I. INTRODUCCIÓN

La incorporación al ordenamiento punitivo a través de la Ley Orgánica 5/2010, de 22 de junio, de la responsabilidad penal de las personas jurídicas, ha venido a añadir al debate jurídico la problemática acerca de su encuadramiento dentro de los esquemas clásicos del Derecho penal, y del Derecho procesal penal, a efectos de su regulación en un proceso propio, o de la articulación de diversas especialidades en el seno de aquél, opción ésta, por la que optado nuestro legislador.

Uno de los primeros inconvenientes que surge, viene referido a la distinta naturaleza jurídica y ontológica de los entes colectivos respecto de las personas físicas, estando ausentes en aquellas, atributos como la dignidad humana o la corporeidad (inteligencia y voluntad), de la que no son titulares, y que influyen en principios básicos, como la capacidad de acción, culpabilidad y personalidad de las penas, que exigiría que cualquier delito que se pudiera atribuir a la persona jurídica, sería imputable a sus integrantes¹.

Esta adscripción efectiva, de la responsabilidad penal de las personas jurídicas en nuestra legislación penal, tiene además importantes consecuencias procesales, como es la aparición en la parte pasiva del proceso penal de un nuevo sujeto, que puede concurrir junto con las personas físicas investigadas en su caso, en una suerte de litisconsorcio pasivo no necesario, y que por ende, no sólo puede ser investigada, encausada, acusada, sino condenada, convirtiéndose así en destinatario directo de las consecuencias jurídicas del delito.

En esta materia, constante el texto constitucional de 1978, y la doctrina que lo desarrolla, el investigado es considerado como un sujeto con derechos inalienables dentro del proceso penal; así gravámenes eminentemente formales como el deber de decir verdad y colaborar activamente con la investigación, cederán en favor del reconocimiento de los derechos y garantías procesales (tutela judicial efectiva, proceso debido, presunción de inocencia, derecho de defensa), más respetuoso sin duda, con la libertad y la dignidad del individuo. Los derechos de los ciudadanos se convierten en garantías que el Estado debe respetar para poder materializar de una manera legítima el ius puniendi, que se traduce en la máxima de que “no todo vale para alcanzar una condena”.

Las garantías propias de las personas físicas acusadas, deben expandirse, en la medida de lo posible, a las personas jurídicas, en su misma situación procesal, ya que no puede haber sujetos en la parte pasiva del proceso penal que vean aminoradas sus posibilidades de defensa por el mero hecho de poseer una naturaleza jurídico-orgánica diferente. Ello, se traduce en la necesidad de permitir una defensa del individuo o del colectivo, frente a la acusación realizada por el Estado, en igualdad de condiciones; la denominada “igualdad de armas” (artículo 6º CEDH), que genera un grado de equilibrio procesal entre los sujetos partícipes del proceso contencioso. De este modo, se garantiza un alto grado de igualdad del infractor de la norma penal en relación al principio acusatorio, partiendo de la base de que nos encontramos frente al Derecho punitivo en su máxima expresión, como es el ordenamiento penal.

Nuestro Tribunal Supremo, ya desde la STS 514/2015, de 2 de septiembre, tomó conciencia de la complejidad de la cuestión desde el punto de vista sustantivo, al indicar que: “sin embargo, ya se opte por un modelo de responsabilidad por el hecho propio, ya por una fórmula de heteroresponsabilidad, parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el derecho penal”. En la posterior STS 154/2016, de 29 de febrero, dictada por el Pleno de la Sala Segunda, que inicia el arduo camino jurisprudencial en la materia, se pronunciaba respecto de la aplicación a las personas jurídicas de los derechos y garantías procesales, sintetizándolo de la siguiente manera: “los derechos y garantías constitucionales a los que se refieren los motivos examinados en el presente recurso, como la tutela judicial efectiva, la presunción de inocencia, al Juez predeterminado, a un proceso con todas las garantías, (…), sin perjuicio de su concreta titularidad y de la desestimación de tales alegaciones en el caso presente, ampararían también a la persona jurídica de igual forma que lo hacen en el caso de las personas físicas cuyas conductas son objeto del procedimiento penal y, en su consecuencia, podrían ser alegados por aquella como tales, y denunciadas sus posibles vulneraciones en lo que a ella respecta”.

Esta es sin duda, la idea fuerza que debe guiar la aplicación de la normativa de las personas jurídicas en el seno del proceso penal, por la que ya abogamos desde la incorporación de la Ley 37/2011, de 10 de octubre, de Medidas de Agilización procesal², que introducía los parámetros formales para la exigencia de la responsabilidad penal a las personas jurídicas, pues de lo contrario podría provocarse un evidente desequilibrio procesal, tributario de una efectiva y material indefensión, que traería como efecto una suerte de nulidad de actuaciones en cascada³.

Así, en este trabajo, se analizará la importancia del respeto de los derechos fundamentales de corte procesal (art. 24 CE), en especial, el derecho a la a no autoincriminación de las personas jurídicas en su máxima extensión, a fin de evitar que el mismo sea asumido como un mero pronunciamiento teórico, cuya eficacia sobre el proceso, sea más que cuestionable, sobre la base de su relación con otras garantías básicas, como la presunción de inocencia y el derecho de defensa, a las que sin duda, complementa.

