1.- Preámbulo: De los orígenes a la irrupción del compliance en el sistema español de responsabilidad penal de las personas jurídicas

Como es sabido, el actual sistema de responsabilidad penal de la persona jurídica se introdujo en nuestro ordenamiento mediante la reforma realizada por la LO 5/2010.

Fue esta ley la que vino a establecer que algunas de dichas entidades (no todas las personas jurídicas)¹ podrían llegar a ser responsabilizadas y penadas por la realización de determinados delitos, (tampoco de todos), cometidos por sus superiores o por aquellos que actuasen bajo el control y la autoridad de tales sujetos. Eso sí, siempre y cuando tanto los unos como los otros los hubiesen llevado a cabo actuando en nombre, representación o, cuanto menos, por cuenta de la entidad y en beneficio directo o indirecto de la persona jurídica en cuestión.

Se creó así un sistema que rápidamente dio lugar a la apertura de un intenso debate doctrinal en el que curiosamente y, pese a la importancia del novedoso reconocimiento legislativo y de sus concretas prescripciones, en muchas ocasiones, se repitieron los argumentos y posicionamientos que la doctrina había ido aportando sobre la posible responsabilización penal de tales entidades desde mucho antes de la aprobación del sistema y, por tanto, también desde mucho antes del expreso reconocimiento normativo de su posible responsabilidad penal.

No faltaron, entonces, quienes negaron que el sistema ya creado fuese realmente un sistema de verdadera responsabilidad penal de las personas jurídicas². Pero tampoco los que rápidamente pasaron a ver en él un reconocimiento legal del acogimiento de sus planteamientos previos con respecto a la controvertida viabilidad de la responsabilidad de tales entes³.

En un primer momento, el debate, entre estos últimos autores, estuvo primordialmente centrando en determinar si las personas jurídicas responderían por su propia actuación o si, por el contrario, lo harían por la actuación delictiva que habría realizado el autor individual del concreto delito por el que se las vendría a responsabilizar⁴.

La discusión fue realmente intensa, dando lugar incluso a una controvertida circular de la Fiscalía General del Estado (la 1/2011) que se inclinaba claramente en favor de esta última interpretación del sistema. Esto es, por interpretarlo como un sistema de heterorresponsabilidad, que vendría a atribuir responsabilidad penal a las personas jurídicas por el hecho delictivo cometido por determinadas personas físicas, cuando concurriesen determinados requisitos.

Sin embargo, no parecía que ninguna de las interpretaciones y propuestas planteadas consiguiese prevalecer claramente sobre el resto, lo que aumentó la incertidumbre existente y probablemente tuvo mucho que ver en que nuestra jurisprudencia no emitiese prácticamente sentencias que analizasen y aplicasen esta nueva normativa a las personas jurídicas.

Fue entonces, cuando el legislador decidió tomar cartas en el asunto. Lo hizo, en concreto, mediante la aprobación de la LO 1/2015 que, como decía su preámbulo, vino, entre otras cosas, a reformar el sistema de responsabilidad penal de la persona jurídica, hasta aquel momento vigente en nuestro país, “con la finalidad de delimitar adecuadamente el contenido del «debido control», cuyo quebrantamiento permite fundamentar su responsabilidad penal…”, con lo que expresamente se decía que se pretendía poner “fin a las dudas interpretativas que había planteado la anterior regulación, que desde algunos sectores había sido interpretada como un régimen de responsabilidad vicarial”.

La lectura de esta declaración legislativa podría llevarnos a tener la errónea impresión de que esta reforma habría venido a poner fin al debate doctrinal y judicial hasta aquel momento existente sobre la concreta configuración y fundamento del sistema de responsabilización de tales entidades, habiéndose decantado el legislador claramente en favor de entender que la responsabilidad penal de las personas jurídicas se sustentaba en el comportamiento propio de estas entidades que determinaba el quebrantamiento del deber preventivo de control que el ordenamiento les dirigía. Un deber cuyos parámetros se definían, además, atendiendo “de modo general, a las dimensiones de la persona jurídica” y se delimitaban con precisión en la ley.

Sin embargo, nada hay más lejos de la realidad.

La aprobación de la LO 1/2015 no supuso en modo alguno el fin del debate doctrinal existente respecto a este controvertido tema. De hecho, y como ya puse de manifiesto en algún trabajo anterior⁵, lo que la aprobación de la referida reforma, a mi modo de ver,  vino a poner de manifiesto es el “gatopardismo” que caracteriza a nuestra doctrina y también, todo hay que decirlo, a algunas de nuestras instituciones, como, por ejemplo, la Fiscalía General del Estado⁶. Solo partiendo de dicho gatopardismo se entiende que, por más que el legislador de 2015 señalase expresamente en el preámbulo de dicha Ley Orgánica que el sistema establecido en los artículos 31 bis y siguientes de nuestro Código penal era un verdadero sistema de responsabilidad penal que abría las puertas a la aplicación a tales entidades de verdaderas penas y excluyese expresamente la posible interpretación del sistema como un mecanismo “vicarial” de atribución de responsabilidad, continúen existiendo voces, aún a día de hoy, que niegan que estemos ante un verdadero sistema de responsabilidad penal de las personas jurídicas⁷ u otras, -como, por ejemplo, hace la Fiscalía General del Estado en su circular 1/2016-, que persisten en mantener que el sistema seguirá partiendo y sustentándose, aún después de la reforma de 2015, en la inicial atribución a tales entidades del hecho delictivo cometido por ciertas personas físicas en su nombre y en su beneficio, por más que, después, permita eximirlas de responsabilidad por tales hechos, si se constata que cumplieron con determinadas exigencias preventivas que el propio sistema definiría⁸.

Ahora bien, lo anterior no debe llevarnos a pensar que todo continuó igual tras la reforma. Su aprobación perfiló y concretó algunos aspectos del sistema, lo que llevó a que, por una parte, se empezarán a emitir un número cada vez mayor de resoluciones judiciales que trataban de interpretarlo y aplicarlo, y, por otra, obligó a los defensores y seguidores de las muy diversas interpretaciones anteriormente sostenidas con respecto al sistema a dar entrada, en sus respectivas construcciones, a un referente preventivo que el art. 31 bis CP pasó a mencionar de forma expresa y cuya introducción, como señaló FEIJOO SÁNCHEZ, llegó realmente a eclipsar el resto de modificaciones y cambios realizados sobre el mismo por la LO 1/2015⁹. Estamos hablando, obviamente, de la referencia legislativa a la posible implantación y ejecución en el seno de las personas jurídicas de los “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”, como los denomina el art. 31 bis 2. 1º CP o de los programas de cumplimiento o “compliance programs”, que es como se les suele llamar atendiendo a su denominación anglosajona.

Muchas y muy diversas han sido las propuestas doctrinales dirigidas a determinar los requisitos y el concreto papel que los referidos programas están llamados a desempeñar en nuestro sistema de responsabilidad penal de las personas jurídicas, así como a fijar cómo éste debe funcionar, lo que, evidentemente, hace recomendable que dediquemos nuestra atención, a continuación, a exponerlas, siquiera someramente, para poder así entender de forma adecuada el contexto y de dónde vienen algunos de los problemas a los que la aplicación práctica del sistema se enfrenta en nuestros tribunales.

2. Efectos y problemas de las diferentes interpretaciones del sistema de responsabilidad penal de las personas jurídicas

El expreso reconocimiento de la responsabilidad penal de las personas jurídicas en nuestro ordenamiento tras la LO 5/2010 no se vio precedido ni determinó que se alcanzase un acuerdo doctrinal ni siquiera sobre la necesidad, ni la viabilidad de la implantación de tales sistemas. Muy por el contrario. De hecho, podría decirse que, cuando dicho sistema se aprobó, las espadas “doctrinales” estaban en todo lo alto en lo que se refería a este tema, manteniéndose posturas diametralmente opuestas. Desde aquellas que directamente negaban la posibilidad de crear este tipo de sistemas que, además, consideraban innecesarios o incluso perturbadores del sistema general de responsabilidad individual¹⁰, hasta algunas que entendieron que su creación era algo absolutamente necesario para que el Derecho penal dejase de vivir de espaldas a la realidad social y criminal que trataba de regular y de prevenir¹¹.

La posterior irrupción del compliance en el sistema español de responsabilidad penal de las personas jurídicas, producida tras la reforma realizada por la LO1/2015, no supuso ningún cambio relevante en dichos posicionamientos.

Quienes negaban, antes de dicha reforma, que el sistema del art. 31 bis CP y siguientes fuese un verdadero sistema de responsabilidad penal de las personas jurídicas continuaron haciéndolo. Afirmaban, en tal sentido, que, dado que las entidades no podían actuar ni autoorganizarse por sí mismas, sino que tanto lo uno como lo otro lo harían personas físicas  insertas en su estructura, no eran entidades que pudieran ser destinatarias de normas de determinación, sino meros objeto de normas que desvalorarían el estado de cosas peligroso que habrían creado dichos sujetos individuales al organizar y gestionar la entidad, lo que obligaría a entender que, por más que dijese nuestro legislador, no  estábamos realmente ante sujetos susceptibles de ser considerados como culpables de ningún delito, ni tampoco, consecuentemente, se podría considerar que se les viniesen a imponer verdaderas penas, siendo destinatarios, todo lo más, de medidas meramente asegurativas o interdictivas de naturaleza más cercana a las medidas de seguridad que a las penas propiamente dichas¹².

Pese a ello, la irrupción de los programas de cumplimiento en el sistema sí que llevó a que algunos de los defensores de estos planteamientos reconociesen que la sanción penal de la persona jurídica podría llegar a actuar “como mecanismo de conducción de las conductas de las personas físicas que gobiernan dichas corporaciones” que tratarían de incentivarlos para que “intensifiquen la introducción de mecanismos de prevención técnica –controles- que tienen, en realidad, la naturaleza de medidas descentralizadas –privadas- de seguridad predelictual” y para que, además y  de modo acumulativo a lo anterior, “traten de influir comunicativamente sobre las personas físicas que podría cometer ese hecho (directivos y empleados) de modo que se abstengan de cometerlos”, entendiendo, entonces, que el compliance vendría a actuar como una suerte de medida de seguridad predelictual (coacción física) que, también y paralelamente,  actuaría como un mecanismo de formación de la conciencia moral de los empleados y directivos¹³. Esto es, como un “behavioural compliance” o compliance propiamente preventivo y no solo como un compliance meramente policial o de detección de delitos¹⁴.

Diferente fue, como no podía ser de otra forma, el posicionamiento que adoptaron aquellos que abogaban por la necesidad de configurar el sistema de responsabilidad penal de las personas jurídicas como un verdadero sistema de responsabilidad penal.

Así, y por su parte, quienes partían, como hizo en su día la Fiscalía General del Estado, de que, en realidad, las personas jurídicas respondían por un hecho delictivo ajeno (el hecho de conexión) que se atribuía a la jurídica cuando concurrían determinados requisitos, entendieron que el compliance que cumpliese con las exigencias del art. 31 bis 5 CP actuaría como una suerte de causa de exención de la responsabilidad penal de la entidad por el delito cometido que permitiría tenerla por no culpable o no punible por el mismo por haber actuado de forma adecuada a la hora de tratar de prevenir su realización¹⁵.

Mientras tanto, dentro de quienes abogaban por la necesidad de configurar el sistema de responsabilidad previsto en los art. 31 bis y siguientes de nuestro Código penal para las personas jurídicas como un sistema sustentado en un hecho propio de estas entidades para poder considerarlo como un verdadero sistema de responsabilidad penal de las mismas, existían posicionamientos muy distintos, que, pese a todo, pueden ser agrupados, a grandes rasgos, en dos grandes tendencias.

