Por continuar con casos conocidos, se dice, por ejemplo, a los bancos, que no tienen que controlar las actividades de “banca paralela” aun siendo una conducta no infrecuente que tiene lugar en sus oficinas y que puede ser muy perjudicial para los clientes; o a las empresas en general se les viene a decir que no han de adoptar medidas para prevenir los supuestos más clásicos de acoso sexual o laboral.

Respecto de estos y otros muchos delitos cabe imaginar conductas muy lesivas o peligrosas, fácilmente previsibles y evitables, pero que no sean aptas para generar provecho alguno. En tales casos, pese a la potencial o efectiva dañosidad del hecho delictivo, este no generará responsabilidad penal corporativa de acuerdo con la regulación vigente. Sin embargo, a propósito de estas conductas resulta sumamente complicado justificar la conclusión de que no se impongan deberes de prevención (con refuerzo penal) a las personas jurídicas y que estas, en caso de incumplir tales deberes, no sean consideradas responsables cuando sí lo serán, en cambio, por otras conductas mucho menos lesivas o menos previsibles por el solo hecho de ser aptas para generar beneficios, aunque estos resulten de poca entidad.

Ciertamente, la exigencia del presente elemento limita los deberes de prevención, lo que, como ya se ha señalado supra, pueda verse tal vez como una saludable manifestación del principio de fragmentariedad. Pero dicha limitación se lleva a cabo a partir de una circunstancia -la aptitud para generar beneficio- que no guarda relación con la lesividad o evitabilidad del hecho que motiva la sanción. Dado que estos riesgos son el criterio por el que deben guiarse fundamentalmente los asesores de la persona jurídica cuando diseñan los modelos de prevención, lo más probable es que, en caso de duda, se establezcan de todos modos medidas generales de evitación de determinadas conductas, sin discriminar aquellas que pueden generar beneficio de aquellas otras que carecen de tal aptitud. Si esto acaba sucediendo, la (supuesta) pretensión de limitar los deberes empresariales de vigilancia se verá frustrada pues, de facto, los controles impuestos serán más estrictos de lo exigido por la regulación penal. A ello contribuirá, sin duda, la circunstancia añadida de que, por más que no sean aptas para proporcionar beneficio y generar responsabilidad penal, las conductas gravemente peligrosas exponen a la empresa al riesgo de consecuencias civiles y administrativas, por lo que de todos modos seguirán siendo objeto de los modelos de prevención en sentido amplio⁶⁷.

Así las cosas, este elemento resulta perturbador porque impide un diseño mínimamente racional tanto del sistema de atribución de responsabilidad como de las medidas de prevención de los potenciales delitos: ser o no castigado acaba dependiendo de detalles absolutamente accesorios en términos de dañosidad y previsibilidad, es decir, los ejes centrales sobre los que se debe fundamentar y graduar la responsabilidad penal. En tal sentido es muy claro Adán Nieto cuando señala, en referencia a este concreto elemento de conexión, que es “tremendamente disfuncional y debería suprimirse en el futuro”, argumentando a tal efecto que “lo relevante no es si la empresa se beneficia o no por el delito, sino que el ordenamiento jurídico a través del derecho penal quiera que la empresa adopte medidas para prevenir y descubrir delitos, porque el desarrollo de su actividad genera este tipo de riesgos”⁶⁸. Unas afirmaciones en las que coinciden otros autores que han abordado la presente cuestión, como Carlos Martínez-Buján⁶⁹, José León⁷⁰ o Ana Valverde⁷¹.

Como han señalado Javier Cigüela e Íñigo Ortiz de Urbina, “el carácter problemático de este requisito se observa, de hecho, en que en cierto modo re­sulta disfuncional en relación con el objetivo general de la responsabilidad penal de las personas jurídicas e incluso del compliance: si lo que se busca es que las empresas y otras organizaciones contri­buyan a la prevención de comportamientos delictivos, no se entiende por qué razón solo interesan aquellos que les sean beneficiosos. Piénsese en casos de acoso y maltrato laboral, casos de bullying o de desastres naturales, en fin, en cualquier otra conducta gravemente lesiva a la vez que previsible, y que en vir­tud de este requisito quedarían fuera en tanto no beneficiasen a la persona ju­rídica que los habría favorecido. Es esta crítica, junto con otras menos relevan­tes, la que ha hecho que buena parte de la doctrina sea favorable a la supresión de dicho requisito a la hora de fundamentar la responsabilidad penal de las personas jurídicas”⁷².

La supresión del presente elemento aproximaría la regulación española a otras como la francesa, en la que se prefirió optar, como único “elemento de conexión”, por la expresión “por su cuenta”⁷³. Así, en el art. 121-2 del Código Penal se establece que “las personas jurídicas, a excepción del Estado, serán penalmente responsables (…) de las infracciones cometidas por su cuenta por sus órganos o representantes”. Según señala alguna comentarista, “al principio, la doctrina entendía por esa exigencia que la persona jurídica debía de haber sacado un provecho de la infracción cometida (…) De todas maneras, los jueces no se plantearon problemas con esta exigencia y consideraron que la infracción había sido cometida por cuenta de la persona jurídica en caso de provecho directo o indirecto. Puede reconocerse la responsabilidad de la persona jurídica por el simple hecho que la infracción ha sido cometida en el marco de su actividad, que haya o no sacado algún provecho. No será el caso si el autor de la infracción la ha cometido para su interés exclusivo, aunque fuese en el marco de sus funciones”⁷⁴. Otra opción sería aproximarse al Derecho belga (art. 5 CP), que exige que el delito de la persona física sea una infracción intrínsecamente vinculada al objeto de la jurídica o a la defensa de sus intereses o pueda demostrarse, a partir de datos concretos, que se ha realizado por su cuenta⁷⁵.

En realidad, con dicho cambio el Derecho español se acercaría también al contenido de las directivas europeas, a las que se ha aludido anteriormente (supra II.2.A), que establecen un solo elemento de conexión entre el hecho de la persona física y jurídica cuando se trata de sancionar a esta por los delitos de sus directivos o empleados⁷⁶. Sin embargo, sería conveniente en las versiones españolas de dichos textos evitar la expresión “en beneficio” y optar por otras como “en interés de” o “por cuenta de”, que no parecen requerir al hecho delictivo la capacidad de aportar ventajas o provechos a las personas jurídicas, sino que simplemente indican que la persona física ha cometido el delito en el marco del ejercicio de aquellas funciones encomendadas por la primera y que esta tiene el deber de controlar.

En resumen: para la atribución de responsabilidad debería bastar con la existencia de un acto de delegación-asunción de un haz de competencias a una persona física y la comisión por esta de un delito asociado a los riesgos propios de las funciones asumidas. Por volver al ejemplo de constante cita, la persona que ha asumido el cargo de director de una sucursal bancaria y que, en el desempeño de sus funciones, se aprovecha de su contacto con los clientes para engañarles en la venta de productos financieros de alto riesgo, comete una estafa que debería generar la responsabilidad penal del banco si este no ha desplegado medidas de prevención de tales comportamientos, que son perfectamente previsibles. Y lo mismo cabe afirmar respecto de aquella empresa en la que, no solo ocasionalmente, se producen episodios de acoso -sexual o laboral- sin que exista medida alguna de prevención o detención de tales comportamientos, con independencia de que la empresa gane o pierda con ellos.

V.2. Posibles soluciones parciales

Tal vez la anterior solución se antoje demasiado radical para el legislador. En tal caso existen dos posibles soluciones intermedias para corregir, al menos parcialmente, los efectos menos justificables de la exigencia legal del presente “elemento de conexión”:

a) La primera opción pasa por la posibilidad de que el mismo legislador elimine este elemento de la cláusula general del art. 31 bis CP, pero, a propósito de determinados delitos concretos, pueda optar por mantener la exigencia de que el delito de la persona física sea apto para beneficiar a la jurídica, cuando en referencia a determinados sectores de criminalidad existan razones político-criminales que aconsejen limitar el alcance de dicha responsabilidad a tal clase de supuestos.

b) Una segunda opción, de alcance aún más limitado que la anterior, podría consistir en mantener la exigencia general de que concurra una actuación en beneficio en el art. 31 bis CP, pero establecer excepciones a tal necesidad a propósito de delitos concretos (por ejemplo, el acoso sexual) aprovechando los artículos del Código en los que se declara la incriminación expresa de las personas jurídicas a propósito de algunos delitos.

Sin embargo, los inconvenientes ya expuestos que ocasiona la presencia de este requisito en el art. 31 bis CP son tales que parece preferible claramente la primera opción de las dos propuestas o la eliminación absoluta de este requisito, haciendo que la responsabilidad penal gire en torno a los mismos ejes que en el caso de las personas físicas: la lesividad y la previsibilidad⁷⁷. En otras palabras, que la razón del castigo de las personas jurídicas sea la no evitación de los hechos delictivos más graves de sus representantes, directivos o subordinados, cuando tales hechos sean previsibles y evitables, sin que importe que sean aptos o no para proporcionar beneficios.

Bibliografía citada

Astrologo, Annamaria, “‘Interesse’ e ‘vantaggio’ quali criteri di attribuzione della responsabilità dell’ente nel d.lgs. 231/2001”, L’Indice Penale, 2003, pp. 649-666.

Bacigalupo, Silvina, “El modelo de imputación de la responsabilidad penal de los entes colectivos”, en Zugaldía Espinar / Marín de Espinosa Ceballos (coords.), Aspectos prácticos de la responsabilidad criminal de las personas jurídicas, Cizur Menor, 2013, pp. 67-102.

Bajo Fernández, Miguel / Feijoo Sánchez, Bernardo José / Gómez-Jara Díez, Carlos, Tratado de responsabilidad penal de las personas jurídicas, 2.ª ed., Madrid, 2016.

Bucy, Pamela H., “Corporate Ethos: a standard for imposing corporate criminal liability”¸ Minnesota Law Review, 75 (1991), pp. 1095-1184.

Carrera Horta, Andrés, “Política criminal y responsabilidad penal de las personas jurídicas”, en Vázquez-Portomeñe Seijas (dir.), Cuestiones actuales de política criminal, Valencia, 2023, pp. 279-314.

Casal Fernández, Laura, “Actuar en beneficio directo o indirecto de la persona jurídica como criterio de imputación de su responsabilidad penal, en la comisión del delito de blanqueo de capitales”, en Abel Souto / Sánchez Stewart (coords.), IV Congreso Internacional sobre prevención y represión del blanqueo de dinero, Valencia, 2019, pp. 494-498.

Chiesa, Luis E., Substantive Criminal Law. Cases, Comments and Comparative Materials, Durham, 2014.

Cigüela Sola, Javier, La culpabilidad colectiva en el Derecho penal. Crítica y propuesta de una responsabilidad estructural de la empresa, Madrid, Barcelona, Buenos Aires, Sao Paulo, 2015.

Cigüela Sola, Javier / Ortiz de Urbina Gimeno, Íñigo, “La responsabilidad penal de las personas jurídicas: fundamentos y sistema de atribución”, en Silva Sánchez (dir.), Lecciones de Derecho penal económico y de la empresa, 2.ª ed., Barcelona, 2023, pp. 75-97.

Del Moral García, Antonio, “Responsabilidad penal de partidos políticos”, en VV.AA., La responsabilidad penal de las personas jurídicas. Homenaje al Excmo. Sr. D. José Manuel Maza Martín (cit. Maza Martín-LH), Madrid, 2018, pp. 299-318.

Del Rosal Blasco, Bernardo, “La delimitación típica de los llamados hechos de conexión en el nuevo artículo 31 bis, n.º 1, del Código Penal”, Cuadernos de Política Criminal, 103 (2011), pp. 41-94.

Díez Ripollés, José Luis, “La responsabilidad penal de las personas jurídicas. Regulación española”, InDret, 1/2012, pp. 1-33.

Dopico Gómez-Aller, Jacobo, “Tema 4. Responsabilidad penal de las personas jurídicas”, en de la Mata Barranco et al., Derecho penal económico y de la empresa, Madrid, 2018, pp. 129-168.

Feijoo Sánchez, Bernardo, “La responsabilidad penal de las personas jurídicas”, en Díaz-Maroto y Villarejo (dir.), Estudios sobre las reformas del Código Penal, operadas por las LO 5/2010 de 22 de junio, y 3/2011, de 28 de enero, Madrid, 2011, pp. 65-141.

Feijoo Sánchez, Bernardo, El delito corporativo en el Código Penal español. Cumplimiento normativo y fundamento de la responsabilidad penal de las empresas, Madrid, 2015.

Feijoo Sánchez, Bernardo José, en Bajo Fernández, Miguel / Feijoo Sánchez, Bernardo José / Gómez-Jara Díez, Carlos, Tratado de responsabilidad penal de las personas jurídicas, 2.ª ed., Madrid, 2016.

Feijoo Sánchez, Bernardo, “La función de la responsabilidad penal de las personas jurídicas en el Derecho penal español”, Revista de Responsabilidad Penal de las Personas Jurídicas y Compliance, 1 (2023), pp. 1-121.

Galán Muñoz, Alfonso, “La responsabilidad penal de la persona jurídica tras la reforma de la LO 5/2010: entre la hetero- y la autorresponsabilidad”, en Romeo Casabona / Flores Mendoza (eds.), Nuevos instrumentos jurídicos en la lucha contra la delincuencia económica y tecnológica, Granada, 2012, pp. 502-548.

García Palominos, Gonzalo, “Relevancia del elemento ‘interés o provecho’ en la responsabilidad penal de las personas jurídicas en Chile”, Revista Chilena de Derecho, 47 (2020), pp. 821-848.

Goena Vives, Beatriz / Montaner Fernández, Raquel / Núñez Miró, Anna, “Más ley penal, más espacios para la responsabilidad penal de la persona jurídica”, La Ley Compliance Penal, 10 (2022).

Gómez Tomillo, Manuel, “La responsabilidad penal de las personas jurídicas: Comentario a la STS 154/2016 de 29 de febrero, ponente José Manuel Maza Martín”, Diario La Ley, 8747 (2016).

Gómez-Jara Díez, Carlos, La culpabilidad penal de la empresa, Madrid, Barcelona, 2005.

Gómez-Jara Díez, Carlos, en Bajo Fernández, Miguel / Feijoo Sánchez, Bernardo José / Gómez-Jara Díez, Carlos, Tratado de responsabilidad penal de las personas jurídicas, 2.ª ed., Madrid, 2016.

Gruner, Richard S., Corporate criminal liability and prevention, Nueva York, 2005.

Hernández, Leyre, “El nuevo artículo 31 bis del Código Penal: exigencias legales (explícitas e implícitas) que permiten la atribución de responsabilidad penal a la persona jurídica”, en De la Cuesta Arzamendi (dir.) / De la Mata Barranco (coord.), Responsabilidad penal de las personas jurídicas, Cizur Menor, 2013, pp. 103-127.

Lascuraín Sánchez, Juan Antonio, “Crítica al proyecto de reforma de los delitos sexuales: nueve enmiendas, nueve”, Almacén de Derecho, 9/03/2022, https://almacendederecho.org/critica-al-proyecto-de-reforma-de-los-delitos-sexuales-nueve-enmiendas-nueve.

Laufer, William S. / Strudler, Alan, “Intencionalidad corporativa, retribución y variantes de la responsabilidad vicaria”, trad. C. Gómez-Jara Díez, en Gómez-Jara Díez (ed.), Modelos de autorresponsabilidad penal empresarial. Propuestas globales contemporáneas, Cizur Menor, 2006, pp. 191-238.

León Alapont, José, Los delitos de enaltecimiento del terrorismo y de humillación de las víctimas, Valencia, 2022.

Martínez-Buján Pérez, Carlos, “La estructura de la infracción penal de la persona jurídica: el presupuesto (el déficit organizativo peligroso) y el resultado/condición objetiva de punibilidad (el hecho de conexión posterior)”, Revista de Responsabilidad Penal de las Personas Jurídica y Compliance, 3 (2023), pp. 1-103.

Nieto Martín, Adán, La responsabilidad penal de las personas jurídicas: un modelo legislativo, Madrid, 2008.

Nieto Martín, Adán, “La responsabilidad penal de las personas jurídicas tras la LO 5/2010”, Revista Xurídica Galega, 63 (2009), pp. 47-70 (se cita la versión disponible en http://resp-pj.blogspot.com.es/2011/03/la-responsabilidad-penal-de-las.html).

Nieto Martín, Adán, recensión a Ragués i Vallès, La actuación en beneficio de la persona jurídica como presupuesto para su responsabilidad penal, publicada en InDret – sección ex Libris, 3/2018, pp. 16-18.

Nieto Martín, Adán, “La autoregulación preventiva de la empresa como objeto de la política criminal”, en Silva Sánchez et al. (coords.), Estudios de Derecho penal. Homenaje al profesor Santiago Mir Puig (cit. Mir Puig-LH), Madrid, 2017, pp. 167-178.

Ortiz de Urbina Gimeno, Íñigo, “La responsabilidad penal de las personas jurídicas y su impacto en el Derecho penal económico” en Silva Sánchez / Miró Llinares (dirs.), La teoría del delito en la práctica penal económica, Madrid, 2013, pp. 463-502.

Ortiz de Urbina Gimeno, Íñigo, “Responsabilidad penal de las personas jurídicas. Cuestiones materiales”, en Ayala Gómez / Ortiz de Urbina Gimeno (coords.), Penal Económico y de la Empresa (Memento Práctico), Madrid, 2016, pp. 165-200.

Poelemans, Maiténa, “Responsabilidad penal de las personas jurídicas: el caso francés”, Eguzkilore, 28 (2014), pp. 113-124. Disponible en http://www.ehu.eus/documents/1736829/3498354/06-maitena+poelemans+p.pdf.

Ragués i Vallès, Ramon, La actuación en beneficio de la persona jurídica como presupuesto de su responsabilidad penal, Madrid, Barcelona, Buenos Aires, Sao Paulo, 2017.

Ragués i Vallès, Ramon, “La responsabilidad penal de las personas jurídicas por acoso sexual como Derecho penal simbólico”, en Muñoz Sánchez et al. (dirs.), Estudios jurídico-penales, criminológicos y político-criminales. Libro Homenaje al Profesor José Luis Díez Ripollés (cit. Díez Ripollés-LH), Valencia, 2023, pp. 1625-1636.

Robles Planas, Ricardo, “Volver a empezar: las personas jurídicas y el Derecho penal”, en en Santana Vega et al. (dirs.), Una perspectiva global del Derecho penal. Libro homenaje al profesor Dr. Joan J. Queralt Jiménez (cit. Queralt Jiménez-LH), Barcelona, 2021, pp. 329-340.

Sánchez Benítez, Cristian, Tratamiento jurídico-penal del acoso en España, Madrid, 2023.

Sánchez Melgar, Julián, “Aproximación a la responsabilidad penal de las personas jurídicas: nuevos modelos de imputación”, en Zugaldía Espinar / Marín de Espinosa Ceballos (coords.), Aspectos prácticos de la responsabilidad criminal de las personas jurídicas, Cizur Menor, 2013, pp. 31-66.

Sánchez-Vera Gómez-Trelles, Javier, “Cuestiones abiertas en los delitos de las personas jurídicas”, en Bacigalupo Saggese et al. (coords.), Estudios de Derecho penal. Homenaje al profesor Miguel Bajo (cit. Bajo-LH), Madrid, 2016, pp. 630-649.

Selvaggi, Nicola, L’interesse dell’ente collettivo quale criterio di ascrizione della responsabilità da reato, Nápoles, 2006.

Silva Sánchez, Jesús-María, “La responsabilidad penal de las personas jurídicas en Derecho español”, en Id. (dir.) / Montaner Fernández (coord.), Criminalidad de empresa y compliance. Prevención y reacciones corporativas, Barcelona, 2013, pp. 15-42.

Silva Sánchez, Jesús-María / Ragués i Vallès, Ramon / Robles Planas, Ricardo / Pastor Muñoz, Nuria / Montaner Fernández, Raquel / Coca Vila, Ivó / Estrada i Cuadras, Albert, “El ‘caso Pescanova’. Comentario a la STS 89/2023, de 10 de febrero”, InDret. Revista Crítica de Jurisprudencia Penal, 3/2023, pp. 677-724.

Valverde Cano, Ana Belén, “De monos y calambres: ¿por qué condicionar la responsabilidad penal de las personas jurídicas a que se actúe en su beneficio?”, blog de la Facultad de Derecho de la Universidad Autonóma de Madrid, https://www.blog.fder.uam.es/2022/11/16/de-monos-y-calambres-por-que-condicionar-la-responsabilidad-penal-de-las-personas-juridicas-a-que-se-actue-en-su-beneficio/, 16/11/2022.

Vervaele, John A.E., “Societas/universitas delinquere et puniri potest: 60 años de experiencia en Holanda”, en Ontiveros Alonso (coord.), La responsabilidad penal de las personas jurídicas, Valencia, 2014, pp. 523-570.

Villegas García, María Ángeles, La responsabilidad criminal de las personas jurídicas. La experiencia de Estados Unidos, Cizur Menor, 2016.

Walsh, Charles J. / Pyrich, A., “Corporate compliance programs as a defense to criminal liability: can a corporation save its soul?”, Rutgers Law Review, 47 (1995), pp. 605-691.

Zugaldía Espinar, José Miguel, “La responsabilidad criminal de las personas jurídicas en el Derecho penal español (Análisis de la cuestión tras la reforma operada por la LO 1/2015, de 30 de marzo)”, en Bacigalupo Saggese et al. (coords.), Estudios de Derecho penal. Homenaje al profesor Miguel Bajo (cit. Bajo-LH), Madrid, 2016, pp. 693-712.

Zugaldía Espinar, José Miguel, “Teorías jurídicas del delito de las personas jurídicas (aportaciones doctrinales y jurisprudenciales). Especial consideración de la teoría del hecho de conexión”, Cuadernos de Política Criminal, 121 (2017), pp. 9-34.

I. COMPLIANCE Y POLÍTICA CRIMINAL

En el vigente sistema de responsabilidad penal de las personas jurídicas, el presupuesto de la atribución de responsabilidad viene determinado por la calidad preventiva y reactiva frente al delito del modelo de organización interna implantado en la empresa¹: tal como es asumido por la práctica totalidad de la doctrina y la jurisprudencia -más allá de controversias dogmáticas, y más allá de si el énfasis se pone en la “cultura” o en la “estructura”²-, para imponer las sanciones previstas a la empresa será condición necesaria la acreditada existencia de un defecto de organización que haya favorecido -o no dificultado- la comisión de la conducta delictiva por su empleado o directivo³. En palabras de la STS 894/2022, de 11 de noviembre, “para hablar del fundamento de esa responsabilidad exigible a la persona jurídica (…), es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad”.

Dicho modelo de responsabilidad penal de la persona jurídica responde a una determinada estrategia político-criminal -y, en última instancia, a una determinada concepción sobre la relación entre el Estado y la empresa⁴-, dirigida a incentivar coercitivamente a las empresas a ejercer funciones de prevención de delitos dentro de su propia organización, haciendo descansar sobre las propias entidades determinadas funciones de prevención y detección de los delitos que puedan cometerse en su seno y en su beneficio⁵.  Bajo esta “red descentralizada de policía”, la persona jurídica se convierte “en un delegado de prevención de los delitos que se cometan en su seno”, debiendo asumir esa “nueva función de agente de control”, que se manifiesta en la implantación eficaz de los modelos de prevención y gestión de riesgos delictivos en que consisten los sistemas de cumplimiento normativo⁶. Expresado en otros términos, el compliance es un mecanismo mediante el que “la función policial de prevención directa de los delitos que puedan cometerse en las empresas, al igual que la función de policía judicial de los delitos cometidos en aquellas, es asumida y financiada por las personas jurídicas titulares”⁷.

La delegación de tales funciones de control a la empresa por parte del Estado, así como la misma responsabilidad penal de las personas jurídicas, ha venido enmarcada bajo el fenómeno institucional de la “autorregulación regulada”⁸, caracterizado precisamente por dicho cambio de modelo consistente en el desplazamiento desde el Estado hacia las empresas de funciones de vigilancia, control y reacción de conductas antinormativas⁹. El Estado efectúa una “transferencia de responsabilidades” sobre la persecución del delito¹⁰, dejando en manos de la libertad organizativa de la empresa el diseño de las medidas dirigidas a esa función de vigilancia¹¹ (por eso es autorregulada); pero impondrá las correspondientes sanciones -penales o administrativas- en caso de incumplimiento de tales deberes de control y vigilancia (por eso es regulada)¹².

Con carácter general, la razón de ser de esta opción político-criminal es clara: partiendo del presupuesto de que la organización empresarial puede conllevar un efecto criminógeno¹³, resulta más eficiente que sea la propia empresa la que directamente se involucre en la remoción de esos factores criminógenos, y despliegue labores de vigilancia, prevención  y detección de los delitos cometidos en su seno, a que lo haga directamente la Administración de justicia, por cuanto no solo se halla más próxima a los hechos que se cometen en su entorno de actividad¹⁴, sino que, además, tales labores de control resultan ya consustanciales a la propia actividad empresarial,  en aras a asegurar el cumplimiento de las obligaciones laborales¹⁵.

En coherencia con esa suerte de “privatización” de la función estatal de prevención¹⁶, la doctrina ha trasladado la clásica discusión sobre los fines de la pena al ámbito de la autorregulación empresarial, suscitándose la controversia de cuál deba ser la estrategia más adecuada que la propia empresa pueda desplegar para prevenir ad intra la criminalidad corporativa. Así, por algunos autores se destaca la función disuasoria que, al modo de la prevención general de intimidación, han de ejercer las medidas de vigilancia y control sobre los integrantes de la organización. Se señala, así, que “el compliance de detección manifiesta el ejercicio de funciones de policía judicial, mediante las que se pretende reforzar la coacción psicológica dirigida a los directivos y empleados”, incrementando con ello “la certeza de la sanción penal de aquellos” y, con ello, “también el efecto preventivo de las penas con las que se les amenaza”¹⁷. Frente a ello -o junto a ello-, la función de los compliance se vincula mayoritariamente al desarrollo de una cultura de cumplimiento¹⁸, teniendo como propósito primordial -según la Fiscalía General del Estado- “promover una verdadera cultura ética empresarial”¹⁹. Al modo de la prevención general positiva -en sus diferentes versiones-²⁰, los sistemas de compliance no buscarían tanto disuadir coercitivamente a empleados y directivos, como inculcar valores de respeto a las normas y fomentar prácticas y dinámicas culturales de fidelidad al Derecho²¹.

Ahora bien, ya se priorice la perspectiva disuasoria, ya la de fomento de valores, los programas de cumplimiento no podrán prescindir de las finalidades básicas de vigilancia, detección y reacción sancionatoria²², para cuya consecución resultarán decisivas las investigaciones internas, debiendo integrarse como parte esencial del contenido e implementación de los programas de cumplimiento²³.

II. LAS INVESTIGACIONES INTERNAS: PREVENCIÓN Y GARANTÍAS

Es, de hecho, el Código Penal (CP) el que en la actualidad condiciona el valor eximente o atenuante de los programas de compliance a la introducción de las investigaciones internas²⁴. Así, se exige como condición para eximir de responsabilidad que con anterioridad a la comisión del delito se haya adoptado y ejecutado eficazmente un modelo de gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa el riesgo de su comisión (art. 31bis.2, 1º y art. 31bis.4). Idéntica exigencia dispone, con efectos atenuatorios, el art. 31 quater CP. Junto a ello, la previsión contemplada en el art. 31bis.5, 5º CP de que los modelos de gestión de la persona jurídica deban incluir un sistema disciplinario que sancione adecuadamente el incumplimiento de las normas internas, presupone lógicamente la articulación de un sistema de detección de tales infracciones. Asimismo, la relevancia de un sistema de investigación interno se refleja también en la circunstancia atenuante que contempla el artículo 31 quater, b, relativa a la colaboración en la investigación del hecho con posterioridad a su comisión, aportando pruebas nuevas y decisivas. Ciertamente, las posibilidades de que la persona jurídica pueda acometer esa labor de colaboración dependerán en buena medida de la previa implementación de un sistema de investigación interno eficaz.

De ese modo, herramientas como el control de los medios TIC proporcionados por el empresario para el desempeño laboral, la monitorización de las comunicaciones, la videovigilancia del entorno laboral o, por otra parte, la existencia de un canal de denuncias o las entrevistas con empleados, conformarán pilares irrenunciables de todo programa de cumplimiento para la indagación y detección de la posible comisión de un delito corporativo en el seno de la empresa, lo que a su vez posibilitará a la persona jurídica ya la colaboración con la Administración de justicia que normativamente se espera de ella –con la consiguiente aplicación de las citadas circunstancias de exención o atenuación de responsabilidad-, ya la alternativa de obtener los elementos de juicio necesarios para, llegado el riesgo de ser imputada, optar por ejercer su derecho a no declarar contra sí misma y no confesarse culpable o bien por aportar tales hallazgos como medios de prueba para acreditar su ausencia de responsabilidad²⁵. 

Al igual que la actividad estatal de prevención y detección de delitos, las investigaciones corporativas pueden menoscabar los derechos de las personas sometidas a las mismas. Es más, esa “alianza estratégica” entre la empresa y el Estado que conlleva este sistema, en el que la persona jurídica asume funciones de policía, generará prima facie mayores cotas de vulnerabilidad para los derechos y garantías procesales de las personas físicas, en la medida en que la investigación en la empresa se lleva a cabo al margen del proceso penal y, por ello, sin control judicial²⁶.

Por ello, y de modo semejante a como se plantea en la discusión sobre la legitimidad del ius puniendi, a la hora de establecer y desarrollar esa actividad de investigación en la empresa será necesario alcanzar un equilibrio entre prevención y garantías, entre la eficacia preventiva demandada por el Código Penal y los derechos fundamentales de los empleados, que se erigen, así, en dique a la actividad de compliance empresarial²⁷. Ello plantea la necesidad de buscar fórmulas que, en todo o en parte, permitan incorporar las garantías del proceso penal a la práctica de las investigaciones internas.

Ciertamente, la discusión sobre la protección de los derechos fundamentales en el ámbito empresarial no es algo privativo del compliance penal, sino que deriva ya de las relaciones verticales entre el empresario y los trabajadores y, en particular, en la facultad del primero para fiscalizar el cumplimiento de la prestación laboral, tal como se refleja en la propia normativa laboral. Así, el Estatuto de los Trabajadores (ET) atribuye al empresario facultades de supervisión sobre la actividad de los empleados, pudiendo “adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales” (art. 20.3 ET). De modo más específico, regula el artículo 18 ET la posibilidad de que, dentro de tales facultades de supervisión, el empresario pueda realizar registros “sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo”. Por su parte, se prevé también la facultad del empleador de realizar reconocimientos médicos sobre los trabajadores a fin de verificar el estado de salud del trabajador que haya sido alegado para justificar la falta de asistencia (art. 20.4 ET), así como la utilización de dispositivos de videovigilancia y geolocalización (art. 20 bis)²⁸.

Pero tales facultades no podrán ser irrestrictas, sino que deberán conciliarse con los derechos de los empleados. Así, el propio art. 20.3 ET establece a continuación que la adopción y aplicación de tales medidas de supervisión deberán guardar la consideración debida a la dignidad de los trabajadores. De igual modo, el artículo 18 ET regula los registros en taquillas y efectos particulares como una facultad excepcional para el empresario, afirmando un principio de inviolabilidad de la persona del trabajador y estableciendo dos límites: de una parte, que “sólo podrán realizarse…cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores”; de otra, que en su realización habrá de respetarse al máximo la dignidad e intimidad del trabajador, debiendo además estar presente un representante legal de los trabajadores.

En definitiva, la propia legislación laboral establece, aun de modo genérico, la necesidad de establecer un equilibrio entre las facultades de supervisión del empresario y el respeto a los derechos fundamentales de los empleados. De igual modo que una protección absoluta y sin excepciones de tales derechos anularía las posibilidades del empleador de supervisar la prestación de la actividad laboral y, con ello, del propio ejercicio de la iniciativa empresarial, un control ilimitado socavaría de modo desproporcionado la libertad de actuación de los trabajadores.