II. DERECHO DE NO AUTOINCRIMINACION Y PRESUNCIÓN DE INOCENCIA

Los derechos a no declarar contra uno mismo, a no confesarse culpable, a no colaborar activamente, permiten que el acusado (investigado) declare sobre hechos supuestamente delictivos, aunque se tolera que guarde silencio sobre aquellas cuestiones que podrían suponer su incriminación o un agravamiento de su situación procesal. Ambos, forman parte del derecho fundamental a no autoincriminarse, que, en definitiva, consiste en no realizar declaraciones perjudiciales, es decir, puede decidir por sí mismo la forma y el modo en que sus declaraciones pueden convertirse en prueba⁴, y formar así parte del acervo incriminatorio que deberá valorar el órgano judicial, pudiendo optar por una actitud pasiva como estrategia de defensa.

El derecho a la no autoincriminación está íntimamente relacionado con el derecho a la presunción de inocencia, más allá de su entendimiento como regla de juicio y regla de tratamiento, pero también como un principio estructural del proceso penal que protege a los ciudadanos frente al ius puniendi del Estado, configurándose así, como un derecho fundamental de naturaleza eminentemente procesal⁵. Como indica NIEVA FENOLL⁶ “para que sea eficaz la protección del derecho fundamental tiene que alcanzar a fases previas y posteriores al proceso, es decir, cuando todavía no se ha iniciado y lo único que existe es el atávico prejuicio social de culpabilidad, así como cuando ya se ha concluido con una absolución y, pese a ello, persiste tenazmente el citado prejuicio”. DEL MORAL GARCÍA⁷, insiste en que “en sentido estricto, ese derecho opera como garantía y límite a la actuación punitiva y sancionadora de los poderes públicos. Y también como exigencia de que no se anticipen las consecuencias de una declaración de culpabilidad penal desde el Estado más que cuando así esté previsto en la Ley”.

Desde este punto de vista, una asunción limitada de la dimensión extraprocesal de la presunción de inocencia, obliga a apreciar la culpabilidad de los sujetos a través de un razonado proceso de certeza que se alcanzará tras un examen libre, racional, completo y sistemático del acervo probatorio de carácter incriminatorio existente en la causa, previo filtro del acto del juicio oral, al que como consecuencia de la incorporación de otros pronunciamientos accesorios y ajenos al mismo, hacen perder en cierto modo su finalidad y naturaleza, que no es otra sino la decisión final acerca del juicio de culpabilidad o inocencia, al que se llega a través de la actividad probatoria en aquél realizada, bajos los principios de publicidad, oralidad, inmediación, concentración, y otros estrictamente procesales, como  contradicción, igualdad de armas y acusatorio.

La aplicación a la persona jurídica de derechos y garantías procesales como la presunción de inocencia, no autoincriminación, defensa real y efectiva, deben serlo sin condicionamiento alguno, y no sólo por la reconocida capacidad positiva de sufrir penas, sino por que la naturaleza de aquellas es esencialmente idéntica a las de las personas físicas, y arrastra un componente estigmatizador y de daño reputacional evidente; pero además, también porque el proceso penal de las personas jurídicas incorpora una serie de instrumentos evidenciarios de gran potencialidad incriminatoria, como son: las investigaciones internas, los canales de denuncias, que incluso abren la puerta a la admisión de la denuncias anónimas⁸ de los denominados “alertadores”, o incluso, como veremos, las declaraciones testificales de sujetos relacionados de alguna manera con la persona jurídica en cuestión, que por su conocimiento personal, pueden aportar datos que involucren a aquella en el proceso penal, y ello debido a que no se encuentra presente en ellos, esa relación de “ajenidad” con los hechos objeto de enjuiciamiento inherente a la naturaleza de todo testigo, salvo claro está, en el caso del testigo-víctima.

Por ello, el principio de presunción de inocencia debe ser observado en su máxima extensión, también para las personas jurídicas investigadas, y ello, pese a que alguna norma comunitaria, como la Directiva (UE) 2016/343 del Parlamento Europeo y del Consejo, de 9 de marzo, de 2016, por la que se refuerzan en el proceso penal determinados aspectos de la presunción de inocencia y el derecho a estar presente en el juicio, excluye de su ámbito de aplicación a las personas jurídicas, quizás asumiendo fragmentariamente la jurisprudencia del Tribunal de Justicia que ha reconocido que los derechos que dimanan de la presunción de inocencia no amparan a las personas jurídicas en idéntica medida que a las personas físicas. Es decir, los bienes y derechos comprometidos son de menor rango axiológico (valores patrimoniales frente a la libertad personal), tal y como se explica en su Preámbulo⁹. La conclusión que se debe extraer, es que el legislador comunitario, por el momento, no ha estimado oportuno abordar una propuesta unificadora extensiva también para las personas jurídicas, pero de ello no cabe concluir en su inexistencia. La norma, no es sino una consecuencia, de la falta de armonización de las distintas legislaciones internas, que en relación a la responsabilidad penal de las personas jurídicas convergen al efecto.

Frente a ello, nuestra jurisprudencia ha proclamado de forma lineal que las personas jurídicas acusadas gozan del abrigo protector de la presunción de inocencia en la misma medida que las personas físicas¹⁰. La imposición de penas a las personas jurídicas como la multa, la disolución y pérdida definitiva de su personalidad jurídica, la suspensión, la clausura de sus locales y establecimientos, la inhabilitación, la intervención judicial, además de ser auténticas penas, afectan no sólo a las personas jurídicas a las que se aplican, sino también a un importante círculo de personas físicas con aquellas relacionadas, como directivos, empleados, socios, proveedores, acreedores, u otros.