Por una parte, estaría aquella tendencia que partía de que el sistema de los art. 31 bis y siguientes de nuestro Código penal sustentaba la posible responsabilización y sanción penal de las personas jurídicas a las que les era aplicable atendiendo al hecho de que no habían actuado adecuadamente al tratar de prevenir o impedir la comisión de delitos cometidos por determinados sujetos, desde su ámbito de actividad y en su beneficio, tal y como le exigía nuestro ordenamiento jurídico. Para los defensores de este planteamiento, el compliance y el resto de exigencias delimitadoras de la completa exención de responsabilidad penal de las entidades por los delitos cometidos por sus superiores o subordinados, de los que habla el art. 31 bis de nuestro Código penal, vendrían a delimitar y concretar el nivel de  deber de cuidado objetivo o de diligencia debida que se podría exigir que respetasen las personas jurídicas vinculadas por dicho sistema a la hora de cumplir con el deber de prevenir de delitos que les dirigía nuestro ordenamiento, haciendo así que aquellas que lo respetasen quedasen siempre al margen de cualquier posible responsabilidad por los delitos que los individuos cometiesen en su seno, mientras que las que no lo hiciesen pudiesen llegar a ser responsabilizadas por los hechos delictivos cometidos por haber favorecido su realización con su defectuoso y negligente proceder preventivo previo¹⁶.

Mientras tanto, la otra gran corriente doctrinal tendente a interpretar el sistema de responsabilidad penal de las personas jurídicas como un verdadero sistema de autorresponsabilidad basado en un hecho propio de la misma, trataba de hacerlo acudiendo a un concepto importado de la doctrina norteamericana, el de las culturas corporativas.

Dentro de esta línea se incardinan los posicionamientos de aquellos que entendieron que si se trataba de sustentar la responsabilidad de las personas jurídicas en la existencia de cualquier actuación preventivamente defectuosa, como parecía mantener la corriente anteriormente comentada, se correría el riesgo de volver a hacerlas responsables por un comportamiento individual que les sería completamente ajeno (en este caso, no el delito, pero sí el defectuoso actuar preventivo realizado por un concreto individuo), algo que habría que evitar si se pretende conformar el sistema como un verdadero sistema de autorresponsabilidad de las personas jurídicas. Precisamente para evitarlo, algunos de los seguidores de esta tendencia consideraron que, en realidad, las personas jurídicas no deberían responder por cualquier defecto preventivo que se diese en su seno y que favoreciese un delito, sino que solo lo podrían hacer cuando se constatase que el defecto en cuestión se podría considerar como “estructural”. Esto es, un defecto derivado de un conjunto de decisiones y relaciones interpersonales producidas a lo largo del tiempo en el contexto institucional de la persona jurídica y no por la decisión individual o incluso grupal de un conjunto de individuos identificados o identificables, algo que resultaría fundamental para que se pudiese entender que el favorecimiento del delito individual que se hubiese derivado del mismo no sería ya simplemente producto del defectuoso actuar preventivo de uno o de varios de dichos individuos, sino el resultado derivado de la defectuosa o insuficiente cultura corporativa de cumplimiento normativo que dichas dinámicas colectivas  habían generado, y justificará que se castigase a la entidad y no a los individuos por su efectiva producción¹⁷.

Para algunos de estos autores la existencia de estas defectuosas culturas de cumplimiento normativo resultaba, por tanto, fundamental para poder atribuir cuanto menos una parte del injusto delictivo producido a la entidad y no a uno o varios de los concretos individuos que actuaron en su seno o en su ámbito de actividad¹⁸. Sin embargo, para otros la presencia o ausencia de determinadas culturas colectivas en la entidad resultaba esencial, no para fundamentar el injusto del que se la haría responsable, sino para poder sustentar la culpabilidad de la persona jurídica por el injusto derivado de la unión causal del defecto producido en su seno y el delito producido¹⁹, no faltando tampoco quienes directamente negaron que fuese necesario o adecuado mantener la distinción entre injusto y culpabilidad, propia de la teoría general del delito de las personas físicas, en el nuevo sistema de las personas jurídicas, precisamente, por estar éste sustentado en la ausencia en ellas de determinadas culturas colectivas y no en conductas humanas individuales, como lo estaba el tradicional sistema de imputación de responsabilidad penal individual²⁰.

Fuera como fuese, en lo que sí que coincidieron todos los seguidores de esta corriente doctrinal fue en considerar que la responsabilidad penal de las personas jurídicas solo se podría fundamentar realmente en la existencia o en la ausencia en dichas entidades de determinadas culturas de naturaleza colectiva, lo que tuvo importantes efectos sobre su modo de entender el funcionamiento del sistema.

Así, por ejemplo y en primer lugar, este punto de partida llevó a que entendieran que solo deberían considerarse como posibles sujetos del sistema de responsabilidad de las personas jurídicas a aquellas que tuviesen la suficiente complejidad organizativa como para dar lugar a la aparición de culturas, algo que requeriría, a juicio de algunos, que fuesen entidades que actuasen como verdaderos entes autopoiéticos, capaces de autoorganizarse y  dotados de una voluntad e identidad distinta y diferenciada de la de alguno o la de la suma de individuos que los integran²¹, pero que, en opinión de otros, tan solo necesitaría que la entidad en cuestión tuviese una cierta complejidad que habría que determinar y graduar atendiendo a los conocimientos que nos aporta la sociología y la teoría de las organizaciones²².

Mientras tanto, y en segundo lugar, los comentados posicionamientos también llevaron a muchos de sus defensores a considerar que, en realidad, los compliances de los que habla el art. 31 bis CP deberían ser tratados como mecanismos preventivos directamente dirigidos a impedir o prevenir la aparición, precisamente, de aquellas culturas que podría fundamentar la posible responsabilidad penal de las personas jurídicas por los delitos producidos en su seno, algo que, a juicio de algunos de ellos, tendrían que tratar de evitar mediante el fomento y mantenimiento continuado en su seno del respeto a la legalidad.

Los programas preventivos estarían llamados entonces a desarrollar una función no tanto de control o vigilancia de los individuos que integran la persona jurídica, para evitar o prevenir que puedan cometer determinados delitos, como de estabilización a largo plazo del cumplimiento de la legalidad en la organización, desincentivando la realización de tales hechos mediante la estructuración y organización orientada a garantizar que su actividad se realice generalmente de conformidad con lo prescrito por el Derecho²³. Esto llevaría, a su vez, a que la adecuación normativa de estos programas debiese valorarse desde un punto de vista global, dinámico o diacrónico y no atendiendo a cada medida preventiva que tuviesen, con lo que bastaría con que la persona jurídica tuviese un compliance que acreditase que había existido un esfuerzo preventivo general y continuado en su seno destinado a hacer que quienes actuasen en ella respetasen generalmente la legalidad²⁴, para que se tuviese que entender que la entidad había cumplido con su obligación preventiva y debería permanecer, en consecuencia, completamente exenta de responsabilidad penal por el delito cometido, no siendo, por tanto, suficiente para poder responsabilizarla por su realización con que hubiese algún defecto preventivo puntual y concreto en su programa de cumplimiento que lo hubiese podido favorecer.

Éste era, básicamente y a groso modo, el panorama doctrinal que generó la irrupción del compliance en el sistema de responsabilidad penal de las personas jurídicas derivada de la reforma de 2015. Un panorama que, como se puede comprobar y ya adelantamos, se caracterizaba por el mantenimiento, si bien adaptado, de la gran variedad de planteamientos existentes respecto a dicho sistema antes de la referida reforma, con lo que su aprobación en modo alguno acabó con la incertidumbre que existía hasta entonces a la hora de determinar cómo debería funcionar. Partiendo de esta situación, se entiende perfectamente que algunas de las resoluciones judiciales relativas a la concreta aplicación de este sistema, emitidas tras su reforma, hayan sido objeto de crítica y hayan generado una enorme controversia entre aquellos que rechazan los postulados desde los que partieron en sus argumentaciones, lo que nos obliga a analizarlas a continuación, con algo de detenimiento, para ver hasta qué punto las severas críticas que han recibido están realmente justificadas.

3. El controvertido acogimiento de las teorías de las culturas corporativas por parte de nuestra jurisprudencia

Como acabamos de ver, la aprobación de la LO 1/2015 no acabó con la polémica doctrinal referida a la viabilidad y funcionamiento del sistema de responsabilidad de las personas jurídicas. Sin embargo, lo que sí que determinó es que se comenzasen a emitir un número cada vez más significativo de resoluciones judiciales en las que, en ocasiones, se tomó postura con respecto al concreto fundamento de dicho sistema e incluso se definieron los efectos que dicho fundamento debería tener sobre el ámbito de aplicación y funcionamiento del sistema.

La que abrió el fuego, en este sentido, fue posiblemente la STS 514/2015, de 2 de septiembre, una resolución que, pese a tratar el tema que nos ocupa de forma ciertamente tangencial, dado que la responsabilidad de la persona jurídica condenada en instancia no fue objeto del recurso resuelto por la misma, sí que contenía algunas afirmaciones y posicionamientos jurisprudenciales interesantes en relación con dicho tema. El fundamental es el contenido en su Fundamento de Derecho 3, donde expresamente, se afirmó que “ya se opte por un modelo de responsabilidad por el hecho propio, ya por una fórmula de heterorresponsabilidad, parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el derecho penal”, algo que, apuntaba el Alto Tribunal, debería haberle llevado a revisar la Sentencia de instancia en lo referido en dicha materia, si se le hubiese requerido para ello, precisamente, por presentar la misma un “llamativo distanciamiento (…) respecto de las exigencias del principio de culpabilidad ( art. 5 CP )”

Se establecía así, en cualquier caso, un primer pilar del sistema de responsabilidad de las personas jurídicas. Debía estar sustentado en la existencia de una culpabilidad propia de la entidad a la que se le pretendiese condenar conforme al mismo, por más que nada se dijese sobre cómo debería funcionar el sistema de responsabilidad penal de las personas jurídicas, ni menos aún, sobre cuál habría de ser el posible fundamento de la culpabilidad que se afirmaba que se debía apreciar en tales entidades para poder condenarlas conforme al mismo²⁵.

Mucho más esclarecedora, y controvertida también, fue la siguiente resolución de nuestro Tribunal Supremo referida a la materia. Hablamos, como no, de la célebre STS 154/2016, de 29 de febrero, que tuvo por ponente al Excmo. Sr. D. José Manuel Maza Martín.

En dicha sentencia, nuestro alto tribunal partió, de nuevo, de que cualquiera que fuese el modelo que se sostuviese con respecto a sistema de responsabilidad de las personas jurídicas, el mismo debería estar necesariamente basado en los principios configuradores irrenunciables del Derecho penal, lo que le llevó a afirmar que el sistema de responsabilidad penal de las personas jurídicas, tanto el instaurado por la reforma de 2010, como el sustentado tras la de 2015, debía estar basado no solo en la comisión del hecho delictivo realizado por alguna de las personas individuales de las que habla el art. 31 bis 1 CP, sino también en la existencia o no en la entidad de medidas de control reales y eficaces que prevengan y traten de evitar la comisión de tales hechos en su seno.

Ahora bien, una vez establecido lo anterior, el referido tribunal, realizando una verdadera pirueta intelectual y argumentativa, paso a afirmar que “la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal (incluido el supuesto del anterior art. 31 bis.1 parr. 1º CP y hoy de forma definitiva a tenor del nuevo art. 31 bis. 1 a ) y 2 CP , tras la reforma operada por la LO 1/2015), ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos, tendentes a la evitación de la comisión por éstos de los delitos enumerados en el Libro II del Código Penal como posibles antecedentes de esa responsabilidad de la persona jurídica” (la negrita es nuestra).