En efecto, solo un razonable equilibrio entre la eficacia de las investigaciones internas y el respeto a los derechos fundamentales de los empleados permitirá establecer un modelo eficiente de cumplimiento normativo. Un sistema de cumplimiento desequilibrado hacia uno u otro lado de la balanza, ya el de la eficacia, ya el de las garantías, conllevará gravosos costes para la persona jurídica²⁹. Así, un modelo que maximice el respeto a los derechos fundamentales puede caer en la ineficacia preventiva, lo que conllevará el riesgo de que se impute a la empresa un control indebido -un “ejercicio insuficiente de sus funciones de supervisión, vigilancia y control” (art. 31 bis, 2, 4º)- y, con ello, la responsabilidad penal por el delito cometido en su beneficio. Por su parte, un sistema de cumplimiento que, en el afán de extremar la eficacia, menoscabe los derechos fundamentales de sus empleados conllevará, además de costes reputacionales o laborales (demandas por despidos nulos o improcedentes), también costes específicamente penales:  de una parte, la posible nulidad de los medios de prueba aportados a un proceso penal por su ilicitud ex artículo 11.1 de la Ley Orgánica del Poder Judicial (LOPJ); de otra, la eventual atribución de responsabilidad por la comisión de un delito de descubrimiento y revelación de secretos.

Dos relevantes pronunciamientos de la Sala Segunda han mostrado con claridad tales consecuencias negativas. En relación con el aludido riesgo de ilicitud de la prueba obtenida por la empresa, la sentencia del Tribunal Supremo (STS) 489/2018, de 23 de octubre, casa la sentencia de instancia y anula la condena impuesta a un directivo por delito de apropiación indebida y cuyo soporte probatorio estaba basado en hallazgos obtenidos en un conjunto de correos electrónicos extraídos de su ordenador corporativo. Tras un exhaustivo análisis sobre la vulneración del derecho a la intimidad y la aplicación de la regla de exclusión probatoria a las lesiones de derechos cometidas por particulares -sobre lo que volveremos infra­-, la sentencia concluye que la prueba utilizada para condenar se había obtenido ilícitamente por la empresa, al haber accedido a los correos del directivo sin autorización, y anula, como decimos, la condena.

Como anticipábamos, otro de los riesgos que puede afrontar una persona jurídica -o sus administradores- como consecuencia de una investigación interna en la que se vulneren los derechos de privacidad de los trabajadores es ser acusada -y, eventualmente, condenada- por la comisión de un delito de revelación de secretos (art. 197 CP). Conductas como el acceso no consentido al contenido de los correos electrónicos de un empleado, la apertura de archivos privados en un ordenador o la grabación subrepticia de la voz o la imagen de los trabajadores en su actividad profesional, entre otras medidas de vigilancia que podría ser utilizadas por la empresa, reunirán prima facie los requisitos típicos del delito de descubrimiento y revelación de secretos, al constituir una vulneración intencional de la intimidad³⁰. La Sentencia dictada por el Pleno del Tribunal Supremo 328/2021, de 24 de abril, constituye un buen ejemplo de esos riesgos³¹. En palabras de la propia Sala Segunda, el supuesto de hecho enjuiciado constituía “un ejemplo paradigmático de esa fricción generada por el derecho del trabajador a su propia intimidad y la facultad del acusado [el empresario] de fiscalizar el uso adecuado de los elementos productivos puestos a disposición de su empleado”.

Sintéticamente expuestos, los hechos son los siguientes: El acusado, propietario y administrador de la empresa, había proporcionado a un trabajador un ordenador y una cuenta corporativa de correo electrónico. Las contraseñas y direcciones de correos corporativos eran conocidas por los demás trabajadores, que, en ausencias o periodos vacacionales, entraban en los de otros compañeros, para consultar o reenviar correos, si resultaba necesario para el desempeño de su actividad. Debido a la caída de la cifra de negocio y a determinadas reclamaciones de clientes relativas a obras en las que no participaba la mercantil, el empresario sospechó que un trabajador pudiera estar sustrayendo materiales de la empresa, por lo que en julio del año 2013, accedió al ordenador del trabajador y a su correo corporativo, lo que repitió en meses posteriores, accediendo además al correo personal del trabajador, que éste había instalado en el ordenador, e imprimiendo determinados mensajes y correos electrónicos enviados o recibidos, que posteriormente aportó como prueba documental en las diligencias previas iniciadas por querella del acusado contra el trabajador  por la comisión de delitos continuado de hurto y otros.

La Sala Segunda confirma la condena impuesta al empresario por delito de descubrimiento y revelación de secretos ante el acceso al correo electrónico del trabajador. En su recurso de casación, el empresario alegó la indebida inaplicación de las eximentes de error de prohibición y legítima defensa, así como la indebida aplicación del artículo 197 CP, argumentando, de una parte, la ausencia de dolo, por cuanto no se actuó para descubrir los secretos de otro o vulnerar su intimidad, sino para investigar su comportamiento ilícito; y aduciendo, de otra parte, que en todo caso la injerencia era proporcionada, pues concurrían en ella los criterios de idoneidad, necesidad y proporcionalidad³². En su respuesta desestimatoria, el Tribunal Supremo pone el acento en el hecho de que el empresario no solo accedió a correos electrónicos de la cuenta corporativa, sino también a un programa de correo personal que el trabajador había instalado en el ordenador; y en que no consta acreditado ni el consentimiento del trabajador ni tampoco un posible acuerdo o advertencia previa, plasmada en contrato o convenio, que permitiera “excluir cualquier expectativa de privacidad” por parte del trabajador. La afirmación de dicha expectativa de privacidad determina la existencia, en el caso concreto, de un derecho fundamental a la intimidad del que sería titular el trabajador, cuya vulneración dio lugar, en consecuencia, a la aplicación del delito previsto en el artículo 197 CP.

No pretendo abordar todas las cuestiones que rodean la teoría y práctica de las investigaciones internas. La finalidad del trabajo consistirá únicamente en intentar dar respuesta a una serie de cuestiones de índole constitucional que, a mi entender, precisan de un mayor desarrollo doctrinal. Concretamente, dividiré el trabajo en dos grandes bloques. En primer lugar, me ocuparé de la determinación y concreción del derecho a la intimidad en la empresa, de su concurrencia en el caso concreto y de las posibilidades de desaparición de las expectativas de privacidad. En segundo lugar, me ocuparé de las aludidas consecuencias procesales que pueden derivarse de la vulneración de los derechos de privacidad de los empleados, profundizando en el contenido y alcance de la regla de exclusión probatoria en la llamada “doctrina Falciani”.

III. DELIMITACIÓN, PONDERACIÓN Y LÍMITES AL CONTROL EMPRESARIAL

Como acabamos de poner de manifiesto, los derechos fundamentales de los trabajadores -en particular, aquellos relacionados con la privacidad (art. 18 CE), sobre los que centraré mi exposición- constituyen un límite a la acción investigadora del empresario. Por ello, la primera cuestión a resolver será si en el caso concreto concurre un derecho fundamental y cuál es su alcance, pues solo entonces podrán trazarse los márgenes de actuación de dicha actividad empresarial. En efecto, elementales exigencias de seguridad jurídica aconsejan que esos márgenes estén bien definidos. Solo una vez determinando con claridad el contenido de los derechos fundamentales en juego, la empresa tendría claras las alternativas: la vigencia en el caso concreto de un derecho fundamental impediría prima facie toda injerencia en el mismo; y su menoscabo conllevaría, como hemos visto, tanto la imposibilidad de utilizar los hallazgos obtenidos en un proceso judicial como el riesgo de incurrir en un delito contra la intimidad. Por su parte, la inexistencia en el caso concreto de tal pretensión de privacidad permitiría a la empresa un acceso prácticamente irrestricto a los contenidos de los ordenadores de los empleados.

La cuestión se desdobla en dos aspectos interconectados. El primero atañe a la interpretación constitucional sobre la concretización de los derechos fundamentales; el segundo remite al interrogante de si puede desaparecer completamente la vigencia del derecho fundamental a la intimidad en virtud de los acuerdos contractuales entre empresa y trabajador. En palabras de la sentencia del Tribunal Supremo acabada de citar, si es posible “excluir cualquier expectativa de privacidad” en la empresa.

La determinación del contenido de los derechos fundamentales en la empresa remite directamente a la interpretación constitucional de los conflictos entre derechos fundamentales. En el fondo de la controversia sobre el alcance de las investigaciones internas late indudablemente la necesidad de ponderar diversos intereses en juego, dotados todos de relevancia constitucional: de una parte, los derechos de los empleados (intimidad, secreto de las comunicaciones, propia imagen, datos, etc.); de otra, el derecho del empresario al control de la prestación laboral y a la protección del patrimonio societario, así como también -contemplado desde el compliance penal- el derecho de defensa de la propia persona jurídica frente a riesgos de imputación penal, así como, en última instancia, la propia finalidad de persecución de delitos que el Estado pone en manos de la empresa. Por ello, los criterios de solución en el ámbito empresarial no podrán distar de aquellos que ha desarrollado el Tribunal Constitucional para dirimir los conflictos entre derechos fundamentales.

En esta discusión -y simplificando mucho sus términos- conviven dos perspectivas teóricas enfrentadas; expresado sintéticamente:  delimitación frente a ponderación³³. Para el primer sector doctrinal, partidario de una concepción estricta de los derechos fundamentales, las normas que recogen derechos constituyen reglas, y los (aparentes) conflictos entre ellas se resuelven a partir de la delimitación conceptual de los respectivos contenidos protegidos. Desde esta perspectiva, las colisiones entre derechos serían, en efecto, meramente aparentes, puesto que si la conducta constituye ejercicio legítimo de un derecho fundamental entonces no hay colisión posible con otro derecho; el contenido respectivo de los derechos operaría al modo de círculos tangentes. Frente a esa concepción “anticonflictivista”³⁴, para otro amplio sector los derechos constituyen principios -mandatos de optimización, en la ya clásica formulación de Alexy-, pudiendo existir, así, solapamientos entre sus respectivos contenidos no determinados a priori -verdaderos conflictos o colisiones entre derechos- que deben resolverse por vía de ponderación a partir del principio de proporcionalidad y en función de las circunstancias del caso concreto.

La aspiración a una delimitación taxativa sobre el contenido de los derechos fundamentales la proporcionaría en mayor medida la primera concepción doctrinal, con arreglo a la cual sería posible determinar a priori la existencia o inexistencia de un derecho en un determinado supuesto de hecho, sin hacer depender la concreción de su vigencia, frente a otro interés en conflicto, de un juicio ponderativo dependiente del conjunto de circunstancias del caso concreto.  No obstante, no debemos llamarnos a engaño sobre esas posibilidades de concreción. Por mucho que pueda definirse conceptualmente el contenido del ejercicio de un derecho, y por mucho que pueda entenderse como una regla, la subsunción del supuesto de hecho en dicha regla no podrá eludir el análisis de las circunstancias del caso concreto. Expresado en otros términos, por más que puedan establecerse con carácter previo las condiciones de ejercicio legítimo del derecho -sus límites inmanentes-, en la práctica la concreción del contenido de los derechos dependerá de una necesaria aproximación a las circunstancias fácticas, lo que impedirá una fijación apriorística -en el programa de cumplimiento y los protocolos de utilización de herramientas como el correo electrónico- de sus márgenes de protección.

Donde sí puede establecerse una diferencia relevante entre ambas concepciones es en el interrogante que adelantábamos, referido a la posibilidad de que la expectativa de privacidad pueda llegar a desaparecer completamente en función de la relación entre empresario y trabajador. Así, mientras una concepción estricta de los derechos permitiría establecer un conjunto de criterios a partir de los que fijar una delimitación negativa del derecho -fijando de antemano los supuestos en los que no podría predicarse esa expectativa de privacidad-, una concepción amplia tendría más dificultades para ello, al establecer el contenido protegido del derecho solo tras un ejercicio de ponderación a partir de las circunstancias del caso concreto³⁵.

En la práctica, la doctrina constitucionalista -y, con mayor claridad, los Tribunales de garantías como el Tribunal Constitucional y el Tribunal Europeo de Derechos Humanos- opera con un criterio de interpretación de los derechos que aúna ambas vertientes: delimitando categorialmente un núcleo de protección conformado por los elementos definitorios -positivos o negativos- del derecho y admitiendo, además, un círculo más amplio de mayor indeterminación en el que el conflicto con otros derechos o bienes constitucionales puede ser más complejo de resolver al ser precisa una ponderación tomando en cuenta todas las circunstancias del caso concreto³⁶.

Trasladando este criterio al análisis de los riesgos que puede verse sometida la empresa ante la posible vulneración de derechos de los trabajadores³⁷, esa interpretación en dos pasos -delimitación y ponderación- permite acomodarse mejor, a mi modo de ver, a los criterios de resolución de los conflictos entre derechos en el seno de la teoría jurídica del delito³⁸. Así, una conducta que se enmarque en el núcleo de protección del derecho fundamental -o, inversamente, que quede inequívocamente fuera del marco protegido del derecho en liza- habrá de considerarse atípica -pues, como reiteradamente afirma el Tribunal Constitucional, “es obvio que los hechos probados no pueden ser a un mismo tiempo valorados como actos de ejercicio de un derecho fundamental y como conductas constitutivas de un delito” (STC 177/2015, de 22 de julio)-. Una vez que abandonamos ese núcleo y entramos en la zona de protección prima facie, tal proteccióndeberá concretarse -confirmarse o rechazarse- a partir de un juicio basado en criterios de proporcionalidad, valoración propia de las causas de justificación. En este ámbito, incluso excesos en el ejercicio de un derecho que puedan menoscabar el derecho en conflicto podrían merecer la aplicación de una eximente, o de una eximente incompleta, en función de parámetros como la finalidad perseguida, la necesidad de la conducta para tal fin, la intensidad en la injerencia en el derecho menoscabado o la gravedad de los hechos presuntamente delictivos que son objeto de investigación.

También en el ámbito procesal es relevante esa forma de abordar los conflictos entre derechos. Como afirma la STS 489/2018, de 23 de octubre, antes citada, “tras la teoría de la prueba ilícita late como en tantas materias en el mundo del derecho una ponderación de valores en conflicto”. De ese modo, la decisión sobre la aplicación de la regla de exclusión probatoria del artículo 11 LOPJ no podrá resolverse solo a partir de una aproximación categorial a los respectivos contenidos de los derechos que puedan estar en juego entre empresa y empleado, sino que será preciso acudir a parámetros de proporcionalidad. Así, casos inequívocamente claros de ausencia de injerencia en el derecho fundamental -por ser manifiesta la inexistencia de una expectativa de privacidad para el trabajador- permitirán excluir de antemano la ilicitud de las fuentes de prueba obtenidas. No obstante, la injerencia ilegítima en los derechos a la intimidad o el secreto de las comunicaciones obligará a modular el alcance de sus consecuencias procesales en función de los criterios que conforman la doctrina de la conexión de antijuridicidad desarrollada por el Tribunal Constitucional a partir de la STC 81/1998, de 2 de abril; criterios que no son sino parámetros de proporcionalidad.

En definitiva, los conflictos que pueden surgir entre el derecho de la empresa a velar por su patrimonio y su derecho de defensa, de un lado, y los derechos de los empleados, de otro, exigen un análisis en dos pasos: en primer lugar, delimitar el contenido de los derechos en juego, a fin de establecer la existencia de una expectativa de privacidad que permita afirmar o descartar la vigencia del derecho fundamental en el caso concreto –y la consiguiente pretensión de respeto-. En segundo lugar, y en los casos en que sí pueda afirmarse esa expectativa de privacidad, será también necesario analizar la proporcionalidad de la injerencia, a fin de determinar (el grado de) la antijuridicidad de la conducta y sus consecuencias jurídicas tanto sustantivas (art. 197 CP) como procesales (art. 11.1 LOPJ). Dicho de otro modo: primero debe determinarse el contenido del derecho, para así analizar si la conducta en cuestión menoscaba su ámbito protegido; después, y cuando tal sea el caso, deberá enjuiciarse si esa injerencia resulta o no proporcionada a las concretas circunstancias. Así, puede darse la circunstancia de que el marco de actuación en que se realiza la actividad de control por parte de la empresa ni siquiera esté amparado por el derecho a la intimidad; supuesto en el que no existirá realmente una colisión de derechos. Pero habrá también casos en que pueda concluirse que, pese a que tal actividad afecte al ámbito de tutela del derecho, tal afectación puede considerarse legítima en el caso concreto, por no resultar desproporcionada³⁹.

IV. EXPECTATIVAS DE PRIVACIDAD EN LA EMPRESA. EL TEST BARBULESCU Y SUS EXÉGESIS

1. Estándares sobre la expectativa razonable de privacidad

Como anticipábamos, esa concepción en dos fases de la resolución de los conflictos entre derechos es acogida tanto por la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) como por la del Tribunal Constitucional (TC). No obstante, a mi modo de ver pueden trazarse algunas diferencias que, aun siendo de grado antes que de fondo, pueden resultar relevantes para el tema que nos ocupa. A este respecto, cabe afirmar que mientras el TC español -así como el Tribunal Supremo- ha venido poniendo el peso en el criterio de delimitación de los derechos como vehículo para resolver el fondo del conflicto, el Tribunal de Estrasburgo ha puesto más énfasis en la ponderación, limitando el uso del previo criterio de la delimitación (negativa) a cláusula genérica de inadmisión de demandas. Veremos que ello planteará algunos problemas de interpretación.

Comenzando por los tribunales españoles, su concepción sobre los derechos de privacidad en la empresa -particularmente en lo relativo al uso del ordenador corporativo- ha venido presidida por la introducción de criterios de delimitación negativa, dirigidos a concretar cuándo debe considerarse desaparecida toda expectativa razonable de privacidad. De hecho, la evolución de esa jurisprudencia ha consistido en ir progresivamente limitando tales criterios, con la consiguiente reducción de la esfera de privacidad.

En esas etapas de progresivo vaciamiento de la privacidad en la empresa, podemos comenzar por invocar la STS (Sala de lo Social) de 26 de septiembre de 2007, en la que se establecía que para considerar decaída toda expectativa de privacidad es precisa la concurrencia de dos requisitos cumulativos: tanto que el empresario haya establecido una prohibición de uso personal del ordenador como que, además, se haya advertido expresamente a los trabajadores de que los ordenadores están siendo monitorizados o, más en general, que se han establecido concretas medidas de control sobre su uso. Lo afirmaba en los siguientes términos, estableciendo nítidamente esa delimitación negativa del derecho, previa a cualquier ejercicio de ponderación:

Esa concepción se mantiene en la Sala de lo Social⁴⁰ hasta la sentencia de 6 de octubre de 2011, en la que el Tribunal -con un voto particular firmado por cinco magistrados- reduce los criterios exigibles para albergar una expectativa razonable de privacidad: con arreglo a dicho giro jurisprudencial, bastará para que esa expectativa de privacidad decaiga con que el empresario haya establecido una prohibición de uso personal, y sin que sea preciso exigir, además el expreso aviso de fiscalización. Más allá de dicho cambio de criterio, resulta inequívoca una aproximación delimitadora o “anticonflictivista” a las colisiones entre derechos. Así, cuando afirma que

O, con más claridad aún, cuando destaca la inexistencia de un conflicto de derechos:

El criterio acogido por esta última sentencia fue avalado por el TC en su sentencia 241/2012, de 17 de diciembre, desestimando el recurso de dos trabajadoras con el argumento nuclear de que “no existiendo una situación de tolerancia a la instalación de programas y, por ende, al uso personal del ordenador, no podía existir una expectativa razonable de confidencialidad derivada de la utilización del programa instalado, que era de acceso totalmente abierto y además incurría en contravención de la orden empresarial”.

Un paso más en la reducción del ámbito de ejercicio de la privacidad en el ámbito de la empresa lo da la STC 170/2013, de 7 de octubre,  según la que bastará para hacer decaer toda expectativa de intimidad que en el convenio colectivo del sector de actividad se prevea una prohibición para fines distintos de la prestación laboral de los medios informáticos propiedad de la empresa, sin necesidad de que en el concreto lugar de trabajo o la concreta empresa haya advertido o concretado esa prohibición. La introducción al problema que efectúa el Tribunal es expresiva de la perspectiva metodológica acogida:

Y, como anticipábamos, esa controversia la resuelve el TC sobre la premisa de una prohibición genérica de uso para fines privados establecida en el convenio colectivo sectorial, concluyendo que esa prohibición basta para eliminar la existencia de los derechos a la intimidad y al secreto de las comunicaciones, sin necesidad de ponderar otros factores del caso concreto⁴¹:

Frente a esa metodología de delimitación del contenido del derecho en función de los términos en que interaccionan el trabajador y la empresa, el TEDH acoge un método esencialmente ponderativo para la resolución del conflicto. Como decíamos, tras un poco exigente filtro de admisión sobre la concurrencia de un derecho en el caso concreto, el conflicto se resuelve a partir del mayor “peso” que, en el caso concreto, tengan los intereses en juego, a partir de un juicio de proporcionalidad.

Ello se evidencia en la forma en que el Tribunal europeo resolvió el asunto Barbulescu, tanto en su primera sentencia desestimatoria, de 12 de enero de 2016, como, en particular, en la sentencia de la Gran Sala de 5 de septiembre de 2017 que, modificando el pronunciamiento de la sección, concluyó afirmando la vulneración del derecho a la vida privada (art. 8 del Convenio Europeo de Derechos Humanos [CEDH]).

El asunto tiene su origen en la demanda interpuesta por un trabajador contra las resoluciones de los tribunales rumanos que confirmaron su despido disciplinario por haber utilizado para fines personales el programa Yahoo Messenger en el ordenador proporcionado por la empresa pese a la existencia de una prohibición expresa de uso para tales cuestiones privadas. El hallazgo tuvo lugar tras la monitorización por la empresa de las comunicaciones del trabajador a través de dicho programa, realizadas con el fin de verificar el cumplimiento de sus obligaciones laborales.

La primera sentencia concluyó que no se había producido una vulneración del artículo 8 CEDH. Elevado a la Gran Sala, la sentencia de 2017 concluye que los tribunales nacionales rumanos no ponderaron debidamente los intereses en juego, por lo que se declara vulnerado el derecho a la vida privada del demandante. Seis magistrados firmaron un voto disidente en el que se opusieron a la conclusión de la mayoría.

En el primer paso analítico, consistente en determinar si concurre un derecho fundamental que pudiera invocar el trabajador frente a la acción indagatoria de la empresa, el TEDH concluye que, pese a que al trabajador se le había comunicado personalmente y en varias ocasiones la prohibición de utilizar las aplicaciones informáticas para fines privados -informándole también del despido de otro trabajador por la infracción de esa prohibición-, no puede negarse la existencia de una expectativa razonable de privacidad. Para arribar a esa conclusión, el Tribunal pondera también la circunstancia de si, además, el trabajador había sido informado con antelación de la posible monitorización de sus comunicaciones, si bien manifiesta que no queda acreditado ese extremo.

La razón por la que la Gran Sala estima finalmente la demanda de Bogdan Mihai Bărbulescu es por entender que los tribunales nacionales no tomaron en cuenta debidamente una serie de elementos de ponderación, que el Tribunal europeo establece como patrones vinculantes de proporcionalidad. Esos criterios son los siguientes:  

1. Si se ha informado al empleado de la posibilidad de monitorización o supervisión de las comunicaciones con antelación a su práctica.
2. La amplitud de la monitorización, analizando si se ha accedido solo a los flujos de las comunicaciones o también a su contenido, si ha sido a todas o solo algunas de las comunicaciones, el tiempo de duración y el número de personas que tuvo acceso al contenido de las comunicaciones del trabajador objeto de vigilancia.
3. Si el empresario ha justificado la supervisión en razones legítimas, debiendo éstas ser más relevantes cuanto mayor sea la injerencia.
4. Si hubiera sido posible establecer un sistema de supervisión basado en métodos y medidas menos intrusivos, que el acceso directo al contenido de las comunicaciones del empleado.
5. Las consecuencias de la vigilancia para el trabajador sujeto a ella, y la utilización que hizo el empresario de sus resultados.
6. Si al empleado se le han proporcionado medidas de protección adecuada, dirigidas a asegurar que el empresario no podrá acceder al contenido de las comunicaciones a menos que el trabajador haya sido notificado previamente de esa posibilidad.

Los citados criterios de interpretación son, en buena medida, una concreción de los escalones habituales del principio de proporcionalidad: fin legítimo, necesidad, subsidiariedad y proporcionalidad en sentido estricto. De cualquier modo, lo que resulta más destacable de dicha sentencia es que introduce un estándar más riguroso sobre la vigencia de una expectativa razonable de privacidad que el que venía manteniendo el TC⁴². La duda que surge, no obstante, es dónde situar ese estándar.

Como hemos visto, la sentencia establece claramente que el solo hecho de que el trabajador fuera informado de que existía una prohibición de uso privado de los equipos informáticos no es suficiente para eliminar la expectativa de privacidad. Es más, ni siquiera una comunicación personal, reiterada y con advertencia de las consecuencias de la infracción -que es lo que se daba en el caso concreto- sería suficiente para eliminar dicha expectativa. Ya solo este punto de partida impone un estándar superior al que acogía la STC 170/2013, para la que, como vimos, bastaba con una prohibición genérica en el convenio colectivo, sin necesidad de información personal, para eliminar la cobertura del derecho a la privacidad.

A partir de la sentencia de la Gran Sala, la conclusión es que será necesario algo más que esa comunicación personal y reiterada sobre la prohibición de uso personal para eliminar toda expectativa de privacidad. Lo que no está tan claro es qué más se necesita. Yendo un paso más allá. lo cierto es que ni siquiera resulta claro si, con la doctrina del TEDH, es realmente factible que esa expectativa llegue a desaparecer. Planteemos este interrogante a continuación⁴³.

2. ¿Es realmente posible eliminar toda expectativa razonable de privacidad en la empresa?

La duda surge, en particular, a tenor de un críptico pasaje con el que la sentencia de la Gran Sala concluye sus reflexiones acerca de la existencia en el caso concreto de un derecho a la privacidad. Después de preguntarse “si -y, en caso afirmativo, en qué medida- las normas restrictivas del empresario dejaban al demandante con una expectativa razonable de intimidad”, la sentencia asevera que

Si nos tomamos esa afirmación en su literalidad, tendríamos que llegar a la conclusión de que con arreglo al TEDH siempre estará vigente un derecho a la privacidad, y que las restricciones establecidas por el empresario no podrían llegar a eliminarlo por completo. Dicho de otro modo, ni los poderes de dirección del empresario, ni el consentimiento, implícito o expreso, prestado por el trabajador con la aceptación verbal o escrita de restricciones al uso de los medios tecnológicos de producción y de su potencial y periódica monitorización, podrían eliminar tal expectativa de privacidad, la cual podría, por tanto, ser siempre invocada por el empleado como barrera y límite a la supervisión del empresario.

¿Es esa la forma correcta de interpretar la doctrina del TEDH? Así ha sido interpretada, de hecho, por algún autor, considerando que una de las novedades más relevantes de la doctrina Barbulescu es precisamente “que no cabe una prohibición absoluta de usos no laborales de los dispositivos digitales o tecnológicos, porque éstos tienen una inexorable ‘vertiente social’”⁴⁴. Con menor contundencia, pero en línea semejante, se ha afirmado también que, con arreglo al Tribunal de Estrasburgo, “la existencia de reglas internas en las empresas que prohíban el empleo de los medios informáticos con fines privados es un dato indicativo, pero no necesariamente concluyente para romper la expectativa razonable de privacidad del trabajador”, debiendo valorar siempre la medida de control empresarial atendiendo al test de proporcionalidad⁴⁵.

Lo cierto es que ya la jurisprudencia española acogía planteamientos semejantes, al menos en su formulación teórica, cuando se destacaba la existencia de “un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores”; tolerancia que “crea una expectativa también general de confidencialidad en esos usos”⁴⁶. De igual modo, la más reciente STS (Sala Segunda) 489/2019, antes citada, parecería rechazar la imposibilidad de eliminar esa expectativa de privacidad cuando asevera que “los usos sociales admiten en algún grado y según los casos, como se ha dicho, el empleo para fines personales, creándose así un terreno abonado para que germine una expectativa fundada de privacidad que no puede ser laminada o pisoteada”.

Y así podría llegar a interpretarse también, al menos desde una lectura descontextualizada, el artículo 20 bis del Estatuto de los Trabajadores⁴⁷, que dispone lo siguiente:

Si se asume dicha exégesis, y se concluye con ello que los derechos de privacidad en la empresa no pueden ser completamente eliminados, la consecuencia sería -desde la óptica metodológica que nos ocupa- prescindir de antemano del paso de la delimitación negativa del derecho (pues no existirían factores que pudieran llegar a hacer desaparecer la expectativa de privacidad) y partir siempre de la vigencia en el caso concreto de un derecho cuya injerencia solo será legítima en función de un juicio de ponderación basado en los referidos criterios de proporcionalidad, con el consiguiente incremento de inseguridad jurídica antes aludido. Por otra parte, ello implicaría también que el derecho al secreto de las comunicaciones nunca podría ser legítimamente menoscabado por el empresario, puesto que para ello la Constitución (artículo 18.3 CE) impone en todo caso una previa autorización judicial. En esa línea parece moverse, de hecho, la tesis planteada por la STS 528/2014, de 16 de junio, sobre la que después volveremos.

Llevada a ese extremo, esa concepción resulta, a mi juicio, inasumible. De una parte, la asunción de esos planteamientos implicaría poco menos que convertir el derecho a la intimidad en un derecho prestacional, deviniendo la empresa obligada, en consecuencia, a asegurar las condiciones para que la existencia de un ámbito de intimidad frente a la mirada del empresario se haga real y efectivo⁴⁸.

De otra parte, con carácter de principio es indudable que, como viene reiterando el Tribunal Constitucional⁴⁹, los derechos fundamentales del artículo 18 CE -como todo derecho fundamental- son disponibles por su titular, por lo que nada ha de obstar a que el consentimiento del empleado sobre los términos de uso de los medios de producción establecidos por el empresario conlleve la desaparición de toda expectativa de privacidad, toda vez que, como también reitera el Tribunal Constitucional, “corresponde a cada persona acotar el ámbito de intimidad personal y familiar que reserva al conocimiento ajeno” y que, por tanto, «el consentimiento eficaz del sujeto particular permitirá la inmisión en su derecho a la intimidad»⁵⁰. La cuestión estará en los términos y alcance que deba reunir la prestación del consentimiento.

Así, no puede caber ninguna duda de que la prestación de un consentimiento expreso y sobre un acceso puntual y concreto a un espacio de privacidad -el contenido de un correo electrónico, el acceso a la cuenta de correo, etc.- elimina completamente la expectativa de privacidad por decisión voluntaria de su titular. En la jurisprudencia reciente podemos encontrar un claro ejemplo en la sentencia de la Sala Segunda que abordó el caso Pescanova (STS 89/2023, de 10 de febrero). En dicha resolución se distingue con nitidez entre los casos en los que el acceso a correos electrónicos se realizó previo consentimiento expreso de los afectados -que considera plenamente lícitos- de aquellos otros en los que el acceso fue inconsentido. Respecto de los primeros, la Sala Segunda afirma que

Por ello, se concluye que “las evidencias digitales unidas al informe pericial forensic, al menos con relación a las que tenían como protagonistas (emisores o receptores) a las personas que expresamente prestaron su autorización para que los terminales de los que hacían uso pudieran ser fiscalizados, no vulneró su legítima expectativa a la privacidad ni, en definitiva, ningún derecho fundamental”⁵¹.