En el mismo sentido la doctrina, aunque como indica el ya citado DEL MORAL GARCÍA, el estándar probatorio no ha de ser idéntico cuando se trata de imponer una pena de prisión, que cuando lo que se está ventilando es una sanción puramente económica, sin posibilidad de afectación a otros derechos individuales¹¹. Si bien ello es así, no lo es menos, que los daños colaterales que la imposición de una pena interdictiva a una persona jurídica, lleva aparejada importantes y nocivas consecuencias de todo tipo, para un amplio espectro de sujetos, que además de ser ajenos a la toma decisiones de los órganos de representación de las personas jurídicas, son asimismo, extraños a la actividad delictiva por aquellas desplegadas, pudiendo verse afectados en sus legítimos derechos, intereses y expectativas de todo tipo, en caso de una sanción penal de ese tipo, además del conocido daño reputacional, que en determinados supuestos (disolución, prolongadas suspensiones de actividades, clausura de locales y establecimientos) puede ser el menor de los problemas. El legislador no ha sido ajeno a estas consecuencias, al incorporar la exigencia de medidas de vigilancia y control idóneas para prevenir delitos, y establece una serie de incentivos tras la comisión del delito a modo de circunstancias atenuantes (art. 31 quater CP) que pueden llegar a rebajar significativamente la pena.

Para poder enervar el derecho a la presunción de inocencia de una persona jurídica, será preciso que se acredite la comisión de uno de los delitos catalogados en el Código Penal por alguna de los sujetos prevenidos en el apartado 1º del artículo 31 bis CP, y además, un delito corporativo cometido por la persona jurídica, esto es, de la existencia de un defecto estructural en los mecanismos de prevención exigibles a toda empresa¹².

III. NATURALEZA JURÍDICA Y ATRIBUCIÓN DEL DERECHO A LA NO AUTOINCRIMINACIÓN A LAS PERSONAS JURÍDICAS. PROBLEMÁTICA

El derecho a la no autoincriminación se encuentra dentro del extenso contenido de garantías y derechos que recoge el artículo 24.2 CE., que menciona entre otros los derechos a no declarar contra uno mismo y a no confesarse culpable, que no son sino manifestaciones instrumentales del derecho de defensa, y desde este punto de vista, resulta indiscutible. Como apunta GOENA VIVES¹³, supone la síntesis de dos garantías procesales del sujeto pasivo del proceso, en la medida en que sirven al derecho de defensa. Sólo desde esta perspectiva puede comprenderse la compatibilidad entre un derecho a no confesarse culpable y a no declarar contra uno mismo (art. 24.2 CE), con el deber constitucional de colaboración con la Administración de Justicia (art. 118 CE).

Se trata en definitiva de una regla derivada del conflicto entre los principios limitadores del ius puniendi estatal, entre ellos, la protección de la dignidad humana (seguridad-dignidad). Por ello, el derecho a la no autoincriminación no es un fin que exprese un valor digno de protección, sino un medio para hacer que esta sea efectiva (…). Es una garantía de las personas físicas que, en ocasiones, deberá salvaguardarse a través de las personas jurídicas, por ser estas una vía indirecta (pero necesaria) de amparar los derechos fundamentales de los individuos.

Son dos principalmente las razones que ponen en duda la aplicación de este derecho a las personas jurídicas. Por una parte, el carácter personalísimo del derecho en cuestión y, por otra, su relación con la dignidad humana y con la privacidad, fundamentos no extensibles a las personas jurídicas¹⁴. Pero no cabe duda que, si bien el derecho a no declarar se halla estrechamente relacionado con valores privativos de las personas físicas, como la intimidad, la dignidad humana, y la integridad física o psíquica¹⁵; no es menos cierto que, aquél aparece, además, como inherente a otros derechos del proceso penal, como el de defensa y el derecho a la presunción de inocencia¹⁶, anteriormente aludidos.

Como afirma, PÉREZ CRUZ, desde el momento en el que el legislador atribuye a la persona jurídica la condición de imputada, ha de reconocerle también el derecho de defensa y los derechos instrumentales que le acompañan. Además, las exigencias de un proceso justo y con todas las garantías, así como la libertad de empresa, impiden que se siga un proceso penal contra una persona jurídica pudiendo por sentencia ser condenada con privaciones de bienes o derechos e incluso con su disolución, sin darle como contrapartida el derecho de no defenderse¹⁷. Si una defensa real y efectiva requiere el reconocimiento y respeto de los derechos a no autoincriminarse, a no confesarse culpable, es necesario afirmar que tales derechos corresponden a la persona jurídica imputada¹⁸. Y así ha sido recogido por nuestro legislador en los artículos 409 bis y 786 bis de la LECrim., en redacción dada por la Ley 37/2011, de 10 de octubre, de Medidas de Agilización procesal¹⁹.

Por ello, “sería impensable incorporar unas exigencias probatorias incriminatorias más atenuadas para las personas jurídicas que las que se vienen exigiendo para las personas físicas, por ello la convicción del juzgador debe alcanzarse mediante prueba suficiente, tanto para la acreditación del hecho, como de la culpabilidad de su autor”²⁰.

Es más, la doctrina²¹ indica, que no debe obviarse que cualquier tipo de prueba que se aporte por la empresa (en su afán de colaboración con la administración de justicia) que pueda reflejar asimismo la responsabilidad penal de las personas físicas, debe ser considerada nula, pues de lo contrario se estaría favoreciendo la vulneración indiscriminada de los derechos procesales de las personas físicas en pro de la atenuación de la responsabilidad penal empresarial. Así, se hace eco del importante debate en el seno de la doctrina estadounidense en torno a los acuerdos de “persecución diferida” o “no persecución de organizaciones empresariales”. Se trata de acuerdos unilaterales de las personas jurídicas con la fiscalía, en virtud de los cuales, la empresa reconoce la comisión de un ilícito y accede a cooperar con la investigación, abonando las multas, reestructurando la operativa empresarial, y cumpliendo otras condiciones, como el nombramiento de un “supervisor empresarial” a cargo de aquella. Si transcurrido un periodo de tiempo (entre uno y tres años) la empresa no ha infringido el acuerdo, la fiscalía accederá a retirar los cargos (Non Prosecution Agreements), sin necesidad de que aquella admita ningún tipo de culpabilidad, que dañaría obviamente su reputación social. Junto a ello, los Deferred Prosecutions Agreements, donde la fiscalía presenta cargos, pero difieren su persecución, mientras la empresa coopera²².