Se pasó así, como se puede comprobar, a asumir los postulados de la última postura doctrinal que comentamos en el epígrafe anterior de este trabajo. Los sostenidos por aquellos que trataban de sustentar la responsabilidad penal de las personas jurídicas en la existencia o ausencia de determinadas culturas corporativas en su seno, señalándose, de forma plenamente coherente con dicha línea de pensamiento, que el cumplimiento de las medidas preventivas establecidas en el art. 31 bis CP, como el compliance, no actuaría como una excusa absolutoria respecto a la responsabilidad de la persona jurídica, ni como una verdadera causa de justificación de la conducta típicamente realizada o como un motivo de exoneración de la culpabilidad de la entidad con respecto al hecho del que se la quería responsabilizar, sino que vendría a determinar la propia inexistencia de la infracción corporativa que podría abrir las puertas a que se la pudiera hacer responsable del hecho delictivo cometido, pasando, entonces, la ausencia de tales medidas a ser “el núcleo típico de la responsabilidad penal de la persona jurídica, complementario de la comisión del ilícito por la persona física”.

El posicionamiento jurisprudencial fue claro y también, como hemos señalado, controvertido, habiéndose visto acompañado, de hecho, de un duro voto particular de 7 de los 15 integrantes de la Sala que emitieron dicha sentencia.

Pese a ello, lo cierto y verdad es que esta sentencia se ha convertido en el punto de partida de toda una corriente jurisprudencial defensora del fundamento cultural de la responsabilidad penal de las personas jurídicas que ha ido dando lugar a resoluciones que han trasladado a la práctica de nuestros tribunales muchos de los controvertidos y discutibles efectos y conclusiones que los defensores doctrinales de este posible fundamento derivaron, en su día, del mismo²⁶.

El primero, y más evidente, es aquel que considera que, dado que solo podrá haber responsabilidad penal de las personas jurídicas si éstas pueden generar una cultura corporativa propia de respeto a la legalidad y no lo hacen y ello termina respaldando la comisión de determinados delitos, solo se podrá considerar como posibles sujetos destinatarios e “imputables” a efectos del sistema del art. 31 bis CP a aquellas entidades que, además de tener `personalidad jurídica propia, tengan una complejidad organizativa suficiente como para poder generar tales culturas, algo que se entendía que no se daría, por ejemplo, en las denominadas “sociedades pantalla”.

Así lo entendió, por ejemplo, la ya citada STS 154/2016, cuando afirmó que “…la sociedad meramente instrumental, o «pantalla», creada exclusivamente para servir de instrumento en la comisión del delito por la persona física, ha de ser considerada al margen del régimen de responsabilidad del artículo 31 bis, por resultar insólito pretender realizar valoraciones de responsabilidad respecto de ella, dada la imposibilidad congénita de ponderar la existencia de mecanismos internos de control y, por ende, de cultura de respeto o desafección hacia la norma, respecto de quien nace exclusivamente con una finalidad delictiva que agota la propia razón de su existencia y que, por consiguiente, quizás hubiera merecido en su día directamente la disolución por la vía del art. 129 CP , que contemplaba la aplicación de semejante «consecuencia accesoria» a aquellos entes que carecen de una verdadera personalidad jurídica en términos de licitud para desempeñarse en el tráfico jurídico o, en su caso, la mera declaración de su inexistencia como verdadera persona jurídica, con la ulterior comunicación al registro correspondiente para la anulación, o cancelación, de su asiento”.

En la misma línea se manifestó también la STS 108/2019, de 5 de marzo, que negó que se pudiese aplicar el sistema de responsabilidad penal de las personas jurídicas del art. 31 bis CP a varias sociedades que enjuiciaba, creadas y adquiridas por los autores de varios delitos, entre ellos de estafas, con el fin de facilitar su comisión y dificultar su descubrimiento, por considerarlas como sociedades pantallas inimputables conforme a dicho sistema, lo que permitió al Alto Tribunal mantener las consecuencias accesorias del art. 129 CP que le había previamente impuesto el tribunal de instancia, ya que, a diferencia de lo que hoy sucede, eran perfectamente aplicables a las personas jurídicas en el momento de comisión de los hechos por las que se las juzgaba.

También lo hizo posteriormente, la STS 2330/2020, de 22 de noviembre, que, siguiendo los planteamientos mantenidos por la STS 154/2016, entendió que las sociedades pantallas creadas y adquiridas para cometer el delito de estafa que enjuició, carecían de sustrato de actividad real, con lo que no presentaban el mínimo de complejidad organizativa necesario para poder considerarlas como sujetos imputables a efectos del sistema de responsabilidad penal de las personas jurídicas; posicionamiento que, sin embargo, y a diferencia de lo que sucedió en la STS de 2016, lejos de llevar al Tribunal Supremo a afirmar que la sociedad pantalla en cuestión debería disolverse directamente, determinó que decretase su absolución por el delito cometido, restringiendo su responsabilidad a la meramente civil y subsidiaria derivada del mismo²⁷.  

Mucho más allá ha ido, sin embargo, la más reciente STS 894/2022 de 11 de noviembre. En esta sentencia, nuestro Tribunal Supremo, tras afirmar que “para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad”, señaló que “…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad, con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art.31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad”.  Entendió, por tanto, que “…Lo determinante es la existencia de una complejidad interna, presumible a partir de un suficiente sustrato material organizativo, que, si falta, falta el presupuesto para hablar de imputabilidad penal, por inexistencia de capacidad de culpabilidad, ya que, debido a su mínima estructura, no se da la base desde la que conformarla, y es que, no habiendo posibilidad de establecer mecanismos de control, no puede surgir el fundamento de su responsabilidad, de ahí que no toda sociedad pueda considerarse imputable en el ámbito penal…” ²⁸.

Se dio así un paso fundamental a la hora de reducir el número de personas jurídicas que podrían ser consideradas como imputables conforme sistema de responsabilidad penal de nuestro ordenamiento y, por tanto, también el de que aquellas que se verían vinculadas por sus prescripciones, ya que, al exigir, para poder considerarlas como tales que estén dotadas de una cierta complejidad organizativa, se abrió las puertas no solo a que se excluyese de entre las posibles sociedades imputables a las pantallas, sino que también se hizo factible que otras resoluciones jurisprudenciales posteriores se decantasen por calificar a otro grupo de personas jurídicas como indudables ejemplos de esa falta de complejidad y, por tanto, también como casos indiscutibles de entidades penalmente inimputables: a las sociedades unipersonales.

Estas sociedades han sido consideradas como inimputables conforme al sistema del art. 31 bis de nuestro Código penal, por ejemplo, por la tantas veces ya citada STS 154/2016, de 29 de febrero, pero también por la STS 108/2019, de 5 de marzo, la STS 534/2020, de 22 de octubre o la STS 264/2022, de 18 de marzo, entre otras. Todas estas resoluciones han rechazado que dicha clase de personas jurídicas tengan la mínima complejidad organizativa que se necesitaría para poder considerarlas como entes diferentes de la persona física y, por tanto, también como posibles sujetos a los que se le pudieran exigir la implantación de programas de cumplimiento normativo, con lo que habría que negar que se las pudiese responsabilizar y castigar conforme al sistema del art. 31 bis CP.

También han excluido del sistema a esta clase de entidades, si bien con otro tipo de argumentos, sentencias como la STS 36/2022, de 20 de enero o, especialmente, la STS 747/2022, de 27 de julio,  donde expresamente se afirmó que el enfoque o fundamento de la impunidad de las sociedades unipersonales respecto al sistema de responsabilidad de las personas jurídicas sustentando en su falta de complejidad ”…podría jugar solo de forma subsidiaria respecto de la perspectiva primaria”, ya que en algunos de estos casos, en realidad,  se “identifica un problema de estricto non bis in idem y de necesidad de levantar el velo”. Un bis in idem que se dará “…si quien padece las dos penas es materialmente el mismo individuo, aunque formalmente sean dos sujetos jurídicos diferenciados: el administrador responsable penal es a la vez socio único de la mercantil” y que, además y como establece la última resolución comentada, no puede ser neutralizado mediante la aplicación de lo previsto en el art. 31 ter.1 inciso final CP, puesto que la compensación prevista en dicho precepto para las penas aplicables a personas físicas y jurídicas, “ solo aparece cuando el delito cometido por la persona física lleva también aparejada pena de multa”, con lo que “…ante otras penalidades (pena única de prisión) no se evitará una indisimulable doble sanción: la prevista para la persona física que, además, se vería materialmente sometida a una pena de multa a través de la persona jurídica de la que es titular”, sin que exista posibilidad de que quepa“… compensación alguna para aliviar la realidad del castigo bimembre que en definitiva recaerá sobre la misma persona, la única que ha intervenido en el delito.”

Se daría así una segunda posible y alternativa argumentación para excluir del sistema a algunas sociedades unipersonales. En concreto, a aquellas en las que el responsable individual del delito fuese, además, el único socio de la entidad unipersonal, posibilidad que, sin embargo y evidentemente, no determinaría, como expresamente reconoce la última sentencia citada, que no se pueda y se deba seguir entendiendo que el resto de entidades unipersonales así como aquellas otras que no tuviesen suficiente complejidad organizativa tengan también que permanecer al margen del ámbito de aplicación del sistema de responsabilidad penal de nuestro ordenamiento jurídico, si se parte, como todas las resoluciones anteriormente comentadas hicieron, de que dicho sistema solo es apto y resulta aplicable a entidades que tengan capacidad para generar (y, por tanto, también de controlar y evitar) la aparición de culturas colectivas en su seno.

Ahora bien, el acogimiento jurisprudencial de la teoría de las culturas corporativas como fundamento de la posible responsabilidad penal de las personas jurídicas ha tenido otros importantes y cuestionables efectos prácticos con respecto, como no, al papel que, según nuestros tribunales, están llamados a desempeñar los compliances en el sistema de responsabilidad penal de las personas jurídicas.

Así, por ejemplo, hay que reseñar lo mantenido en el Auto del Juzgado Central de instrucción nº 6, de 23 de marzo de 2021, referido al conocido como “caso Púnica”. En esta resolución se revocó la inicial incorporación al procedimiento como investigada de Indra Sistemas S. A. y se decretó el sobreseimiento de  la causa inicialmente abierta contra dicha entidad, precisamente, por entender que una vez aportada por tal empresa prueba de que había implantado un código de conducta en 2001 y de que había aprobado un programa de cumplimiento, en 2011, que reforzó los estándares de prevención y cultura del cumplimiento que había implantado el previo Código ético, sin que la fiscalía hubiese aportado, por su parte, elementos de cargo que permitiesen entender que podría existir en tal entidad un defecto preventivo estructural, como debería haber hecho al ser la que acusaba, ya no se la podría mantener con el estatus procesal de investigada, dado que se consideraba que las implantaciones del referido código de conducta y del posterior programa de cumplimiento, lejos de suponer unos indicios muy vagos de la posible exoneración de Indra, como sostenía la fiscalía, permitían directamente apreciar la existencia en el seno de dicha persona jurídica de aquella cultura de cumplimiento que habría de determinar su absoluta falta de responsabilidad penal por el delito que se estaba investigando.

Se acogía así, jurisprudencialmente, el segundo gran efecto derivado del seguimiento de la teoría de las culturas del que hablamos anteriormente. Dado que, conforme a esta postura, el compliance debería ser tenido y analizado como un mecanismo global de prevenir delitos y como un todo único destinado a fomentar el cumplimiento normativo generalizado, ello debería llevar a que, una vez constatado que existía un programa implantado dentro de una entidad, se tuviese que admitir que ésta ya había hecho lo que tenía que hacer para tratar de generar aquellas culturas colectivas de cumplimiento que la mantendrían exenta de pena. Así pues, la existencia de este tipo de mecanismos preventivos generales y genéricos actuaría como una suerte de requisito negativo respecto a la posible responsabilización penal de estas entidades²⁹, cuya mera presentación judicial, de hecho, las mantendría exentas no solo de cualquier responsabilidad penal, sino también e incluso de poder ser consideradas como investigadas  por cualquier delito que se diese en su seno. Pero es que, además y por otra parte, una vez que se establece que la ausencia o la incorrección del compliance son las que podrán fundamentar la posible responsabilidad penal de la persona jurídica  y se admite, consecuentemente, que la carga de la prueba de dichos hechos correspondería y, siempre y necesariamente, debería corresponder a la parte acusadora, no quedaría más remedio que entender, -como, de hecho, hizo la sección 4 de la Audiencia Nacional en su auto, de fecha 1 de julio de 2021con respecto a Abengoa S. A.-, que nunca se podía requerir a ninguna de estas entidades para que aporten de forma obligatoria el compliance que pudiese tener implantado en su seno, con el fin de constatar si lo tenía o su adecuación, ya que se tendría que considerar que una exigencia judicial de dicha naturaleza vendría a atentar contra el derecho a no autoincriminarse que les correspondía, convirtiéndose así, de facto, la aportación de dichos programas por parte de las personas jurídicas, a efectos de la investigación de los delitos en que se viese involucrada, en algo completamente voluntario para las mismas.