En segundo lugar, también ante supuestos de consentimiento tácito habrán de decaer las expectativas de privacidad, pues es, de igual modo, el titular del derecho quien está voluntariamente reduciendo los márgenes de su ejercicio. Así lo ha entendido la doctrina del Tribunal Constitucional, considerando válido a tal fin el consentimiento prestado a través de actos concluyentes. Un ejemplo lo encontramos en la STC 173/2011, antes citada, en la que un ciudadano lleva a reparar un ordenador en el que, sin claves u otros obstáculos de acceso, se archivaban en la carpeta denominada “mis documentos” gran cantidad de fotografías con pornografía infantil, que fueron casualmente descubiertas por el empleado del establecimiento al revisar el correcto funcionamiento del equipo tras su reparación.

Un segundo ejemplo, más cercano a las cuestiones que nos ocupan, lo constituye la también mencionada STC 241/2012, en la que desestimó el amparo de una trabajadora que fue despedida tras haber accedido la empresa, tras el hallazgo casual por otro trabajador, a las conversaciones mantenidas con otra trabajadora en las que se vertían comentarios insultantes sobre compañeros de trabajo, superiores y clientes. Las trabajadoras habían instalado, pese a la prohibición de la empresa, un programa de mensajería instantánea en un ordenador de uso compartido sin clave de acceso. El Tribunal niega que se haya menoscabado el derecho a la intimidad con el siguiente argumento:

3. Una exégesis razonable sobre la quiebra de expectativas de privacidad

Es, por tanto, el consentimiento del trabajador el criterio decisivo para determinar si en el caso concreto rige o no una expectativa de privacidad. El aspecto más debatido en este ámbito no es, en todo caso, el que se plantea en los referidos supuestos en los que el trabajador determina voluntariamente el ámbito de su intimidad en un supuesto concreto, sino si la relevancia del consentimiento como elemento delimitador del ámbito de la privacidad puede trasladarse a la vinculación contractual entre empresa y trabajador. Dicho de otro modo, si puede considerarse válida la prestación de un consentimiento, en abstracto y con carácter general, en relación con los límites y restricciones establecidas por el empresario.

A mi modo de ver, y obviando ahora el amplio debate que genera esta cuestión⁵², nada habría de obstar a ello desde un punto de vista constitucional. Como premisas de partida, es importante reiterar, de una parte, que la relación entre empresa y empleado viene determinada por el poder de dirección del empresario y por sus facultades de supervisión de la debida prestación laboral, por lo que será inherente a dicha relación el establecimiento de determinadas herramientas de control de la actividad del trabajador. De otra parte, que el empresario no tiene obligación legal -ni, menos aún, constitucional- de garantizar un espacio de intimidad o de comunicaciones personales en el uso de los equipos informáticos: como anticipaba, los derechos de privacidad del artículo 18 CE no son derechos positivos o prestacionales, por lo que no existe un deber de fomento de los mismos por parte del empresario⁵³.

Si asumimos ambas premisas, me parece indudable que la empresa tiene libertad para delimitar las formas y límites de utilización para fines privados de los equipos informáticos que pone en manos de los empleados para el desempeño de la actividad laboral, así como para monitorizar el uso que se dé a esos equipos. Lo que le es exigible, precisamente a fin de que el empleado pueda prestar un consentimiento informado, es informar del modo más concreto y detallado posible sobre esos extremos: tanto los límites de utilización como los criterios de monitorización, incluyendo sus fines, su periodicidad y las posibles formas de acceso. Así, frente a lo que se entendió por el Tribunal Constitucional en la sentencia 170/2013, una prohibición genérica de uso para fines privados en un convenio colectivo sectorial no sería suficiente para poder afirmar un consentimiento actualizado del trabajador a cuyo ordenador se accede. Para ello será necesario, al menos, que el trabajador haya sido informado personalmente -ya sea a través de su contrato laboral, ya sea a través de las normas de conducta implantadas en la empresa- no solo de la prohibición de uso personal de los equipos informáticos, sino también -en la línea sentada por la STEDH Barbulescu– de la posibilidad de ser sometido a monitorizaciones periódicas. Solo ese conocimiento cierto permite afirmar que el empleado, siquiera tácitamente, consiente en que su actividad laboral vendrá determinada por la inexistencia de una expectativa de privacidad.

Así, con carácter general, los dos requisitos antes mencionados –información concreta de la prohibición total de uso privado y de la posible monitorización-, bastarán para poder afirmar la inexistencia de una expectativa de privacidad⁵⁴.  Así parece entenderlo el Tribunal Supremo, tanto la Sala Segunda como la Cuarta. Por lo que respecta a la primera, la STS 489/2018, ya citada, asume también que la expectativa de privacidad puede desaparecer por la asunción voluntaria del trabajador que consiente en los términos de uso establecidos por el empresario: “la clave estará en si el trabajador ha consentido anticipadamente reconociendo esa capacidad de supervisión al empresario y, por tanto, cuenta con ello; está advertido; es decir, es una limitación conocida y contractualmente asumida”. Y la desaparición de dicha expectativa se dará con los dos criterios citados, que serían “premisas de inexcusable concurrencia”, mientras que “el resto de factores de ponderación incluidos en el test Barbulescu“entrarán en juego para inclinar la balanza en uno u otro sentido solo si se cuenta con ese presupuesto”⁵⁵.

Con relación a la Sala de lo Social, puede citarse la STS 766/2020, de 15 de septiembre, en la que, pese a no invocar expresamente la doctrina Barbulescu, acoge la necesidad de ambos elementos para considerar descartada la expectativa de privacidad de una trabajadora para cuyo despido se utilizaron los datos del GPS que llevaba instalado el vehículo de empresa que, con fines exclusivamente profesionales, le había proporcionado la empresa⁵⁶.

No obstante, podrán darse casos en los que, aunque concurra tanto la prohibición general de uso privado como la advertencia de monitorización, y el trabajador haya sido debidamente informado de ello, se lesione el derecho a la intimidad, si el empresario se excede desproporcionadamente en sus facultades de acceso a los equipos informáticos. Ello es así porque el consentimiento del empleado y su consiguiente renuncia a la intimidad debe establecerse también en relación a los fines, medios y alcance de la actividad de supervisión empresarial. Tal como ha manifestado nuestro Tribunal Constitucional, “se vulnerará el derecho a la intimidad personal cuando la penetración en el ámbito propio y reservado del sujeto, aun autorizada, subvierta los términos y el alcance para el que se otorgó el consentimiento, quebrando la conexión entre la información personal que se recaba y el objetivo tolerado para el que fue recogida”⁵⁷.

Dicho de otro, la inexistencia prima facie de una expectativa de privacidad no legitima a la empresa a convertir el lugar de trabajo en un panóptico, ni a desarrollar una supervisión ilimitada y desproporcionada al fin que se persigue⁵⁸. No le legitima, por ejemplo, para acceder al contenido de correos electrónicos que -pese a la prohibición- tengan un contenido inequívocamente íntimo y sean de antemano irrelevantes para la finalidad de la investigación⁵⁹.

Por ello, dado que la validez del consentimiento depende también del grado de intensidad y alcance de la supervisión, será también necesario, de una parte, especificar e informar al trabajador de los fines, medios y alcance que puede tener la monitorización, así como, de otra, reducir dicho alcance al mínimo imprescindible para cumplir con los fines previstos. Sin duda, el interés de la empresa será introducir prohibiciones de uso y advertencias de monitorización que permita excluir toda expectativa de privacidad⁶⁰. Ahora bien, resultará oportuno también -y en interés de todas las partes involucradas- desarrollar protocolos de investigación interna y reglamentaciones de uso de los medios TIC en los que se incluyan aquellos factores que podrían justificar la necesidad de afectar esa esfera de privacidad cuando ello resulte imprescindible. Más allá de la mera alusión genérica de que las medidas de supervisión respetarán el principio de proporcionalidad, el diseño de un conjunto de criterios concretos, acomodados al test Barbulescu, proporcionará a la empresa una poderosa herramienta para poder defender ante un tribunal la legitimidad de una eventual injerencia en los derechos de privacidad de los trabajadores.

Lo anterior no implica que sólo cuando concurran todos esos elementos y pueda afirmarse, por tanto, la inexistencia de una expectativa de privacidad, sea legítimo el acceso a los equipos informáticos de los empleados. Ese acceso podrá también ser legítimo cuando, pese a existir, por ejemplo, permiso para el uso con fines privados, resulte imprescindible la injerencia a fin de prevenir o reaccionar ante indicios de un delito. Aquí es donde entrará en juego la ponderación inherente al principio de proporcionalidad, pudiendo sacrificarse el derecho fundamental cuando estemos ante un fin legítimo -como lo es la persecución de delitos graves que puedan afectar a intereses de la empresa⁶¹-, cuando la medida sea idónea para conseguir tal finalidad, cuando resulte imprescindible al no existir otras medidas menos gravosas, y cuando el grado de sacrificio del derecho sea el mínimo posible. Para que la injerencia sea legítima en estos casos, la balanza deberá caer claramente en favor de las necesidades de investigación empresarial.

Con ello retomamos el análisis en dos escalones a que antes habíamos aludido: de una parte, a través de un juicio de delimitación negativa del derecho (casos de ausencia de expectativa de privacidad), en los que el acceso a los equipos informáticos será irrestricto para el empleador -tanto en relación con el derecho a la intimidad, como en relación con el derecho al secreto de las comunicaciones-, salvo supuestos de manifiesta desproporción en los medios; de otra parte, a través de una ponderación basada en el  principio de proporcionalidad en los casos en que sí exista esa expectativa de privacidad⁶².

A mi entender, esta interpretación permite acomodar la doctrina sentada por el TEDH en el asuntoBarbulescua un modelo de interpretación constitucional razonable. En síntesis, la existencia de esa “tolerancia social” al uso para fines privados de los medios informáticos de producción proporcionados por la empresa implicará partir de una premisa pro derecho fundamental; nada obsta a que tal expectativa de privacidad pueda desaparecer, pero para ello será necesario que por la empresa se haya establecido una prohibición expresa y total de ese uso privado, y además se haya advertido de posibles monitorizaciones. Sin perjuicio de ello, podrá llegar a vulnerarse el derecho a la intimidad si la intensidad y alcance de la investigación resulta manifiestamente desproporcionada y abusiva. Junto a tales supuestos de decaimiento de la expectativa de privacidad, la injerencia en el derecho fundamental podrá ser excepcionalmente lícita cuando pueda considerarse proporcionada a los fines legítimos perseguidos.

Por ende, esa interpretación se acomoda también al actual artículo 87 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos personales y garantía de los derechos digitales -introducido junto con el antes citado artículo 20 bis del Estatuto de los Trabajadores y al que éste se remite-, en el que por primera vez se regulan en España los “derechos laborales digitales” acogiendo los parámetros del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril⁶³, y bajo influencia también de la doctrina Barbulescu⁶⁴. Dicho precepto comienza por garantizar que “Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador”, si bien, acto seguido, introduce el derecho del empleador a acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores. Esa facultad parece quedar restringida “a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos”, si bien, indudablemente, ello incluye también los casos en los que la finalidad de la investigación sea prevenir o perseguir conductas delictivas, no solo porque ello encajaría dentro de la finalidad de controlar el cumplimiento de las obligaciones de los trabajadores, sino a partir de la necesaria integración de la doctrina constitucional.

Lo más relevante del precepto es que introduce la obligación específica de que el empresario introduzca criterios concretos de utilización de los dispositivos digitales⁶⁵, lo que deberá hacerse “respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente”. Frente a lo que pudiera derivarse de la literalidad de ese apartado, el precepto no excluye la posibilidad de que las directrices de uso del empleador eliminen la expectativa de privacidad. Ello se infiere, a contrario sensu, de lo que establece el apartado siguiente, en el que también se faculta al empresario a acceder al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados, requiriendo en tales casos la norma que “se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados”, debiendo ser informados los trabajadores de los criterios de utilización fijados por el empresario⁶⁶.

4. A vueltas con el secreto de las comunicaciones: ¿un enjuiciamiento constitucional solo penal?

Desde premisas distintas, la Sala Segunda del Tribunal Supremo, al menos en algunos de sus pronunciamientos, ha venido a acoger semejante posición a la que se derivaría de la interpretación más radical de Barbulescu, según la cual -como veíamos- la expectativa de privacidad en la empresa no podría llegar a ser totalmente eliminada. Ya anticipábamos que, de asumirse esa exégesis, la injerencia en el derecho a la intimidad solo podría legitimarse con carácter excepcional y bajo un juicio estricto de proporcionalidad. Y el derecho al secreto de las comunicaciones no podría menoscabarse en ningún caso, porque para ello el artículo 18.3 de la Constitución impone la previa autorización judicial.

Pues bien, a esta última conclusión llegaba la STS 528/2014, de 16 de junio⁶⁷. En ella, bien que como obiter dictum⁶⁸, el Tribunal concluía que la delimitación negativa del derecho al secreto de las comunicaciones en la empresa debía operar de modo distinto en el orden laboral que en el orden penal. La Audiencia Provincial había invocado la jurisprudencia de la Sala de lo Social del Tribunal Supremo para aseverar que no existía vulneración del derecho al secreto de las comunicaciones dado que el trabajador, “al utilizar precisamente un ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones que pudiera tener», y concluir, con ello, que había decaído la expectativa de privacidad (de secreto de las comunicaciones). Frente a tal planteamiento, la Sala Segunda oponía que tal criterio de delimitación negativa del derecho habría de ser restringido al ámbito de la jurisdicción laboral, pero no podía extenderse al enjuiciamiento penal.

Para llegar a esa conclusión apela el Tribunal Supremo a la exigencia de autorización judicial que impone el art. 18.3 CE, a la gravedad y trascendencia de esa clase de injerencias y a la circunstancia de que la incursión en las comunicaciones del trabajador supone también la injerencia en el derecho al secreto de los terceros que con él comunican. Por ello, no cabe que el trabajador consienta o renuncie a la vigencia de ese derecho:

Entendió por ello la Sala Segunda que el artículo 18.3 CE “no contempla, por tanto, ninguna posibilidad ni supuesto, ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante), ni del carácter del tiempo en el que se utiliza (jornada laboral) ni, tan siquiera, de la naturaleza del cauce empleado («correo corporativo»), para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia”. En definitiva:

Dicha “famosa”⁶⁹ sentencia ha sido acertadamente considerada como “disruptiva”⁷⁰, y bien podría calificarse como radical, no solo por trazar una diferencia tan abrupta en la interpretación y tratamiento del derecho al secreto de las comunicaciones frente a otros derechos de privacidad recogidos en el artículo 18 CE, sino también por establecer consecuencias tan radicalmente diversas entre el orden penal y el laboral sobre la interpretación de un mismo derecho fundamental.

Esa tesis ha sido después matizada por la STS 489/2018⁷¹, y debiera considerarse abandonada por la Sala Segunda tras la STS 328/2021, dictada por el Pleno, en cuyo análisis “admite, no ya la flexibilidad para tolerar la fiscalización de los actos inicialmente protegidos por el derecho a la intimidad, sino la capacidad para extender ese ámbito de negociación al derecho a la inviolabilidad de las comunicaciones, excluyendo la imperatividad de la autorización judicial para justificar la intromisión”. Por ello, “(e)mpresario y trabajador pueden fijar los términos de ese control, pactando la renuncia, no ya a la intimidad, sino a la propia inviolabilidad de las comunicaciones. Y allí donde exista acuerdo expreso sobre fiscalización, se estará excluyendo la expectativa de privacidad que, incluso en el ámbito laboral, acompaña a cualquier empleado”.

Pese al cambio de criterio del Pleno, la sentencia dictada en el asunto Pescanova, la STS 89/2023, parece retomar el planteamiento de la sentencia de 2014. La base doctrinal recogida en dicha resolución se nutre, en gran medida, de citas textuales de la STS 328/2021, si bien, de una parte, omite el párrafo que acabo de reproducir y, de otra, incorpora una conclusión de nueva cosecha en la que expresamente excluye el derecho al secreto de las comunicaciones -esto es, los casos de información “vinculada a un proceso de comunicación”- de la posibilidad de eliminación de la expectativa de privacidad, razón por la que, acto seguido, asume las negativas consecuencias inherentes a esa tesis:

Con independencia de cuál deba concluirse que es la posición jurisprudencial actual de la Sala Segunda, la tesis planteada es errónea, por lo que no debiera ser asumida⁷². Es errónea, en primer lugar, la interpretación que se hace del artículo 18.3 de la Constitución, al concluir que como el consentimiento no aparece expresamente recogido como criterio de legitimidad de la injerencia, la autorización judicial sería siempre necesaria. Como hemos visto, el Tribunal Constitucional viene reiterando que todo derecho es disponible por su titular, y ello con independencia de su mención expresa en la descripción del derecho en la Constitución. Tampoco el artículo 18.1 CE hace alusión alguna al consentimiento y sin embargo la aludida sentencia no rechaza que puedan desaparecer las expectativas de intimidad por la asunción por parte del empleado de las directrices del empleador.

Late en dicho planteamiento, a mi entender, una confusión entre los dos planos que antes hemos establecido: entre la delimitación del contenido del derecho y la proporcionalidad de su menoscabo. La autorización judicial prevista en el artículo 18.3 CE es un criterio referido a la proporcionalidad de la injerencia en el derecho fundamental: la Constitución establece la exigencia -como elemento de protección reforzada- de que sea un juez quien efectúe el juicio de proporcionalidad y pondere la idoneidad y necesidad de la injerencia en el contenido del derecho. Pero esa autorización judicial solo tiene sentido cuando en el caso concreto está vigente el derecho al secreto de las comunicaciones; es decir, si no concurre el derecho fundamental no hay menoscabo del mismo, por lo que no es necesaria tal autorización judicial. Por ello, la discusión sobre la disponibilidad del derecho por su titular y por la relevancia de su consentimiento para eliminar la expectativa de privacidad -y, con ello, la vigencia del derecho en el caso concreto- se sitúa en un plano distinto, y analíticamente previo, que la referida a los criterios de legitimidad de la injerencia en el derecho -autorización judicial y proporcionalidad-. Así, de igual modo que si uno de los interlocutores de la comunicación (en canal cerrado) consiente que un tercero escuche esa conversación no puede haber “secreto” ni, por tanto, derecho al secreto de las comunicaciones⁷³, tampoco habrá secreto -ni derecho fundamental- en el caso de que el empleado consienta en que las comunicaciones privadas en la empresa están prohibidas y que pueden ser sometidas a monitorización. Y si no está vigente el derecho al secreto de las comunicaciones, no será precisa autorización judicial para acceder al correo electrónico del trabajador, en los términos antes expuestos.

En segundo lugar, ese planteamiento es erróneo también al asignar una diferente interpretación constitucional al derecho fundamental en función de si estamos ante consecuencias jurídicas laborales o penales. No tiene sentido que en el orden laboral pueda eliminarse la expectativa de vigencia del derecho por el consentimiento del trabajador con los términos del empresario y no pueda eliminarse en el orden penal. De una parte, se incurre en la misma confusión mencionada: la vigencia o no en el caso concreto de un derecho fundamental por el consentimiento de su titular es independiente de las finalidades y consecuencias que se derivan de su supuesto menoscabo. Si no hay un derecho fundamental, no lo hay ni para el orden laboral ni para el orden penal. Las diferencias en el tratamiento del derecho -presuponiendo por tanto que tal derecho existe- según el orden jurisdiccional responderán únicamente a cuestiones de proporcionalidad y, con ello, al menoscabo legítimo del derecho. Y en este plano, la lógica podría llegar a ser la contraria que la que dicha sentencia pareció asumir: si legítima es la injerencia en el derecho fundamental con el fin de asegurar la prestación laboral, mayor legitimidad habrá de tener la injerencia cuando persigue un fin de mayor relevancia axiológica como es la prevención/persecución de ilícitos penales y/o la defensa de la persona jurídica frente al riesgo de ser sometida al ius puniendi.

V. LAS INVESTIGACIONES INTERNAS Y LA REGLA DE EXCLUSIÓN PROBATORIA: INTERPRETACIÓN Y ALCANCE DE LA DOCTRINA FALCIANI

1. La doctrina Falciani

Si hasta el momento hemos abordado el marco referido a la existencia y contenido de los derechos de privacidad en la empresa, a continuación quiero ocuparme de las consecuencias de su vulneración. Más concretamente, de las posibles consecuencias procesales que pueden derivarse para las fuentes de prueba obtenidas en el seno de una investigación interna en la que se han vulnerado derechos fundamentales de las personas investigadas. Para ello será fundamental atender a la doctrina desarrollada por la Sala Segunda sobre el alcance de la regla de exclusión probatoria del artículo 11.1 LOPJ ante la lesión de derechos por particulares, recogida en la sentencia que se ocupó del conocido caso Falciani.

La STS 116/2017, de 23 de febrero, surge con vocación de erigirse en una doctrina autónoma, específica, novedosa y restrictiva sobre el tratamiento de la prueba ilícita. Autónoma porque su fundamento y ámbito de aplicación se circunscribe al orden penal. Específica porque aspira a asignar un tratamiento independiente a los casos en que la vulneración del derecho fundamental por el que se obtiene el hallazgo probatorio es causada por un particular. Novedosa porque, como la propia sentencia reconoce, los precedentes jurisprudenciales de la Sala Segunda se inclinaban de modo “abrumadoramente mayoritario” por la exclusión de la prueba obtenida ilícitamente por un particular, sin marcar diferencias con la obtenida por un agente del Estado. Y restrictiva porque la razón de esta línea doctrinal es limitar el ámbito de aplicación del artículo 11.1 LOPJ para los casos en que la obtención ilícita de fuentes de prueba se realiza por un particular⁷⁴.

El presupuesto que guía los planteamientos de la Sala Segunda es, así, la “necesidad de un tratamiento singularizado de la prueba obtenida por un particular cometiendo un delito o vulnerando derechos fundamentales”. La particularidad que presentaría la actuación ilícita del particular frente a la de las fuerzas y cuerpos del Estado radicaría en el propio fundamento de la regla de exclusión probatoria, dirigido ante todo a combatir y disuadir la acción ilícita de los agentes estatales:  

Siendo ese el fundamento, los hallazgos probatorios derivados de la lesión de derechos por un particular no han de ser sometidos a una consecuencia tan rigurosa, al no estar abarcados por la ratio teleológica de la regla de exclusión:

Pese a esa decidida vocación de conformar un criterio exegético novedoso, de la lectura de la STS 116/2017 no resulta fácil concretar cuál es el ámbito de aplicación del artículo 11 LOPJ que plantea⁷⁵. Y lo cierto es que, si bien son varios los pronunciamientos de la Sala Segunda que con posterioridad han invocado y aplicado esta “doctrina Falciani”, ninguno de ellos ha tenido el afán de perfilar o concretar su alcance.

Con fines analíticos, podríamos esbozar tres posibilidades de interpretación. Ordenadas de más a menos restrictivas en la aplicabilidad de la regla de exclusión, podrían enunciarse en los siguientes términos, que desarrollaremos a continuación:

1. (tesis estricta) Solo será de aplicación la exclusión probatoria cuando el particular vulnera un derecho actuando como parte de una actuación policial.
2. (tesis intermedia) Además del caso anterior, la regla de exclusión también será aplicable cuando el particular, al margen de una actuación policial, vulnere un derecho ajeno con el propósito de obtener una prueba para aportarla a un procedimiento judicial.
3. (tesis amplia) Además de los casos anteriores, la regla de exclusión también será aplicable cuando el particular, al margen de la actuación policial, vulnere un derecho ajeno con el fin de obtener información y representándose que eventualmente podría llegar a ser empleada como prueba en un procedimiento judicial.

2.¿Hasta dónde llega la restricción del artículo 11 LOPJ? Posibilidades de interpretación de la doctrina Falciani

2.1. Tesis estricta: la conducta lesiva del particular ha de estar enmarcada en una actuación policial

La primera posibilidad de interpretación de la doctrina Falciani se derivaría con naturalidad del propio fundamento que el Tribunal Supremo asigna a la regla de exclusión probatoria prevista en el artículo 11 LOPJ.

En efecto, si la “prohibición de valorar pruebas obtenidas con vulneración de derechos fundamentales cobra su genuino sentido como mecanismo de contención de los excesos policiales en la búsqueda de la verdad oculta en la comisión de cualquier delito”, la exclusión de la prueba contaminada de ilicitud debería limitarse a aquellos hallazgos incriminatorios obtenidos por la policía o bajo el control de la policía. En efecto, para la Sala Segunda resulta

Siguiendo esa idea, el particular debe actuar, entonces, “con vinculación al ejercicio del ius puniendi”. Expresado en otros términos, el particular debe actuar “en nombre del Estado”⁷⁶; su actuación debe equipararse a la de “un agente al servicio del Estado”; debe convertirse “en un agente estatal sumado espontáneamente al ejercicio del ius puniendi”⁷⁷. Esta idea se repetirá a lo largo de la sentencia bajo diversas formulaciones.

Así, lo decisivo para no declarar la nulidad de la prueba es que el particular “nunca actuó en el marco de una actividad de respaldo a los órganos del Estado llamados a la persecución del delito”. Dicho de otro modo: “Lo determinante es que nunca, de forma directa o indirecta, haya actuado como una pieza camuflada del Estado al servicio de la investigación penal”.

Por ende, la aplicación al caso concreto de tales criterios abonaría esta exégesis de la sentencia, al concluir que la razón por la que la documentación sustraída por Falciani no debía quedar excluida del acervo probatorio radica en que no se ha acreditado un contacto o concierto con servicios del Estado:

Expresado en semejantes términos:

Por ende, algunos pasajes de la sentencia parecen descartar la aplicación de la regla de exclusión a los casos de particulares que, pese a actuar con el fin directo de obtener pruebas, no actúan en colaboración con el Estado (dicho de otro modo, parecen descartar la que hemos denominado tesis intermedia). Así, cuando se enfatiza que lo relevante no es indagar sobre las motivaciones del particular:

Entre las sentencias que han aplicado con posterioridad esta doctrina pueden encontrarse también pronunciamientos que abonarían esta interpretación restrictiva del artículo 11 LOPJ.

Un primer bloque de sentencias parte de esa concepción por cuanto el supuesto de hecho que había de resolverse consistía precisamente en casos en que un particular colabora con la policía para obtener ilícitamente una prueba. Así, tanto la STS 311/2018, de 27 de junio, como la STS 875/2021, de 15 de noviembre, declaran la nulidad de la prueba ante dos casos, muy semejantes, en los que la policía proporciona a un particular un aparato de grabación para que acuda a una reunión con las personas investigadas y grabe subrepticiamente sus conversaciones incriminatorias. Al respecto, la última de las sentencias citadas pone de manifiesto, previa invocación de la STS 116/2017, que no estamos ante “un particular que, por una u otra razón, al margen del ejercicio del ‘ius puniendi’ del Estado decidió grabar las conversaciones que mantenía con su interlocutor. Actuó, por el contrario, como un verdadero ‘amicus denuntiatoris’ al servicio de los agentes que asumieron el escalón inicial de la investigación”. Y enfatiza a continuación que

En la misma línea que las anteriores -y con un supuesto de hecho semejante-, merece destacarse también la STS 244/2022, de 16 de marzo. En ella se declara ilícita la actuación del particular que graba subrepticiamente una conversación bajo supervisión de la policía -aunque finalmente se considera irrelevante por concluir que no hay conexión de antijuridicidad con la prueba condenatoria-, en virtud del argumento de que

La impresión que emana de ese pasaje de que no se asigna relevancia alguna a los casos intermedios entre los dos invocados, aquellos en que el particular sí actúa con el propósito de preconstituir un cuadro probatorio pero al margen de la policía, se confirma cuando, poco después, se asevera que la ilicitud de la prueba se debe a la intervención de la policía y a que “no estamos simplemente ante el particular que despliega una actividad recopiladora de fuentes de prueba que van a ser utilizadas con posterioridad en un proceso penal”; supuestos en los que, según esta sentencia, no merecerían reproche alguno de ilicitud.

Junto a dichas sentencias, encontramos también otras en las que se rechaza la exclusión de la prueba precisamente porque su obtención no vino presidida por la actividad de los servicios del Estado. Un primer ejemplo lo encontramos en la STS 725/2020, de 3 de marzo, en la que se condenó a un grupo de personas por blanqueo de capitales a partir de la información que proporcionó un empleado de una entidad bancaria a la policía. Ante la alegación de ilicitud de la prueba al haberse obtenido vulnerando el derecho a la intimidad y la protección de datos, la Sala Segunda, tras invocar extensamente la doctrina Falciani, desestima el motivo al concluir que el empleado del banco actuó motu proprio, sin que su actuación estuviera dirigida por las fuerza y cuerpos de seguridad del Estado:  

Como segundo ejemplo, podemos citar la STS 546/2019, de 11 de noviembre. La condena por delito de apropiación indebida a dos directivos de una empresa fue recurrida alegando la ilicitud, por lesión del derecho a la intimidad, de la obtención de determinados documentos por parte de la propia empresa en el curso de una revisión documental interna. El Tribunal Supremo rechaza la nulidad de la prueba entendiendo que el hallazgo fue casual, al no ir dirigida la revisión documental a la búsqueda de indicios de delito, y al descartar también la presencia de intermediación del Estado en la actuación de la empresa:

2.2. Tesis intermedia: prueba obtenida de propósito por un particular

Cono anticipábamos, una segunda interpretación posible de la sentencia es aquella que también incluye dentro del artículo 11.1 LOPJ los casos en que, sin intervención alguna de la policía, un particular lesiona un derecho fundamental con el fin de obtener una prueba; esto es, actuando con el fin de que se aporte a un procedimiento. El énfasis puesto por la STS 116/2017 en el fundamento disuasorio y en el necesario protagonismo de los servicios del Estado puede desdibujar la posibilidad de acoger esta interpretación. No obstante, veremos a continuación que, junto a algunos pasajes de dicha sentencia, hay otros pronunciamientos que permitirían considerarla una exégesis plausible de la doctrina acuñada por la Sala Segunda.

Para empezar, la misma STS 116/2017 vendría a deslizar esa posibilidad exegética cuando parece extender el efecto disuasorio inherente al fundamento de la regla de exclusión también a los particulares:

Asimismo, también apuntaría en esa dirección la alusión que realiza a la excepción a la exclusión probatoria que se plasma en el artículo 13 del proyecto de Código Procesal Penal de 2013, según la cual “podrán ser utilizadas y valoradas las pruebas que, sin estar conectadas con un acto de tortura, sean (…) consecuencia de la vulneración de un derecho fundamental exclusivamente atribuible a un particular que haya actuado sin ánimo de obtener pruebas”. Sensu contrario, si el particular actúa con ánimo de obtener pruebas (aun sin intermediación policial) la prueba no sería admisible.

Junto a ello, varias sentencias del Tribunal Supremo han declarado la ilicitud probatoria en supuestos en que ha sido un particular, sin colaboración del Estado, el que ha obtenido la prueba vulnerando derechos fundamentales. Las SSTS 489/2018, de 23 de octubre, y 56/2022, de 24 de enero, son claros exponentes de esa exégesis intermedia, y tienen por objeto, además, casos en los que los hallazgos probatorios se realizan en el marco de investigaciones llevadas a cabo en el seno de una empresa, por lo que habremos de volver sobre ellas con posterioridad.

La primera de ellas comienza por destacar que en el caso a enjuiciar tiene lugar “una ilicitud atribuible no a órganos del Estado, sino a particulares”; dato que “tiene relevancia; mucha si se asume como punto de partida el fundamento preventivo de la teoría de la prueba ilícita”⁷⁸. Ello es así porque, por más que el artículo 11.1 LOPJ no trace distinciones entre ambos supuestos, “no puede ocultarse que, por tradición, por teleología, por ponderación de derechos fundamentales en tensión y por sus finalidades, el juego de esa norma, de máxima intensidad cuando la violación proviene de un agente estatal, consiente más modulaciones en el caso de particulares”. Y es debido a ello por lo que “la jurisprudencia reciente ha admitido que en el caso de particulares estamos en un terreno más permeable a excepciones (SSTS 87/2017, de 19 de abril o 116/2017, de 23 de febrero)”.