Más próximo, en el ordenamiento penal francés, la Ley Sapin II, 2016-1691, de 9 de diciembre, incorpora al mismo amplias y poderosas medidas de Corporate Compliance en lo que a las personas jurídicas concierne. Ello permite, al Ministerio Fiscal (acusador en régimen de monopolio en el proceso penal francés), llegado el caso, optar entre ejercitar la acción penal a través del proceso penal, o la implementación de otro tipo de medidas con el objetivo de sanear y proteger a la persona jurídica²³. Esta norma, crea un potente instrumento para la lucha contra la corrupción la “Agencia Francesa Anticorrupción” (AFAC) con competencias en materia de orientación y apoyo a las empresas, recepción de denuncias por vulneración de las obligaciones legales, su correlativa investigación y eventual sanción. Tiene además atribuidas funciones de inspección. Deberá igualmente, proteger a los denunciantes ante posibles represalias por parte de las empresas o entidades cuyas malas prácticas hayan sido objeto de denuncia²⁴.

IV. APROXIMACIÓN JURISPRUDENCIAL

1. Tribunal Europeo de Derechos Humanos y Tribunal de Justicia de la Unión Europea. Experiencia comparada

Debemos empezar reconociendo, que los pronunciamientos de ambos tribunales son en cierta modo contradictorios, lo que no alienta una solución homogeneizadora del problema desde el ámbito europeo. Así, aunque el TJUE tiene una competencia material más limitada, es el único que se ha pronunciado expresamente sobre el reconocimiento que debe darse al nemo tenetur respecto de personas jurídicas, y lo ha hecho en un sentido negativo.

Este derecho no viene recogido expresamente en el artículo 6 CEDH, ni en sus Protocolos Adicionales, no obstante reconocer la jurisprudencia del TEDH que se trata de una garantía judicial encuadrada en el derecho a un juicio justo (art. 6 CEDH)²⁵. Como indica GOENA VIVES²⁶, en cualquier caso, el devenir de la jurisprudencia de Estrasburgo en torno al nemo tenetur respecto de personas físicas, puede ser de utilidad para delimitar lo que constituye el núcleo o contenido esencial de la garantía objeto de análisis (…), siendo probable que el TEDH se pronuncie en favor de un nemo tenetur corporativo.

En mi opinión, a tenor de la doctrina existente, podemos avanzar ya en tal dirección. No estamos ante un mero derecho subjetivo del investigado, sino ante un verdadero principio estructural del proceso que encierra una específica concepción de la manera en que los órganos jurisdiccionales deben aproximarse a ella²⁷. Así, lo avala la STEDH de 8 de abril de 2004, Caso Weh c. Austria, que señala que “el derecho a no autoincriminarse presupone que las autoridades judiciales logren acreditar en su caso los hechos, sin recurrir a pruebas obtenidas mediante métodos coercitivos o de presión en contra de la voluntad de la persona acusada”. La conocida STEDH de 17 de diciembre de 1996, Caso Saunders c. Reino Unido, sentó doctrina sobre dos aspectos: a) la prohibición de utilizar como prueba en un procedimiento penal las declaraciones obligatorias obtenidas en el marco de una investigación preliminar de carácter extrapenal; y b) que los documentos, y otras pruebas físicas que existen de manera independiente a la voluntad del acusado, no entran dentro del ámbito de protección de este derecho, pudiendo ser utilizadas, por tanto, contra el acusado.

La STEDH de 11 de julio de 2006, Caso Jalloh c. Alemania, vino a establecer que sólo existía vulneración del artículo 6 CEDH, en relación al asunto que nos ocupa, si el procedimiento en su conjunto deja de parecer justo²⁸.

La jurisprudencia emanada del TEDH vincula la función del derecho a la no autoincriminación con aspectos esencialmente procesales, tales como la distribución procesal de la carga de la prueba entre el Estado y el acusado²⁹.

El TJUE se pronunció respecto de esta cuestión, en relación con determinadas infracciones del derecho de la competencia. Así, en la STJUE de 18 de octubre de 1989, Caso Orkem c. Comisión Europea, donde corroboró la doctrina vigente respecto de la obligación de colaboración de las empresas imputadas, rechazando expresamente que aquellas tuvieran un derecho a guardar silencio o a no colaborar. Tan sólo cabe la posibilidad de negarse a contestar a aquellas preguntas que impliquen un reconocimiento de los hechos objeto de enjuiciamiento³⁰. Esta línea jurisprudencial, ha venido manteniéndose hasta nuestros días, como lo refleja la STJUE de 2 de febrero de 2021, Caso DB c. Commissione Nazionale per le Sociéta e la Borsa³¹, donde indicó que “se puede obligar a la empresa implicada a que facilite toda la información necesaria relacionada con hechos de los que pueda tener conocimiento y a que presente, si fuere preciso, los documentos correspondientes que obren en su poder, incluso si estos pueden servir para probar, en particular, respecto de la propia empresa, la existencia de una conducta contraria a la competencia”.

Esta doctrina, además de ser contraria a las garantías que respecto del proceso penal, viene reconociendo la jurisprudencia del TEDH, no soporta las más elementales reglas de equilibrio procesal entre las partes, que vertebran entre otros, el derecho a un juicio justo y el derecho a una defensa plena y efectiva en el seno de aquél (art. 24. 2 CE), debiendo quedar limitada, como mucho, al derecho sancionador, extramuros del derecho penal.