El panorama final que nos deja la unión de todas estas resoluciones resulta cuanto menos llamativo.

No es solo que el mantenimiento de un sistema de responsabilización penal de las personas jurídicas sustentado en culturas colectivas o corporativas lleve a que muchas de estas entidades (las pantallas, las unipersonales, las no complejas, etc….) no puedan ser consideradas como imputables a efectos de dichos sistemas, quedando, , en consecuencia, al margen tanto de sus sanciones, como de sus prescripciones o que se tenga que entender que la mera presentación en sede judicial, por las que sí estarían vinculadas, de un programa de cumplimiento, por muy genérico que pudiese ser, deba ser considerada como suficiente para excluir cualquier viso de irregularidad en el comportamiento preventivo de la que lo presente, determinado, en consecuencia, que no se las pueda ni imputar. Es que, además, este tipo de planteamientos también llevará a que, cuando una entidad no presente, en sede judicial, uno de estos programas, solo pueda ser traída al procedimiento como investigada si quien la acusase lo hiciese aportando indicios de que no tenía ninguno o de que el que tenía era inadecuado, algo, evidentemente, muy difícil de conseguir sin poder requerirle que aporte el que tuviera para comprobarlo y que, de facto, vendrá a hacer realidad el sueño de cualquier abogado que las vaya a defender.

Pero, ¿es realmente correcto interpretar el sistema de responsabilidad penal de la persona jurídica, vigente en nuestro país, como están haciendo todas las resoluciones jurisprudenciales comentadas? Es más, ¿es posible hacerlo?

4. Problemas e incongruencias de las teorías de las culturas corporativas en el sistema de responsabilidad penal de las personas jurídicas vigente en España

Pese a que, como acabamos de ver, hay un número significativo de resoluciones judiciales que parten de una fundamentación cultural del sistema de responsabilidad penal de las personas jurídicas y a que también es cierto que dicha visión tiene un significativo respaldo entre nuestra doctrina³⁰, incluso y curiosamente, entre aquellos que niegan el carácter realmente penal del sistema y de las sanciones que éste viene a aplicar, pero admiten simultáneamente que el compliance tiene por finalidad prevenir la aparición  y generalización de determinadas culturas³¹, lo cierto y verdad es que también se ha enfrentado a muchas y severas críticas tanto de nuestro tribunales como de muchos autores.

Así, por ejemplo, resulta conveniente recordar algunas de las críticas que efectuaron, en su día, los firmantes del voto particular de la Sentencia del Tribunal Supremo que abrió la corriente jurisprudencial anteriormente comentada. La tantas veces citada STS 154/2016.

Los siete firmantes de dicho voto criticaron la postura mayoritaria, entre otras razones, por entender que la misma introducía un elemento en el sistema de responsabilidad penal de las personas jurídicas, como era el de las culturas de cumplimiento, que no estaba expresamente contemplado en ningún lugar de nuestro Código penal,  introduciendo así una suerte de requisito “metalegal” en el sistema de responsabilidad penal de la persona jurídica que, además,  aludía a un hecho“ tan evanescente y negativo como es demostrar que el delito ha sido facilitado por la ausencia de una cultura de respeto al Derecho en el seno de la persona jurídica afectada”, con lo que su exigencia llevaría a que se tuviese que negar que el sistema de responsabilidad penal de las personas jurídicas vigente en España respetase las exigencias de determinación y legalidad mínimas exigibles a todo verdadero sistema de responsabilidad penal.

No les faltaba razón, a nuestro modo de ver, a los firmantes del comentado voto particular en sus críticas. De hecho, si acudimos a las definiciones que la doctrina ha ido dando a lo largo del tiempo con respecto a estas culturas no nos quedará más remedio que admitir que éstas se han definido y continúan definiéndose de forma no solo evanescente o difusa, sino también bien diversa.

Así y sin ánimo alguno de exhaustividad, dada la dimensión de este trabajo, podríamos decir que existen dos grandes tendencias doctrinales a la hora de definir las culturas corporativas que supuestamente abren las puertas a la aplicación de las penas o medidas que contempla el art. 33.7 de nuestro Código penal.

Por una parte, está aquella que las define como una serie de prácticas compartidas y generalmente seguidas por quienes integran la organización que darán lugar a aquellos defectos preventivos estructurales, atribuibles no ya a uno o varios individuos concretos de su organización, sino a la persona jurídica misma; defecto que junto al concreto delito cometido determinarán y fundamentarán, a juicio de quienes defienden dicha concepción, el concreto injusto delictivo corporativo del que se la podrá responsabilizar penalmente³². Pero, por otra, y de forma claramente distinguible de la anterior concepción, las culturas corporativas también han sido definidas como una serie de principios y valores de origen colectivo y compartidos por los integrantes de la persona jurídica, que pueden dar lugar a que algunos de ellos se motiven a cometer hechos delictivos³³ o que, cuanto menos, podrán determinar que dichos sujetos padezcan determinados sesgos cognitivos o volitivos que reducirán las barreras motivacionales generales que de forma habitual les desincentivan de llevarlos a cabo³⁴, hechos que justificaran, en el primer caso, que se las pueda considerar como culpables del delito cometido o, en el segundo, que se les tengan que aplicar las medidas contempladas en el art. 33. 7CP.

Son varias, por tanto, las concepciones que, de hecho, se mantienen a la hora de definir las culturas corporativas que la persona jurídica debe prevenir y sobre las que, de una u otra forma, se trata de sustentar la aplicación del sistema previsto en el art. 31 bis CP, algo que inevitablemente incide en la función y relevancia que los compliances presuntamente destinados a controlarlas tendrán en el sistema de responsabilidad penal de las personas jurídicas, pero que también abundará en la inseguridad que ya de por sí rodea la determinación y, por tanto, también la hipotética constatación y prueba de la presencia estas culturas como supuesto requisito metalegal y básico de la posible responsabilidad penal de tales entidades.

¿Hay que constatar la presencia de valores o de sesgos colectivos inspiradores de delitos o la de prácticas comunes y generales generadoras de defectos preventivos estructurales?

Si es lo primero, ¿cuáles habrían de ser los sesgos cognitivos o volitivos que el compliance de una entidad debería prevenir o evitar para que se pueda entender que en la misma reinaba una cultura general de cumplimiento normativo y, por ello, no podría ser responsabilizada de los delitos cometidos por sus empleados y directivos? ¿Debe evitar, por ejemplo, que aparezca y se extienda la tendencia subjetiva de sus integrantes a buscar de beneficios para la empresa o para sí mismos? ¿Prevenir que se generalice el respeto automatizado a la autoridad por parte de los empleados o subordinados?³⁵ ¿Es que acaso estos sesgos, que se nos dice pueden fundamentar el castigo de las personas jurídicas porque pueden favorecer la comisión de delitos al atenuar las barreras inhibidoras de los individuos frente a la posible realización de los mismos, no son normales y comunes en prácticamente cualquier empresa? ¿Todas ellas han de ser consideradas, entonces, como responsables de los delitos que se produzcan en su seno por estar dotadas de “culturas criminógenas” o no de adecuado cumplimiento normativo? ¿Sólo algunas? ¿Cuáles?

Algo parecido puede decirse, también, con respecto a los planteamientos que entienden como culturas corporativas a las prácticas generalmente compartidas y comunes que dan lugar a los defectos preventivos estructurales que podrían determinar la responsabilidad penal de las personas jurídicas. ¿Cómo de extendida o generalizada tiene que estar la práctica en la entidad para que se pueda entender que sería determinante de su posible responsabilidad penal? ¿Solo si está totalmente aceptada se podrá entender que existe? ¿Si no es admitida por un grupo más o menos grande de integrantes de la entidad ya no será suficiente? ¿Cómo de grande debe ser dicho grupo? ¿Cómo de prolongada debe ser la práctica para poder dar lugar a la responsabilidad penal de la entidad? ¿Tiene que ser permanente? ¿Si es esporádica, pero recurrente, ya no determina su responsabilidad? ¿Qué pasa entonces si justo cuando se dio el delito la defectuosa práctica preventiva no se estaba dando o no era generalmente seguida, pero lo había sido durante años antes de su realización? ¿Ya no habría responsabilidad?  ¿La habría porque el defecto preventivo vino de la defectuosa práctica anterior? ¿No la habría porque el defecto ya no se podría considerar como estructural?

La indeterminación es enorme y ello tiene importantes efectos prácticos a la hora de definir los compliances que mantendrían a las personas jurídicas exentas de penas.

 ¿Bastaría con que una persona jurídica implantase un compliance que fomentase el respeto general a las normas entre los integrantes de la persona jurídica, evitando la aparición de sesgos considerados criminógenos entre ellos para que no se la pudiese considerar culpable de ninguno de los delitos que éstos cometiesen, a pesar de que no hubiese establecido ninguna medida que tratase de dificultarlos, prevenirlos o detectarlos? ¿Sería suficiente que contemplase medidas muy estrictas y adecuadas, por ejemplo, para prevenir la aparición de prácticas generalizadas que pudieran favorecer toda una amplia gama de delitos, aunque no hubiese implantado ninguna destinada a prevenir precisamente el que finalmente se dio, para que no se la pudiese tener como responsable del mismo al tener que considerarse que su compliance era globalmente adecuado para prevenir delitos?

Pero es que, además, y como es sabido, para que se puedan aplicar cualquiera de las penas del art. 33.7 CP a una persona jurídica, conforme al sistema vigente en nuestro país, hará falta que ésta sea responsabilizada por un delito. Por el concreto delito cometido por alguna de las personas físicas de las que habla el art. 31 bis.1 CP del que se le trate de responsabilizar. No bastará entonces con que se pueda apreciar su defectuoso comportamiento preventivo, sino que será necesario, en su caso, que éste se una o vincule, de alguna forma, con el concreto delito del que se la pretenda responsabilizar y, además, que se la pueda llegar a considerar culpable, esto es, subjetivamente responsable por su realización.

¿Cómo se determinaría, entonces, por ejemplo, la conexión entre la cultura criminógena existente en la entidad, derivada de sus sesgos, y el concreto delito del que se responsabilizará a la persona jurídica? ¿Hará falta que se constate que la cultura generó la idea en el individuo de cometer el delito realizado? ¿O bastará con que se compruebe que favoreció la aparición de dicha idea o la respaldó, simplemente, al reducir o, cuando menos, no aumentar las barreras generales inhibidoras de delitos en sus empleados, fomentando entre ellos el respeto general a la legalidad vigente como podía y debía haber hecho?

Parece realmente difícil que se pueda considerar que la indebida existencia o el mantenimiento de determinados sesgos cognitivos o volitivos colectivos en una estructura empresarial permita considerar que la entidad a la que se considere responsable de haberlos generado o de no haberlos eliminado sea también responsable del concreto delito que habría realizado un sujeto en su seno, ya que será prácticamente imposible de demostrar que, por ejemplo, el fomento de la búsqueda del mayor beneficio en la empresa, el respeto a la autoridad o la sensación de difuminación colectiva de la responsabilidad de la que hablan los defensores de estos sistemas³⁶ hayan sido determinantes o siquiera hayan contribuido de forma efectiva a la comisión de la mayoría de los concretos delitos de los que se trate de responsabilizar a la entidad.