Y abundando en esa línea argumental, enfatiza que

Ciertamente, esas consideraciones podrían llevar sin forzamientos a la tesis estricta que parece acoger la STS 116/2017. Sin embargo, se concluye que “la flexibilidad interpretativa no puede llegar al punto de traicionar la dicción del art. 11.1 LOPJ”, por lo que, dado que la empresa realizó sus indagaciones con el propósito de hacer valer como prueba los datos recabados en un proceso judicial, “eso impide escapar del ámbito de art. 11.1 LOPJ”.

A idéntica conclusión llega la STS 56/2022 ante un caso semejante⁷⁹. El criterio de interpretación es formulado en los siguientes términos:

Partiendo de esa concepción, en su aplicación al caso se termina por confirmar la exclusión de la prueba:

2.3.Casos indudablemente excluidos de la doctrina Falciani: licitud de las pruebas obtenidas por azar

Sobre lo que no caben dudas exegéticas es en relación con los casos de “hallazgos casuales”; supuestos en los que el particular vulnera un derecho fundamental sin la intención de obtener pruebas de un hecho delictivo y, por azar, encuentra información incriminatoria⁸⁰.

Ello se infiere sin dificultad de las reflexiones que realiza la Sala Segunda en la STS 116/2017 sobre la necesidad de que el particular actúe como un agente del Estado, así como de la propia interpretación gramatical que realiza del artículo 11.1 LOPJ:

En consecuencia, si la conducta del particular no puede entenderse como una “actividad probatoria”, al no estar guiada por ese afán de obtener medios de prueba, no será aplicable la nulidad de la prueba prevista en dicho precepto:  

Así lo ha entendido también el Tribunal Supremo en diversos pronunciamientos posteriores. La STS 528/2017, de 4 de julio, declara la plena licitud de unas fotografías indiciaras de un delito de abuso sexual obtenidas por un vigilante de seguridad que accedió al contenido de una cámara digital que se había dejado un trabajador a fin de determinar su identidad, poniendo después la cámara en manos de la policía. Previa invocación de la doctrina Falciani, concluye que “se trata de una prueba proporcionada por un vigilante particular a los agentes de la Guardia Civil, sin que esa entrega haya sido concebida como un mecanismo de elusión de las garantías que el sistema constitucional reconoce para la protección de los derechos a la intimidad y al entorno virtual”.

Un segundo ejemplo lo constituye la ya citada STS 546/2019, de 11 de noviembre, en la que la Sala revisó la condena por malversación y falsedad impuesta a dos empleados de una empresa pública, fundada en el hallazgo por la empresa de diversa documentación bancaria de los acusados amparada por el derecho a la intimidad. Como ya he expuesto, en esta sentencia el Tribunal Supremo afirma la plena licitud de la prueba al considerarla un hallazgo casual, no buscado de propósito para obtener prueba (aunque, como vimos, aludiendo también a la desconexión de dicho hallazgo con los aparatos del Estado).

2.4.¿Tesis amplia? Supuestos en que el particular actúa con el objetivo “indirecto” de conseguir prueba

Para rechazar la ilicitud de la prueba, esta última sentencia citada cita textualmente un pasaje de la STS 116/2017, concluyendo que “no se trataba de pruebas obtenidas con el objetivo, directo o indirecto, de hacerlas valer en un proceso penal”. La enunciación de esas alternativas -un objetivo “directo” y uno “indirecto” de obtener pruebas para su posterior aportación a un procedimiento- lleva a plantear una tercera posibilidad de interpretar la doctrina Falciani y el alcance del artículo 11.1 LOPJ. Formulado a modo de interrogante: ¿Qué ocurre cuando el particular que vulnera un derecho fundamental no actúa con la intención (“directa”) de obtener prueba para aportarla a un procedimiento, pero se representa o asume o no descarta que la información que puede obtener con su conducta lesiva de derechos puede acabar en un procedimiento penal? ¿Estamos ante ese “objetivo indirecto” cuando el sujeto actúa con una suerte de “dolo eventual” sobre el hecho de que su hallazgo puede constituirse en prueba?

Lo cierto es que, más allá de esa genérica alusión al “objetivo indirecto”, la sentencia no se adentra en esa cuestión. Y de la lectura de otras resoluciones no cabe tampoco llegar a una conclusión clara, aunque preciso es reconocer que los pocos pronunciamientos que se han ocupado de supuestos de esa índole parecen inclinarse por excluirlos del artículo 11.1 LOPJ

Pongamos como primer ejemplo el caso resuelto por la STS 457/2020, de 17 de septiembre. Se concluye en dicho pronunciamiento que la grabación subrepticia realizada por la madre de la víctima de unos abusos sexuales entre ésta y su progenitor no comporta la nulidad de la evidencia obtenida, “pues no consta que la grabación se realizara con la finalidad de obtener irregularmente pruebas orientadas a impulsar o servir en un eventual proceso penal”. Ello sin duda era así, pero de la lectura del caso concreto era también factible concluir que la madre tenía que asumir que la grabación acabaría en manos de la policía; circunstancia a la que la Sala Segunda no asigna ninguna relevancia.

Atendiendo a dicha resolución, hemos de concluir que -aceptando el criterio intermedio antes expuesto, que esta sentencia viene a confirmar- solo será aplicable la regla de exclusión del artículo 11.1 LOPJ en aquellos supuestos en los que el particular actúe con la concreta intención de preconfigurar una prueba a aportar a un procedimiento penal. Es decir, no bastará con que se vulnere un derecho fundamental con la intención de obtener o confirmar información que luego pueda ser transmitida a la policía o que se asuma que pueda acabar en un procedimiento (tal como, de hecho, aconteció en el caso resuelto por la sentencia citada), sino que será preciso que el exclusivo propósito de la actuación lesiva radique en la posterior aportación al proceso de la información o documentación obtenida.

Un interrogante semejante se suscita en los casos en que, si bien la vulneración del derecho no vino motivada por esa finalidad procesal, el sujeto toma con posterioridad la decisión de aportar a un procedimiento penal la información ilícitamente obtenida ¿Es condición necesaria para aplicar la regla de exclusión de la prueba que la vulneración del derecho se realice de antemano con el exclusivo propósito de obtener esa prueba para su aportación al proceso, o deberá también aplicarse cuando, pese a que inicialmente perseguía otra finalidad, el sujeto cambia sobrevenidamente de opinión y decide convertir la información en un medio de prueba?

Un buen ejemplo lo encontramos en la STS 569/2013, de 26 de junio, previa al caso Falciani. El acusado por un delito de abuso sexual había sido absuelto por el órgano de primera instancia al concluir que la prueba -unos vídeos en los que se veía al acusado realizando tocamientos a una persona dormida- había sido obtenida por la hermana de la presunta víctima, y ex mujer del acusado, vulnerando el derecho a la intimidad del acusado, al haber accedido a la guantera de su vehículo sin su consentimiento para buscar pruebas de una infidelidad y haber visionado después los DVDs encontrados⁸¹. El Tribunal Supremo desestima los recursos interpuestos por el Ministerio Fiscal y la acusación particular, y confirma dicha absolución, ratificando la existencia de la vulneración del derecho fundamental y la exclusión de la prueba ilícitamente obtenida pese a que lo que motivó la actuación de la denunciante fue la información de que en el vehículo podrían hallarse las pruebas de la relación de su ex pareja con una mujer. Aseveraba con rotundidad la Sala que esa conclusión se deriva de “lo previsto en el art. 11.1 LOPJ en términos de un rigor que, en la lectura más obvia del precepto, excluye cualquier otra alternativa que no implique una reescritura del mismo”.

En esa ocasión, el Tribunal Supremo no se planteó que la finalidad o la motivación de quien obtiene la información vulnerando derechos fundamentales tuviera relevancia para la interpretación y aplicación del artículo 11.1 LOPJ. Ni tampoco, por tanto, que esa finalidad fuera la que guiara la decisión de vulnerar el derecho. Sí lo hizo, no obstante, el votante particular de dicha Sentencia (Excmo. Sr. D. Antonio Del Moral García), con una argumentación que influirá de modo decisivo -hasta la literalidad- en la STS 116/2017⁸². Dos son las razones principales por las que el voto particular concluye que no debiera haberse aplicado la regla de exclusión probatoria.  El primero -ya conocido- es “que el atentado no provenga del Estado -frente al que los ciudadanos se encuentran en una posición de mayor debilidad que hay que reforzar mediante reglas más drásticas-”.  El segundo es “que la prueba que se tilda de inutilizable se haya obtenido “casualmente» en el sentido antes dicho (…), es decir sin la intención de recabar elementos probatorios para aportarlos a un proceso”.

3. La doctrina Falciani en las investigaciones internas. Posiciones doctrinales

La opción por una de las posibilidades interpretativas expuestas conllevará relevantes consecuencias para el alcance de la regla de exclusión en el marco de las investigaciones internas cuando es la empresa –sin lugar a dudas un particular, a estos efectos- la que obtiene un elemento de prueba con vulneración de derechos fundamentales. Así, si se asume la tesis estricta, la regla prevista en el artículo 11.1 LOPJ no será aplicable a las vulneraciones de derechos cometidas por la empresa en la investigación interna realizada, puesto que será prácticamente inverosímil un caso en el que la empresa actúe bajo la dirección o en colaboración directa con la policía⁸³. Esa contraintuitiva conclusión se soslayaría en buena medida si se opta por la tesis intermedia, en virtud de la que deberá aplicarse la regla de exclusión también a los supuestos en los que la obtención de elementos probatorios se ha buscado de propósito para ser utilizados en un procedimiento judicial. Ciertamente, no será inhabitual que la empresa inicie una investigación interna -previa existencia de sospechas de ilicitud- con el fin de obtener prueba para ser después utilizada en un procedimiento, ya con el fin de justificar el despido del trabajador, ya para atribuirle responsabilidad penal, ya -como elemento de defensa- para acreditar el quebrantamiento indebido de las medidas de control⁸⁴.

Ahora bien, en la práctica habrá muchas ocasiones en las que en el momento en que se decide iniciar una investigación interna no se habrá adoptado una decisión sobre la utilización como prueba de los hallazgos que puedan obtenerse. Lo habitual será, de hecho, que la decisión estratégica de aportar los resultados de la investigación a un procedimiento penal se adopte una vez concluida y en función de los resultados que haya arrojado la investigación. En tales casos, por tanto, la adopción de esa interpretación intermedia antes aludida, al menos si se interpreta de modo riguroso, dará lugar a que tampoco sea aplicable la regla de exclusión a estos grupos de casos -quizá los más habituales en la realidad práctica-, careciendo por tanto de consecuencias procesales la vulneración de derechos fundamentales. Una exégesis razonable -así como, en su caso, una crítica razonable- de la doctrina Falciani se revela por tanto esencial para determinar los riesgos inherentes a la exacerbación de la eficacia de las investigaciones llevadas a cabo por la empresa.

En la doctrina penal y procesal no existe consenso sobre cómo debe interpretarse la doctrina Falciani. Lo que sí resulta indudable es que con ella la Sala Segunda propugna una aplicación más restrictiva del artículo 11 LOPJ cuando la ilicitud se causa por un particular⁸⁵, lo que ha generado no pocas voces críticas por parte de la academia⁸⁶. Se afirma, así, que restringe injustificadamente y contra reo el ámbito de aplicación de la ley, recortando con ellos los derechos y garantías de los ciudadanos⁸⁷, que supone la conclusión de un proceso de deconstitucionalización del artículo 11 LOPJ⁸⁸, que ignora su letra y su espíritu y pone fin a una época de respeto a los derechos fundamentales cuando se violan para obtener pruebas⁸⁹, o que frente a criterios de causalidad e imputación objetiva como los que rigen con carácter general para la prueba ilícita, se introducen arbitrarios elementos subjetivos, haciendo depender la ilicitud de la finalidad perseguida por el particular que se apodera ilegalmente de datos íntimos para emplearlos como prueba⁹⁰.

A partir de la concatenación de dos requisitos de licitud recogidos en un pasaje  en la STS 116/2017 -“la posibilidad de valoración de una fuente de prueba obtenida por un particular con absoluta desconexión de toda actividad estatal y ajena en su origen a la voluntad de prefabricar pruebas no necesita ser objeto de un enunciado legal que así lo proclame”-, algunos autores parecen acoger la tesis intermedia, al concebir que, si ambos requisitos deben darse cumulativamente para que la obtención de la prueba sea lícita, tan pronto como la conducta lesiva de derechos sí hubiera venido guiada por la finalidad de “prefabricar” prueba, la conducta será ilícita⁹¹. De ese modo, una investigación interna dirigida de antemano a hacer acopio probatorio para su posterior uso procesal en la que se lesiona un derecho fundamental verá impedido el acceso de la prueba obtenida al proceso por aplicación de la regla de exclusión probatoria.

Más moroso se muestra otro sector doctrinal a la hora de extender el ámbito de aplicación del artículo 11 LOPJ a la obtención de prueba por parte de una empresa, postulando -en la línea de la tesis estricta antes mencionada- que la regla de exclusión probatoria únicamente entrará en juego cuando la investigación pueda ser imputable al Estado⁹².  Desde esta perspectiva, el único fundamento relevante es “hasta qué punto se puede atribuir al Estado el resultado de las investigaciones internas”⁹³. Para ello “la sola cooperación entre particulares y autoridades investigadoras no es suficiente”⁹⁴; sino que “lo que hace falta es identificar cuándo debe considerarse a la empresa como un instrumento o brazo extendido del Estado”⁹⁵; y “la persona jurídica solo se convierte funcionalmente en un instrumento de las autoridades si estas tienen conocimiento de las actividades investigativas privadas y le permiten actuar con la intención de que reemplacen las propias funciones del Estado”⁹⁶. Más concretamente, los dos criterios manejados por este sector doctrinal para imputar al Estado la actividad investigadora son los siguientes: (i) cuando la investigación interna es directamente inducida o encargada por el Estado⁹⁷; (ii) o bien cuando las autoridades demoran sus propios esfuerzos de investigación con la finalidad de utilizar los hallazgos emanados de la investigación privada, sacando con ello provecho de la iniciativa probatoria privada⁹⁸.

A la hora de cotejar esa concepción con la doctrina Falciani, pondera Pouchain los dos criterios enunciados por la Sala Segunda para finalmente acoger únicamente el primero -la conexión con la actividad estatal- como núcleo de la argumentación jurisprudencial, considerándolo plenamente compatible con la enunciada teoría de la imputación al Estado. Sin embargo, rechaza el criterio basado en la voluntad de prefabricar pruebas como parámetro de ilicitud, al no ser coherente con el fundamento de la regla de exclusión probatoria -la finalidad de disuasión policial- y entendiendo que funciona “mucho más como un argumento retórico que como un criterio autónomo y proporcionado para atraer la protección de los derechos fundamentales”⁹⁹.

Así, sostiene que, si bien la expectativa de que la información se utilice en un futuro por el Estado en un procedimiento penal ya indica mínimamente la relación entre causa y efecto, esa conexión no es suficiente: “¿Se puede tomar en serio aquí un criterio para la prohibición probatoria tan solo sobre la voluntad de preconstitución probatoria –la causa–, ignorándose completamente la manera por la cual se da su aprovechamiento procesal, es decir, su efecto?” La respuesta es claramente negativa, dado el fundamento de la regla de exclusión probatoria de que parte el autor:

Por ello, concluye Pouchain que “el objetivo de preconstituir evidencias probatorias, aisladamente, no tiene suficiente consistencia para determinar la prohibición de las pruebas obtenidas ilícitamente por los particulares”¹⁰¹.

Por lo que respecta a la tercera alternativa exegética, resulta ciertamente más difícil sostener una interpretación amplia de la doctrina Falciani, si por tal -como proponíamos supra– entendemos la tesis que admite la aplicación del artículo 11 LOPJ también a los casos en los que la pesquisa lesiva de derechos efectuada por el particular no viene presidida por la intención de obtener prueba para ser presentada a un proceso. Casos, por acudir al símil, de “dolus subsequens”, en los que la decisión de aportar el hallazgo obtenido al proceso se adopta con posterioridad; o casos de “dolo” eventual o condicionado, en los que la decisión de aportar el hallazgo se hace depender del cumplimiento de circunstancias diversas. En realidad, esa tesis conllevaría asumir una concepción cuasiobjetiva y, si se quiere, extensiva del artículo 11 LOPJ, contraria por ello a la vocación restrictiva que preside la doctrina Falciani.

Con independencia de lo anterior, y en relación directa con el objeto inmediato de estas páginas, algunos autores han planteado interpretaciones extensivas de los propios criterios empleados por la sentencia del caso Falciani, a fin de desplegar los efectos del artículo 11 LOPJ a las investigaciones internas empresariales, incluso desde la más estricta exégesis basada en la imputación al Estado. Así, se ha afirmado que “no es descabellado pensar que contribuir al esclarecimiento de los hechos para obtener una atenuación de responsabilidad supone una conexión, al menos indirecta, con la actividad estatal de investigación de los delitos, pues no se debe perder de vista que (…) las pruebas que se aportan por la persona jurídica se dirigen de forma inmediata a esclarecer los hechos delictivos y las responsabilidades que se derivan de ellos, y de forma mediata, pueden permitirle conseguir una atenuación de responsabilidad”¹⁰². En línea similar, Juliá Pijoan enumera una serie de circunstancias en virtud de las que podría justificarse la existencia de una conexión de las investigaciones internas con la acción estatal y, con ello, incluirlas bajo el ámbito de la doctrina Falciani¹⁰³: (i) las investigaciones internas responden a la presión del legislador para que sean los entes privados quienes desplieguen una actividad investigadora, ofreciéndoles recompensas como causas de exención y atenuación de responsabilidad; (ii) existe una plena identidad con la función de esclarecimiento de hechos con apariencia delictiva que tiene atribuida en exclusiva el Estado; (iii) los programas de cumplimiento se originan como parte indispensable de la política criminal del Estado, a través de una cooperación público-privada, surgiendo las investigaciones internas de la dificultades que las autoridades públicas tienen a la hora de perseguir delitos dentro de la empresa.

Desde esta perspectiva, incluso desde la más estricta tesis exegética basada en la teoría de imputación al Estado podría vincularse el artículo 11 LOPJ a las investigaciones internas, siempre que, como hacen estos autores, se acoja una interpretación amplia de ese criterio; propuesta que, sin embargo, los defensores de esa teoría de la imputación rechazan¹⁰⁴ y que quizá traicione el propio entendimiento que el Tribunal Supremo hace de ese criterio de la conexión con la actividad estatal.

4. Consideraciones críticas a la exégesis restrictiva de la exclusión de pruebas de particulares

4.1. La progresiva restricción de la regla de exclusión probatoria

Ha podido afirmarse, no sin razón, que la doctrina Falciani, tanto la sentencia del Tribunal Supremo como la STC 97/2019, continúa la tendencia jurisprudencial restrictiva a la aplicación de la regla de exclusión probatoria¹⁰⁵. Un primer escalón en esa progresiva restricción lo constituyó la STC 81/1998, de 2 de abril¹⁰⁶. Frente a la rotundidad, carente de excepciones, del mandato que estableció el legislador en el año 1985 con el artículo 11 LOPJ, la citada sentencia incorporó a la exégesis del referido precepto un conjunto de excepciones -provenientes de la doctrina del Tribunal Supremo estadounidense- configurándolas bajo la compleja y vaga teoría de la conexión de antijuridicidad¹⁰⁷. Frente a la literalidad del artículo 11 LOPJ, que no hacía distingos entre la prueba directa y la indirectamente obtenida de una violación de derechos¹⁰⁸, la teoría de la conexión de antijuridicidad, con la introducción de criterios valorativos y de imputación, restringió considerablemente el ámbito de la nulidad probatoria para la prueba refleja o indirecta, abriendo además puertas y ventanas a la inseguridad jurídica¹⁰⁹.

Es cierto que ya la STC 114/1984, antecedente directo del artículo 11 LOPJ, ponía de relieve la necesidad de ponderar en cada caso los intereses en tensión a fin de determinar si debía prevalecer el interés público en la obtención de la verdad o el interés de la plena eficacia de los derechos constitucionales¹¹⁰, y que la teoría de la conexión de antijuridicidad no es sino la plasmación -quizá innecesariamente alambicada- de un conjunto de criterios de proporcionalidad¹¹¹. Pero a esa idea cabe oponer que, frente a la situación existente en 1984, tras la entrada en vigor de la LOPJ es el legislador el que ha fijado las bases -o los límites- de esa ponderación, debiendo proscribirse, por contrarias al principio de legalidad, ponderaciones contra legem¹¹² que, ignorando la referencia legal a las pruebas “indirectamente” obtenidas de la vulneración de derechos, prácticamente eliminan la eficacia refleja de la prueba ilícita¹¹³. En cualquier caso, excede del objeto de estas páginas entrar a analizar hasta qué punto la doctrina de la conexión de antijuridicidad excede del tenor literal y del telos del artículo 11 LOPJ.

Un segundo hito de esa paulatina restricción puede situarse en la STC 22/2003, de 10 de febrero. En dicha sentencia el Tribunal Constitucional extiende las excepciones a la aplicación de la regla de exclusión también a la prueba directa, y no solo a la derivada como se propugnaba con la teoría de la conexión de antijuridicidad. En concreto, se concluye que la excepción de la buena fe permite excepcionar la aplicación de dicha regla en los casos en que la policía actuó sin dolo o imprudencia, en la creencia invencible de que su intervención era acorde a la legalidad¹¹⁴. Si bien puede afirmarse que estamos ante un pronunciamiento aislado, y que realmente el Tribunal Constitucional se ha resistido a derivar las consecuencias de esa excepción¹¹⁵,  no sobra destacar que la STC 97/2019 ha dado carta de naturaleza a la aplicación del juicio ponderativo también a la prueba directa y, con ello, a la posibilidad de admitir, según las circunstancias del caso concreto, pruebas directamente obtenidas con vulneración de derechos fundamentales¹¹⁶.

La sentencia del Tribunal Supremo que se ocupa del caso Falciani introduce una modulación restrictiva adicional al artículo 11 LOPJ. Si hasta el momento los criterios de ponderación se habían proyectado sobre la relación directa o indirecta de las fuentes de prueba con la violación del derecho, la doctrina Falciani, como ya hemos visto, incorpora una nueva exégesis limitadora en la aplicación de la regla de exclusión a los particulares. Allí donde el legislador no había distinguido, la Sala Segunda efectúa una reducción teleológica del precepto¹¹⁷ para, en virtud del fundamento basado en el deterrence effect, establecer criterios de ponderación específicos, y más restrictivos, para los casos de obtención privada de las fuentes de prueba. Pero si la llamada doctrina Falciani constituye, a juicio a algunos autores, el “punto de no retorno”¹¹⁸, la agonía¹¹⁹ o incluso la muerte¹²⁰ de la prueba ilícita, no se debe únicamente al referido pronunciamiento del Tribunal Supremo, sino también a su convalidación constitucional por virtud de la STC 97/2019.

Partiendo de la doctrina anterior, en dicha sentencia el Tribunal Constitucional establece que -como ya asumiera la STC 114/1984- la inadmisibilidad de la prueba ilícita no se deriva del derecho fundamental lesionado con ocasión de la obtención de la fuente de prueba, sino que “tiene naturaleza estrictamente procesal” por lo que ha de ser abordada desde el punto de vista de las garantías del proceso justo (art. 24.2 CE), cuya eventual vulneración debe abordarse “a través de un juicio ponderativo tendente a asegurar el equilibrio y la igualdad de las partes, esto es, la integridad del proceso en cuestión como proceso justo y equitativo”. Como presupuesto adicional para resolver el amparo, asevera el Alto Tribunal que la prohibición constitucional de admisión de la prueba ilícita constituye una “prohibición instrumental”; es decir, un “mandato constitucional de identificar aquellas vulneraciones de derechos fundamentales consumadas justamente para quebrar la integridad del proceso, esto es, encaminadas a obtener ventajas procesales en detrimento de la integridad y equilibrio exigibles en un proceso justo y equitativo”. Y que, por ello, la exclusión de la prueba del acervo probatorio no ha de decidirse de modo automático -como sostenía el recurrente en amparo a partir de una exégesis gramatical del artículo 11 LOPJ-, sino a partir del referido juicio de ponderación, basado en los criterios de la teoría de conexión de antijuridicidad; ponderación que será aplicable no solo a la prueba refleja sino también, como hemos visto, a la prueba directa. A partir de tales premisas, concluye la sentencia que la interpretación que el Tribunal Supremo hace del artículo 11.1 LOPJ es plenamente compatible con las garantías del proceso justo, pues resulta coherente con la idea de que la inadmisión de la prueba se basa en la proscripción de la violación instrumental de derechos fundamentales producida para obtener pruebas.

La sentencia del Tribunal de garantías ha sido criticada básicamente por dos órdenes de razones. En primer lugar, por avalar la exégesis reduccionista, contra legem y contra reo, del artículo 11.1 LOPJ efectuada por la Sala Segunda del Tribunal Supremo. En segundo lugar, por degradar la inadmisibilidad de la prueba ilícita a una mera cuestión procesal de legalidad ordinaria, despojándola del rango de garantía constitucional acogida por la STC 114/1984. Con ella, en suma, se consolida y perfecciona la vocación abrogatoria iniciada por la STC 81/1998, traicionando el inicial afán garantista del legislador orgánico de 1985¹²¹.

4.2. A vueltas con el fundamento de la regla de exclusión probatoria

La dicotomía que poníamos de relieve con ocasión de la interpretación constitucional de los conflictos de derechos entre reglas y principios es también útil para ilustrar el progresivo debilitamiento de la inadmisibilidad de la prueba ilícita¹²². Creo que no es descabellado, en este sentido, afirmar que el mandato establecido por el legislador en el artículo 11.1 LOPJ ha dejado de entenderse como una regla para asumirse como un principio. Su comprensión como regla no implica, desde luego, que no tuviera que ser sometido a un proceso de interpretación para su aplicación al caso concreto, ni que no hubiera, por tanto, que ponderar las circunstancias fácticas para acomodar su marco axiológico al caso concreto, pero sí exige el sometimiento del intérprete y aplicador del precepto no solo al tenor literal sino también a dicho marco axiológico, en el entendimiento de que es el legislador el que ya ha efectuado una inicial ponderación entre los intereses en conflicto y ha situado el mayor peso en uno de los fieles de la balanza. Esa ponderación ex lege es destacada atinadamente por Fernando Gascón¹²³:

Frente a ello, entendido como principio, las posibilidades de excepcionar la aplicación de la consecuencia jurídica prevista en el artículo 11.1 LOPJ (obviando ahora el principio de legalidad) se multiplican exponencialmente, porque se hará depender de factores enteramente coyunturales (tal como, por ejemplo, el grado de dolo o negligencia con que se cometió la vulneración del derecho) y de parámetros valorativos mutables (en función de las necesidades de tutela del derecho fundamental vulnerado en cada caso, tal como también propugna la teoría de la conexión de antijuridicidad) generándose, sin lugar a dudas, mayores niveles de discrecionalidad judicial¹²⁴ y, con ello, mayores cotas de inseguridad jurídica -como la que se reprocha, de hecho, por un nutrido sector doctrinal a dicha teoría-.

A su vez, esa mutación de regla a principio guarda, me parece, una estrecha relación con la controversia sobre el fundamento de la regla -o principio- de exclusión probatoria. La paulatina restricción del ámbito de aplicación del artículo 11.1 LOPJ responde, en este sentido, a un cambio de criterio sobre el fundamento por el que deben inadmitirse las pruebas contaminadas de ilicitud, pasando a asignar mayor relevancia a un fundamento de carácter teleológico o pragmático, basado en un fin de prevención de riesgos futuros frente a los derechos vulnerados a través de la disuasión policial, en detrimento de uno deontológico, basado en el derecho del ciudadano a un proceso justo¹²⁵.

En la concepción inicial del Tribunal Constitucional plasmada en la STC 114/1984, la regla de exclusión se asumía como una garantía objetiva, de carácter procesal y rango constitucional, derivada de la posición preferente de los derechos fundamentales e incardinada en el derecho a un proceso con todas las garantías¹²⁶. Los derechos fundamentales determinan las reglas del juego en el Estado de Derecho, por lo que la conformación y utilización en el proceso de una prueba cuya obtención ha conllevado la lesión de un derecho fundamental conllevará una quiebra en la integridad del proceso con todas las garantías¹²⁷. En el ámbito penal, se vulnerará también, en última instancia, el derecho a la presunción de inocencia -piedra angular del proceso penal- tan pronto la condena se haya nutrido de esa prueba contaminada.

Esa concepción inicial se modifica en lo que ha podido denominarse un “proceso de norteamericanización” de la regla de exclusión, iniciado con la STC 81/1998 -que introdujo el conjunto de excepciones acogidas por el Tribunal Supremo americano en la teoría de la conexión de antijuridicidad-. En dicha sentencia, el Tribunal Constitucional incorpora el fundamento preventivo, basado en las necesidades de disuasión y protección del derecho concernido¹²⁸. En efecto, es desde tal fundamento preventivo que adquiere sentido que la inadmisibilidad de la prueba dependa de factores como la negligencia o dolo de la vulneración -pues si la policía actuó de buena fe no tendría sentido la disuasión¹²⁹– o la ponderación de las necesidades de tutela del derecho fundamental lesionado. Es ese fundamento preventivo, en suma, el que justifica la introducción de excepciones a la regla de exclusión basadas en la ponderación de dichas necesidades preventivas, pues si estamos ante un mero instrumento disuasorio no habrá de ser de aplicación cuando no existan necesidades de prevención, o bien cuando tal prevención no resulte efectiva¹³⁰.

Ciertamente, no estamos ante fundamentos incompatibles¹³¹, pero el énfasis en uno u otro tendrá implicaciones relevantes en las consecuencias de la prueba obtenida por particulares. Como afirma Vives Antón, “la doctrina de la disuasión policial tiene un fundamento pragmático que, en Estados Unidos, lleva a negar la exclusión de las pruebas obtenidas ilícitamente por particulares”¹³². Frente a ello, en la concepción basada en la integridad del proceso con todas las garantías será irrelevante si, como alude la STC 114/1984, la vulneración proviene de actos públicos o privados.

Como hemos visto, la doctrina Falciani acoge nítidamente dicho fundamento de corte preventivo¹³³¹³⁴ . Y es en ese presupuesto en el que justifica la restricción de la exclusión probatoria ante lesiones de particulares. Si bien no existe unanimidad en la jurisprudencia de la Sala Segunda sobre la razón de ser de la regla de exclusión¹³⁵, la amplia aceptación de la doctrina Falciani parece orientar la línea mayoritaria hacia la tesis preventiva. No obstante -y obviando ahora la elasticidad de la teoría de la conexión de antijuridicidad-, ello dependerá también de cuál sea la interpretación que sobre esa doctrina acabe imponiéndose: mientras la tesis estricta –la que exige la imputación de la obtención probatoria ilícita al Estado- solo es compatible con el fundamento preventivo, la que hemos llamado tesis intermedia -que sitúa en pie de igualdad las lesiones de derechos preordenadas a la obtención de prueba, ya sean públicas o privadas- se acomoda razonablemente a un fundamento basado en la integridad garantística del proceso.

4.3. Crítica a la tesis estricta (I): ¿una ilicitud probatoria solo penal?

La tesis estricta, en efecto, solo es compatible con el referido fundamento preventivo. Entendido en su sentido estricto y originario -tal como lo reproduce la STS 116/2017-, esa finalidad preventiva tenía por exclusivo destinatario al Estado; se perseguía, así, disuadir a las fuerzas y cuerpos de seguridad de obtener elementos incriminatorios a costa del sacrificio de los derechos del ciudadano declarando la nulidad y la expulsión de esas fuentes de prueba. Desde tal premisa adquiere pleno sentido que el ámbito de aplicación de la exclusión probatoria se circunscriba a los casos en los que la obtención ilícita de la fuente de prueba está dirigida, gobernada, instigada o tolerada por la policía; esto es, cuando pueda ser imputada al Estado; y que la obtención de pruebas por un particular desvinculada del Estado deba recibir un diferente tratamiento, puesto que ningún efecto disuasorio habría de generar la exclusión de dicha prueba sobre los agentes estatales¹³⁶.