El Tribunal Constitucional Federal alemán³², ha venido sosteniendo que el derecho a no autoincriminarse favorecía exclusivamente a las personas naturales. Aludía a la estrecha relación existente entre el fundamento del derecho a la no autoincriminación y la dignidad humana, con cita del artículo 19. III GC (Constitución alemana) que dispone que los derechos fundamentales rigen también para las personas jurídicas nacionales, en la medida que dichos derechos resulten aplicables a ellas “de acuerdo con su esencia”. Y declara, que el citado artículo excluye al menos la aplicación del derecho a no autoincriminarse, porque ahí donde el derecho fundamental se conecta con cualidades, formas de expresión o relaciones que son propias y exclusivas de las personas naturales no sería posible su extensión a entes como las personas jurídicas, máxime si la protección se establece en interés de la dignidad humana, que sólo las personas naturales pueden reclamar.

Esta resolución resulta acorde con la legislación alemana vigente respecto de la responsabilidad de las personas jurídicas (exigida en el ámbito administrativo sancionador) que se recoge en el artículo 30 OWiG³³, cuya redacción no deja lugar a dudas. La extensión de la responsabilidad a las personas jurídicas se realiza por vía de las consecuencias accesorias (Nebenfolge), para cuya activación se requiere la concurrencia de tres presupuestos: a) la condición de “representante” en la persona autora material de los hechos; b) la obtención por la entidad de un beneficio patrimonial; y c) la infracción de alguno de los deberes que pesa sobre ella³⁴. La tesis del Tribunal Constitucional alemán, quedaría sin embargo en entredicho, si se avanzase hacia un pleno reconocimiento de la responsabilidad penal de las personas jurídicas³⁵ como sucede en nuestro ordenamiento, y ello, es así, al contener constantes alusiones a los casos en los que está comprometida la responsabilidad de la persona jurídica actuando por ella sus órganos, de modo que sólo éstos, y no aquella, son autores, por lo que en definitiva, contra la misma no se dirige reproche de culpabilidad penal alguno, ni siquiera de desaprobación ética, sino una mera pretensión de compensación de los beneficios obtenidos como consecuencia del hecho, lo que la aproxima más, a un resarcimiento civil-mercantil, ya extracontractual, ya por enriquecimiento ilícito.

2. Una aproximación al Derecho estadounidense

Al margen de los acuerdos unilaterales con la fiscalía, de “persecución diferida” o “no persecución de organizaciones empresariales”, a los que nos hemos referido ut supra; en los Estados Unidos, la Corte Suprema ha negado expresamente la posibilidad de que las personas jurídicas tengan derecho a no declarar contra sí mismas³⁶. La jurisprudencia ha venido, de manera reiterada, excluyendo el derecho a la no incriminación garantizado por la Quinta Enmienda, a las personas jurídicas, al entender que son meras entidades ficticias, que solo pueden prestar declaración a través de personas físicas ya protegidas por su propio derecho al silencio³⁷.

Ello se basa, principalmente, en dos ideas: por una parte, a la naturaleza esencialmente personalísima del privilegio, que hace que no sea susceptible de ejercicio a través de representantes; y, por la otra, a la circunstancia de que, a diferencia de las personas naturales, que tienen una existencia independiente del Estado, la persona jurídica (en la especie societaria) es una creación del Estado que recibe poderes que sólo se extienden hasta el punto fijado por el derecho que la crea, de donde se derivaría el derecho del Estado para investigar el ejercicio de esos poderes, contexto en el que puede legítimamente interrogar a la sociedad sobre cómo lo ha hecho y demandarle los documentos y objetos que dan cuenta de ello³⁸.

Ampara, asimismo el contenido de la Quinta Enmienda, la denominada entrega de documentos que pudieran resultar comprometedores para la entidad. Desde el caso “Wilson c. United States” (1911) se mantiene que la protección constitucional contra la autoincriminación mediante la entrega compulsiva de documentos se refiere a los documentos privados del individuo, pero no a los documentos corporativos, propios de la persona jurídica, con independencia de que en su composición haya intervenido el agente y sin que la sola tenencia o custodia de los mismos, pueda considerarse fuente suficiente de un derecho al respecto. A ello, debe añadirse la llamada «excepción de registros obligatorios» («Required Records Exception«), conforme a la cual deben entregarse aquellos registros documentales que son obligatorios para las empresas en determinados contextos regulatorios, aunque tengan carácter privado; o la doctrina del acto de producción (“Act production doctrine”) que limita la protección de la Quinta Enmienda, al testimonio o documentos con un sentido comunicativo equivalente³⁹, según la cual, la entrega del documento, su “producción” en el lenguaje de la Corte, sólo goza de protección constitucional en cuanto tal tiene un carácter comunicativo e incriminador.

La jurisprudencia estadounidense, ha recortado significativamente el alcance del derecho de las personas jurídicas a la no autoincriminación, de un modo que, no parece compatible con la jurisprudencia internacional en materia de derechos humanos, ni con nuestra jurisprudencia constitucional.

A fin de aminorar las perniciosas consecuencias que ello conlleva, se han planteado diversas soluciones, entre ellas, la formulación de un “compliance privilege” o privilegio de compliance, en cuya virtud se proteja la información derivada de las medidas propias de un programa de cumplimiento, de forma similar a como se protegen las comunicaciones abogado-cliente. Este sería el caso, por ejemplo, del llamado “self evaluative privilege”; construcción jurisprudencial que plantea proteger los documentos generados en aras de mejorar el compliance. Con ello, se pretende favorecer el interés público de que las corporaciones inviertan en tener medidas de compliance adecuadas, sin el temor de que la información generada pueda ser utilizada en su contra.