Más viable parece, en tal sentido, la postura sostenida por aquellos que parten de que el injusto de las persona jurídica debe sustentarse atendiendo a la existencia de defectos preventivos estructurales y generales y no coyunturales de su modelo preventivo que faciliten el delito³⁷ o con quienes consideran que debería ser en sede de culpabilidad donde habría que analizar si el defecto preventivo que favoreció objetivamente su comisión era atribuible a la culpabilidad de la persona jurídica, precisamente, por no haber implantado ésta la cultura de cumplimiento que estaba obligada a implantar³⁸.

Ambas propuestas conectan el defecto preventivo existente en la entidad con el delito cometido mediante una conexión causal, ya que exigen que el defecto preventivo existente haya determinado o, cuanto menos, favorecido la comisión del concreto delito realizado, para poder responsabilizar a la entidad. Sin embargo, ambas propuestas también terminan por excluir la responsabilidad penal de la persona jurídica por la aportación delictiva derivada del defecto preventivo que se hubiese dado en el seno de la persona jurídica en la medida en que se pueda considerar que su actuar preventivo previo  fue generalmente adecuado, lo que, a juicio de los primeros, debería llevar a que el defecto ya no pueda ser considerado estructural ni consecuentemente pueda ser considerado como propio de la entidad, mientras que, en opinión de los segundos, impediría que se pudiese considerar a la persona jurídica como culpable de la concreta aportación delictiva producida.

Esto último, como ya puse de manifiesto hace años, se enfrenta al problema de que viene a sustentar la culpabilidad de las personas jurídicas en su forma general de actuar desde un punto de vista preventivo y no atendiendo a su concreto proceder con respecto al delito cometido y del que se le pretende responsabilizar, lo que supondría fundamentar el sistema de responsabilidad penal de las personas jurídicas sobre una suerte de culpabilidad  por la conducción de vida de las entidades completamente desconectada del concreto injusto delictivo por el que se las vendría a sancionar y determinaría su pena, haciendo así que el sistema establecido para dichas entidades no respondiese a las exigencias mínimas propias de un verdadero Derecho penal del hecho³⁹.

Pero es que, además y por otro lado, tanto si se parte de que lo que hacen las culturas de las que hablan los referidos autores es determinar la culpabilidad de la entidad, como  si entiende lo que hacen es delimitar los defectos preventivos que podrían abrir las puertas a su posible responsabilidad (los estructurales) y se considera, como todos ellos hacen, que la presencia o ausencia de dichas culturas debe determinarse teniendo en cuenta y valorando la actuación preventiva previamente realizada por la entidad de una forma global y no meramente puntual, estaremos construyendo el sistema de responsabilidad penal de las personas jurídica, como acertadamente señala ÓRTIZ DE URBINA GIMENO, sobre la base de una suerte de responsabilidad por su conducción de vida “invertida”, que  haría que la actuación general de las personas jurídicas (su conducción de vida) funcione, en su subsistema de responsabilidad, en favor de la que fuese acusada, permitiéndole permanecer exenta de cualquier reproche penal que se le tratase de atribuir por el actuar preventivamente defectuoso que se hubiese dado en su seno con respecto al delito producido, mientras su conducción de vida preventiva general y precedente fuese valorada positivamente, algo que resulta realmente difícil de aceptar⁴⁰.

De hecho, del mismo modo que resultaría difícil de comprender y de aceptar que se pudiese eximir de responsabilidad penal a un sujeto que mata a otro por el mero hecho de que anteriormente hubiese actuado de forma completamente respetuosa con el Derecho, tampoco es fácil de entender la razón por la que se debería admitir en el sistema de responsabilización de las personas jurídicas deba dejar exentas de responsabilidad penal a una entidad que no hubiese establecido medidas de control y prevención adecuadas para reducir el riesgo de comisión de delitos como el efectivamente cometido y que al no implantarlas hubiera hecho factible su realización, simplemente, porque, antes de la comisión de dicho delito, hubiese implantado y ejecutado otras referidas a otros delitos o algunas que fomentasen el respeto general al Derecho entre sus empleados⁴¹.

Las críticas dirigidas a este tipo de construcciones, como se puede comprobar, no son pocas, ni menores, pero no han terminado aquí. También han arreciado aquellas que señalan que, en realidad, sus planteamientos parten de una serie de premisas que no solo no están expresamente contempladas en la legislación que delimita el sistema de responsabilidad penal de las personas jurídicas vigente, con lo que serían “metalegales”, sino que, de hecho, resultan abiertamente incompatibles y contradictorias con alguna de las prescripciones normativas que delimitan dicho sistema.

Así, por ejemplo, se ha puesto de manifiesto que la pretendida valoración global del compliance, que sustentan sus seguidores, como referente fundamental de su consideración como determinante de la implantación de la adecuada cultura de cumplimiento que eximiría de responsabilidad penal de las corporaciones por cualquier delito que se cometiese desde las mismas, no solo no aparece contemplada en ningún lugar del art. 31 bis CP, sino que resulta abiertamente contradictoria con el hecho de que el apartado 5 de dicho precepto obligue a realizar el mapa de riesgo  sobre el que construir el programa preventivo, que podría eximir a las personas jurídicas de responsabilidad, identificando “las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, y con que su apartado 2º exija, para mantenerlas exentas de responsabilidad por los delitos de sus superiores, que hayan adoptado y ejecutado eficazmente, antes de la comisión del delito del que se las pretenda responsabilizar, modelos de organización y gestión que incluyan “…las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión” y el 4º requiera, para hacer lo propio con respecto a los de los subordinados , que la entidad adoptase y ejecutase antes de la comisión del delito “…un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión” (la negrita es nuestra). Esto es, con unos preceptos que exigen, expresamente, que los compliances de las personas jurídicas contengan y ejecuten medidas que resultan adecuadas para evitar o para, cuanto menos, dificultar de una forma significativa la posible realización de los concretos delitos, como el finalmente cometido, detectados en su mapa de riesgo y no implantando simplemente medidas que tengan una eficacia preventiva general o transversal dirigida a implantar culturas colectivas de cumplimiento normativo.

Parece incuestionable que estas exigencias normativas convierten a los riesgos objetivos de comisión de delitos concretos detectados en cada entidad y no a la posible aparición de determinadas culturas colectivas en los referentes a tener en cuenta tanto al determinar las medidas preventivas que los compliance tendrían que tener, antes de la producción de un delito, para mantener exentas de responsabilidad a las entidades por su realización como, consecuentemente, también a la hora de valorar si el compliance implantado era el que permitiría apreciar dicho efecto una vez producido el delito en cuestión⁴², haciéndose así realmente difícil de mantener, como hacen  los defensores de las teorías de las culturas corporativas, que dichos programas hayan de ser valorados, en nuestro sistema, atendiendo simplemente a si fomentaron o no el subjetivo respeto genérico a las normas y el cumplimiento normativo por parte de sus integrantes o teniendo en cuenta tan solo su tendencia y adecuación para prevenir delitos  en general.

Por otra parte, el mantenimiento de la propuesta ahora comentada también resulta difícil de compatibilizar con el hecho de que tanto el apartado 2, como el 4 del art. 31 bis CP establezcan en sus últimos incisos que cuando las circunstancias que se exigen para mantener exenta de responsabilidad a las entidades por los delitos cometidos por sus superiores o sus subordinados “solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena”. Esta prescripción, frente a lo que mantienen algunos de los autores que venimos comentando, no aboca a diferenciar requisitos esenciales y no esenciales entre los contemplados en dichos preceptos, apreciándose la atenuación en los casos en que, concurriendo los que consideran esenciales, falte alguno de los que no lo sean⁴³. En realidad y como bien señala GONZÁLEZ CUSSAC, el propio tenor literal de este precepto determina que solo se pueda apreciar la atenuación de la que habla cuando, concurriendo todos los requisitos exigidos para dejar exentas a la entidad, se constate que uno o más de ellos no se dieron de forma completa, como sería, precisamente, el caso que se daría cuando programa  preventivo diseñado con todos los requisitos del art. 31 bis 5 CP, pese buscar implantar una cultura general de cumplimiento normativo o contemplar medidas preventivas adecuadas respecto a muchos delitos, no haga lo propio para reducir el riesgo de comisión de los de la misma naturaleza que el concreto delito cometido y por el que se le iría a responsabilizar⁴⁴. En este tipo de casos, la adecuada implantación del resto de medidas preventivas de las que habla el art. 31 bis CP o las supuestamente destinadas a controlar las culturas internas, lo más que podrán llegar a determinar es que se atenúe la responsabilidad que se atribuiría a la persona jurídica por el delito cometido y, no, como mantienen los defensores de los postulados aquí criticados, a que se les exima de la misma⁴⁵, con lo que se pone de manifiesto, una vez más,  lo contradictorio que resultan sus planteamientos con los parámetros legales delimitadores de nuestro sistema de responsabilidad vigente.

 Ahora bien, no son éstas las únicas contradicciones normativas que plantean las propuestas interpretativas culturales con respecto al sistema de responsabilidad penal de las personas jurídicas legalmente vigente en nuestro país.

De hecho, se enfrentan a otro grave problema a la hora de definir y delimitar los sujetos a los que dicho sistema les sería aplicable. Esto es, a la hora de precisar qué cualidades tendrían que tener las personas jurídicas que no están expresamente excluidas del régimen de responsabilidad, conforme al art. 31 quinquies de nuestro Código penal, para poder ser destinatarias del sistema de responsabilidad del que venimos hablando.

Como hemos visto, la fundamentación de la posible responsabilidad penal de las personas jurídicas en la existencia de determinadas culturas colectivas en su seno ha llevado a que algunos autores y también algunas resoluciones jurisprudenciales hayan rechazado que se puedan considerar como posibles sujetos del sistema de responsabilidad penal establecido en el art. 31 bis CP a aquellas entidades que, pese a estar dotadas de personalidad jurídica propia, carezcan de complejidad interna suficiente para poder generar culturas⁴⁶, lo que entienden debe descartarse, entre otros casos, cuando carecen de actividad real, como acontece con las sociedades pantalla⁴⁷ o cuando no tienen capacidad alguna de organización autónoma de los individuos que la integran, como se considera sucede con las sociedades de pequeño tamaño y, especialmente, con las personas jurídicas unipersonales⁴⁸.

Resulta, sin embargo, evidente que el tamaño de una empresa o el hecho de que tenga un único propietario de su capital social no es en modo alguno un factor determinante de la exclusión de estas sociedades del sistema de responsabilidad vigente en nuestro país.

Así se deduce, en primer lugar, de que el propio legislador establezca en el artículo 31 bis 3 CP que “En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser asumidas directamente por el órgano de administración”, definiendo por tales a “…aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada”. Esta prescripción normativa pone de manifiesto, a nuestro modo de ver, que también las entidades de pequeñas dimensiones (con menos de 250 trabajadores que no superen determinados requisitos de facturación) no solo están obligadas a cumplir con los deberes preventivos que impone el art. 31 bis CP, sino que pueden y deben ser consideradas como posibles sujetos imputables a efectos del sistema de responsabilidad penal español por más que no tengan una estructura compleja, no estén compuestas por un número significativo de individuos, ni tengan pautas de conducta difíciles de individualizar⁴⁹. Esto es, no puedan dar lugar, ni, por tanto, puedan y deban controlar la aparición de famosas culturas de las que algunos hablan.