Con independencia de si es la interpretación más acertada de los términos de la sentencia 116/2017 -cuestión menor, a la postre-, esa tesis estricta debe ser rechazada por quienes -como es mi caso- rechacen el fin disuasorio como fundamento exclusivo de la prueba ilícita, y rechace igualmente semejante jibarización del artículo 11.1 LOPJ. Pero más allá de tales cuestiones de principio, hay otras razones por las que ese planteamiento es inasumible.

Una de esas razones consiste en que tanto el fundamento disuasorio como la teoría de la imputación al Estado, al excluir los actos de los particulares de la regla de exclusión, son incapaces de acoger bajo sus criterios el hecho innegable -al menos en el sistema continental y, desde luego, en el español- de que la prueba ilícita también rige en otros órdenes jurisdiccionales distintos del penal.

Más allá de que el artículo 11.1 LOPJ sea de aplicación a todos los órdenes jurisdiccionales, tanto el proceso civil (artículos 283¹³⁷ y 287 de la Ley de Enjuiciamiento Civil) como el orden laboral (artículo 90 de la Ley reguladora de la jurisdicción social¹³⁸) establecen la prohibición de admisión de pruebas ilícitamente obtenidas, en términos igual de rotundos que la propia LOPJ. Y tanto en la jurisprudencia laboral¹³⁹ como en la civil¹⁴⁰, e incluso en el arbitraje¹⁴¹, se ha venido aplicando la regla de exclusión probatoria sin, obviamente, cuestionarse la circunstancia de que sea un particular el que haya obtenido la fuente de prueba. Es más, merece destacarse que la sentencia del Tribunal Constitucional que por primera vez desarrolló la doctrina sobre la prueba ilícita, la STC 114/1984, resolvió un amparo proveniente del orden laboral.

No cabe duda de que la particular relación existente entre el ius puniendi y el ciudadano imprime al orden penal particulares necesidades de refuerzo garantístico frente al poder del Estado. Y, sin duda, ello puede justificar establecer criterios distintos de ponderación a la regla de exclusión probatoria en el orden penal frente a otros órdenes jurisdiccionales¹⁴². Pero lo que no pueden asumirse –ni de lege ferenda ni de lege lata– son las consecuencias a que llevaría la teoría de la imputación al Estado, consistentes en rechazar todo efecto excluyente a la prueba ilícita cuando es un particular el que obtiene la prueba, y restringirla, por tanto, únicamente al orden penal y al administrativo sancionador.  La única alternativa a esa inasumible conclusión sería resignarse a que la prueba ilícita tenga un fundamento, alcance y consecuencias distinto en el orden penal que en el orden laboral o el civil -donde la disuasión policial carece de sentido-, lo que tanto sistemática como axiológicamente resulta igualmente inasumible. En particular, si se pretendiera concluir que en el orden penal la prueba ilícita solo tendría efecto excluyente cuando pudiera imputarse al Estado, pero se mantuviera un ámbito más amplio de exclusión de la prueba obtenida por particulares en los otros órdenes jurisdiccionales, se caería en tal caso en un mundo al revés axiológico, en el que se restringirían los efectos tuitivos de la prueba ilícita allí donde más necesarios son: frente al poder punitivo del Estado.

4.4. Crítica a la tesis estricta (II): errores de importación

La teoría de la imputación al Estado –como exponente de la tesis estricta- no encaja en el sistema español, como tampoco encaja el fundamento de la disuasión policial. Proviene de sistemas y tradiciones jurídicas distintas -tanto el estadounidense¹⁴³ como el alemán¹⁴⁴-que en ocasiones se importan irreflexivamente. Ciertamente, ninguna de esas legislaciones tiene un artículo 11.1 LOPJ (ni un 283 LEC o un 90 LRJS), a cuyo contenido debieran someterse los criterios doctrinales sobre la prueba ilícita.

Pero incluso quedándonos solo en el proceso penal, ninguno de esos sistemas incorpora las figuras de la acusación particular o la acusación popular. En el sistema penal español, como es sabido, el Ministerio Fiscal no tiene el monopolio de la acusación, y las acusaciones privadas tienen plenas posibilidades de ejercer la acción penal en igualdad de condiciones que el Fiscal. Ello implica, además, que no solo será la policía judicial la que ejerza labores de investigación, sino que los particulares -con vistas a erigirse en acusadores- podrán tener un papel protagonista en la obtención de las fuentes de prueba.

Dicho de otro modo, a diferencia de en otros sistemas, en el español la investigación sobre el delito puede quedar enteramente en manos privadas, por lo que la teoría de la imputación al Estado -o el fundamento disuasorio- ni siquiera alcanza razonablemente a justificar el instituto de la prueba ilícita dentro del sistema penal.  En este sentido, el argumento que da Pouchain para rechazar la ilicitud de la prueba en los particulares es doblemente errado. Afirma este autor que “tornar la validad [sic] probatoria dependiente exclusivamente de la voluntad privada consagraría un poder de disposición de los particulares sobre la admisibilidad de los medios de prueba y dejar la suerte del proceso penal, en gran medida, en las manos de los investigadores privados”¹⁴⁵. Es errada porque, en rigor, la admisibilidad de la prueba no depende nunca de los particulares -igual que no depende de la policía-; depende del Juez o el Tribunal que ha de decidir sobre su incorporación como prueba -no como fuente de prueba- al procedimiento. Pero es errada también en su aplicación al sistema español, en el que no la admisibilidad como prueba, pero sí la obtención de las fuentes de prueba puede perfectamente quedar en las manos de investigadores privados, pudiendo ejercerse también la acusación por personas o entidades privadas.

4.5. Crítica a la tesis estricta (III): contraria a la doctrina del Tribunal Constitucional

Un dato más para el rechazo de la tesis estricta es su manifiesta contradicción con la doctrina del Tribunal Constitucional. Ya no es solo que, como decíamos, la STC 114/1984 respondiera a un supuesto de prueba obtenida por un particular, o que entre los pronunciamientos del Alto Tribunal puedan encontrarse diversas sentencias sobre la prueba ilícita en el orden civil o laboral. Lo que ahora me interesa destacar es que la propia STC 97/2019, que avaló la doctrina Falciani, se manifiesta expresamente a favor de asignar el mismo tratamiento a la prueba ilícita obtenida por particulares que a la obtenida por la policía, siempre que -al menos así la interpreto- se hubiera buscado de propósito para su utilización como prueba en el proceso.

De una parte, el Tribunal hace una lectura más amplia del fundamento preventivo, incorporando también a los particulares como destinatarios de la disuasión:

De otra, equipara el alcance de la regla de exclusión tanto si es un particular como si es un agente estatal, al no incluir ninguna modulación ponderativa en función de ese elemento subjetivo. Afirma, así, el Tribunal: 

5. Elogio y refutación de la tesis intermedia

Ya anticipábamos que la que hemos denominado tesis intermedia es la que mejor se acomodaba al tenor literal de la sentencia del Tribunal Supremo, y es también la que parece encuadrarse mejor en las consideraciones efectuadas por el Tribunal Constitucional en la sentencia citada.  En efecto, como acabamos de ver el Alto Tribunal asume que, como punto de partida, la prueba obtenida ilícitamente por un particular no debiera recibir un tratamiento distinto que la obtenida por un agente público, y en ambos casos la regla será la exclusión probatoria. Ello permite excluir la tesis más restrictiva, como decíamos.

Por otra parte, hemos visto también que la STC 97/2019 pone el acento en la instrumentalización de la integridad del proceso por quien obtiene una prueba vulnerando derechos fundamentales: lo que persigue la regla de exclusión es combatir las “vulneraciones de derechos fundamentales (…) encaminadas a obtener ventajas procesales”. Desde esta perspectiva, parece razonable entonces que la regla alcance también a los casos en los que el particular actúa de propósito para obtener pruebas que presentar a un procedimiento judicial, en los términos que plantearía la exégesis intermedia.

Estamos, podría decirse, ante un término medio razonable: de una parte, la regla de exclusión no ha de alcanzar a todos los casos en los que surge un hallazgo probatorio derivado de la vulneración de un derecho fundamental, sino únicamente en los casos en que esa vulneración se realiza con la finalidad de obtener prueba. De otra parte, existiría una práctica identidad de tratamiento en la obtención pública y privada de la prueba: lo fundamental será que se actúe con dicha finalidad de acopio probatorio ilícito, con independencia de si es un agente público -quien por lo general actuará con ese propósito- o un particular.

Por ende, esta concepción de la prueba ilícita llegaría a resultados razonables en el ámbito de las investigaciones internas. Como ya se puso de manifiesto, en la práctica será habitual que las investigaciones reactivas, aquellas que surgen tras el afloramiento de sospechas sobre la comisión de delitos en la empresa, se realicen con la finalidad de obtener elementos de prueba para su aportación a un procedimiento, por lo que los casos de ilicitud en la obtención de la prueba quedarían prima facie -sin perjuicio de ponderaciones y (des)conexiones de antijuridicidad- abarcados por la regla de exclusión.

Pese a lo expuesto, no tengo claro que estemos ante el mejor criterio para aplicar la regla de exclusión en la obtención de prueba por particulares. De una parte, creo que es oportuno modular esa identidad de tratamiento entre particulares y agentes públicos en la obtención ilícita de la prueba. De otra parte, creo que hay razones que justifican un ámbito de aplicación de la regla de exclusión más amplia para los casos de particulares, en la línea de la que hemos llamado tesis extensiva, que abarque también supuestos en los que el menoscabo del derecho se realice sin el propósito directo de aportar la prueba a un procedimiento, pero en los que se asuma o no se descarte un uso futuro como prueba del hallazgo obtenido.

6. ¿Identidad de trato entre agente público y privado? (I) Actuación sin ánimo de obtener prueba

Con arreglo a la tesis intermedia, cuando un particular vulnera un derecho sin el propósito de obtener prueba no entraría en aplicación la regla de exclusión, y el hallazgo podría ser utilizado como prueba. Si además asumimos esa identidad de tratamiento a que podría llevarnos determinada interpretación de la STC 97/2019, podríamos terminar por concluir que tampoco sería de aplicación la regla de exclusión probatoria cuando un agente público descubre indicios de la comisión de un delito vulnerando un derecho pero sin intención de obtener pruebas. A esa conclusión es a la que, de hecho, ha llegado recientemente el Tribunal Supremo con la STS 891/2022, de 11 de noviembre, en la que, en una pirueta argumental, se terminan por aplicar los criterios de la doctrina Falciani al hallazgo incriminatorio obtenido por un agente de la Guardia Civil.

La Sala Segunda confirma la condena sobre varios argumentos concatenados. Por una parte, considera que las pruebas finalmente utilizadas estarían normativamente desconectadas del discutido hallazgo inicial, al haber consentido el ciudadano en el registro e incautación de cualquier dispositivo que se encontrara. Pero por otra, rechaza también la ilicitud de la fuente de prueba, del propio hallazgo, con criterios propios de la doctrina Falciani:

A mi modo de ver, el planteamiento desarrollado por dicha sentencia es poco convincente. Obviando otras consideraciones críticas que pudieran efectuarse¹⁴⁶, en lo que tiene que ver con el tema que nos ocupa cabe oponer dos reproches básicos. Por una parte, no puede compartirse que el agente haya actuado bajo supuestos protocolos policiales respecto de objetos perdidos -no puede ser el protocolo oficial acceder a un ordenador, un móvil o a un sobre con correspondencia privada, máxime cuando se dispone de la documentación del titular-. Lo cierto es que la sentencia ni siquiera intenta argumentar a qué protocolos se está refiriendo. Tampoco es razonable afirmar que actuó de buena fe, cuando ex ante no había necesidad alguna de quebrantar la esfera privada de un ciudadano. Fuera por curiosidad, capricho o aburrimiento, el agente actuó con una inequívoca voluntad de menoscabar el derecho a la intimidad. Es más, precisamente porque no había necesidad alguna de investigar un delito grave -cuya existencia solo se conoció ex post facto¹⁴⁷– es por lo que debe rechazarse que actuara de buena fe, en tanto en cuanto no había ninguna razón de ser legítima en el actuar del agente¹⁴⁸.

Por otra parte, la sentencia contradice el propio fundamento de la doctrina Falciani: al extender a la actuación de agentes públicos el criterio restrictivo que dicha doctrina diseña para los particulares, pervierte el sentido del fin disuasorio que está en la base de la STS 116/2017. Es precisamente en estos casos, cuando la policía actúa arbitrariamente y en claro abuso de sus facultades, cuando más necesario se revela ese efecto disuasorio.

A mi modo de ver, también en los casos en que un agente público actúa al margen de una investigación previamente iniciada o sin la intención de obtener pruebas debe aplicarse la regla de exclusión probatoria, no solo ante la necesidad de disuadir tales excesos policiales sino, sobre todo, por la quiebra del Estado de Derecho y -ante su admisión como prueba- del derecho a un proceso con todas las garantías que tales conductas conllevan. Sin embargo, a una conclusión distinta cabría llegar en los casos en que es un particular el que halla un indicio incriminatorio tras una conducta lesiva de un derecho fundamental completamente ajena a la búsqueda de pruebas de actos susceptibles de ser sometidos a un proceso penal. No estando el particular investido de la autoridad de un agente público, ni encarnando por tanto el ius puniendi del Estado, el propio acto lesivo del derecho no menoscaba los principios que conforman el Estado de Derecho, y la completa desconexión objetiva y subjetiva con el proceso -con la obtención de pruebas- permite descartar la instrumentalización del derecho a un proceso con todas las garantías que justifica la aplicación de la regla de exclusión¹⁴⁹. Recordando los términos de la seminal STC 114/1984, el criterio determinante para la aplicación del artículo 11 LOPJ sería el de obtener una ventaja indebida en el proceso a costa de la vulneración de un derecho fundamental y en detrimento del proceso debido y el principio de igualdad. Recuérdese que la garantía constitucional vinculada a la inadmisibilidad de la prueba ilícita no deriva de los derechos sustantivos lesionados, sino del derecho a un proceso con todas las garantías. Si ello es así, si lo determinante para que entre en juego la regla de exclusión no es, en sí misma, la vulneración del derecho fundamental sustantivo –la intimidad, la inviolabilidad del domicilio, etc.- sino la manipulación de las reglas del proceso debido consistente en obtener una ventaja indebida con la aportación de los frutos de esa conducta ilícita, solo cuando exista una relación funcional entre vulneración del derecho y el procedimiento -consistente en la búsqueda de medios de prueba- tendrá sentido acudir a la medida de higiene procesal consistente en expulsar la prueba contaminada.

Esa relación funcional no estará, sin embargo, presente cuando un particular lesiona un derecho fundamental sin previsibilidad alguna de que lo que pueda averiguar haya de erigirse en prueba en un proceso. En tal caso no se produce ese riesgo de instrumentalización del derecho a un proceso con todas las garantías, y existirán otros remedios jurídicos -incluido penales- para reaccionar frente a la vulneración del derecho sustantivo. Pero cuando es un agente del Estado, salvo que actúe de buena fe, la información obtenida ilícitamente deberá ser rechazada como prueba incluso aunque su actuación no esté enmarcada de una investigación, so pena de erosionar el Estado de Derecho.

7. ¿Identidad de trato entre agente público y privado? (II) La excepción de la buena fe

También debe rechazarse una identidad de trato entre agentes públicos y privados en los supuestos de buena fe, entendidos como aquellos en los cuales el sujeto actúa en la creencia de que su conducta es lícita. Antes habíamos aludido a la STC 22/2003, en la que, por vez primera y única, el Tribunal Constitucional aplicó la excepción de la buena a un supuesto en el que la policía vulneró el derecho a la inviolabilidad del domicilio de una persona detenida, al acudir a la vivienda a recabar el consentimiento de su mujer y denunciante. Es cierto que estábamos ante un supuesto muy particular, puesto que tal vulneración fue declarada por el propio Tribunal Constitucional y en virtud de una doctrina creada ex novo en dicha sentencia e inexistente, por tanto, cuando ocurrieron los hechos. Pero, como destacábamos, la aplicación consecuente de esa excepción de la buena fe a la prueba directamente conectada con la vulneración de derechos implicaría la práctica desaparición de la regla de exclusión probatoria. Ello es así -ya lo anticipábamos- porque en la mayoría de los casos en los que los tribunales han aplicado el artículo 11.1 LOPJ son, en rigor, supuestos de buena fe policial, en los que la vulneración del derecho se produce como consecuencia de una deficitaria motivación del auto judicial habilitante. Ciertamente, la policía no tiene un deber de supervisión sobre la calidad de las resoluciones judiciales, por lo que en todos esos supuestos su actuación viene presidida por la creencia en la plena licitud de su actuación.

La excepción de la buena fe es, por lo demás, un claro ejemplo de las consecuencias a que llevaría una asunción coherente del fundamento exclusivo de la disuasión policial¹⁵⁰. En efecto, si tal fuera el fundamento correcto de la regla de exclusión, ninguno de esos casos de lesión por déficits en la actuación judicial tendría que conllevar el efecto previsto en el artículo 11.1 LOPJ, porque no tendría sentido buscar un efecto disuasorio ante una actuación policial que se asumía como lícita.

Sin embargo, desde el fundamento basado en la integridad del proceso la buena fe policial no puede justificar la admisión probatoria. De una parte, porque en los supuestos a que estamos aludiendo también un deficitario control judicial en la salvaguarda de los derechos fundamentales menoscaba el derecho a un proceso con todas las garantías y erosiona las bases del Estado de Derecho. De otra parte, porque incluso en los casos en los que no media un posterior acto de control judicial sino que es la policía quien lesiona un derecho actuando a iniciativa propia -por equivocadas razones de urgencia, por una indebida ponderación de la flagrancia delictiva, etc.-, debe impedirse que quien encarna el ius puniendi obtenga, con su inclusión como prueba en el proceso, una ventaja indebida para fundar una pretensión condenatoria a costa de la igualdad de las partes y, en última instancia, de la presunción de inocencia del ciudadano¹⁵¹.

Sin embargo, creo que es razonable soslayar la aplicación de la regla de exclusión cuando es un particular el que -sin manipulación o instigación policial- encuentra indicios delictivos menoscabando un derecho en la creencia de que su conducta era lícita¹⁵², incluso cuando su conducta venga motivada por la búsqueda de elementos probatorios.

Ante estos casos cabe asumir dos perspectivas básicas. Una concepción estrictamente objetiva del artículo 11.1 LOPJ, según la cual basta que una fuente de prueba emane de una lesión de derechos para que entre a jugar la regla de exclusión se me antoja en exceso rigorista y desproporcionada. Creo que, sin abandonar el tenor gramatical del precepto y en virtud de una exégesis basada en el fundamento de la institución, es pertinente introducir criterios de ponderación objetivos -la entidad de la vulneración, por ejemplo-, subjetivos y contextuales que -como ya subrayaba la STC 114/1984- acomoden la aplicación de esa medida reactiva a las circunstancias y matices del caso concreto.

Como destaca la STS 56/2022, la efectiva operatividad de la regla de exclusión “obliga a tomar en cuenta el contexto en el que se produce la infracción y la finalidad perseguida con el acto injerente. Como se apuntaba con anterioridad, cada caso reclama un estándar de protección y la aplicación de un ‘balance’ concreto de los intereses en juego que tome en cuenta, entre otros, el concreto derecho afectado, la gravedad o entidad objetiva de la infracción, la intencionalidad del infractor, la naturaleza y entidad objetiva que tenga el hecho investigado, la inevitabilidad o no del descubrimiento de la prueba, etc.”.

Desde tales premisas, y a diferencia de en los casos de actuación policial, creo que, con carácter general, la prueba surgida de una actuación de buena fe por un particular -o mejor: con error invencible sobre la ilicitud de la conducta- no constituye una instrumentalización de las reglas del debido proceso, ni puede interpretarse como un aprovechamiento de la vulneración del derecho fundamental para obtener una ventaja procesal injusta. Dicho de otro modo: si, como decíamos, no concurre una relación funcional entre vulneración y prueba cuando un particular lesiona un derecho fundamental sin previsibilidad alguna de que lo que pueda averiguar haya de erigirse en prueba en un proceso, tampoco se daría esa relación cuando se obtiene una prueba sin conciencia alguna de ilicitud por el agente privado.

Resumiendo lo expuesto hasta ahora, podríamos establecer varios grupos de casos. Los supuestos de identidad de tratamiento entre agentes públicos y privados serían los siguientes: (i) si se vulnera conscientemente un derecho con el propósito de obtener prueba será de aplicación la regla de exclusión probatoria; (ii) si se vulnera de buena fe un derecho sin ánimo de obtener prueba no será aplicable en ningún caso la regla de exclusión probatoria (estaremos ante un -impropio¹⁵³– “hallazgo casual”). Y los supuestos que recibirían un tratamiento dispar en función de si es un agente público o un particular serían los siguientes: (iii) si se vulnera un derecho conscientemente pero sin ánimo de obtener prueba será aplicable la regla de exclusión probatoria cuando estemos ante un agente público, pero no cuando sea un particular; (iv) si se vulnera de buena fe un derecho pero con ánimo de obtener prueba será aplicable la regla de exclusión probatoria cuando estemos ante un agente público, pero no cuando sea un agente privado.

8. Un paso más: la tesis extensiva

Como anticipaba, considero que la tesis intermedia se queda corta, al restringir la aplicación de la regla de exclusión (al margen de los casos de imputación al Estado) a los casos en que el particular actúa con el propósito de obtener prueba, y dejar fuera, por tanto, supuestos en los que el actor vulnera un derecho fundamental admitiendo la posibilidad de que el hallazgo sea aportado a un procedimiento judicial.

Vaya por delante que no pretendo afirmar que esa deba ser la exégesis correcta de la STS 116/2017. Si esa fuera la concepción de la Sala Segunda, seguramente el fallo habría sido otro, porque era perfectamente factible concluir que el Sr. Falciani albergaba esa posibilidad cuando sustrajo los datos protegidos…como también era perfectamente factible concluir que el Tribunal Supremo en ningún momento tuvo intención de declarar ilícita la lista Falciani. Lo que estoy planteando es una propuesta de interpretación del artículo 11 LOPJ, no del pronunciamiento judicial.

Sin pretender agotar todos los supuestos que pueden surgir -e insistiendo en que, en todo caso, la aplicación de la regla de exclusión dependerá de la ponderación de las circunstancias del caso concreto-, podemos simplificar la exposición en torno a dos situaciones, ya mencionadas con anterioridad: en primer lugar, casos en los que cuando el particular -la empresa- menoscaba conscientemente un derecho fundamental asume o no descarta que los hallazgos obtenidos puedan ser aportados como medio de prueba (casos de “dolo eventual” o “dolo condicionado”); en segundo lugar, casos en los que el particular no se plantea ex ante esa posibilidad sino que la decisión de aportarla surge en un momento posterior (“dolus subsequens”).

A mi modo de ver, los supuestos en los cuales el agente asume o no descarta que el fruto de su injerencia en un derecho fundamental puede terminar por aportarse a un procedimiento judicial deberían recibir también la respuesta prevista en el artículo 11 LOPJ. Si en el momento de producirse la lesión consciente del derecho fundamental se asume que los hallazgos que se obtengan pueden ser utilizados como prueba, se está admitiendo ya la eventualidad de una instrumentalización del derecho fundamental para obtener una ventaja indebida en el proceso, por lo que si finalmente se aporta esa prueba a un procedimiento se estará dando esa conexión funcional -prevista ex ante– entre lesión del derecho y procedimiento que produce el menoscabo del derecho a un proceso con todas las garantías.

Recuérdese, por ejemplo, el caso resuelto por la STS 457/2020, de 17 de septiembre, que mencionaba cuando exponía la posibilidad de acoger esa “tesis amplia” sobre la doctrina Falciani. Por mucho que la madre no actuara con el exclusivo propósito de aportar las grabaciones realizadas a la policía o a un juzgado, la sola expectativa de que con ellas podía obtener pruebas de los abusos sexuales cometidos por el progenitor contra su propia hija -y así como el hecho de que después llamara anónimamente a la policía para preguntar qué hacer- permiten concluir sin lugar a dudas de que en el momento de la injerencia en el derecho ya contaba con una elevada probabilidad de que esas grabaciones se iban a emplear para fundar la acusación del autor de los hechos; máxime teniendo en cuenta el deber (incluso de índole penal, en este caso), de denunciar e impedir la continuación de la comisión del delito. En casos como este resulta indudable que el sacrificio del derecho fundamental está potencialmente vinculado a su conversión en prueba y, por tanto, a la lesión del proceso con todas las garantías. Sin perjuicio de las modulaciones inherentes al análisis de cada caso concreto, creo que, con carácter general, en supuestos de esa índole debe ser aplicada la regla de exclusión probatoria.

Diferente tratamiento merecen, a mi entender, en los supuestos en que la decisión de aportar el hallazgo al proceso surge ex novo después la vulneración del derecho; siempre, ciertamente, que en el momento previo el agente no se haya planteado esa posibilidad. Estamos ante los casos, antes analizados, en los que un particular actúa (vulnerando el derecho) sin intención de obtener pruebas. Cuando además de esa ausencia de intención no exista expectativa alguna de que lo hallado podrá ser aportado a la policía o a un juzgado -por ejemplo, porque no exista expectativa previa de que pueda haberse cometido un delito-, estaremos ante una lesión de derechos completamente desvinculada del procedimiento judicial. Estaríamos ante esos hallazgos obtenidos por azar claramente excluidos de la doctrina Falciani.

9. La regla de exclusión en las investigaciones internas

9.1. Investigaciones preventivas y reactivas

Traslademos estos supuestos a la empresa. En relación con estos últimos casos, serán poco habituales los supuestos en que de una investigación interna emanen indicios delictivos por mero azar, puesto que el inicio de una investigación interna vendrá dado, por norma general, por una previa sospecha de comisión de actos ilícitos, situación en la que habrá ya surgido la posibilidad de que los resultados de la investigación puedan ser finalmente aportados a un procedimiento judicial.

Esa posibilidad podría darse únicamente, a mi entender, en casos de investigaciones preventivas o de auditoría -aquellas destinadas a revisar la adecuación de los programas de compliance-, si bien lo que será poco habitual es que en tales investigaciones rutinarias se vulneren derechos de empleados. En todo caso, si así aconteciera, creo que no sería de aplicación la regla de exclusión probatoria, porque estaríamos ante hallazgos obtenidos al azar, y desvinculados funcionalmente del fin de obtención de pruebas¹⁵⁴.

A una conclusión distinta ha de llegarse con relación a las investigaciones reactivas. En ellas, la previa existencia de sospechas sobre la comisión de un delito determina que, incluso cuando esa posibilidad quede condicionada a los resultados de la investigación o a otros factores -a si es un delito atribuible a la empresa o no, a la entidad probatoria de los resultados, a la ponderación de riesgos reputaciones-, en el momento en que comienza la investigación interna -y en el momento en que, en el marco de dicha investigación, se menoscaba el derecho fundamental-, se estará asumiendo una posibilidad de que los hallazgos obtenidos puedan introducirse en un procedimiento judicial; expectativa que será suficiente, a mi entender, para la entrada en juego de la regla de exclusión probatoria. Ciertamente, el análisis sobre la existencia de esa expectativa dependerá también de circunstancias del caso concreto. A este respecto, considero que no debe exigirse excesiva concreción de esa representación (de ese “dolo eventual”) en relación con el ilícito investigado o el procedimiento de destino; por ejemplo, si la investigación lesiva de un derecho fundamental del trabajador se realiza ante sospechas de incumplimiento laboral y con vistas a un despido y de ella surgen indicios delictivos, la prueba será en todo caso ilícita.

Semejante esquema de valoración deberá aplicarse en los casos en que el hallazgo emana de un trabajador. Si un informante comunica a través del canal de denuncias un hallazgo indiciario de responsabilidad penal de otro trabajador obtenido con vulneración de derechos fundamentales (por ejemplo: el informante ha accedido al correo electrónico privado del denunciado), ese hallazgo probatorio será inadmisible como prueba si el informante se injirió en la esfera de privacidad del otro trabajador para corroborar previas sospechas de actos ilícitos; no, sin embargo, si no existía expectativa alguna de que pudieran obtenerse tales sospechas ni de que, por tanto, los hallazgos podrían conformar una denuncia interna. En aquel caso, además, creo que la investigación interna que se desarrollara a partir de ese origen ilícito conllevaría el riesgo de que fuera inadmisible si pretendiera utilizarse en un procedimiento penal.

 9.2. Cuando el Estado se apropia de la prueba

Una cuestión adicional: ¿qué ocurre con los casos en los que es la policía o un juez instructor el que recaba los resultados de la investigación interna? En la práctica, pueden darse casos en los que la empresa haya obtenido indicios de delito a través de una investigación interna lesiva de derechos fundamentales y que antes de que haya dado el paso de aportar esos hallazgos a un procedimiento, un juzgado requiera los resultados de la investigación corporativa, o bien que se produzca una entrada y registro en la que se incauten las fuentes y resultados de la investigación ¿Sería en todo caso inadmisible la prueba para fundar una pretensión acusatoria, ya contra la empresa, ya contra un empleado?

A mi modo de ver, en estos casos la intervención sobrevenida de la autoridad policial o judicial modifica los términos del problema. En tales casos, ese elemento subjetivo de que venimos hablando, el hecho de que la empresa se hubiera representado o no su futura aportación como prueba en el momento en que realiza la investigación, debiera quedar en un segundo plano. Lo fundamental es que, desde la perspectiva de la intervención del Estado, estaríamos ante una suerte de hallazgo casual -en tanto en cuanto la vulneración del derecho de la que emana la prueba era imprevisible, y se obtiene tras una actuación plenamente legítima-. Así, si estamos realmente ante una actuación sobrevenida del Estado y la obtención ilícita de la fuente de prueba es, para el Estado, realmente imprevisible, estos casos deberían recibir el mismo trato que los hallazgos casuales y ser, por tanto, admitidos como prueba.

A una conclusión distinta habría de llegar, no obstante, si es posible concluir que, bien por el Estado bien por la empresa, se ha producido una manipulación o instrumentalización de la ilicitud probatoria. Por ejemplo, cuando la policía, en concierto con la empresa, ha intervenido o gobernado la investigación lesiva del derecho. O cuando la policía conoce a posteriori la existencia de la investigación y, pese a conocer sus vicios de rango constitucional, pretende aprovecharse de ellos requiriendo, directamente o a través del juzgado instructor, los frutos de ese origen contaminado. También cuando es la empresa la que discreta o abiertamente ofrece esa investigación a la policía ocultando su mácula. En esas situaciones sí puede hablarse de una instrumentalización de la vulneración del derecho a costa de las reglas del proceso debido. Sin embargo, si el Estado se hace con esa fuente de prueba espontáneamente y sin conocimiento ni previsión de su origen ilícito, creo que no existirán razones para justificar la regla de exclusión¹⁵⁵.

10. La prueba favorable a la inocencia

Una última cuestión sobre la prueba ilícita que puede presentar relevancia en la actividad investigadora de la empresa es el alcance de la regla de exclusión a las pruebas de descargo¹⁵⁶. La finalidad de una investigación interna puede ir dirigida a acreditar los elementos que determinan la ausencia de responsabilidad de la persona jurídica; puede, así, “ayudar a la empresa a demostrar que el programa de cumplimiento normativo ha funcionado adecuadamente, si bien lo que ha sucedido es que el autor del delito lo ha cometido eludiendo fraudulentamente los modelos de organización y de prevención (art. 31 bis, núm. 2, 3.º, CP)”¹⁵⁷. Junto a ello, una investigación empresarial puede ir dirigida también a acreditar la ausencia de responsabilidad de un directivo o empleado, ya sea como estrategia de defensa de la propia persona en relación con su propia responsabilidad, ya sea para combatir su condición de responsable civil subsidiario.