Algunas de las propuestas doctrinales, más recientes, se inclinan por ofrecer soluciones que tengan en cuenta tanto los intereses de las autoridades como los de las propias empresas y que son similares a las que ya se aplican en otras ramas del ordenamiento jurídico, como la denominada “Mandated confidential reporting of compliance”, consistente en que la corporación esté obligada (bajo amenaza de sanción) a informar sobre sus obligaciones en materia de compliancepara que dicho programa de cumplimiento sea validado por las autoridades. A cambio, la información derivada de ese informe mandatorio no podría trasladarse al procedimiento⁴⁰.

Esta tendencia reduccionista del derecho a la no autoincriminación de las personas jurídicas se ha extendido, asimismo a la legislación canadiense y australiana. En esta última, la Corte Suprema, indica que dicho privilegio, se basa en la protección de la libertad, la intimidad y la dignidad, de modo que sólo tiene sentido respecto de las personas naturales. Adicionalmente, destaca que si bien el privilegio existe también para mantener un justo equilibrio entre el Estado y el individuo imputado, esa función no sería necesaria tratándose de corporaciones, que por sus recursos cuentan con una posición mucho más fuerte que la que exhiben las personas naturales, reflexión que enlaza con la complejidad de las investigaciones criminales en que hay corporaciones comprometidas⁴¹.

3. Estado de la cuestión en el proceso penal español

Si bien es cierto que, nuestro Tribunal Constitucional no ha tenido un pronunciamiento expreso en la materia que nos ocupa, no lo es menos, que en nuestra legislación procesal penal, sí se reconoce expresamente el derecho a no declarar de las personas jurídicas que son investigadas. Así, en la Ley de Enjuiciamiento Criminal (LECrim) vigente, concretamente en los artículos 409 bis y 786 bis de aquella. Pero la realidad, es que ello, no se refleja con tanta claridad como debiera en el usus fori jurisdiccional; debiendo partirse de la premisa que una cosa es la posibilidad de realizar investigaciones sobre el sujeto afectado, y otra bien distinta, la imposición de cargas tendentes a colaborar con su propia inculpación. De ahí, que no pueda hacerse recaer en el investigado la obligación de aportar elementos probatorios directos, en contra de su voluntad, como puede ser, por ejemplo, una documentación de contenido incriminatorio⁴².

Del análisis del artículo 409 bis LECrim., se desprende el reconocimiento de una serie de garantías en favor de la persona jurídica investigada, como son los derechos a guardar silencio, a no declarar contra si misma y a no confesarse culpable, siendo de aplicación las reglas sobre la declaración del imputado en lo que no sea incompatible con su especial naturaleza. Estableciendo así, una equiparación entre el representante especialmente designado, al que se recibirá declaración en nombre de aquella, y el imputado, que no es tal, ya que el artículo 786 bis LECrim., en sede de juicio oral, dispone que no es posible designar como representante procesal de la persona jurídica a quien haya de declarar en el juicio como testigo. Impidiendo con ello, nombrar como tal, a sujetos, que sin duda, poseen información relevante, lo que para algún sector doctrina, convierte la legislación vigente en un instrumento concebido más para la acusación que para la defensa⁴³.

Pretende con ello el legislador evitar designaciones fraudulentas dirigidas a garantizar el silencio de testigos, que con importantes conocimientos acerca del ilícito penal, pudieran declarar en contra del colectivo. Pero una interpretación rigorista del citado precepto, afectaría al derecho de defensa, al obligar a quien debe decidir si acogerse o no a la estrategia del silencio a sujetos que pueden carecer de los conocimientos necesarios acerca de aquél, a fin de actuar en interés de la corporación contra la que se dirige el procedimiento. Así, una interpretación más laxa de aquél, nos llevaría a aplicar dicha prohibición, sólo en aquellos casos en los que se corra el riesgo de bloquear la investigación, mediante designaciones irracionales en atención al peso de la concreta persona en la organización. Más adelante, volveremos sobre esta cuestión, al analizar las limitaciones y obstáculos con los que cuenta la aplicación de dicha garantía en nuestro ordenamiento punitivo.

En el caso de las personas jurídicas, ello no implica que el hecho de que la misma no nombre un representante que ejercite su autodefensa, o de que el representante especialmente designado se niegue a declarar, o lo haga con respuestas poco concluyentes o evasivas, pueda derivarse una prueba positiva de los elementos típicos que fundamentan la responsabilidad penal de la persona jurídica, ni cabe extraer conclusiones negativas acerca de la culpabilidad de la entidad por su falta de colaboración⁴⁴. Ello en todo caso, imposibilitará a la persona jurídica acceder al catálogo de atenuantes⁴⁵ previstas por el legislador, basadas en determinadas actuaciones postdelictivas tendentes a facilitar la investigación y a asumir los hechos como propios, pero no puede ser interpretado como un dato que apoye la hipótesis acusatoria, ni puede con esa actitud evitar la apertura del proceso. La persona jurídica, puede optar por una estrategia defensiva consistente en tratar de acreditar la eficacia jurídico-económica de su modelo de organización y gestión de riesgos penales frente al delito cometido⁴⁶. Pues a ello habrá dedicado recursos y, en definitiva, la inversión en compliance como una debida diligencia de carácter organizativo, implica la ponderación del posible coste (aspectos reputacionales, dificultades de acceso a créditos, veto en la contratación pública, pena y responsabilidad civil), en relación con el desembolso que la corporación destine al cumplimiento⁴⁷.