De hecho, y en relación ya, en concreto, a las personas jurídicas unipersonales hay que reseñar que quienes excluyen su imputabilidad con respecto al sistema del que venimos hablando, no solo olvidan que la complejidad organizativa de una entidad no es un requisito legalmente delimitador de la imputabilidad de las entidades sometidas al sistema de responsabilidad de las personas jurídicas vigente en nuestro país, sino que también parecen desconocer que la complejidad de una organización no depende, ni siempre está directamente relacionada con el número de personas que ostentan su capital social. De hecho, y como la realidad empresarial nos demuestra con frecuencia, es perfectamente posible e incluso corriente que existan empresas de enormes dimensiones, con un número relevante de trabajadores y con gran complejidad organizativa que, sin embargo, tengan un accionista único. Rechazar, entonces y sin más, la posible imputabilidad penal de estas entidades por el mero hecho de que sean unipersonales  no solo carece de cualquier clase de respaldo normativo y contradice algunas de las prescripciones delimitadoras del sistema, sino que ni siquiera tiene un correcto fundamento partiendo de los parámetros de los que lo hacen quienes sustentan o pretenden sustentar la responsabilidad de todas las personas jurídicas en sus culturas⁵⁰.

Pero es que, además y, por otra parte, tampoco parece que esta clase de planteamientos referidos a las sociedades unipersonales resulte demasiado acorde con lo establecido en el art. 31 ter 1 de nuestro Código penal.

Como es sabido, dicho precepto establece que cuando como consecuencia del sistema del art. 31 bis CP se impusiere al responsable individual de un delito y a la persona jurídica responsabilizada por el mismo “…la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos”. Resulta evidente, a nuestro modo de ver, que esta prescripción no  trata de responder, como algunos mantienen, a supuestos problemas de ne bis in ídem, ya que estamos antes dos sujetos sancionados diferentes (la persona física y la jurídica), sino que lo que trata de evitar, como, de hecho, dice de forma expresa, es que dicha dicotomía subjetiva y la acumulación de multas a las personas jurídicas y a las personas físicas que integran su capital pueda dar lugar a que uno o varios de estos últimos sujetos terminen pagando una multa que sería desproporcionada con respecto al injusto del que se le hubiese llegado a responsabilizar⁵¹.

Así sucederá, por ejemplo y de forma palmaria, si se sanciona con multa al responsable individual de un delito que además sea el socio único de una entidad unipersonal que estuviese dotada de una forma societaria que obligue a sus socios a responder con su patrimonio personal por todas las deudas de la entidad y que también haya sido castigada con dicha pena; supuesto este en el que la acumulación de multas impuestas a entidad y a individuo terminarían determinando que este último sujeto tuviese que hacer frente individualmente al pago de una multa completamente desproporcionada con respecto al injusto del que se le hubiese responsabilizado penalmente, resultado éste que es, precisamente, el que el art. 31 ter CP trata de evitar al obligar al juez a modular las multas aplicables a uno y otro sujeto.

 Siendo esto así, habrá que entender que, en realidad, la propia existencia y previsión de este precepto vuelve a poner de manifiesto que el sistema de responsabilidad penal de las personas jurídicas vigente en nuestro país no solo no excluye que se puedan y deban aplicar penas a personas jurídicas con pocos o incluso con un único socio atendiendo a sus parámetros, sino que, de hecho, parte y asume como perfectamente factible que estas entidades puedan ser castigadas conforme a dicho sistema, pudiendo darse lugar, en tales casos y cuando se sancione acumulativamente a ambos sujetos con una pena de multa, a los problemas de proporcionalidad punitiva que, precisamente, el art. 31 ter CP obliga al juez a solventar, en cada caso concreto, moderando las multas a imponer a uno y otro sujeto⁵².

Ahora bien, todavía queda un grupo de personas jurídicas que han sido cuestionablemente excluidas del ámbito de aplicación del sistema de responsabilidad penal por parte de los defensores doctrinales y jurisprudenciales de las teorías culturales: las sociedades pantallas.

Ya vimos que han sido varias las resoluciones jurisprudenciales que han excluido a tal clase de sociedades del ámbito de aplicación del art. 31 bis CP y siguientes, si bien, lo han hecho con argumentos que no siempre han sido homogéneos.

Por una parte, están aquellas que  lo han hecho por entender que, al no tener actividad real, carecerían de la complejidad organizativa que requiere la imputabilidad de las personas jurídicas conforme al sistema, mientras que, por otra, estarían aquellas que, sin descartar el argumento anterior, lo han hecho primordialmente por considerar que, al encontrarnos ante personas jurídicas creadas y destinadas a cometer delitos, carecería de sentido que se las pudiese juzgar conforme a un sistema, como el del art. 31 bis CP, que se sustenta precisamente en la valoración de su actividad preventiva de las entidades con respecto a tales hechos, puesto que si estamos ante entidades creadas para realizarlos, evidentemente,  nada van a hacer para evitarlos y sí mucho para favorecerlos⁵³.

Lo primero, la exclusión de las sociedades pantallas, atendiendo a la inexistencia de actividad real en su seno o por su poca o nula complejidad organizativa resulta contradictorio no solo con el hecho de que en ningún sitio de nuestra legislación penal se excluya expresamente a dichas personas jurídicas del sistema de responsabilidad penal de tales entidades e, incluso y como ya hemos visto, se admita la inclusión en el mismo de las que tengan pequeño tamaño. También lo es con el hecho evidente de que resulta perfectamente posible y perfectamente legal crear personas jurídicas carentes de cualquier actividad y que no tengan ninguna clase de complejidad organizativa.

Otra cosa será que la sociedad, además de carecer de actividad o de complejidad organizativa interna, solo haya sido creada o utilizada para facilitar la comisión de delitos o para dificultar su persecución. Esto es, que sea una verdadera sociedad pantalla a efectos penales.

Para algunos de los defensores de los planteamientos culturales nos encontraremos, entonces, ante unas entidades creadas en fraude de ley, con lo que se las podría y debería disolver incluso durante la fase de instrucción, privándoles entonces de personalidad jurídica mediante el expediente del “levantamiento del velo”⁵⁴, lo que abriría las puertas a que se les pudiesen aplicar las medidas del art. 129 CP⁵⁵ o incluso la del comiso⁵⁶; un planteamiento que, sin embargo y a nuestro modo de ver, no solo resulta hartamente cuestionable sino que, de hecho, se enfrenta a insalvables problemas de legalidad.

Así, una vez que se admite que lo que sustentará la exclusión del sistema de responsabilidad penal del art. 31 bis CP de las empresas pantalla, conforme a estos postulados, no sería ya tanto su escasa organización interna o la ausencia de una actividad real, como el hecho de que fuese un instrumento exclusiva o primordialmente dirigido a la comisión de delitos y se admite, como no podría ser de otra forma, que esto último (su destino o utilización delictiva) solo puede determinarse y acreditarse, en un verdadero Estado de Derecho, mediante la emisión de una sentencia firme que, tras el correspondiente procedimiento penal con todas las garantías, declare, precisamente, que las actividades que se habían cometido desde la entidad o que se pretendían cometer por parte de sus dirigentes eran delictivas, no quedará más remedio que rechazar que se las pueda “despersonalizar”, como pretenden los defensores de la propuesta comentada, atendiendo a su finalidad criminal, incluso durante la fase de instrucción, mediante el uso del simple expediente civil del fraude de ley y del levantamiento del velo.

De hecho, si dicho planteamiento fuese viable no se alcanzaría a comprender por qué razón nuestra legislación vigente establece que cuando las personas jurídicas formen parte de la estructura de una organización o grupo criminal y puedan estar destinadas, precisamente por ello, a favorecer u ocultar la comisión de los delitos que se pretendan realizar desde tales organizaciones, tengan que ser disueltas, atendiendo a lo establecido en el art. 570 quater CP, tras la constatación judicial, mediante sentencia firme, tanto de la existencia de dicho tipo de organizaciones, de la finalidad criminal que perseguían las mismas, como de la integración de la entidad en cuestión en su estructura organizativa⁵⁷.

La pregunta es obvia e inmediata. Si todas las sociedades pantalla son nulas de pleno derecho y las sociedades integradas o utilizadas por las organizaciones criminales para cometer sus crímenes son, en muchas ocasiones, puras sociedades pantalla, ¿qué sentido tiene entonces que el art. 570 quater CP decrete expresamente su disolución? ¿Por qué en estos casos no se entiende también directamente que se crearon en fraude de ley y se disuelven, por tanto, de forma automática y previa a la declaración de la organización en la que se integran como verdaderamente criminal?

Mucho más coherente y respetuoso con el derecho fundamental a la presunción de inocencia, que también se predica con respecto a las personas jurídicas, y con lo establecido en nuestro ordenamiento resulta, a nuestro modo de ver, entender que todas las sociedades pantallas, tanto las integradas en organizaciones criminales, como las que no lo están, son verdaderas personas jurídicas y conservan su personalidad hasta que un juez no las califica como tales y les aplica una pena de disolución, determinándose así, como acertadamente señala FUENTES OSORIO, que la propuesta de aplicar a las sociedades pantallas, sin más, alguna consecuencia accesoria del art. 129 CP se enfrente a insuperables problemas de legalidad, ya que, al ser las sociedades pantallas verdaderas personas jurídicas no podrán ser objeto de ninguna de dichas medidas por resultar solo aplicables, tras la reforma del 2010,  a aquellas organizaciones que, precisamente, carezcan de personalidad jurídica propia⁵⁸.

Si a todos estos problemas se les suma que, como hemos visto, las interpretaciones culturales de nuestro sistema de responsabilidad penal de las personas jurídicas también han llevado a que los tribunales que las han defendido hayan archivado, en algunos casos, sin más, las causas abiertas contra aquellas entidades que presentasen un compliance por entender que su mera existencia y alegación ya mostraba la existencia en la entidad de una cultura de cumplimiento adecuada y a que otros hayan señalado que, al ser la carencia o el defecto del compliance, el elemento fundamentador esencial del injusto corporativo, tendría que ser la acusación la que habría demostrar dichos hechos sin que pueda, sin embargo, obligarse, en modo alguno, a la entidad a entregar el compliance que tuviera para poder evaluarlo o comprobar siquiera si existía o no, no podremos sino concluir que la introducción de las teorías culturales en el sistema de responsabilidad penal de las personas jurídicas vigente en nuestro país, no solo no está respaldada por la concreta regulación de dicho sistema o incluso contradice abiertamente muchas de sus prescripciones. Es que, además y lo que es incluso peor, puede convertir dicho sistema en un instrumento normativo completamente inútil e ineficaz, desde el punto de vista preventivo, que lejos de incentivar a las personas jurídicas para que se involucren de forma real y efectiva en la prevención de delitos, tan solo servirá para que aquellas pocas a las que fuese aplicable (ni unipersonales, ni pantallas ni carentes de una compleja organización, etc…) se dediquen, en el mejor de los casos, a implantar compliances genéricos y/o meramente “cosméticos”, pero escasamente eficaces para prevenir concretos delitos, con el  único y declarado fin de garantizarse, no ya la impunidad por los delitos que se cometiesen en su seno, sino, también, que no se les pudiese ni siquiera llegar a llamar un día como investigadas a un procedimiento penal por la realización de cualquiera de tales delitos.

5. Hacia una más adecuada interpretación del sistema de responsabilidad penal de las personas jurídicas: la infracción de deberes preventivos colectivos como pilar fundamental del sistema

Como hemos visto, la recepción por una parte de nuestra jurisprudencia de las teorías desarrolladas por la doctrina con el fin de fundamentar una verdadera y propia responsabilidad penal de las personas jurídicas sobre la base de existencia en su seno de determinadas culturas ha puesto de manifiesto todos los problemas a los que dichas propuestas se enfrentan. No es solo que en ningún lugar de nuestro Código penal se exija que se analice la existencia de determinadas culturas corporativas en el seno de tales entidades a la hora de poder fundamentar su responsabilidad penal o que incluso su exigencia resulte abiertamente contradictoria con algunas de las prescripciones legales que lo delimitan. Es que, partiendo de su exigencia se convierte al sistema de responsabilidad penal vigente en nuestro ordenamiento en un mecanismo no solo limitado, sino completamente ineficaz a la hora de conseguir aquello que todos estamos de acuerdo que trata de hacer: involucrar a las entidades en la prevención real y efectiva de delitos desde su seno.