Ante la circunstancia de que hallazgos exculpatorios o de descargo puedan obtenerse previa vulneración de derechos fundamentales, surge la duda de si tales fuentes de prueba quedan afectadas por el artículo 11.1 LOPJ. Dicha cuestión, además, puede tornarse más compleja en aquellos casos, no inhabituales, en los que una fuente de prueba tenga valor tanto de cargo como de descargo. Así, en el ámbito de las investigaciones corporativas, puede ser habitual que surja un conflicto entre el derecho defensa de la persona jurídica y el del trabajador que ha podido cometer el delito (el hecho de referencia), en la medida en que la estrategia de defensa de la persona jurídica puede venir presidida por la necesidad de acreditar ese hecho delictivo a fin de colaborar con la investigación judicial, o bien por probar que el trabajador eludió fraudulentamente los controles internos de prevención de delitos y no hay, por ello, un defecto de organización interna. Como se ha destacado, “es más que probable que la mejor defensa de la entidad exija ir en contra de los intereses de las personas físicas responsables de la infracción o infracciones cometidas en su seno -objeto de la correspondiente investigación interna- porque dicha entidad deberá resaltar, para obtener algún beneficio, el buen hacer de la organización, frente a las infracciones cometidas por sus miembros”¹⁵⁸. En tales casos, frente a la aportación de prueba por la persona jurídica, el empleado a quien dicha prueba señala invocará el artículo 11 LOPJ para solicitar su exclusión del procedimiento por haberse obtenido con vulneración de sus derechos -o de los de otro empleado-.

Tal como he manifestado en otro lugar¹⁵⁹, el lugar preeminente que ocupa la presunción de inocencia en el proceso penal, y la consiguiente asimetría en las cargas probatorias y facultades de defensa entre las partes¹⁶⁰, permite establecer un diferente alcance aplicativo al artículo 11.1 LOPJ cuando la ilicitud de la prueba ha sido obtenida con la finalidad de obtener pruebas de cargo que cuando se persigue acreditar un hecho de descargo. En el balance de intereses que confluyen en la decisión de exclusión probatoria, la acreditación de la inocencia de quien es sometido al ius puniendi posee mayor peso que la finalidad de disuasión frente a lesiones de derechos -para lo que existen otros equivalentes funcionales- o la integridad del proceso. A este respecto, no puede desconocerse que el conjunto de garantías que conforman el derecho al debido proceso tiene como justificación última reforzar el estatuto procesal del acusado frente al poder Estatal de castigar, y son, por ello, tributarias del derecho a la presunción de inocencia como núcleo axiológico del proceso penal¹⁶¹. Esa particular posición que ocupa el acusado en el proceso, y la asimetría esencial que presenta frente a las partes acusadoras, permiten soslayar la relevancia que para la integridad del procedimiento y el derecho a la igualdad de las partes puede conllevar que sea el acusado quien instrumentalice un derecho fundamental ajeno para defender su inocencia. Si, como advierte el clásico adagio, es preferible que cien culpables queden absueltos a que un inocente sea condenado¹⁶²,  puede considerarse razonable y asumible que la exclusión de la prueba ilícita provoque la absolución de un culpable, pero ha de resultar intolerable que la exclusión de la prueba ilícitamente obtenida provoque la condena de un inocente¹⁶³.

En semejante sentido se manifestaba también el autor del voto particular a la STS 569/2013, de 26 de junio, el cual, como ya hemos puesto de manifiesto, sirvió de base e inspiración a la doctrina Falciani. Afirmaba el Magistrado Antonio del Moral que “cuando la prueba ilícita acredita la inocencia –se trata de prueba exculpatoria– debe ceder la prohibición de su utilización. Renunciar al castigo del delincuente para preservar los derechos fundamentales de manera más eficaz es asumible. Pero que, en aras de ese mecanismo, meramente preventivo, de protección se condene al inocente no es aceptable. En este conflicto ha de prevalecer sin duda el derecho del inocente a no ser injustamente sancionado. […]. Una interpretación que basada en la literalidad del artículo 11.1 LOPJ llevase a sustraer al jurado la prueba obtenida ilícitamente que corrobora la coartada del acusado y acredita su inocencia, en entredicho por otro material incriminatorio, no es compatible con los valores constitucionales”¹⁶⁴.

¿Y qué ocurre cuando la prueba de descargo ilícitamente obtenida tiene también carga incriminatoria frente a terceros? En la línea de los supuestos a que antes aludíamos: los correos electrónicos de un trabajador acreditan tanto su intervención en un delito de corrupción privada como que el hecho se cometió sorteando fraudulentamente las barreras preventivas del modelo de cumplimiento de la empresa. O bien exculpan al CEO (A) inicialmente investigado, pero involucran a otro alto ejecutivo de la empresa (B).

Si asumimos estos supuestos como casos trágicos- aquellos en los que no cabe una solución que no implique la lesión de un interés protegido- habría de llegarse a la conclusión de que para conseguir acreditar la inocencia de A sería necesario que B resultara condenado a partir de una prueba ilícita, vulnerándose su derecho a un proceso con todas las garantías y, también, su derecho a la presunción de inocencia. O viceversa: si aplicamos la regla de exclusión probatoria a fin de evitar la lesión de los derechos de B, la inadmisibilidad de la prueba implicaría el riesgo inasumible de que un inocente, A, fuera condenado.

Pese a esa apariencia trágica, creo que el dilema es resoluble, y pasa por tomar en cuenta únicamente el valor de descargo de la fuente de prueba, pero no su valor de cargo. Es decir, la prueba puede ser admitida únicamente con el fin de acreditar la inocencia de A, o la atenuante de la persona jurídica, pero no puede ser utilizada -ni como prueba única ni como indicio- para fundar la condena de B¹⁶⁵. El respeto al derecho a la presunción de inocencia impone esta solución.

Bibliografía

AGUSTINA SANLLEHÍ, J.R., El delito de descubrimiento y revelación de secretos en su aplicación al control del correo electrónico del trabajador, Madrid, 2009.

AGUSTINA SANLLEHÍ, J.R., “Sobre la defensa del patrimonio de la empresa como causa de justificación por el lesionar la intimidad laboral”, InDret 3 (2022),pp. 371 ss.

ALCÁCER GUIRAO, R., “Investigaciones internas: prolegómenos constitucionales y cuestiones abiertas”, en: Bolea Bardón, C., y otros, Un modelo integral de Derecho penal. Libro Homenaje a la profesora Mirentxu Corcoy Bidasolo, Madrid, 2022, pp. 989 ss.

ALCÁCER GUIRAO, R., “Algunas dudas sobre la duda razonable. Prueba de descargo, estándares de prueba e in dubio pro reo”, Revista Electrónica de Derecho Penal y Criminología 23-09 (2021).

ALCÁCER GUIRAO, R., La libertad del odio, Madrid, 2020.

ALCÁCER GUIRAO, R., “Retos para el Compliance penal: Barbulescu, Falciani y el reforzamiento de garantías en el proceso penal”, en Cancio Meliá, M. y otros, Libro Homenaje al Profesor Dr. Agustín Jorge Barreiro, 2019, pp. 33 ss.

ALCÁCER GUIRAO, R., “Investigaciones internas”, en: Ayala Gómez, I./Ortiz de Urbina Gimeno, I., Memento Penal Económico y de la Empresa 2016-2017, Madrid, nn. mm. 1680 ss.

ALCÁCER GUIRAO, R., “Cumplimiento penal por la persona jurídica y derechos fundamentales: la intimidad como límite a la vigilancia empresarial”, La Ley n.º 1685 (2013).

ALCÁCER GUIRAO, R., “La devaluación del derecho a la contradicción en la jurisprudencia del TEDH”, InDret 4 (2013).

ALCÁCER GUIRAO, R., “Derecho a la intimidad, investigación policial y acceso a un ordenador personal. Comentario a la STC 173/2011, de 7 de noviembre”, La Ley Penal 92 (2012).

ALONSO GALLO, J., “Los programas de cumplimiento”, en: Díaz Maroto y Villarejo, J. (dir.), Estudios sobre las reformas del Código Penal, Madrid, 2011.

ALTÉS TÁRREGA, J.A./FITA ORTEGA, F., “La prueba ilícita en el proceso laboral. Sus efectos sobre el despido”, LABOS Revista de Derecho del Trabajo y Protección Social 3 (2022), pp. 76 ss.

ARMENTA DEU, T., La prueba ilícita: un estudio comparado, Madrid 2ª edición, 2011.

ASENCIO MELLADO, J.M., “La STC 97/2019, de 16 de julio. Descanse en paz la prueba ilícita”, La Ley 9499 (2019).

ASENCIO MELLADO, J.M., “La teoría de la conexión de antijuridicidad como instrumento de limitación de los derechos fundamentales”, Jueces para la democracia 66 (2009), pp. 85 ss.

AYALA GONZÁLEZ, A., “Investigaciones internas: ¿zanahorias legislativas y palos jurisprudenciales?”, InDret 2 (2020), pp. 270 ss.

CASAS BAAMONDE, M.E./ÁNGEL QUIROGA, M., “Los derechos fundamentales a la intimidad y a la protección de datos en la economía digital. Geolocalización de los trabajadores a través del vehículo de empresa. Despido procedente”. Revista de Jurisprudencia Laboral 9 (2020).

CIGÜELA SOLA, J., “Compliance más allá de la ciencia penal”, InDret 4 (2019).

CIGÜELA SOLA, J./ORTIZ DE URBINA GIMENO, I., “La responsabilidad penal de las personas jurídicas: fundamentos y sistema de atribución”, en: Silva Sánchez, J.M. (dir.), Lecciones de Derecho penal económico y de la empresa, Barcelona, 2020, pp.97 ss.

COLOMER HERNÁNDEZ, I., “Derechos fundamentales y valor probatorio en el proceso penal de las evidencias obtenidas en investigaciones internas en un sistema de compliance”, en: Gómez Colomer, J.L. (Director), Tratado sobre Compliance Penal, Valencia, 2019, pp. 609 ss.

CORDÓN MORENO, F., “La degradación de la prueba ilícita en la Sentencia del Tribunal Constitucional 97/2019”, Publicaciones Gómez Acebo y Pombo, octubre 2019.

CORREA ZACARÍAS, C., “La prueba ilícita de los particulares: de cargo y de descargo”, Política Criminal 21 (2016) [Chile], pp. 120 ss.

CUADRADO SALINAS, C., Fundamento y efectos de la exclusión de la prueba obtenida con vulneración de derechos fundamentales. Análisis teórico y jurisprudencial de la regla de exclusión en los EEUU, Reino Unido, Tribunal Europeo de Derechos Humanos y España, Valencia, 2021.

DELGADO JIMÉNEZ, A.F., “El caso Barbulescu y su impacto en la jurisprudencia constitucional”, CONSINTER. Revista Internacional de Direito 7 (2018), pp. 163 ss.

DEL MORAL GARCÍA, A., “reflexiones sobre prueba ilícita”, Revista Científica del Centro Universitario de la Guardia Civil Logos 2023, pp. 34 ss.

DEL ROSAL BLASCO, B., “Las investigaciones internas en las empresas como estrategia preprocesal de defensa penal corporativa”, Diario La Ley, núm. 9180, 2018.

DESDENTADO BONETE, A./MUÑOZ RUIZ, A.B., Control informático, videovigilancia y protección de datos en el trabajo, Madrid, 2012

DÍEZ-PICAZO, L.M., Sistema de derechos fundamentales, Pamplona, 3ª edición, 2008.

ESTRADA I CUADRAS, A., en: VV. AA., “El «caso Pescanova». Comentario a la STS 89/2023, de 10 de febrero”, InDret 3 (2023), pp. 677 ss.

ESTRADA I CUADRAS, A., “‘Confesión o finiquito’: el papel del derecho a no autoincriminarse en las investigaciones internas”, InDret 4 (2020), pp. 226 ss.

ESTRADA I CUADRAS, A./LLOBET ANGLÍ, M., “Derechos de los trabajadores y deberes del empresario: conflicto en las investigaciones empresariales internas”, en: Silva Sánchez, J.M. (Dir.), Criminalidad de empresa y Compliance, Barcelona, 2013, pp. 197 ss.

FEIJOO SÁNCHEZ, B., “La función de la responsabilidad penal de las personas jurídicas en el derecho penal español”, REDEPEC 1 (2023). [Formato online].

FEIJOO SÁNCHEZ, B., “La responsabilidad penal de las personas jurídicas”, en: Díaz Maroto y Villarejo, J. (Dir.), Estudios sobre las reformas del Código Penal, Madrid, 2011, pp. 65 ss.

GALÁN MUÑOZ, A., “¿Cultura o estructura? ¿Esa es la cuestión? La difícil convivencia y coordinación de los dos sistemas de tratamiento penal de las personas jurídicas en el ordenamiento español”, Revista General de Derecho Penal 35, 2021.

GALÁN MUÑOZ, A., “Visiones y distorsiones del sistema español de responsabilidad penal de las personas jurídicas: un diagnóstico 13 años después”, REDEPEC 2 (2023). [Formato online].

GASCÓN ABELLÁN, M., “¿Freedom of proof? El cuestionable debilitamiento de la regla de exclusión de la prueba ilícita”, Jueces para la democracia 52 (2005), pp. 74 ss.

GASCÓN INCHAUSTI, F., “La prueba ilícita en el proceso civil, entre la exclusión y la ponderación”, en Asencio Mellado et. al. (coord..), Derecho probatorio y otros estudios procesales: Vicente Gimeno Sendra. Liber amicorum, Madrid, 2020, pp. 783 ss.

GÓMEZ COLOMER, J. L., “La evolución de las teorías sobre la prueba prohibida aplicadas en el proceso penal español. Del expansionismo sin límites al más puro reduccionismo. Una meditación sobre su desarrollo futuro inmediato”, en: El mismo (director), Prueba y proceso penal. Análisis especial de la prueba prohibida en el sistema español y en el derecho comparado, Valencia, 2008, pp. 107 ss.

GÓMEZ MARTÍN, V., “Compliance y derechos de los trabajadores”, en: Kuhlen et. alt., Compliance y teoría del Derecho Penal, Madrid, 2013, pp. 125 ss.

GÓMEZ MARTÍN, V., “¿Un nuevo golpe de gracia a las investigaciones internas corporativas? Reflexiones en voz alta sobre la sentencia de Tribunal Supremo 328/2021, de 22 de marzo”, en: Bolea Bardón, C., y otros, Un modelo integral de Derecho penal. Libro Homenaje a la profesora Mirentxu Corcoy Bidasolo, Madrid, 2022, pp. 1167 ss.

GÓMEZ-JARA DÍEZ, C., “El modelo constructivista de
(auto)responsabilidad penal de las personas jurídicas: tres contribuciones de la teoría a la práctica”, REDEPC 1 (2023). [Formato online].

GÓMEZ-JARA DÍEZ, C., “La incidencia de la autorregulación en el debate legislativo y doctrinal actual sobre la responsabilidad penal de las personas jurídicas”, en: Arroyo Jiménez, L./Nieto Martín, A. (Dres.), Autorregulación y sanciones, Madrid, 2008, pp. 253 ss.

GONZÁLEZ CUSSAC, J.L., Responsabilidad penal de las personas jurídicas y programas de cumplimiento, Valencia, 2020.

GONZÁLEZ URIEL, D./GADEA FRANCÉS J.E., “Las investigaciones internas y la responsabilidad penal de las personas jurídicas: aspectos teóricos y consecuencias prácticas”, REDEPEC 3 (2023). [Formato online].

JULIÀ-PIJOAN, M., “Un porqué a la observancia de las garantías procesales en las investigaciones internas”, Revista vasca de derecho procesal y arbitraje 3 (2021), pp. 317 ss.

LARENZ, K., Metodología de la ciencia del Derecho, Madrid, 1994.

LAUDAN, L., Truth, Error and Criminal Law, Cambridge, 2006.

MALDONADO MUÑOZ, M., Derechos y conflictos, Madrid, 2021.

MARCHENA GÓMEZ, M., “La ‘sentencia Falciani’: ¿hacia un nuevo concepto de prueba ilícita entre particulares?” Revista del Ministerio Fiscal, 3 (2017), pp. 43 ss.

MIRANDA ESTRAMPES, M., “La prueba ilícita: la regla de exclusión probatoria y sus excepciones”, Revista Catalana de Seguretat Pública, 2010, pp. 131 ss.

MIRANDA ESTRAMPES, M., El concepto de prueba ilícita y su tratamiento en el proceso penal, 2ª edición, Madrid, 2004.

MOLINA NAVARRETE, C., “El derecho a la vida privada del trabajador n el Tribunal Europeo de Derechos Humanos: ¿Diálogo o conflicto con la jurisprudencia social?”, Relaciones Laborales 145 (2018), pp. 121 ss.

MONTANER FERNÁNDEZ, R., “Compliance”, en: Silva Sánchez, J.M. (dir.), Lecciones de Derecho penal económico y de la empresa, Barcelona, 2020, pp. 97 ss.

MOSQUERA BLANCO, A.J., “La prueba ilícita tras la sentencia Falciani: Comentario a la STS 116/2017, de 23 de febrero”, InDret 3 (2018).

NIETO MARTÍN, A., “La autorregulación preventiva de la empresa como objeto de la política criminal”, Revista da EMERJ 22 (2020), pp. 9 ss.

NIETO MARTÍN, A., “Investigaciones internas”, en Nieto Martín, A. (Dir.): Manual de cumplimiento penal en la empresa, Valencia, 2015, pp. 231 ss.

NIETO MARTÍN, A., “Introducción”, en: Arroyo Zapatero, L./Nieto Martín, A. (Dtres.), El Derecho penal económico en la era compliance, Valencia, 2013, pp. 11 ss. [Cit. 2013 A].

NIETO MARTÍN, A., “Problemas fundamentales del cumplimiento normativo en el Derecho penal”, en: Kuhlen/Montiel/Ortiz de Urbina Gimeno (eds.), Compliance y teoría del Derecho penal, Madrid, 2013, pp. 21 ss. [Cit. 2013 B]

ORTIZ DE URBINA GIMENO, I., “La responsabilidad penal de las personas jurídicas y su impacto en el Derecho penal económico”, en: Ortiz de Urbina Gimeno, I., El Derecho penal desde la política criminal, Buenos Aires, 2021, pp. 465 ss.

ORTIZ DE URBINA GIMENO, I., “Trayectoria y cultura corporativa en la exención por cumplimiento normativo: ¿hacia una teoría aretéica de la responsabilidad penal de los entes colectivos?”, en: Ortiz de Urbina Gimeno, I., El Derecho penal desde la política criminal, Buenos Aires, 2021, pp. 539 ss.

PEÑARANDA EZPONDABURU, A., “Límites y riesgos de las investigaciones internas en la reciente jurisprudencia del Tribunal Supremo”, La Ley Penal 155 (2022).

FERNÁNDEZ PERALES, F., “La relevancia jurídico-penal del exceso en el ejercicio de derechos fundamentales en el caso ‘Aturem el Parlament’”, InDret 4 (2021), pp. 484 ss.

POUCHAIN, P. “Autoincriminación ‘forzada’ en las investigaciones internas. Prohibición probatoria según la imputación al Estado”, InDret 4 (2022), pp. 80 ss.

QUIRÓS HIDALGO, J.G., “Análisis del artículo 87 de la LOPDGDD: el uso de los dispositivos digitales por la persona trabajadora, su control por parte de la empresa y el devaluado derecho a la intimidad”, Revista de Trabajo y Seguridad Social CEF 452 (2020), pp. 145 ss.

RENEDO ARENAL, M.A. “El elemento subjetivo de la prueba ilícita”, en:  Roca Martínez, J.M. (dir.), Procesos y prueba prohibida, Madrid, 2022, pp. 143 ss.

RICHARD GONZÁLEZ, M., “Licitud y validez de la prueba obtenida por particulares en el proceso penal. Comentario a la STS 116/2017 de 23 de febrero que declara la validez de la «lista falciani» para fundar una condena por delito fiscal”, La Ley 8946 (2017).

RODRÍGUEZ RAMOS, L., “¿In dubio pro reo aut in dubio contra opulentibus? Comentario a la STS 116/2017, de 23 de febrero sobre la prueba ilícita”, La Ley 8974 (2017).

SILVA SÁNCHEZ, J.M., “Lo real y lo ficticio en la responsabilidad «penal» de las personas jurídicas”, REDEPEC 1 (2023).

SILVA SÁNCHEZ, J.M., “Deberes de vigilancia y compliance empresarial”, en: Kuhlen/Montiel/Ortiz de Urbina Gimeno (eds.), Compliance y teoría del Derecho penal, Madrid, 2013, pp. 79 ss.

SILVA SÁNCHEZ, J.M., “La eximente de ‘modelos de prevención de delitos’. Fundamento y bases para una dogmática”, en: Ragués i Vallès, R./Robles Planas, R., Delito y empresa. Estudios sobre la teoría del delito aplicada al Derecho penal económico-empresarial. Barcelona 2018, pp. 231 ss.

TEJADA PLANA, D., “‘Behavioral compliance’, ética conductual y ‘compliance’ penal”, REDEPC 1 (2023), p. 335 ss. [Formato en papel].

TEJADA PLANA, D., Investigaciones internas, cooperación y nemo tenetur. Consideraciones prácticas nacionales e internacionales, Pamplona, 2020.

VARGAS, M.A./AGUSTINA, J.R., “Obtención de evidencias digitales y privacidad en el correo electrónico en el marco de investigaciones internas”, en: Fortuny Cendra, M., Las investigaciones internas en compliance penal. Factores clave para su eficacia, Navarra, 2021, pp. 95 ss.

VILLEGAS GARCÍA, M.A./ENCINAR DEL POZO, M.A., Lucha contra la corrupción, compliance e investigaciones internas. La influencia del Derecho estadounidense, Navarra, 2020.
VIVES ANTÓN, T.S., “Consideraciones constitucionales sobre la exclusión de los ‘frutos del árbol emponzoñado’”, Revista Jurídica de la Comunidad Valenciana 4 (2002), pp. 5 ss.

Jurisprudencia utilizada

Tribunal Supremo (Sala Segunda)

Tribunal Supremo (Sala Cuarta)

Tribunal Constitucional

1. Premisa

Al igual que sucediera con la LO 5/1995, de 22 de mayo, del Tribunal del Jurado, en la praxis española se asiste a una silenciosa pero evidente huida del régimen de responsabilidad penal de las personas jurídicas. Entonces, con el Tribunal del Jurado, la huida se propició con una interpretación más que restrictiva de su art. 1,1. Es decir, no acusando por los delitos que determinaban la competencia objetiva de este procedimiento. Y para ello se llegó a forzar la interpretación de algunas figuras, o simplemente a orillarlas a favor de otras fronterizas pero ajenas al nuevo proceso por jurado. Los casos de amenazas y coacciones, el allanamiento de morada, la preferencia por la prevaricación o las reglas de conexidad, ilustran suficientemente aquella polémica.  

La huida de entonces, como la de ahora, trae origen en múltiples causas. Sin duda las organizaciones administrativas, las corporaciones profesionales y de funcionarios son reacias a los cambios. Es decir, que junto a la pereza a introducir novedades estrictamente laborales se suma la de estudiar nuevas normas. Y a todo ello, en ocasiones, se añade cierta resistencia ideológica. Todas estas causas sin duda también concurren frente a la responsabilidad penal de las personas jurídicas. Pero aquí, a mi juicio, a las mentadas causas se une determinada concepción interpretativa. Esto es justamente lo que trato de abordar en las próximas líneas.

2. El origen: una hipótesis doctrinal minoritaria

Desde un sector doctrinal minoritario se elaboró una tesis novedosa exclusivamente creada para explicar la responsabilidad criminal de la persona moral. En realidad, se trata de una auténtica hipótesis, puesto que no se elaboró partiendo de ningún ordenamiento positivo, sino desde unas bases teóricas ideales. Podría decirse que incluso se formuló a título de modelo o prototipo, de una suerte de propuesta alternativa de lege ferenda.

Como quiera que esta formulación es sobradamente conocida, aquí me limito a recordar sus aspectos esenciales. Se pretendía construir un modelo de responsabilidad penal completamente propio de la persona jurídica, totalmente diferenciada de la responsabilidad penal de las personas físicas, y que por tanto gozaría de un fundamento distinto e independiente, absolutamente desvinculado del concreto delito cometido por una o varias personas físicas. En la misma se distingue entre el injusto propio de la persona moral, construido en la noción de “defecto de organización”, y una culpabilidad propia de la misma, que descansa en el parámetro de una “cultura de incumplimiento de la legalidad”. Así, por ejemplo, el dolo de la persona jurídica vendría dado por el “conocimiento organizativo del riesgo empresarial”, que no se compone de cada uno de los conocimientos individualizados sino del conjunto de relaciones y modelos que originan un conocimiento colectivo. Esta tesis se inscribe dentro de la corriente del funcionalismo sistémico.

Se abre paso el llamado movimiento de “autoregulación regulada” que impone una fidelidad normativa, esto es, una “ciudadanía corporativa fiel al Derecho”. Desde estas posiciones que parten de un injusto y de una culpabilidad propia y autónoma de la de la persona física, es constitucionalmente sostenible la responsabilidad penal del ente colectivo. Por ello consideran que los sistemas de heterorresponsabilidad son incompatibles con los principios básicos del Derecho penal¹.

Los autores adscritos a esta hipótesis insisten en que el fundamento de la responsabilidad penal de la empresa se origina en un hecho propio de la misma, esto es, en un injusto y una culpabilidad de empresa. De este modo construyen un auténtico “delito corporativo”, totalmente independiente de la actuación de las personas naturales y generalmente elaborado desde la noción del “defecto de organización”. Este criterio se sustenta en la omisión del cuidado debido por la empresa en la evitación de la comisión de delitos, es decir, en no haber adoptado programas o modelos idóneos y eficaces para controlar o gestionar los riesgos. De aquí su necesidad de elaborar una fórmula de responsabilidad por hecho propio, propugnando una redefinición de la culpabilidad en los entes colectivos.

Ahora bien, como el texto legal inequívocamente exige la previa constatación de la comisión de un delito por una persona física, este sector doctrinal introduce el siguiente matiz corrector. Así, entiende que el comportamiento delictivo previo corresponde siempre a una persona física “integrada en la organización”. A partir de este presupuesto inicial de la responsabilidad penal de la persona jurídica, el sistema se articula en la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la citada organización. De esta forma las empresas deben implicarse junto con el Estado en la función de prevención y control de riesgos penales, y ello se articula a través de los programas de cumplimiento².

Consecuentemente con la idea del “defecto de organización”, los programas de cumplimiento se configuran como un “elemento del tipo objetivo”. Es decir, si el “defecto de organización” es el presupuesto del castigo penal, la posesión de un programa de cumplimiento expresa que la empresa está bien organizada y no ha omitido el cuidado corporativo debido. Así pues, el núcleo de la responsabilidad penal de las personas jurídicas radica en la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos, que evidencian una voluntad seria de reforzar la virtualidad de la norma. A esta idea central, se añaden posteriormente los diferentes condiciones y requisitos legalmente concretados en el art. 31 bis CP, esto es, los presupuestos comunes y los hechos de conexión. En resumen, el tipo objetivo del delito corporativo estaría integrado por la ausencia de un programa de cumplimiento eficaz, y por los presupuestos comunes.

De modo que, al configurar los programas de cumplimiento como un elemento del tipo objetivo, integra el núcleo esencial del presupuesto, y su ausencia –esto es, la constatación de un programa eficaz- supone afirmar la inexistencia de la misma infracción (atipicidad)³. Para ello se valen de la de la no menos discutida categoría de los “elementos negativos del tipo”.

No obstante, es necesario distinguir entre la crítica a la hipótesis teórica propuesta y de otra parte, su recepción y aplicación jurisprudencial a la normativa vigente en España. Esto es, aquí no se persigue contrastar la validez en abstracto de una propuesta teórica, sino de analizar la corrección y eficacia jurídica de su traslado por la línea mayoritaria jurisprudencial a lo dispuesto en el art. 31 bis y siguientes del CP español.

3. La línea mayoritaria del Tribunal Supremo

Pues bien, a pesar de ser una propuesta minoritaria en la doctrina, en la que confluían diversos planteamientos de mayor consenso y desde luego resultar frontalmente contraria con la tesis ya publicada de la FGE en sus dos Circulares, la 1/2011 y la 1/2015, la conocida STS 154/2016, de 29 febrero, de Pleno, por una mayoría muy ajustada, ocho votos favorables frente a siete votos particulares, la adoptó en sus planteamientos básicos. Todavía causa sorpresa que se tomara una decisión así, de tal calado, en una materia muy novedosa, sumamente debatida y transmitiendo una profunda división interna de la Sala Segunda. Ciertamente los motivos, aunque conocidos, no dejan de aumentar la sorpresa.

Pero fuera como fuera y se debiera a los motivos que se debiera, lo cierto es que la mayoría de la Sala Segunda se adscribió no solo a un entendimiento autónomo de la responsabilidad criminal de las personas jurídicas, sino que apostó por la hipótesis del “delito corporativo”. Es decir, de una responsabilidad penal de la persona jurídica totalmente independiente de la actuación de las personas naturales y elaborado desde las nociones del “defecto de organización” y de la “cultura de cumplimiento”. Este criterio se sustenta en la omisión del cuidado debido por la empresa en la evitación de la comisión de delitos, manifestado en el comportamiento delictivo previo que corresponde siempre a una persona física “integrada en la organización”.

Como se ha expuesto, la tesis de la mayoría no difiere de un entendimiento muy extendido en la doctrina que sitúa el fundamento de la responsabilidad criminal de las personas jurídicas en un hecho y una culpabilidad propios, separados y distintos del hecho y de la culpabilidad de la persona física que cometió el delito. Realmente el distanciamiento se origina al establecer esta responsabilidad penal propia de la persona moral en su capacidad de organización, que a su vez expresa el grado de su “cultura de cumplimiento”. En este entendimiento, los programas de cumplimiento penal son la manifestación de esa correcta organización y de esa cultura de cumplimiento. Por consiguiente, los programas integran el presupuesto del castigo, como un requisito negativo⁴, y de esta forma penetran en su fundamento. Y como derivada de esta premisa, es la acusación la que junto a otros elementos positivos del tipo también debe probar que o no posee un programa de cumplimiento, o si lo posee, que éste no es idóneo para prevenir o reducir delitos.

Con más detalle, los programas de cumplimiento penal se configuran como un “elemento del tipo objetivo”, consecuentemente con la idea de una “auténtica cultura del cumplimiento” y del “defecto de organización”. Es decir, si el “defecto de organización” es el presupuesto del castigo penal, la posesión de un programa de cumplimiento penal expresa que la empresa está bien organizada y no ha omitido el cuidado corporativo debido. Así pues, el núcleo de la responsabilidad penal de las personas jurídicas radica en la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos, que evidencian una voluntad seria de reforzar la virtualidad de la norma.

De modo que, al configurar los programas de cumplimiento como un elemento del tipo objetivo, integra el núcleo esencial del presupuesto, y su ausencia –esto es, la constatación de un programa eficaz- supone afirmar la inexistencia de la misma infracción. Al partir de esta concepción material, la mayoría que sustentó la citada STS 154/2016, tuvo que derivar importantes consecuencias procesales. En efecto, porque al considerar a un programa de cumplimiento eficaz como elemento del tipo objetivo, esto es, del presupuesto nuclear de la infracción, corresponderá entonces a la acusación demostrar ese presupuesto o fundamento del injusto. Es decir, que ese programa de cumplimiento no es idóneo o eficaz para prevenir delitos. Por tanto, permite afirmar que materialmente no estaba “bien organizada”, que presenta un “defecto de organización” y por consiguiente adolece de las medidas de control adecuadas para la evitación de la comisión de delitos en su seno. Pero como se observa, la carga de la prueba sobre la eficacia o idoneidad del programa se traslada a la acusación. De esta concepción material también se derivan importantes consecuencias en el proceso penal⁵. En efecto, porque al considerar a un programa de cumplimiento eficaz como elemento del tipo objetivo, esto es, del presupuesto nuclear de la infracción, corresponderá entonces a la acusación demostrar ese presupuesto o fundamento del injusto. Es decir, demostrar que ese programa de cumplimiento no es idóneo o eficaz para prevenir delitos. Por tanto, tendrá que probar que la sociedad materialmente no estaba “bien organizada”, que presentaba un “defecto de organización” y por consiguiente adolecía de las medidas de control adecuadas para la evitación de la comisión de delitos en su seno. Pero como se observa, la carga de la prueba se traslada a la acusación. Esta es la línea que apunta la mayoría que resolvió la STS 154/2016, de 29 de febrero de 2016⁶.