No olvidemos que, puede existir responsabilidad penal de las personas jurídicas, aun cuando no se haya podido individualizar la persona física responsable o  haya sido posible dirigir el procedimiento contra ella⁴⁸, lo que implica la remoción de arraigados principios garantistas que fundamentan la responsabilidad penal de las personas físicas, en abierta contradicción con lo prevenido en los artículos 5 y 10 del Código Penal, al carecer las personas jurídicas de la capacidad de acción y la capacidad de culpabilidad requeridas⁴⁹.

No sería lógico por otro lado, negar el derecho a la no autoincriminación de las personas jurídicas, cuando en realidad éstas, actúan asimismo a través de una persona física (representante especialmente designado) que las hace visibles en el procedimiento penal en cuestión, así como frente al órgano jurisdiccional⁵⁰.

Como concluye la profesora NEIRA PENA⁵¹, la clave, radica en determinar el ámbito de protección del que goza tal derecho en relación con las personas jurídicas, señalando qué sujetos podrían hacerlo en nombre de la entidad y qué actuaciones quedarían protegidas por el mismo, lo que vendrá determinado, en gran parte, por la relación instrumental que une el derecho a no declarar con el derecho de defensa y el derecho a la presunción de inocencia, así como por las posibilidades de ejercicio que tal derecho presenta en relación con los entes colectivos.

El ya citado artículo 409 bis LECrim., viene a identificar la declaración del representante de la entidad con la prestada por el sujeto pasivo del proceso penal, debiendo reconocérsele similares garantías que a cualquier otro inculpado persona física. No tiene sentido alguno, que si el artículo 31 quater a) CP recoge como atenuante para la persona jurídica “la confesión de la infracción a las autoridades” antes de conocer que el procedimiento judicial se dirige contra ella, no se revista a la misma de las máximas garantías y precauciones, dada su relevancia y trascendencia.

V. LIMITACIONES Y OBSTÁCULOS DEL DERECHO A LA NO AUTOINCRIMINACIÓN DE LAS PERSONAS JURÍDICAS

El ámbito de la protección del derecho a la no autoincriminación, no viene referido exclusivamente a la posibilidad de las declaraciones orales de los investigados, sino también a la aportación de cualquier tipo de documentos de contenido incriminatorio. Según GASCÓN INCHAUSTI⁵², cabría considerar amparadas por este derecho conductas tales como: a) la negativa de la persona jurídica, en cuanto tal, a suministrar la información y los documentos que le sean reclamados y que tengan carácter incriminatorio; b) la negativa de determinados sujetos vinculados a la persona jurídica a suministrar esa misma información y documentación; c) la negativa de determinados sujetos vinculados a la persona jurídica a responder a preguntas de contenido incriminatorio para la persona jurídica.

1. Límites subjetivos

Sobre la base de la ficción de la persona jurídica, y la necesidad de que está se visibilice en el proceso a través de una persona física, deberá concretarse a quién afectaría el derecho que nos ocupa. Como indica NEIRA PENA⁵³, inevitablemente se produce un desdoblamiento entre el titular del derecho a la no declarar, esto es, la persona moral que sufre el riesgo de autoincriminación, y el sujeto que efectivamente declara, que será en todo caso una persona natural⁵⁴.

Esta prerrogativa debe trasladarse al representante especialmente designado de la persona jurídica, al que, tanto en la fase de instrucción, como en sede de juicio oral, se le faculta para permanecer en silencio y a no incriminar a la entidad en nombre de la que declara (arts. 409 bis y 786 bis LECrim).

Pero la cuestión, es ver qué acontece con los administradores de hecho o de derecho, los directivos o representantes, o los propios empleados de la entidad, que no sean parte en el proceso, es decir, todas aquellas personas físicas vinculadas o relacionadas de alguna manera con la persona jurídica cuyo testimonio se considere de interés; no hay limitación alguna para ellas en orden a la obtención de testimonios de aquellos, lo que puede condicionar o limitar de manera extraordinaria la designación por la persona jurídica de representante para el juicio haciendo que deba recaer finalmente y por exclusión en una persona que no tendrá ningún conocimiento que pueda resultar incriminatorio para la persona jurídica⁵⁵.

Esta cuestión no es pacífica, ya que un sector doctrinal (DEL MORAL GARCÍA, GASCÓN INCHAUSTI)⁵⁶ propone extender el derecho a no declarar a otros sujetos especialmente vinculados con la persona jurídica, distintos al representante especialmente designado en el procedimiento, o cuando menos a todos los representantes o miembros de los órganos directivos. Sin embargo, para otros (DOPICO GÓMEZ-ALLER)⁵⁷, esta extensión podría llegar a hacer imposible cualquier investigación penal, y, además, porque la relación laboral o de servicios no integra al trabajador como parte orgánica de la persona jurídica, ni le otorga poder para representarla⁵⁸. Sin embargo, en mi opinión, la cuestión nuclear radica en el grado de conocimiento que de la conducta delictiva objeto de investigación tenga el sujeto llamado a declarar en nombre de la persona jurídica, y cuál podría llegar a ser su aportación de contenido incriminatorio, cuestión que debe ser valorada por la defensa de aquella, en el marco de su estrategia definida en cada proceso concreto.