En efecto, la sustentación del sistema de responsabilidad penal de las personas jurídicas en la existencia o la evitación de la aparición de determinadas culturas en su seno, -ya sean estas prácticas generalmente compartidas o sesgos cognitivos o volitivos colectivos-, lleva tanto a excluir del sistema a muchas personas jurídicas (unipersonales, no complejas, meras pantallas), como a convertir al compliance en un instrumento preventivo meramente genérico y escasamente efectivo con respecto a la prevención de concretos delitos, lo que termina convirtiendo a dichos programas en mecanismos de puro papel o mero maquillaje que sirven, eso sí, para garantizar la impunidad de las entidades que los implanten, aunque no hubiesen adoptado medidas adecuadas para impedir delitos como el que finalmente se había cometido desde su seno, pudiendo incluso llegar a servir, como sucede en otros ordenamientos, de parapeto garantizador de la total impunidad de sus directivos por los delitos en que hubiesen tomado parte gracias a los acuerdos que pueden alcanzar con la fiscalía para conseguir la sanción penal del ente colectivo⁵⁹.

Frente a ello, hay que recordar que nuestro Código penal es claro a la hora de establecer de qué pueden responder penalmente las personas jurídicas de las que se ocupa. No las responsabiliza por la existencia o no evitación de la aparición de determinadas culturas colectivas en su seno. El sistema las hace responsable de la comisión de delitos.

De hecho, sin la comisión de uno de los delitos o, para ser más preciso, de uno de los hechos delictivos por los que se puede responsabilizar a la entidad, conforme al art. 31 bis CP, no existe responsabilidad penal de la persona jurídica. Un hecho delictivo que, por otra parte, y como el primer apartado del referido precepto deja completamente claro, la entidad no habrá cometido, ni podido cometer, sino que habrá sido realizado por alguna de las personas físicas que aparecen delimitadas en dicha prescripción legislativa⁶⁰. Esto nos obliga a tener que plantearnos, en primer lugar, por qué las personas jurídicas responderán la producción de unos hechos, como los delictivos de los que habla el art. 31 bis.1 CP que, en realidad, habrían sido realizados por un tercero, uno o varios sujetos individuales, diferentes de ellas.

Para responder a esta cuestión resulta fundamental tener muy presente que nuestro ordenamiento jurídico obliga expresamente a las personas jurídicas a tratar de evitar o a reducir el riesgo de comisión, precisamente, de los delitos de los que se las puede responsabilizar, estableciendo un deber jurídico que, a diferencia de lo que sucede con las culturas corporativas, sí que aparece varias veces mencionado, de forma expresa, en nuestro Código. Lo está, por ejemplo, en el art. 31 bis. 5 CP cuando dicho precepto afirma, al delimitar los requisitos del compliance, que lo primero que estos programas deberán hacer, para ser adecuados y poder dejar exentas a las personas jurídicas por los delitos que se hubiesen podido cometer en su seno, es identificar “…las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”. Pero también y, por otra parte, lo está cuando el precepto en cuestión señala poco después que dichos programas deberán disponer “…de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos” (la negrita es nuestra).

Una vez queda claro que las personas jurídicas en nuestro sistema responden de delitos que no cometen ni pueden cometer, pero que tienen el deber de prevenir, toca entonces explicar no solo cuándo se puede entender infringido el referido deber preventivo, lo que obliga a definir claramente y con precisión los contornos de dicho deber, sino también a determinar en qué ocasiones dicho incumplimiento podrá determinar que se considere a las personas jurídicas responsables del concreto delito que se hubiese producido en su ámbito de actividad y por qué razón se las considerará a ellas y no exclusivamente a alguno o a algunos de los integrantes individuales de su estructura como responsables del mismo.

Precisamente, a tratar de responder a la primera de estas preguntas, como ya vimos, dedicó nuestro legislador la reforma realizada por la LO 1/2015, afirmando, en tal sentido, en su preámbulo que su aprobación trataba de llevar “a cabo una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas, introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio, con la finalidad de delimitar adecuadamente el contenido del «debido control», cuyo quebrantamiento permite fundamentar su responsabilidad penal” (la negrita es nuestra)

Así pues, fue la propia reforma que introdujo el compliance en nuestro sistema de responsabilidad penal de las personas jurídicas, la que expresamente nos dijo la función que su introducción en el sistema estaba destinada a cumplir. Estaba llamada a definir con mayor precisión el modo en que las personas jurídicas habrían de cumplir con su deber preventivo o de control de determinados delitos para garantizarse su completa irresponsabilidad penal por la eventual producción de los mismos.

En concreto, y conforme establecen los apartados 2 y 4 del art. 31 bis CP respectivamente, la implantación y efectiva ejecución de un compliance adecuado, en los términos que define su apartado 5, deben considerarse como requisitos necesarios, aunque no suficientes, para garantizar que las personas jurídicas se mantengan completamente exentas de responsabilidad respecto a los delitos cometidos por los sujetos de los que habla el apartado a) del art. 31 bis 1 CP (sus superiores), mientras que asegurará que dichas entidades queden completamente exentas de responsabilidad  por todos los  que hubiesen cometido las personas físicas indicadas en la letra b) del referido precepto, (esto es, por todos los delitos que hubiesen realizado los subordinados de los que habla dicho precepto), incluso aunque tales sujetos los hubiesen podido realizar, precisamente y como exige el referido precepto, gracias a una falta grave de control sobre los mismos por parte de sus superiores.

Teniendo en cuenta todo esto, parece que lo lógico es entender que lo que hacen estos preceptos y los requisitos que establecen, para mantener exentas de cualquier responsabilidad penal a las personas jurídicas, es perfilar y concretar el modo en que se tiene que cumplir con su deber preventivo para mantener la actividad de las personas jurídicas en al ámbito de lo generalmente permitido. Esto es, perfilar el completo deber de cuidado cuyo respeto por parte de las personas jurídicas determinará que se tenga que entender que habían cumplido de forma completamente diligente con el deber de prevenir determinados delitos que les dirige nuestro ordenamiento con lo que nada se les podría reprochar por la posible realización de alguno de ellos, por más que ésta se llegase a producir⁶¹.

Ahora bien, dado que en nuestro sistema las personas jurídicas responden, como ya hemos visto, por delitos y no solamente por no haber tratado de evitarlos o no haberlo hecho de forma suficientemente diligente o adecuada, tocará ahora plantearnos  por qué razón la posible infracción  o el cumplimiento defectuoso del deber preventivo del que venimos hablando podrá determinar que se considere a la persona jurídica no solo como responsable del incumplimiento preventivo producido, sino también y, sobretodo, del concreto delito cometido.

Para responder a esta última pregunta resulta necesario tener muy en cuenta que el art. 31 bis 2. 1ª CP, como también vimos, solo garantiza la ausencia de responsabilidad total de las personas jurídicas por el delito cometido, si éstas hubiesen adoptado y ejecutado, con eficacia y antes de que se cometa el delito del que se las pretenda responsabilizar, “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión” (la negrita es nuestra); prescripción legislativa de la que, a nuestro modo de ver, se deducen dos importantes conclusiones.

La primera, y como ya apuntamos anteriormente, que los compliances que establezcan medidas preventivas puramente genéricas que simplemente fomenten, por ejemplo, el establecimiento de una atmosfera o cultura general de cumplimiento normativo entre sus empleados, sin establecer ninguna específica y objetivamente destinada a controlar los riesgos de delitos concretos detectados en el mapa de riesgo que se hubiese realizado, no garantizarán la irresponsabilidad penal de las entidades que los implanten por los delitos que se cometan en su seno.

Pero la segunda y más importante, a los efectos de responder a la cuestión que ahora nos atañe, que la no implantación de las medidas adecuadas y específicamente destinadas a controlar los riesgos de delitos de la misma naturaleza que el finalmente cometido que se hubieran detectado o debido detectar al hacer el mapa de riesgo de la entidad puede abrir, por sí sola, las puertas a que se pueda tener a la entidad en la que se dé por penalmente responsable de la efectiva realización del delito finalmente cometido, incluso aunque tuviese un compliance que contemplase todas y cada una de los instrumentos preventivos genéricos  o transversales que el art. 31 bis 5 CP exige que tenga  (canal de denuncia, controles financieros, etc.…), que fomentase una cultura general de cumplimiento normativo entre sus empleados y que tuviese, además, un perfecto abanico de medidas preventivas referidas al resto de delitos detectados en su mapa de riesgo de los que se las pudiese responsabilizar⁶².

Esto, a nuestro modo de ver, solo puede comprenderse si se parte de que, en realidad, lo que fundamenta la responsabilidad de la persona jurídica, con respecto al concreto delito cometido, no es que no tenga un compliance adecuado para fomentar el general respeto a las normas de sus integrantes y empleados (las célebres culturas de cumplimiento normativo) o que se considere como generalmente adecuado para prevenir delitos, sino el hecho de que, teniendo o no teniendo compliance como tal, no haya implantado de forma diligente aquella medida preventiva que podía y debía haber aplicado para controlar el riesgo de comisión de delitos como el realizado que se daba en la entidad de una forma ex ante, habiendo venido, precisamente, dicha falta de control no solo a determinar la aparición de un riesgo no permitido de comisión de dichos delitos, sino también a dar lugar o, cuanto menos, a favorecer, de una forma efectiva y ex post, que se cometiese uno de ellos, al no haber impedido o dificultado que se pudiese realizar, como habría sucedido si la medida en cuestión se hubiese aplicado como debería haberse hecho.

Hará falta, por tanto, que el defecto preventivo producido en la entidad se materialice en un indebido, evitable  y reprochable favorecimiento del concreto delito cometido por alguna de las personas físicas de las que habla el art. 31 bis.1 CP, para que la persona jurídica en cuestión pueda ser responsabilizada por el mismo, algo que, en los casos que nos ocupan, en realidad, y esto no debemos olvidarlo no se derivará tan solo de una puntual infracción preventiva realizada por un individuo de su estructura, sino que requerirá de la sinérgica confluencia de una numerosa y, en muchos casos, difusa suma de comportamientos individuales preventivamente indebidos y defectuosos, que violarán también los deberes preventivos derivados del art. 31 bis CP y que, precisamente por ello, serán los que harán que se tenga que entender que la aportación realizada ya no se podría atribuir al comportamiento defectuoso realizado tan solo por uno o por varios sujetos individuales de su estructura, sino a todo el complejo y cambiante colectivo que la conforma y transitó por la misma.

Así, por ejemplo, para que se llegue a dar el efectivo favorecimiento de un delito en una persona jurídica no será suficiente con que se dé en su seno un puntual actuar preventivamente defectuoso de un sujeto (p. ej. la ausencia de implantación del compliance por el administrador inicial, la creación por su parte de uno que no contemple una medida preventiva exigible o que el empleado responsable de aplicar alguna de las medidas contempladas en el mismo no la aplique). También se necesitará, según los casos, que dicho defectuoso actuar preventivo inicial, en muchos casos perfectamente atribuible a uno o a varios concretos sujetos individuales, no haya sido subsanado o controlado, como debería haberlo sido atendiendo a lo exigido en el art. 31 bis CP, por el resto de quienes integraron la entidad durante o tras su aparición (p. ej. por el siguiente administrador que pudo y debió subsanar la inicial carencia del compliance y no lo hizo, por el que no introdujo en el mismo la anteriormente omitida medida preventiva exigible o por el compliance officer o el compañero de quien no la aplicó y no detectó ni denunció su omisión, como debía haber hecho atendiendo a lo exigido en el referido precepto), así como que quienes podían y debían haber desincentivado la generación de dicho defecto o incentivado que se corrigiese, no invirtiendo o desinvirtiendo en la entidad (los socios), no lo hubiesen hecho, determinado así que el defecto en cuestión llegase finalmente a materializarse en el concreto delito cometido.