Y justamente sobre esta cuestión procesal, aunque derivada del previo posicionamiento sustantivo, se formularon los siete votos particulares de la STS de 29 de febrero de 2016. Para estos votos particulares, la posición defendida por la mayoría nace de una suerte de obiter dicta, innecesario para el caso enjuiciado, sobre el que no se pronunciaron las partes –incluido el Ministerio Público-, que introduce un criterio no debatido, contrario a la Circular 1/2016, y por tanto prematuro y provisional⁷. Además, rechaza la cultura de control como elemento objetivo del tipo, puesto que por su vaguedad y ambigüedad ataca la exigencia de certeza. No obstante, admiten que pudiera constituir el fundamento último del modelo (ratio legis), pero no el criterio central de la interpretación del tipo (objeto formal). Insisten en que lo único que ha de probar la acusación son los elementos legales fijados en el art. 31 bis 1 a) y b), y que ello no comporta una responsabilidad objetiva, puesto que exige la “culpa in vigilando, in eligendo, in constituendo, o in instruendo”.

Pero, sobre todo, los siete votos particulares critican duramente que el criterio de la mayoría arrastra a la acusación a una prueba diabólica e imposible, en la medida que deberían probar un “hecho negativo”: que la empresa no está bien organizada y carece de un programa eficaz de prevención. En consecuencia, concluyen que esta doctrina conduce a un modelo probatorio excepcional y privilegiado y al vaciamiento e impunidad del régimen de responsabilidad de las personas jurídicas⁸.

4. Seguimiento jurisprudencial y consecuencias aplicativas

Pues bien, esta doctrina jurisprudencial mayoritaria se ha ido articulando sobre las siguientes exigencias fácticas: “una estructura interna mínimamente compleja”; la constatación de “un defecto estructural en los modelos de prevención, gestión, control y vigilancia” (defecto de organización) como expresión de una “ausencia de cultura de respeto y cumplimiento de las normas”⁹. Y, por supuesto, esta doctrina mayoritaria de la Sala Segunda además ha ejercido una notable influencia en el resto de la jurisprudencia¹⁰.

Justamente el primer balance de nuestra jurisprudencia sobre el tema ya lo presentó BOLDOBA PASAMAR, analizando las primeras resoluciones dictadas desde 2012 y a continuación constatando un importante incremento desde 2016¹¹. Concluye que se ha consolidado en la jurisprudencia la ausencia del debido control como fundamento de la responsabilidad penal de las personas jurídicas. Igualmente se constata que, siempre que la defensa muestra un programa de cumplimiento de la persona moral, queda automáticamente exenta de responsabilidad sin ninguna clase de evaluación del citado programa. De modo que, las condenas solo se producen a sociedades desprovistas de programas y siempre que no se trate de “sociedades pantalla”, o de sociedades “unipersonales”.

Las consecuencias de esta construcción de la jurisprudencia mayoritaria son varias. La primera y más llamativa, es la renuncia a un auténtico control judicial ex ante de la idoneidad de los programas. En efecto, porque como acabamos de exponer, la jurisprudencia dominante declara la exención ad limine de responsabilidad penal de la sociedad siempre que exhibe un programa de cumplimento. Es decir, es, desde el inicio del proceso y sin mayores verificaciones judiciales acerca de la validez efectiva del programa. De suerte que esta interpretación provoca la mentada huida de la responsabilidad penal, es decir, que las acusaciones, en especial la pública, no pierda el tiempo en formular acusación contra las personas morales, pues basta con que exhiban un programa en su primera declaración ante el juzgado de instrucción, para obtener el sobreseimiento. De aquí el recurso metafórico a la huida de acusar a la persona moral si basta con presentar un programa de cumplimiento para obtener automáticamente y sin mayores comprobaciones, la exoneración de responsabilidad en la primera fase de la investigación criminal.

Por consiguiente, esta exégesis permite no solo renunciar a enjuiciar a ciertas personas morales, sino que posibilita la renuncia siquiera a investigarlas criminalmente.

Debemos insistir en que esta doctrina permite a los órganos judiciales dejar fuera de un procedimiento penal a una sociedad con la mera exhibición de un programa de cumplimiento. Esta construcción infringe el tenor literal del art. 31 bis 2, que explícitamente señala que “el órgano de administración ha adoptado y ejecutado con eficacia” los citados programas de cumplimiento. A lo que expresamente añade que estos programas “incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”. Por tanto, de forma explícita, el texto legal requiere que los programas no solo hayan sido formalmente aprobados, sino que deben haberse ejecutado “con eficacia”. Y esta referencia a la eficacia la ley lo asocia a la prevención de delitos de la misma naturaleza y la reducción del “riesgo” futuro de comisión¹².

Pero son más las consecuencias negativas derivadas de esta aplicación jurisprudencial¹³. Por ejemplo, definir artificialmente el “comportamiento preventivo defectuoso del que se ocupa el art. 31 bis CP de forma colectiva y difusa y no exclusivamente individual”. De aquí sigue la exclusión del régimen de responsabilidad penal por “inimputables” a las sociedades “unipersonales” o a cualquier otra que presente una escasa complejidad organizativa”¹⁴. De igual forma, con ello no solo siguen contribuyendo a difuminar la responsabilidad penal, sino que también abocan a soluciones abiertamente incoherentes, entre ellas dejar caprichosamente fuera del sistema del art. 31 bis CP a todas las sociedades que no presenten una “(in)determinada complejidad estructural”¹⁵. Destaca sin lugar a dudas la indeterminación a la que aboca esta interpretación judicial, de modo que se atribuyen un absoluto poder para decidir en cada caso e incluso ad personam. Y esta no es precisamente una construcción ideológicamente neutral¹⁶.

5. Crítica

Pues bien, a pesar de las críticas internas y externas recibidas, esta doctrina del “delito corporativo” se ha convertido en dominante en el Tribunal Supremo. Entre otras, me sumo en gran medida a la crítica formulada por amplios sectores doctrinales¹⁷ y a las ya expresadas con anterioridad en otros trabajos¹⁸. Y de nuevo me reitero en la necesidad de distinguir entre la crítica al modelo teórico en sí mismo considerado, y la crítica a la concreta aplicación por la jurisprudencia mayoritaria basada en este modelo.

En este sentido, podría decirse que la controvertida STS 154/2016, de 29 de febrero, opta por el criterio de la autorresponsabilidad, pero desde una minoritaria concepción sistémica del Derecho penal, que se sustenta en la idea de un hecho injusto propio fundado en el desprecio a las normas jurídicas. De aquí a que se deslice a exigir una “ética empresarial”, una “cultura de cumplimiento”. Inexorablemente estas premisas llevan a plantearse el significado jurídico de los programas de cumplimiento, y aunque no llega a pronunciarse explícitamente sobre su naturaleza jurídica, sí subraya su importancia como “expresión” de la citada “ética empresarial”¹⁹.

Este posicionamiento excede el margen de exégesis del texto legal, esto es, va más allá del tenor literal posible, aproximándose a una creación judicial, o cuanto menos, a una interpretación creativa o sobre-interpretación de la ley. En efecto, pues en el fondo vendría a afirmar que la responsabilidad penal de la persona jurídica nace de la posesión o no de un programa de cumplimiento, que en verdad exprese una auténtica “cultura de cumplimiento o ética empresarial”. Esto es así por cuanto la resolución requiere la prueba de dos aspectos: primero, la comisión de un hecho delictivo contenido en el “catálogo” por parte de una persona física idónea; y dos, la comprobación de un “hecho propio” de la persona moral. Pero como a su juicio el Código Penal no describe este extremo, transforma el programa de cumplimiento en un elemento del tipo objetivo. Al margen de este salto exegético, la resolución no resuelve el déficit de tipicidad y taxatividad innato a la difusa referencia a la “ética empresarial o a la cultura de cumplimiento”. Insuficiencia grave desde la perspectiva del derecho a la legalidad penal²⁰.

Tampoco explica alguna de las derivadas de considerar a los programas de cumplimiento eficaces como una suerte de “elementos negativos del tipo”. Por ejemplo, en materia de responsabilidad civil ex delicto, en este caso del art. 116.3 CP. En efecto, porque si el “hecho” deja de ser considerado “ilícito” para la persona moral por estar en posesión de un programa de cumplimiento eficaz, no podrá derivarse a ésta este título de responsabilidad civil.

A esta fragilidad de la exégesis, se suma otra relativa al principio de vigencia en la interpretación. En efecto, porque si la posesión de un programa de cumplimiento eficaz que expresa la “cultura ética” de la sociedad, se considera ya un elemento del tipo objetivo, los apartados 2, 3,4 y 5 del art- 31 bis CP si no quedan vacíos de contenido, cuanto menos sufren una considerable degradación valorativa²¹. Es decir, según esta doctrina en realidad convertiría en atípica para la persona moral el delito de referencia, mientras que podría seguir siendo típico el hecho de referencia para una persona física. Y a esta conclusión se llegaría anticipadamente de la valoración de los presupuestos legales, en la medida que se alzaprima, o se sitúa al mismo nivel de relevancia penal, la exhibición de un programa de cumplimiento. En definitiva, los apartados 2º, 3º, 4º y 5º del art. 31 bis pierden gran parte, por no decir todo, el valor que la Ley les otorga. En efecto, porque esta tesis no solo se fundamenta en metaconceptos ajenos al texto vigente, sino que además orilla completamente el hecho delictivo cometido y desde luego se aleja de la función de tutela de bienes jurídicos.

A las anteriores observaciones críticas, me sumo a la expresada por CARBONELL MATEU. Muy resumidamente afirma que la mayoría fundamenta la condena a la persona jurídica en una infracción realizada por ella y diferente al hecho atribuido a la persona física. Es decir, en una responsabilidad propia y donde el defecto de organización juega un papel esencial. “Que no sea eso lo que dice el Código Penal no parece importar. Para el Tribunal es muy relevante que la existencia de un sistema de organización y control pueda comportar la exención de responsabilidad”.  Añade que además se aparta de la concepción original de TIEDEMANN, que concebía los programas como eximente de la culpabilidad, por lo que el hecho seguía siendo ilícito, pero no culpable. Pero la tesis de la mayoría da un salto sin precedentes al trasladar esta idea hasta la relevancia del hecho, esto es, a la tipicidad, desplazándola de su lugar original como fundamento del reproche a la sociedad. De suerte que, poseer un programa de cumplimiento exonera de responsabilidad porque el hecho ya no es típico. Todo ello porque se parte de la existencia de un deber de regulación del control mediante los programas de cumplimiento, cuya infracción es la que fundamente la responsabilidad criminal de la persona jurídica²².

Pero como acertadamente apunta CARBONELL MATEU, el planteamiento sustentado por la mayoría en esta resolución admite la lectura inversa: “el delito no es la estafa, el fraude fiscal o el vertido de residuos; no parece que lo importante sea el significado, sino que a éste se llegue porque no ha habido el debido control con la consecuencia evidente –no sé si deseada- que implica: estafar, cometer delito fiscal o verter residuos radioactivos con compliance no es delito, aunque concurra dolo directo”. De esta forma, ignorando de forma flagrante el principio de legalidad, traslada al tipo un elemento inexistente en la regulación legal²³. En esta línea apunta GALÁN MUÑOZ que esta concepción no fundamenta la responsabilidad penal en un hecho concreto, que en realidad no importa, sino en un “defecto estructural derivado de una insuficiente cultura corporativa”, por lo que se enjuicia es una suerte de “valoración global” de la estructura, organización y cultura de la empresa²⁴.

A esta transmutación se suma un inaudito efecto procesal: es a la acusación a la que corresponde probar la concurrencia del elemento negativo del tipo (la ausencia o ineficacia del programa de cumplimiento). Porque lo relevante, para la mayoría, es la falta de control, la infracción del deber, no la comisión de hechos delictivos. De modo que, como sigue exponiendo CARBONELL MATEU, esta tesis posee un resultado paradójico sobre el derecho a la presunción de inocencia: “la comprobación de la realización de un hecho típico más allá de toda duda razonable -que se cometió dolosamente un fraude fiscal- no enerva la presunción de inocencia si no se demuestra –más allá de toda duda razonable- que el sistema de control no es eficiente para evitar otro fraude fiscal. Es difícilmente concebible una perversión similar del lenguaje”²⁵. Nada que añadir y como el citado autor, reitero mi coincidencia con los razonamientos esgrimidos en los votos particulares de la referida sentencia. 

En resumen, es compartido el interés por lograr una interpretación conforme a la Constitución de la responsabilidad penal de la persona jurídica. Pero este objetivo no se logra en ningún caso, y como ya hemos reiterado, a través de un entendimiento del precepto en clave del modelo vicarial estricto. Pero tampoco mediante el recurso a un constructo teórico tan difuso como la noción de “cultura de cumplimiento”, que choca frontalmente con la garantía material del principio de legalidad, y se sustenta en una responsabilidad global, esto es, por “conducción de vida” fundamentada en la idea de infracción del deber y no en la tutela de bienes jurídicos. Y que, además, conecta con un entendimiento moral del Derecho penal, pues en realidad conecta esta interpretación con la idea de “ética empresarial”. Es decir, con el retorno encubierto al privilegio de la autorregulación.

Y este retorno se acentúa aún más, si recordamos que en España las certificaciones de los programas de cumplimiento no proceden de un organismo público sino privado²⁶ y el debate sobre su consideración como prueba en el proceso penal²⁷.

6. Los matices introducidos por la línea jurisprudencial minoritaria

Sin duda el primer precedente remite a los siete votos particulares discrepantes formulados a la STS 154/2016, aunque también cuenta con algunas resoluciones posteriores de “ponente”. La última, la STS 298/2024, de 8 de abril. En la misma se introducen dos diferencias importantes y un matiz interesante respecto a la línea mayoritaria antes descrita.

A) Los cuatro elementos de la responsabilidad penal de las personas jurídicas

Así, la primera diferencia importante la STS 298/2024 la extrae directamente del tenor del art. 31 bis., que conforme a esta exégesis considera que la responsabilidad penal de una persona jurídica precisa de la constatación de cuatro “elementos”. Y estos cuatro elementos ya no remiten a los criterios de “defecto de organización” y “cultura de cumplimiento”.

En efecto, los cuatro “elementos” son los siguientes: a) un “elemento nuclear positivo” consistente en la comisión de un delito por quien actúa como directivo o empleado del ente; b) otro elemento “normativo”, que exige que se trate de uno de los delitos en que está prevista esta responsabilidad penal de las personas morales; c) un “elemento negativo” que requiere que “no esté implantado un plan de cumplimiento eficaz que haya tenido que ser burlado para la actuación delictiva del agente”; y, d) un “elemento accesorio”, que es “pieza imprescindible” y que reclama que “el delito, objetivamente considerado y con independencia del móvil del agente, ha de redundar en beneficio directo o indirecto de la persona jurídica” (F.J. Cuarto).

Como se observa, esta línea jurisprudencial abierta por la STS 298/2024 viene a coincidir sustancialmente con la tesis la propuesta de la Circular 1/2016 de la FGE y con la de un amplio sector doctrinal, aunque evitando los términos “presupuestos “y “hechos de conexión”. Además, se aparta de esta última y coincide con la mayoritaria en la jurisprudencia, al mantener la concurrencia de un “elemento negativo”. Sin embargo, como se expone inmediatamente, sí difiere respecto a la prueba de este elemento.

De modo inequívoco en la STS 298/2024 se finaliza afirmando: “Sea cual sea el modelo que atraiga las simpatías en el plano teórico de uno u otro interprete, en la práctica lo que es exigible para unos y otros es que se constate la presencia de todos y cada uno de los elementos que a tenor del art. 31 bis CP arrastran la imposición de una pena a una persona jurídica”. 

B) Alegación y carga de la prueba del “elemento negativo”

La segunda diferencia marcada por esta resolución se encuentra precisamente en la exigencia de la no implantación de un programa de cumplimiento. Esto es, de la naturaleza de “elemento negativo”, que, necesariamente, acarrea ciertas elementales consecuencias procesales. Entre otras, que “la carga de la alegación de este factor excluyente de la responsabilidad recae, en principio, en la defensa”. De suerte que, si ésta se abstiene de solicitarla, no amaga con aportar un plan de cumplimiento, ni tampoco demuestra que la empresa se ajustaba en su funcionamiento a los requisitos perfilados en el Código Penal, “será legítimo entender acreditado que no existía tal plan de cumplimiento”. A partir de aquí, en la comentada sentencia se exponen varios ejemplos respecto a diversos delitos y causas de exención relativos a personas naturales que vienen a corroborar esta interpretación procesal. Finalmente se concluye afirmando: “La abulia indagatoria y probatoria sobre ese elemento negativo, no ha de traducirse necesariamente en una duda sobre su consecuencia”. La presunción de inocencia no obliga a presumir que todas las personas jurídicas en general cuentan con un programa de cumplimiento “ajustado a las exigencias del Código Penal”.  Es más, prosigue señalando que incluso “la desidia en las alegaciones o aportaciones probatorias de la persona jurídica acusada se erigiría en elemento que permite razonablemente entender desactiva esa presunción”²⁸.

En mi opinión, en todo caso, no se entiende entonces muy bien la utilidad del recurso a esta construcción de los “elementos negativos del tipo”, la cual obedece a la clásica concepción del tipo como “tipo total de injusto”. En efecto, porque esta elaboración comporta entender comprendidas en el tipo no solo los componentes que lo fundamentan, sino también los que lo excluyen, especialmente las causas de justificación y las excusas. Pero en realidad se trató más bien de una formulación sistemática y teórica que de una propuesta interpretativa. Y ello no solo por los problemas que sugiere la alegación, carga y suficiencia probatoria, sino también por otras razones de semejante rango constitucional. En efecto, porque si corresponde a la acusación solicitar a la empresa su programa de cumplimiento junto al resto de documentación necesaria para probar su eficacia e idoneidad, la defensa bien podría alegar su negativa amparada en el derecho a no incriminarse. De modo que esta construcción también desde este prisma aboca a un bucle sin salida.

Pero todavía existen más razones para abandonar esta idea. Porque el tenor literal del art. 31 bis apunta justamente a su entendimiento como una excusa, o si se prefiere, como una “causa de exención” de la responsabilidad penal. Así reza literalmente el art. 31 bis 2 y 4 CP: “…la persona jurídica quedará exenta de responsabilidad …”. Por consiguiente, ni siquiera da pie a esta comprensión como “elemento negativo del tipo”, porque ni siquiera usa las habituales fórmulas legales de las causas de atipicidad, generalmente precedidas del término “sin”²⁹. Por otra parte, en estos supuestos tampoco se consideraban “elementos negativos del tipo”, sino más bien formas específicas de delimitación legal y nunca eran comprendidas como integrantes del tipo³⁰.

En síntesis, la aplicación de la categoría de “elementos negativos del tipo” a la eficacia penológica de los programas de cumplimiento, carece absolutamente de base legal en el CP español, y además provoca indeseables consecuencias sobre derechos fundamentales.

C) Sobre la eficacia de los programas de cumplimiento

En diversos pasajes de la resolución parece introducirse un importante matiz, advirtiendo que no bastaría con presentar un programa de cumplimiento, sino que sería necesario que tuviera una “efectiva vigencia”.  También, al hablar del “elemento negativo”, lo define exigiendo “que no esté implantado un plan de cumplimiento eficaz”. Finalmente se refiere a “la inexistencia de un plan eficaz de cumplimiento” F.J. Cuarto).

Por consiguiente, viene a insinuar la insuficiencia de la mera alegación o presentación de un programa de cumplimiento. Por el contrario, apunta a la exigencia de un control judicial conforme al tenor del art. 31 bis CP, teniendo que evaluar su aprobación y también su implantación, que además deberá ser considerada judicialmente “eficaz”. De modo que, con este matiz parece acercarse a un amplio sector doctrinal y como a continuación comprobaremos a la jurisprudencia dominante en Italia.

7. El contrapunto: la doctrina jurisprudencial italiana

Como es sobradamente conocido, la introducción en la reforma del CP de 2010 de la responsabilidad penal de las personas jurídicas tuvo como referencia la legislación italiana. En concreto la contenida en el Decreto 231, de 8 de mayo de 2001, todavía vigente en aquel país. De modo que ambos ordenamientos, el italiano y el español, comparten una regulación legal prácticamente idéntica en esta materia. Y, sin embargo, el desarrollo en la jurisprudencia italiana difiere del mayoritario seguido por la española y se asemeja al mayoritario en ambas doctrinas y a la apuntada línea minoritaria de la jurisprudencia española.

En efecto, este rumbo de la jurisprudencia mayoritaria española contrasta con el seguido por la jurisprudencia italiana. Un buen ejemplo lo encontramos en la sentencia 23401/2022 de la Corte di Cassazione. En la misma se contiene una profusa discusión a través de varias instancias, recursos y apelaciones que giran sustancialmente sobre el control judicial acerca de la idoneidad de los programas aplicado a una de las más grandes empresas de Italia³¹. En la misma se aborda la estructura del “tipo” de la responsabilidad de la persona jurídica, la exigencia de cautela y la validación jurídica de los programas de cumplimiento por el juez. Parte de que la legislación no contempla inversión alguna de la carga de la prueba, por lo que el llamado defecto de organización es un elemento constitutivo del delito que corresponde probar a la acusación. Por consiguiente, la comisión del delito tampoco comporta automáticamente la declaración de inidoneidad del programa.

Así pues, para que pueda establecerse la responsabilidad penal aun a título de negligencia, el resultado ofensivo debe corresponder precisamente al peligro que la norma cautelar violada pretendía tutelar, esto es, conforme al criterio de protección del riesgo típico. En este contexto entran en juego los parámetros del comportamiento lícito alternativo, o la hipótesis en la que, como establece la sentencia, la observancia de la precaución hubiera permitido eliminar o reducir el peligro derivado de una determinada actividad. De modo que, el juez, al efectuar la valoración de “idoneidad”, deberá colocarse idealmente en el momento de comisión del delito y verificar la previsibilidad y evitabilidad, de acuerdo al mecanismo epistémico de la “prognosi postuma” (causa adecuada). Así pues, este mecanismo de control judicial sobre la idoneidad del programa de cumplimiento no debe tener un alcance global, sino limitarse a evaluar el impacto de la violación de la regla de precaución con el riesgo de repetición de delitos de la misma naturaleza³².

En cuanto al criterio con el que calibrar el juicio de adecuación, las directrices recogidas en el Decreto de 2001 (art. 6, párrafo 4), tienen una fuerza meramente orientativa. Lo mismo sucede con las recomendaciones provenientes de las asociaciones profesionales, que simplemente exteriorizan normas de autorregulación. Ahora bien, el órgano judicial penal en todo caso está obligado a dar cuenta de las razones en las fundamenta el llamado defecto de organización. En la citada sentencia finalmente también se aborda la consecuencia de omitir la valoración de la efectividad del funcionamiento del programa y de la concreta vigilancia ejercida por el organismo de control. Este último debe estar dotado de autonomía y efectivos poderes de control. Igualmente se exige que el control judicial se proyecte sobre el comportamiento del dirigente (vertici) de la sociedad, valorando si ha sido elusivo o simplemente resultado de la inobservancia del modelo³³.

Justamente el debate sobre el control judicial de la idoneidad o eficacia de los modelos protagoniza la discusión en la literatura penal italiana³⁴.

8. Conclusión

Conforme a la doctrina mayoritaria asentada en nuestra jurisprudencia y originada en el Tribunal Supremo, en España hoy no hace falta siquiera recurrir a una defensa técnica: basta con exhibir un programa de cumplimiento normativo, aunque no esté certificado, porque ello supone automáticamente la exoneración de la responsabilidad penal de la persona jurídica. De modo que, la jurisprudencia mayoritaria española ha renunciado a investigar y a enjuiciar la idoneidad de los citados programas conforme a lo exigido expresamente en el art. 31 bis del Código Penal.

Así pues, presentar un programa, cualquiera, es suficiente para quedar fuera del proceso. Y, entonces, ¿para qué acusar penalmente a una persona jurídica?

Esta es la consecuencia derivada de una interpretación judicial que va más allá del tenor literal posible de le ley. De suerte que crea e inventa una nueva norma. Con ello infringe de plano el principio de legalidad penal, el pilar fundamental de un Derecho penal del Estado democrático de Derecho. Ciertamente, como muchas resoluciones proclaman, no importa tanto la “naturaleza dogmática” de los programas de cumplimiento, pero sí importa la aplicación de la ley conforme a su tenor literal: precisamente la primera exigencia constitucional en materia penal³⁵.

Posiblemente los magistrados integrantes de esta corriente mayoritaria nunca desearon estas consecuencias, pero en verdad ha provocado un apartamiento de la ley vigente en España y una seria quiebra de los objetivos y estándares internacionales que originaron la introducción de la responsabilidad penal en las leyes penales como instrumento normativo de enjuiciamiento de las infracciones relativas a la corrupción. Y por supuesto han asegurado la impunidad para cualquier empresa que pueda pagarse un programa de cumplimiento, aunque éste no sea eficaz, puesto que nadie lo va a enjuiciar en la jurisdicción penal.

Urge por tanto regresar a una interpretación de la ley ajustada a su formulación, de acuerdo a la línea minoritaria ya declarada en nuestra jurisprudencia, a la doctrina mayoritaria³⁶, a la Circular 1/2016 de la FGE, confluyendo con su aplicación en ordenamientos semejantes y por supuesto de acuerdo con la normativa, recomendaciones y objetivos internacionales frente a la corrupción.

En conclusión, como ya he defendido en otros trabajos y no voy a reiterar, corresponde a la acusación demostrar más allá de toda duda razonable la concurrencia de los presupuestos legalmente establecidos en el art. 31 bis 1 CP. Nada más ni nada menos. Y, si alguna de las partes alega la posesión de un programa de cumplimiento, corresponde al órgano judicial determinar si es idóneo para exonerar de responsabilidad penal conforme a las condiciones fijadas respectivamente en los apartados 2, 3 y 4 del art. 31 bis que consagra un modelo de “doble vía”. El estándar probatorio de los programas se asemeja al de cualquier elemento atenuante o eximente de la responsabilidad penal que, obviamente, no requiere de la misma suficiencia que los elementos integrantes del presupuesto delictivo³⁷.

I. El compliance como modelo de control

El compliance, entendido como conjunto de programas de cumplimiento interno y buenas prácticas que las empresas adoptan para identificar los riesgos y poner en marcha mecanismos de prevención, gestión, control y reacción frente a los mismos, y mediante los cuales capacitan, monitorean y disciplinan a los empleados con respecto a las leyes y regulaciones aplicables¹, emerge como un modelo de control de la actividad empresarial que incide en la responsabilidad penal (o «por delito» en el sistema italiano) modificando sus características.

Y se ha establecido un órgano de supervisión específico para la correcta adopción de programas de cumplimiento adecuados, el “organismo di vigilanza” (odv)².

Tanto es así que se puede afirmar que la autoorganización de la empresa en sentido compliant se basa en este doble nivel de controles: modelo organizativo y responsable de la vigilancia de la misma (odv).

Este modelo en el ordenamiento jurídico italiano ha sido adoptado como base estructural de la responsabilidad penal de las entidades colectivas establecida por el Decreto Legislativo 231/2001.

A continuación, destacamos algunos aspectos peculiares.

I.1 Defecto organizacional como culpa e idoneidad organizacional como target

En primer lugar, el compliance tiene como objetivo orientar la actividad empresarial hacia políticas corporativas virtuosas, en beneficio de los stakeholders, pero también de la propia organización.

Sin embargo, el compliance, cuando se implementa eficazmente, tiene un alto coste para la empresa: pero en realidad, especialmente a largo plazo, es una inversión destinada a minimizar la verificación de infracciones dentro de la empresa, que tienen costes a menudo mucho mayores consistentes en las sanciones previstas por el Decreto Legislativo 231/2001 y en las que se derivan de la obligación de indemnización en el proceso civil; y también a identificar rápidamente las áreas críticas de la organización  que pueden dar lugar a actividades ilegales que también son perjudiciales para la propia empresa, estructurar la empresa según estándares superiores de calidad también de valor reputacional y, por tanto, a  establecerse en el mercado en términos de imagen y organización. No sólo conviene a la organización colectiva «hacer una buena prevención», sino también mostrarse como un sistema que funciona bien, capaz de corregir o neutralizar con prontitud las actividades no conformes. De hecho, la doctrina italiana desea que se imponga cada vez más una cultura empresarial³ en la que el control no se conciba como un freno a la actividad económica ni como un coste empresarial más, sino como una herramienta para evitar caer en actos ilegales y, sobre todo, para crear valor y rentabilidad, una inversión, aunque quizás a largo plazo⁴. No dista tanto la observación de que la responsabilidad por la comisión de delitos es consecuencia de las políticas de la propia empresa de la necesidad percibida de responsabilizar al organismo colectivo como tal.

El objetivo de este paradigma es, por tanto, involucrar al organismo colectivo en la prevención y lucha contra los delitos ventajosos para la empresa, haciendo evidentemente que prevalezcan los costes del delito y, en cambio, haciendo ventajoso su cumplimiento: mientras que el castigo del organismo que no ha adoptado una cuidadosa profilaxis preventiva representa el fracaso del proyecto político-criminal.

I.2 Connotación “mesocriminal” de la empresa

En términos de responsabilidad penal, el compliance desvía la atención del delito como decisión individual al riesgo ilícito como fenómeno sistémico a gestionar, como déficit de la organización en sentido preventivo, verdadera base de la responsabilidad de la organización por el delito. Este déficit puede derivar de una política empresarial deliberada encaminada a no invertir en cumplimiento y reducir los costes de prevención; o puede ser efecto de una deficiencia organizacional estructural no reconocida a tiempo.

La organización es portadora de un alto potencial criminógeno, pero también de un formidable potencial preventivo: se desarrolla sobre complejos procesos de toma de decisiones -normalmente no de individuos, sino de realidades colegiadas- que reflejan también la complejidad de la realidad empresarial, que nunca va concebida, según una imagen antropocéntrica, como una realidad totalmente homogénea que piensa y elige como un ser humano: de hecho, en la propia organización colectiva, a menudo surge un conflicto real entre unidades empresariales con diferentes sensibilidades, algunas más dedicadas a la rentabilidad y otras al respeto de las reglas y procedimientos⁵.

Estos perfiles emergen de manera clara  en la legislación italiana de las últimas dos décadas: además del Decreto Legislativo 231/2001, en el que el programa de compliance es el punto central de responsabilidad⁶, el apartado 2 del art. 2086 del Código Civil, introducido por el Decreto Legislativo 14/2019, aunque con vistas a la protección preventiva contra las crisis empresariales, exige que cada empresa establezca una estructura organizativa, administrativa y contable adecuada a la naturaleza y tamaño de la empresa.

Partiendo de la concepción de Tiedemann⁷, se habla de culpa por organización⁸: la culpabilidad del organismo colectivo puede derivar de una elección deliberada de desorganización, es decir, de no cumplir con el deber general de organizarse para hacer frente a la prevención de riesgos de delito (consecuencia de políticas de reducción de costes); o de la adopción de un modelo organizativo deficiente, no adecuado a nivel preventivo (el llamado compliance cosmético⁹), o de la no implementación del modelo según las best practices¹⁰ (una de las manifestaciones de la conocida irresponsabilidad organizada); decisiones que pueden derivar bien de una política empresarial orientada a maximizar el beneficio, en términos de reducción de costes de prevención, bien de una grave deficiencia de gestión o de información¹¹.

En el centro del reproche contra el colectivo se encuentra, por tanto, la «laguna organizativa, es decir, un déficit de planificación y control como para hacer posible o facilitar significativamente la comisión del delito individual»¹²: la llamada culpa por organización es el objeto del reproche, pero por el contrario la organización correcta representa el objetivo del cumplimiento.

De modo que sin organización no hay delito corporativo¹³.

La estructura de las grandes organizaciones constituye un marco típicamente «mesocriminal», es decir, con este concepto, un paradigma de imputación que caracteriza los delitos cometidos en el contexto de realidades colectivas lícitas y reconocidas por el ordenamiento jurídico, y que se sitúa entre el derecho penal de imputación individual y la llamada macrocriminalidad, propio de las grandes organizaciones criminales-, en el que se perpetran delitos supuesto de responsabilidad del ente colectivo (en su interés o ventaja). Un contexto caracterizado por la imposibilidad para el individuo de controlar y dominar los procesos que conducen a la verificación de hechos penalmente relevantes que, por la complejidad de su génesis y la necesidad de su explicación en el contexto y en relación con la organización, también a la luz de dinámicas de grupo específicas, deben ser calificados como mesocriminales: un concepto, el de mesocriminalidad, que se refiere a las relaciones peculiares, propias del derecho penal corporativo, entre las actividades individuales y la estructura de organizaciones complejas, con las consiguientes consecuencias en términos de atribución de responsabilidad tanto a personas físicas como a sujetos metaindividuales: la estructura organizativa de la empresa o entidad constituye una situación típica –lícita– de conexión entre la acción individual del miembro individual y la infracción producida colectivamente, en el sentido de que la conducta individual se revela en estrecha dependencia de la interacción con las actividades de otros sujetos, de la estructura del cuerpo colectivo y de la dinámica de la organización¹⁴.

I.3 Compliance y aparato de control

Un sistema dirigido a establecer, mantener y posiblemente reconstituir una buena organización de gestión y prevención, en cuyo contexto el hecho ilícito – non compliant – constituye un riesgo que el propio sistema es apto para afrontar (y si no lo es, significa que la organización tiene fallas), requiere mecanismos de control interno apropiados¹⁵, por lo que los gatekeepers se conciben como elementos esenciales del compliance mismo.

II. Implicaciones del compliance en el derecho penal

Estos aspectos se reflejan significativamente en el modelo de responsabilidad penal que se ha desarrollado en los últimos años.

II.1 Responsabilidad por la gestión de riesgos: la lógica de precaución del modelo organizacional

En primer lugar, constituye la evolución de la responsabilidad desde la gestión de riesgos. El derecho penal liberal clásico se basaba en el tipo ideal del delito de comisión de un hecho y de la violación de las reglas de prohibición, respecto del cual la omisión o violación de las reglas de mando representaba una excepción. Este modelo ha sido progresivamente suplantado por un derecho penal en el que es imprescindible identificar centros de imputación, sujetos competentes respecto de los riesgos identificados: la responsabilidad penal deriva de la gestión incorrecta del riesgo, creación o incremento de riesgo ilícito.

El modelo del compliance sitúa dentro del órgano colectivo al sujeto designado para dotarse de una organización adecuada para controlar el riesgo empresarial: de esta manera la empresa resalta aún más su carácter de institución reconocida por la ley para la correcta gestión del riesgo sistémico que la actividad desarrollada implica. Cuanto mejor compliance implemente la empresa, más oportunamente será posible detectar fallas en el sistema organizacional que permiten la comisión de delitos, y por tanto evitar la responsabilidad de las personas físicas garantes de la prevención (compliance como gestión del riesgo empresarial en función de prevención). El modelo organizativo del Decreto Legislativo 231/2001 se inspira en gran medida en la lógica del principio de precaución¹⁶: no se trata sólo de prevenir los riesgos de delito, sino incluso antes de disponer precauciones que contengan los riesgos producidos por la actividad empresarial¹⁷. El principio de precaución inspira también el papel del odv, obligado a verificar que el modelo es adecuado y sigue siendo adecuado, proponiendo actualizaciones si ya no lo es: la idoneidad de las precauciones debe entenderse en sentido preventivo, incluso frente a riesgos sólo hipotéticos sobre los cuales es posible un mero pronóstico de duda¹⁸.

II.2 No punibilidad del ente colectivo

En segundo lugar, como consecuencia del primer aspecto, la empresa que adopta compliance programs que sean eficaces en sentido preventivo queda eximida de responsabilidad por los delitos previstos en el Decreto Legislativo 231/2001 (compliance como causa de no sanción de la empresa por delitos cometidos por personas naturales).

Sobre este perfil ya se ha escrito mucho.

II.3 Descentralización de la protección: el paradigma de la autorregulación

En tercer lugar, los compliance programs representan una expresión de la difusión del modelo de autorregulación, cuya disposición regulatoria no es impuesta por el sistema legal, sino adoptada como una norma de comportamiento autónoma, en particular como un protocolo de reglas y procedimientos conformes con un paradigma de prevención¹⁹.

Expresión de la pérdida del carácter público de la regulación, este fenómeno emblemático del derecho moderno (penal y no solamente), remite al ente privado la elección de las medidas preventivas más eficaces, de las sanciones por sus violaciones, de los procedimientos para imponerlas: la idea inspiradora  según la cual la agency que puede tomar las mejores decisiones de prevención es la que está más cerca de las situaciones de riesgo concretas.

Se conocen los temas críticos que se han identificado respecto a este fenómeno.

La autorregulación significa que la misma empresa – su empresario, sus administradores – puede establecer medidas para exonerarse de responsabilidad (a través de la previsión de un sistema aparente de responsabilidad) e incluso para echar la responsabilidad a niveles diferentes de la organización empresarial, es decir, para entrelazar redes de la llamada “irresponsabilidad organizada”.

Además, no se puede pasar por alto el riesgo de fomentar fenómenos de competencia desleal, tal vez promovidos por grandes grupos de presión, que pueden aprovechar la difusión de modelos cada vez más costosos de autorregulación privada para desalojar a las empresas que no pueden hacer frente a costes tan elevados²⁰.

II.4 La ética de la información como base de la actividad empresarial

En cuarto lugar, un aspecto destacable nos parece el retorno a un derecho penal basado en protocolos éticos, aunque desde la perspectiva utilitarista de evitar consecuencias desfavorables para la empresa²¹. El modelo de derecho penal de la modernidad basado en la clara distinción entre delitos morales y actos legalmente ilícitos  (y distinción aún más decisiva respecto a los delitos penales, debido a su naturaleza de extrema ratio) ha sido cuestionado durante mucho tiempo por concepciones funcionalistas que subrayan la función igualmente confirmatoria del derecho y de la moral respecto de la identidad de la sociedad, negando por ingenua la idea de una autonomía absoluta de las elecciones del legislador respecto de los modelos morales que se establecen a nivel social. Pero la evolución hacia la afirmación del compliance añade algo muy diferente y más concreto: en el momento en que la normativa favorece la autoorganización por parte de las empresas dirigida no sólo a la prevención, sino a conductas endocorporativas compliant, respetuosas de las normas éticas incluso antes que las legales, parece claro que la base ética vuelve a ser el fundamento del delito a nivel preventivo. Evidentemente, se trata de comprobar la conformidad de las actividades y, antes aún, de las situaciones con respecto a los procedimientos, no directamente a las normas éticas; pero entre estos procedimientos también cobran importancia los controles relativos al cumplimiento e interpretación del Código Ético.

Es cierto que se trata de una «responsabilidad modelada y justificada con criterios preventivos o cautelares, por tanto de manera eminentemente funcional”²², pero no parece preciso afirmar que está desligada de cualquier reproche ético, porque en el marco de la filosofía del compliance la prevención (ex ante) o la reparación (ex post) de los delitos de las personas físicas que son supuestos para la responsabilidad del colectivo pasa por un control de la eficacia del sistema con respecto a los comportamientos no conformes con las medidas estándares y buenas prácticas. Y los compliance programs prevén mecanismos disciplinarios para sancionar conductas de incumplimiento de las medidas allí previstas, aunque no tan relevantes como las infracciones penales o administrativas, pero sí prodrómicas o funcionales a la comisión de uno de los delitos determinantes: la prevención «primaria». El sistema establecido por el modelo organizativo expresa la subsidiariedad de la intervención penal.

Esencialmente las empresas tienen que internalizar estándares éticos y legales²³.

El behavioral compliance es un mecanismo de naturaleza ética-conductual, “de formación de la conciencia moral y de generación de hábitos de conducta virtuosa en los empleados y directivos, al menos en lo relativo a la ética de los negocios”²⁴.

Y el espacio cada vez mayor asignado a las investigaciones conductuales (behavioural science, y especialmente behavioural ethics) representa un reconocimiento de la importancia de mecanismos éticos (como los nudges) en el marco de la compliance²⁵.

Además, es esencial que el management mantenga un comportamiento conforme incluso cuando exprese comunicaciones formales e informales.

En el sistema establecido por el Decreto Legislativo 231/2001, entre las tareas del odv cabe destacar la de difundir una cultura de legalidad en todos los niveles de la empresa²⁶: en particular, debe impartir formación específica sobre riesgos penales a todos los empleados del ente, asumiendo una función claramente pedagógica²⁷.

Esta cultura de la legalidad se expresa, en primer lugar, en la adopción e implementación efectiva de modelos organizativos adecuados (el llamado compliance preventivo); luego, una vez cometido el delito determinante, en la adopción por parte de la empresa de medidas de reintegración del delito, compensación y reorganización (el llamado compliance reactivo)²⁸. Programación y, cuando el resultado sea desfavorable, reprogramación del sistema de prevención.

Por lo tanto, la cultura corporativa no se limita al mero cumplimiento formal de normas incriminatorias, sino a un proceso más amplio de adaptación -o reorganización post delictum– a modelos empresariales virtuosos²⁹.

En particular, se ha subrayado con razón que una prevención eficaz del delito requiere necesariamente «la construcción ‘virtuosa’ de flujos de información»³⁰.

La actividad compliant del ente colectivo consiste en organizar correctamente la prevención (el punto de apoyo de la culpa para la organización de la empresa), pero, incluso antes, en «compartir el konw-how pertinente para la evaluación y prevención de los riesgos que aún no se han materializado plenamente”³¹. Un know-how a menudo superior del que disponen las agencies públicas de control: y precisamente por eso el legislador ha asignado un papel central a la autoorganización de la empresa a través de compliance programs³².

II.5 Un nuevo modelo de supervisión: control del riesgo sistémico

Por último, el compliance implica una reescritura del papel del gatekeeper: el modelo del responsable de cumplimiento, que inspira la disposición del odv del Decreto Legislativo 231/2001, tiene características muy diferentes del consejo de vigilancia o del comité de auditores, o del “collegio sindacale” en Italia³³. Es el concepto mismo de vigilancia el que cambia completamente: ya no es una actividad de supervisión sobre el agente individual, o sobre las actividades de sectores más o menos grandes de la empresa, sino el control sobre la eficacia duradera del sistema de compliance.

Este artículo aborda el tema sobre el papel que juega el organismo supervisor (“odv”) en el sistema jurídico italiano, en el que la función de supervisión del riesgo sistémico de comisión de delitos se encomienda a una estructura organizativa específica, el odv – que representa a la entidad encargada de evaluar la idoneidad de la estructura corporativa expresada en el Modelo Organizativo³⁴.

El tercer apartado de esta contribución está dedicado a la función desempeñada y a la responsabilidad del odv en el sistema italiano.

III. El odv del sistema italiano: la vigilancia sobre el compliance program

III.1 El compliance en el sistema de responsabilidad del ente colectivo por delito

El art. 6 del Decreto Legislativo 231/2001 exige que exista y funcione en la práctica un organismo «dotado de poderes autónomos de iniciativa y control» y al que se le ha confiado «la tarea de supervisar el funcionamiento y la observancia de los modelos y de asegurar su actualización».

El odv no tiene poderes directos para prevenir o reaccionar directamente ante cualquier delito cometido dentro de la empresa.

Además, no se le otorgan facultades de intervención directa sobre el modelo de organización, ni en la fase de solicitud ni en la sancionadora en caso de incumplimiento, siendo estas tareas competencia exclusiva del órgano de administración.

Las evaluaciones del odv no inciden directamente en las decisiones de la dirección (respecto de las cuales el órgano de control debe respetar estrictamente la prohibición de injerencia), pero que proporcionan asesoramiento y apoyo al órgano de administración con vistas a las consiguientes actividades de actualización del documento 231 o de apertura de procedimientos disciplinarios contra sus transgresores.

El odv previsto por el art. 6, co. 1, lett. b), del Decreto Legislativo 231/2001 es una peculiar estructura de control independiente³⁵ y autónoma, normalmente de carácter colegiado³⁶ (a menudo basada en el comité de control interno o en el Internal Auditing³⁷): las decisiones colectivas adoptadas dentro del mismo, que producen efectos jurídicos fuera del organismo y puede dar lugar a un reproche por posibles consecuencias penales³⁸.

En particular, el odv tiene la tarea de supervisar de manera continua³⁹ el funcionamiento, la idoneidad preventiva y la observancia de los modelos de organización y de gestión y de garantizar su actualización: la obligación de vigilancia se limita, por tanto, a la gestión sistémica del riesgo de delito, es decir, a la monitorización  de la adecuación, eficacia y correcta aplicación de los modelos organizativos y de su observancia (necesarios para la exención de responsabilidad de la persona jurídica). Una tarea de seguimiento constante de las áreas de riesgo y del funcionamiento efectivo de esta herramienta que en realidad tiene tres vertientes: verificar la idoneidad concreta del modelo para la prevención de delitos; asegurarse de que esté actualizado en relación con cambios normativos, violaciones significativas de las prescripciones allí previstas, variaciones en las estructuras de la empresa (cambios de organización o actividad); supervisión continua del cumplimiento dentro de la empresa de las precauciones aprontadas por el propio modelo. La función del odv se expresa, por tanto, a través de una actividad de consultoría independiente, destinada a mejorar la eficacia de la organización empresarial, que parece similar al modelo del internal auditing.

A esta competencia está ligada la facultad de realizar controles e informar de sus resultados a los órganos administrativos y al “collegio sindacale” (órgano interno de vigilancia sobre la conformidad de los actos de la empresa con la ley y el estatuto): con este último en particular debe haber un flujo recíproco constante de información. Con carácter general, el Modelo deberá prever «obligaciones de información hacia el Organismo encargado de supervisar el funcionamiento y observancia de los Modelos».

Tomemos ahora en consideración dos sectores paradigmáticos: el de los delitos ecológicos y el de los abusos de mercado.

III.1.1 Compliance y delitos contra el medio ambiente

Con respecto a los delitos ecológicos⁴⁰, la responsabilidad penal de las entidades se introdujo con considerable retraso, unos diez años después del Decreto Legislativo n. 231/2001, dado que la primera intervención legislativa ha sido el Decreto Legislativo n. 121/2011⁴¹: este se adoptó en cumplimiento de las directivas comunitarias sobre protección penal del medio ambiente (2008/99/CE) y de contaminación causada por los buques (2009/123/CE) que exigían la introducción también de la responsabilidad de entes colectivos distintos del Estado y entidades públicas no económicas por los nuevos delitos contra el medio ambiente, cuando se cometan en su beneficio por una persona que ocupe un puesto destacado en el seno de la persona jurídica, individualmente o como parte de un órgano de la entidad (art. 6 de la Directiva 2008/99/CE)⁴².

Después, el art. 1, párrafo 8 de la ley 22 de mayo de 2015, n. 68 – de conformidad con la Directiva 2008/99/CE sobre la protección penal del medio ambiente – ha añadido al catálogo de los llamados delitos supuestos de responsabilidad penal de los entes colectivos (art. 25-undecies Decreto Legislativo nº 231/2001)los delitos de contaminación ambiental (art. 452-bis) y desastre ambiental (art. . 452-quater), incluso negligente (art. 452-quin¬quies); tráfico y abandono de material altamente radiactivo (art. 452-sexies); así como las faltas de matanza, destrucción, captura, recolección, posesión de especímenes de especies animales o vegetales silvestres protegidas (art. 727-bis) y destrucción y deterioro de hábitats dentro de un sitio protegido (art. 733-bis).

En este sector los compliance programs no deben estar dirigidos simplemente a gestionar los riesgos para el medio ambiente, sino a la prevención específica de los delitos medioambientales que pueden cometerse en interés o ventaja de la entidad, identificando los sectores empresariales «débiles» en riesgo de cometer delitos, llevar a cabo la evaluación de riesgos con respecto a las necesidades de eliminación de residuos, prever medidas adecuadas en sentido profiláctico con respecto a los daños ecológicos y las infracciones sectoriales, establecer un odv y establecer un sistema sancionador adecuado, mediante una planificación financiera ad hoc y un seguimiento periódico con vistas a su actualización.

En cuanto a las funciones del odv, hay que distinguir entre las actividades de control que deben realizarse antes de la comisión de un delito, que se refieren al ejercicio «fisiológico» de la empresa⁴³; y actividades de restauración que ocurren después de la comisión del delito, por lo tanto, en una fase patológica⁴⁴.

III.1.2 Compliance y abusos de mercado

Respecto a los modelos de prevención de delitos de market abuse, entre las tareas del odv adquieren especial importancia: garantizar el cumplimiento del procedimiento de gestión de información privilegiada; supervisar el cumplimiento de los procedimientos de autorización relativos a operaciones con instrumentos financieros, también mediante muestreo y verificación de las mismas operaciones; monitorear y promover cualquier actualización de las áreas de riesgo delictivo en materia de abuso de mercado tanto por cambios organizacionales como en relación con cambios en los procesos de la empresa; promover actividades específicas de información y formación en materia de abuso de mercado; evaluar y gestionar las denuncias de hechos relevantes mediante la activación del procedimiento de whistleblowing⁴⁵.

III.2 La vigilancia mediada del riesgo delictivo: el odv no es garante respecto a los delitos que se cometen en el marco de la actividad empresarial

Hay que tener en cuenta la peculiar fisonomía del órgano de control, cuyo carácter “ancipital” ha sido subrayado en ocasiones, suspendido entre dos modelos heterogéneos de supervisión: el paradigma funcional del ‘compliance Officer‘⁴⁶, con capacidad de asesoramiento e información, y el institucional-corporativo del órgano de control, caracterizado por funciones de inspección (y típico, por ejemplo, del “collegio sindacale” en las sociedades de capital)⁴⁷, evidentemente aún más marcado cuando en realidad coincide con el órgano de control (“collegio sindacale”) de la empresa⁴⁸: a la luz de esta consideración esencial es necesario evaluar en primer lugar si los miembros de este órgano pueden ser considerados como sujetos que asumen una  una posición de garante respecto de la comisión de aquellos delitos que constituyen un requisito previo para la responsabilidad del órgano colectivo⁴⁹.

La hipótesis, ciertamente minoritaria, de un poder de impedimento «mediado» de los miembros del odv suele basarse en la orientación preventiva del modelo organizativo sobre el que dicho órgano ejerce su supervisión: la conexión con fines de protección respecto de la finalidad del delito y el seguimiento de la eficacia del programa designado al efecto calificarían a los miembros del odv como garantes⁵⁰. Sin embargo, este enfoque ignora que el control relativo a la observancia de las precauciones previstas por el modelo es funcional para apreciar su correcta aplicación en la realidad empresarial, y no para censurar conductas no conformes: y en cualquier caso, sí es cierto que el odv tiene la facultad prospectiva de evaluación y aprobación del funcionamiento de los procedimientos preventivos vinculados a los modelos organizativos y de información de infracciones a los órganos superiores del ente colectivo, la normativa vigente no prevé facultades fácticas de impedimento respecto de eventos individuales⁵¹.

Además, la supervisión omitida, deficiente o negligente del modelo organizativo por parte del odv tiene como consecuencia la posibilidad de imputar al ente colectivo el delito que se cometa, quedando excluida la exención de responsabilidad prevista por el art. 6 Decreto Legislativo 231/2001; en cambio, no comporta responsabilidad penal para los miembros del órgano, quienes no están obligados a prevenir el delito en sí, pero serán responsables en el plano civil, si la sanción sufrida por el órgano constituye un daño que debe imputarse causalmente a un incumplimiento de los deberes de control del odv, en cuyo caso la empresa podrá emprender acciones civiles para obtener una indemnización por responsabilidad contractual⁵².

Es la falta de desempeño de la propia tarea lo que da lugar a la sanción para la entidad, daño por el que ésta pide una indemnización: existe, por tanto, una perfecta superposición entre las tareas del miembro del odv y el objeto de la responsabilidad contractual. ejecutado contra él por la entidad.

La doctrina mayoritaria excluye la posibilidad de que se pueda configurar una posición de garante por los miembros del odv: el art. 6 del Decreto Legislativo 231/2001 no contempla ningún poder de impedimento, ya que el órgano de control no puede prohibir o conformar de ninguna manera el comportamiento de los altos directivos ni sustituirlos, ni ostenta ningún poder que le permita interferir en las elecciones del empresario sobre los métodos de gestión de la empresa⁵³; sólo puede verificar la idoneidad de los modelos organizativos y su correcta aplicación, velar por su actualización e informar de sus evaluaciones al consejo de administración y al “collegio sindacale”⁵⁴.

La vigilancia es ejercida por el odv no como un control detallado y minucioso sobre las actividades concretas que tienen lugar en el contexto interno corporativo con vistas a prevenir delitos específicos, sino más bien como una comprobación de la idoneidad del modelo para prevenir o minimizar el riesgo. de verificación del delito⁵⁵.

Ni siquiera respectoa la responsabilidad de la entidad por delitos de lesiones personales y homicidio por imprudencia por infracción de las normas de protección de la seguridad y salud de los trabajadores (art. 25-septies del Decreto Legislativo 231/2001) quedan dudas sobre la posibilidad de si se pueden configuran como garantes -además del empresario, el directivo, el responsable y el encargado del servicio de prevención y protección-, también los miembros del odv: el art. 16, co. 3, el Decreto Legislativo 81/2008 establece que la obligación del empleador de supervisar el correcto desempeño por parte del delegado de las funciones transferidas se considera cumplida en caso de adopción y aplicación efectiva del modelo de verificación y control a que se refiere el art. 30, co. 4⁵⁶. La efectiva ejecución y la idoneidad son verificadas por el odv, aunque no le corresponde ocuparse del control que corresponde del delegante al delegado en el marco de la delegación de funciones: la norma parece referirse, con delinear una forma correcta de desempeño de la supervisión de la parte que delega, a un conjunto de mecanismos de control encargados de prevenir cualquier resultado nocivo resultante de riesgos relacionados con la violación de las normas sobre seguridad en el trabajo, del cual el odv también forma parte (junto con el experto en seguridad y el Responsable del servicio de prevención y protección), pero, en lo que a él respecta, únicamente con competencias relativas a la supervisión de la implantación y mantenimiento de la idoneidad del modelo en materia de prevención de delitos de homicidio y lesiones por imprudencia conforme al art. 25-septies del Decreto Legislativo 231/2001⁵⁷.

En definitiva, el odv no tiene asignada ninguna tarea de controlar las acciones de gestión ni de impedir actividades criminalmente relevantes por parte de los representantes de la empresa. La dotación funcional de este órgano, limitada a realizar controles sobre la eficacia y los modelos organizativos y su conformidad dentro de la empresa, así como a informar a los órganos sociales competentes de posibles deficiencias y comportamientos no conformes, parece, por tanto, más limitada que la de los miembros del órgano de control “collegio sindacale”⁵⁸.

III.3 Participación activa de miembros del órgano de control en delitos ocurridos en el ámbito de la entidad por aprobación de modelos inadecuados o información inadecuada

Sin embargo, debe considerarse la posibilidad de que los miembros del órgano de control puedan, en el ejercicio de sus funciones fiscalizadoras, implementar actividades que integren aportes de participación en delitos ocurridos en el contexto societario, por lo que la entidad está llamada a responder conforme al Decreto Legislativo 231/2001.

En el contexto de un sistema penal italiano como el italiano, que adopta el modelo unitario de participación, se trata de evaluar qué conductas pueden enmarcarse en el tipo del “concorso doloso” (art. 110 código penal) o de la “cooperazione colposa”, cooperación en el delito imprudente (art. 113).

Así, en materia de seguridad en el trabajo, aunque se tenga que excluir la responsabilidad del miembro del odv por omisión de impedimento, pero sí hay que preguntarse si es posible un aporte de cooperación por imprudencia conforme al art. 113 c.p. en el hecho de los responsables del control de la seguridad (empleador, directivo, responsable y responsable del servicio de prevención y protección): problema sin embargo de carácter general, porque la conducta negligente del organismo de control – conducta que se desarrolla en un contexto estructuralmente multipersonal como es lógicamente la realidad societaria – bien puede integrar la violación de un deber relacional de cuidado hacia el comportamiento de otros.

Cabe señalar que, ante una actividad (negligente) del odv, que normalmente es un órgano colegiado (problema del “concorso di persone”), el caso de la cooperación imprudente adquiere una triple estructura, debido a la necesaria presencia del modelo organizativo como requisito previo para la conducta: una resolución de tomada de manera imprudente por un órgano colegiado; esta resolución constituye un aporte imprudente al hecho de algún sujeto responsables del control de la seguridad; pero además el efecto ejercido por el aporte imprudente hacia el delito está mediado por la interposición del modelo incluso antes de la conducta de los demás.

Se puede describir la siguiente estructura.

a) Los miembros del odv, con decisión colegiada, expresan una valoración negligente (o con falta de pericia) sobre la idoneidad y eficacia actual del modelo organizativo, valoración que resulta en violación de deberes relacionales de cuidado respecto de la conducta de los demás; o proporcionan información incorrecta sobre los mecanismos preventivos previstos por el propio modelo.

b) El modelo organizativo no resulta adecuado para prevenir la comisión del delito supuesto de responsabilidad del ente colectivo.

c) El delito lo comete alguien -por ejemplo, integrante de la alta dirección de la empresa- aprovechando la laguna o el déficit preventivo del protocolo; o confiando imprudentemente en la información inadecuada recibida del organismo de control.

Podemos hablar de una responsabilidad (por violación de los deberes relacionales de cuidado) mediada a diferentes niveles: a nivel personal por la actividad de los individuos que operan en la empresa y en primer lugar por el voto expresado por los demás miembros del órgano colegiado odv; a nivel funcional, por el modelo organizativo.

La primera cuestión que hay que abordar es la de evitar «que lo que se dejó salir por la puerta vuelva por la ventana»: es decir, utilizar el mecanismo del tipo de la cooperación en el delito imprudente – y, en particular, de la cláusula general del art. 113 c.p. – para legitimar, contra legem, la incriminación de conductas que impliquen omisión de impedimento, aunque sea en ausencia de poderes impeditivos. De hecho, hay que reiterar que la neutralización de las actividades delictivas de los actores empresariales no entra dentro del ámbito de competencia del odv: el único deber legal de este órgano sigue siendo el de supervisar la implementación y adecuación de los protocolos preventivos de los compliance programs, que se extienden a tareas de información y audit sobre el funcionamiento del sistema de delegación; mientras que se excluyen las actividades de supervisión directa de los comportamientos individuales efectivamente realizadas en los distintos servicios de la empresa, por ser ajenas a sus funciones, así como la realización de controles técnicos sobre las elecciones y acciones del delegado⁵⁹.

Además, hay que considerar que, como bien se ha subrayado, la prevención actuada por el modelo organizativo no se dirige a actos delictivos individuales o a hechos nocivos individuales (por ejemplo, respecto de los delitos de homicidio y lesiones por negligencia resultantes de la violación de las normas de seguridad en el trabajo), sino a clases de eventos normativos, respecto de los cuales el compliance program prepara reglas generales de cuidado que luego deben especificarse⁶⁰: correspondientemente, la actividad de supervisión del odv toma la forma de un control sobre la organización para la gestión de riesgos⁶¹, y no en la prevención de conductas delictivas individuales contrarias al modelo (que constituyen una simple condición para que el ente colectivo sea responsable del delito según el Decreto Legislativo 231/2001)⁶².

La distancia a nivel del espectro del deber de cuidado que existe entre este peculiar paradigma de vigilancia y el delito que, al ocurrir, produce la responsabilidad del ente es la misma razón que excluye poder calificar el odv como garante respecto de hechos delictivos individuales que ocurren en el contexto de la empresa: la actividad llevada a cabo por los miembros del odv es en la realidad un meta-control ⁶³ que se refiere únicamente a la idoneidad de los procedimientos preventivos previstos por el modelo y la conformidad de la organización respecto del modelo mismo.

Por lo tanto, la «imprudencia» de los miembros del órgano de control no puede estar en conexión específica con los delitos individuales que se cometerán.

Esta premisa, necesaria para evitar que se acabe legitimando en el nivel de responsabilidad por imprudencia la incriminación de hechos cuya relevancia penal queda excluida conforme al art. 40, co. 2, C.P., permite identificar de forma complementaria los límites de la responsabilidad conforme al art. 113 C.P.⁶⁴.

Se considera cooperación por imprudencia cada vez que la actividad de evaluación de riesgos, de idoneidad del modelo, de control de su correcta ejecución, desempeñada por el odv, pueda ser calificada de negligente o de falta de pericia, por haber avalado negligentemente un sistema de compliance ineficaz y por tanto haber de facto dado aprobación a un instrumento peligroso para la empresa, tal que pueda dar lugar a una confianza errónea en su eficacia y capaz de inducir comportamientos potencialmente perjudiciales en los garantes de la empresa⁶⁵.

También deben considerarse las actividades de información que los miembros del odv deben realizar en relación con situaciones de riesgo de las que toman conocimiento en el ejercicio de sus competencias específicas: conocimientos que, en un contexto con una estructura multipersonal compleja, excluirá lógicamente la posibilidad de invocar la regla del principio de confianza, ya que el odv ciertamente no puede confiar en las actividades de neutralización de otros sujetos de la empresa, cuando no hayan recibido información adecuada del mismo odv.

Por ejemplo, ya se ha hablado de la tarea de actualizar los modelos conforme al art. 6, co. 1, lett. b), Decreto Legislativo 231/2001: es claro que, al no tener el odv competencias ni poderes de gestión ni en ningún caso de modificación directa del modelo, que son prerrogativa exclusiva del órgano de administración, esta obligación de diligencia termina en una actividad consultiva y de sugerencias. Si el incumplimiento negligente de este deber induce a los sujetos empresariales competentes a omitir, no actualizar, eliminar precauciones o introducir otras inadecuadas o incluso contraproducentes, los miembros del órgano de control pueden ser responsables de cooperación por imprudencia⁶⁶.

Además, si el odv detecta incumplimientos de las prescripciones del modelo organizativo, está obligado a informar a los órganos sociales.

Obligaciones de interlocución con la dirección sobre posibles déficits en la estructura de la empresa, de mantener relaciones de información constante con los garantes de la seguridad en el trabajo de la empresa sobre la posible ocurrencia de accidentes de conformidad con el art. 30, co. 1, lett. e) y g)⁶⁷, generalmente son competencia del odv.

La falta de información, su contenido inadecuado, incompleto o erróneo sobre tales situaciones -información que siempre tiene una dimensión estratégica en el contexto de una organización compleja⁶⁸– constituye la violación de una de esas obligaciones relacionales de cuidado dirigidas a contener un riesgo organizacional en el que conectarse de manera estereotipa la actividad reconociblemente imprudente o ilícita de otros («obligaciones accesorias»)⁶⁹.

Por último, se puede imaginar incluso un aporte de “concorso doloso” según el art. 110 código penal de los miembros del odv: se integrará en los casos en que los propios miembros realicen acciones deliberadas para asegurar una desvinculación intencionada en el ejercicio de su función y, por tanto, conductas colusorias con la alta dirección de la empresa que favorezcan la adopción de modelos que, lejos de ‘identificar las «zonas de riesgo», se construyen precisamente para impedir o retrasar en la medida de lo posible la aparición y el descubrimiento de conductas delictivas⁷⁰.