Esto es, para que se produzca la aportación favorecedora del delito que permitirá considerar penalmente responsable a la persona jurídica del delito cometido por una persona física se necesitará que se dé en su seno una acumulación, incluso asincrónica, de defectuosas interactuaciones de sus integrantes y colaboradores presentes y pasados que infringirá el deber preventivo que el art. 31 bis CP dirige de forma colectiva y acumulada a todos esos sujetos individuales de las personas jurídicas. Un deber que no solo obliga a dichos sujetos a no generar incluso negligentemente riesgos que puedan favorecer la realización de delitos por parte de terceros, sino que también exige que controlen o neutralicen los que podrían generar o haber generado, de forma completamente autónoma, otros integrantes de la persona jurídica. Se establece así un deber colectivo de interactuación preventiva diligente para todos los integrantes de la entidad, cuya infracción individual no podrá generar responsabilidad al concreto sujeto que la realice, pero que sí determinará, cuando se incumpla de forma colectiva y llegue a determinar que produzca aquel favorecimiento delictivo que abriría las puertas a la responsabilidad de las personas jurídicas, que este resultado no pueda ya atribuirse a uno o a varios de los sujetos integrados en su seno, sino, precisamente, a aquella entidad que representa y agrupa a todo el difuso y cambiante grupo de individuos que contribuyeron, activa u omisivamente, pero de forma colectiva, indebida, negligente y a lo largo del tiempo, a su producción y que también fue la que, no lo olvidemos, agrupó y dio continuidad a las interactuaciones de dichos sujetos hasta producir dicho resultado. Esto es, a la persona jurídica en la que finalmente se hubiese producido la indebida y negligente aportación colectiva al delito realizado que permitirá responsabilizarla, accesoriamente, por su concreta ejecución⁶³.

El anterior posicionamiento permite entender por qué en estos casos son las personas jurídicas y no las físicas las que habrán de responder por unos delitos que habrán cometido, superando así la tradicional crítica que se ha dirigido a los planteamientos que han tratado de sustentar la responsabilidad de tales entidades en un indebido y defectuoso comportamiento preventivo. Se responsabilizara a las entidades, porque, al definirse el comportamiento preventivo defectuoso del que se ocupa el art. 31 bis CP de forma colectiva y difusa y no exclusivamente individual, se justificarán y explicarán las razones por las que tanto dicho comportamiento preventivamente defectuoso como el favorecimiento del delito en que se viniese a materializar deberán ser considerados como propios del cambiante y difuso colectivo que delimita y representa la persona jurídica y no de uno o varios sujetos concretos que hubiesen actuado de forma preventivamente incorrecta en su seno, consiguiéndose así que el sistema de responsabilidad penal de las persona jurídicas resulte perfectamente acorde con las exigencias propias del principio de culpabilidad.

Ahora bien, el posicionamiento aquí adoptado también dará lugar a algunos interesantes efectos prácticos que no deben ser pasados por alto.

Así, por ejemplo, llevará a que se tenga que admitir que podrá haber responsabilidad penal de las personas jurídicas con compliance, (p. ej. si éste no es plenamente adecuado), y posible irresponsabilidad penal de las mismas, pese a que no tengan dichos programas implantados como sucederá, por poner algunos casos, cuando, pese a no tener ningún programa preventivo, no se produzca ningún delito del que la persona jurídica pueda responder, cuando se produzca uno de dichos delitos, pero la entidad tenga todas las medidas preventivas que se le podría exigir para prevenirlo, o, incluso, cuando, pese a no tener dichas medidas, se constate que su ausencia o defectuosa presencia no habría facilitado o favorecido, de forma ex post, el delito realizado (p. ej. cuando la indebida ausencia del adecuado control del sistema de pagos de la entidad para prevenir blanqueos,  no fue utilizada para cometer uno de estos delitos por el sujeto que lo realizó, con lo que no favoreció su realización).

Además y por otra parte, al estar nuestro sistema de responsabilidad penal de las personas jurídicas basado en la efectiva producción de aportaciones indebidas y evitables, procedentes de las personas jurídicas, a la comisión de concretos delitos realizados por personas físicas y no en el hecho de que se den o no en el seno de tales entidades difusas culturas corporativas que los favorezcan o, al menos, no desincentiven su realización, se  permitirá que se pueda atribuir responsabilidad penal conforme al mismo, sin mayores problemas, a las personas jurídicas que no tengan la complejidad organizativa suficiente para poder generar tales culturas, lo que incluirá en el ámbito de aplicación del sistema de responsabilidad penal a las entidades de pequeño tamaño, incluso a las unipersonales, o a las que tengan una actividad reducida o nula. Una extensión que, además de ser, como hemos visto, mucho más acorde con el tenor literal de los preceptos que delimitan el sistema, como el art. 31 bis. 3 CP, evidentemente, dotará al sistema de responsabilidad penal de las personas jurídicas vigente en nuestro país de unos efectos preventivos mucho mayores que si se excluyese  a todas estas entidades de su ámbito de aplicación, algo que olvidaría que dichas personas jurídicas, pese a su pequeño tamaño o escasa complejidad, continuarán siendo entidades en las que la inadecuada interactuación preventiva, incluso asincrónica, de sus integrantes pasados, presentes y futuros podrá llegar a favorecer delitos, con lo que tiene todo el sentido que se les trate de obligar a evitarlo.

También deberían mantenerse, en coherencia con lo anterior, dentro del sistema, por otra parte, a las sociedades pantallas específicamente creadas para cometer delitos y que, precisamente, por serlo no tengan ni vengan a implantar ninguna medida preventiva de delitos. Son estas unas sociedades que ni están excluidas del sistema en ningún lugar de nuestros ordenamiento jurídico, ni pueden considerarse como verdaderamente pantallas hasta que un tribunal no  las declare como tales, lo que obligaría  penalmente a disolverlas, conforme a lo establecido en el artículo art. 570 quater CP cuando sean consideradas como parte integrantes de una organización o grupo criminal, pero solo permitirá hacerlo con las que no puedan ser tenidas por tales (p. ej. las conformadas o controladas por uno o dos solos sujetos para cometer delitos), precisamente y como bien señala LEÓN ALAPONT, si se entiende que en tales casos continúan estando sometidas al sistema del art. 31 bis CP⁶⁴ y, con ello, se abre la puerta a que se las pueda disolver cuando se las considere como entidades meramente instrumentales e irrecuperables atendiendo a lo establecido en el art. 66 bis CP⁶⁵.

Otro importante efecto, y tal vez algo menos patente, pero también necesariamente derivado del planteamiento aquí sostenido, es aquel que nos lleva a entender que, dado que la responsabilidad de las personas jurídicas se fundamentará en la efectiva producción de una indebida y reprochable aportación favorecedora del delito cometido derivada de su incorrecto actuar colectivo preventivo y no exclusivamente en la existencia o no en su seno de un compliance, no podrá entenderse ya, como han hecho en ocasiones algunos de nuestros tribunales que la aportación de un compliance cualquiera por parte de la entidad determine su automática irresponsabilidad penal por el delito cometido, ni tampoco, como han mantenido otros, que haya de ser la parte acusadora la que tenga que demostrar la inexistencia o defectuosa configuración del compliance existente para poder determinar, no ya la condena de la entidad, sino incluso su mera imputación.

Lo primero resultará evidente, ya que la existencia de un compliance solo mantendrá exenta de responsabilidad penal a la persona jurídica  con respecto al delito que se hubiera producido en su seno si se constata que, además de existir y resultar plenamente acorde a todo lo exigido en el art. 31 bis 5 de nuestro Código penal, se estaba aplicando de forma efectiva en el seno de la entidad que lo aporte, hechos todos ellos que, evidentemente, no podrán quedar demostrados con la mera aportación judicial de estos programas, sino que obligarán al juez a tener comprobar, entre otras cosas, no solo que el presentado contenía aquellas medidas preventivas referidas a la posible comisión de delitos de la misma naturaleza que el cometido que le eran exigibles, sino también que dichas medidas se estaban realmente aplicando.

Lo segundo, se derivará del hecho de que, una vez que se establece que el fundamento de la responsabilidad penal de las personas jurídicas es la indebida y negligente producción de una aportación colectiva que favorezca realmente el delito efectivamente realizado y del que se las pretende responsabilizar y no solo que ésta haya actuado de forma generalmente adecuada en términos preventivos para evitar la aparición de determinadas culturas, se hará completamente evidente que lo que la parte acusadora tiene que demostrar, para romper la presunción de inocencia que asiste a la persona jurídica, como lo hace con la física, no es si ésta tenía un compliance y éste era adecuado o no, sino  simplemente que se había cometido un delito que la entidad debería haber prevenido y que fue, precisamente, la no adecuada implantación y ejecución por su parte de alguna de las medidas preventivas que podía y debería haber implantado para evitar o dificultar su realización (p. ej. que no tenía una medida adecuada de gestión de recursos financieros), la que había terminado favoreciendo su ejecución. Unos hechos que, evidentemente, son mucho más  aprehensibles y fáciles de probar, incluso sin la colaboración de la entidad, que la total inexistencia o defectuosa configuración genérica del programa preventivo implantado o la existencia en su seno de determinadas culturas, pero que, además y por otra parte, también llevarán a que se tenga que entender que cuando se constate la comisión de uno de los delitos de los que se puede responsabilizar a la entidad por estar obligada a prevenirlos, dicho hecho pueda ser ya considerado, por sí mismo, como indicio suficiente como para poder traerla al proceso penal como investigada a efectos de comprobar si realmente había hecho lo que tenía que haber hecho para tratar de prevenir que tal conducta se llegase a producir.

Así pues, y a modo de conclusión, podemos decir que la interpretación aquí propuesta no solo es la que mejor se adapta a las prescripciones legalmente delimitadoras del sistema de responsabilidad penal de las personas jurídicas vigente en nuestro país, sino que también es la que conseguirá convertir a dicho sistema en un mecanismo realmente eficiente a la hora de involucrar a quienes interactúan en las personas jurídicas en la prevención de delitos, por cuanto, además de obligarles a implantar medidas real, objetiva y concretamente dirigidas a reducir el riesgo de su comisión y no unas puramente genéricas o, lo que es peor, meramente cosméticas, les obligará a hacerlo con independencia de la complejidad organizativa y tamaño que tengan, haciendo así que todas y cada una de las personas jurídicas -con excepción de las expresamente excluidas por el art. 31 quinquies CP-, estén penalmente obligadas a prevenir determinados delitos, pudiendo ser responsabilizadas si no lo hiciesen o lo hiciesen de una forma defectuosa y ello terminase favoreciendo la comisión de alguno de ellos.

Si a todo ello se añade, además, que, como hemos visto, esta propuesta también hace viable la investigación y prueba de los hechos que habrían de fundamentar la posible responsabilidad y sanción penal de las entidades (su defectuosa actuación preventiva y la materialización de la misma en el favorecimiento colectivo del delito) sin convertir a cualquier compliance en una suerte de “patente de corso” que garantice la irresponsabilidad penal de las personas jurídicas por cualquier delito que se puede cometer desde su seno, no quedará más remedio que entender que estamos ante la propuesta que indica el camino que nuestros tribunales deberían seguir  para conseguir que el sistema  de responsabilidad jurídica de las personas jurídicas se aplique no solo de manera preventivamente eficiente, sino también, y como exige cualquier verdadero y legítimo sistema de  responsabilidad penal, de forma escrupulosamente respetuosa con las prescripciones legales que lo vienen a delimitar. Esto es, con lo que establece nuestro Código penal y no con conceptos, como los de las culturas corporativas que, como hemos visto, en ningún lugar aparecen mencionados en nuestro Derecho penal, por más que les pese a quienes tratan de importarlos de otros ordenamientos olvidando, además, que, incluso allí donde la legislación los ha expresamente utilizado, ya se han mostrado como ineficaces y son objeto de contundentes críticas precisamente por ello⁶⁶.