Para dar cobertura legal a una exención de este tipo, en concreto respecto de los trabajadores de la empresa, a los que una declaración contra la entidad podría irrogarles importantes perjuicios de todo tipo: económicos, laborales, personales, se ha propuesto acudir por analogía a las dispensas del deber de declarar de los artículos 416 y 418 LECrim⁵⁹. Esta solución, en mi opinión es poco viable, ya que dichos preceptos, o bien establecen una relación de parentesco, o de tipo profesional, o bien, exigen la concurrencia de un perjuicio material o moral que además afecte de manera importante a la persona o a la fortuna de los parientes del testigo, a veces de difícil acreditación. La dispensa del deber de declarar es un derecho del testigo que no tiene correspondencia con uno paralelo del encausado o acusado (SSTS 130/2019, de 12 de marzo; y 205/2018, de 25 de abril). No existe un derecho del investigado a que sus parientes no declaren, sino el de estos a no declarar, justificado por los vínculos familiares protegidos, y por el derecho a la intimidad en el ámbito familiar, así como por la solidaridad existente entre el acusado y el testigo (STS 389/2020, de 10 de julio). Ello, supondría además crear distinciones en el estatuto procesal de los testigos, sobre la base de la extensión del derecho de dispensa o de la obligación de declarar hacia otros sujetos no prevenidos; pero, por otro lado, no resulta ilógico pensar, que pueda ser enervada su obligación de declarar cuando el posible perjuicio económico o moral pudiera llegar a afectar al mismo, aun de forma indirecta.

El ordenamiento procesal penal francés recoge la figura del denominado “testigo asistido” (art.113 CPP). Así, el artículo 113.2 CPP francés, indica que “cualquier persona aludida nominalmente en una denuncia o acusada por la víctima podrá ser oída como testigo asistido. Cuando comparezca ante el juez de instrucción será escuchada obligatoriamente en dicha condición, si así lo solicita; si la persona es aludida nominalmente por una denuncia con constitución de parte civil, será advertida de ese derecho cuando comparezca ante el juez de instrucción. Cualquier persona acusada por un testigo o contra la cual existan indicios que hagan verosímil el que haya podido participar, como autor o cómplice, en la comisión de delitos de los que sea competente el juez de instrucción podrá ser oída como testigo asistido”. El párrafo siguiente (113.3) prevé la posibilidad de que este testigo se beneficie del derecho a ser asistido por un abogado de su libre elección, o designado de oficio en su caso (…), debiendo ser informado de sus derechos por el juez de instrucción desde su primera declaración como testigo asistido. Además, este testigo no prestará juramento o promesa de decir verdad (art. 113.5).

Tampoco, esta figura, parece que aporte una solución viable al caso que nos ocupa, estando pensada eso sí, frente a aquellos supuestos en los que un sujeto que inicialmente declara como testigo, y a la vista del posible contenido de su declaración pudieran desprenderse contra él mismo indicios de su participación en los hechos objeto de investigación, por lo que estaría  justificaría, en cierto modo, la presencia letrada por la necesidad de asesorar al testigo a la hora de contestar o no a ciertas preguntas. Pero, ello, comportaría atribuir a aquél el estatuto de investigado para que pudiera acogerse al derecho a no declarar; lo que no está previsto en nuestro ordenamiento procesal, ya que esta figura del “testigo asistido”, tan sólo aparece en el artículo 433 LECrim., que permite a la víctima del delito hacerse acompañar de una persona de su elección durante la práctica de la diligencia testifical (ni siquiera aquí se habla de asistencia letrada). En la práctica, nuestros tribunales, de manera excepcional, en los denominados macroprocesos relacionados con la corrupción pública, han permitido la asistencia letrada a algún testigo, pero únicamente en aquellos casos en los que el testigo se encontraba ya investigado por hechos relacionados en otra causa o incluso en otra pieza separada de la misma causa, y únicamente a los efectos de negarse a contestar a aquellas preguntas cuya respuesta pudiera incriminarle o perjudicarle en la causa en la que figura en calidad de investigado. Al margen de estos supuestos, que poco o nada tienen que ver con la problemática que ahora nos ocupa, la declaración de testigo asistido por letrado, no está prevista por nuestra LECrim.

En un plano distinto, esas exenciones podrían resultar contrarias a las obligaciones de prevención delictiva y cultura de cumplimiento normativo que pesan sobre los administradores y representantes de las personas jurídicas, y desde luego, a la cultura de respeto por la legalidad, sobre la que descansa la responsabilidad penal de las personas jurídicas. Incluso podría plantear problemas, acerca del deber de lealtad de los administradores para con la empresa (art. 227.1 TRLSC)⁶⁰. Lo cierto es que, no existe en el seno del proceso penal un deber “laboral”, legal o contractual de guardar silencio frente a la obligación de declarar en calidad de testigo, ni tan siquiera puede oponerse ese deber de “lealtad” expresamente recogido en la normativa societaria, a pesar de que aquellas manifestaciones pudieran conllevar importantes perjuicios para la sociedad.

Para aplicar estas garantías a las personas jurídicas de una manera adecuada, sería necesario llevar a cabo un análisis de la organización para establecer de manera objetiva, respecto de qué personas físicas se pueden concretar los referidos derechos, atendiendo también a aquellos aspectos de su funcionamiento más relacionados con la responsabilidad penal que se le atribuya, y delimitar así, objetivamente las materias sobre las que proyectar aquellas.

Por lo que, a los sujetos,que pueden negarse legítimamente a entregar documentos o fuentes de prueba incriminatorias para la entidad, deberán ser aquellos que estén facultados para tomar decisiones o para actuar en su nombre, en relación con la documentación que se requiere. El derecho de la empresa a negarse a la entrega de documentos, no puede ser burlado por la vía de solicitarla a título personal a quienes trabajan en ella, pero no están facultados para tomar decisiones, ni para actuar en su nombre. El rechazo por parte de los empleados o directivos a aportar tal documentación incriminatoria, no pude reportarles perjuicio alguno. Aunque en estos casos, los requerimientos no vayan expresamente dirigidos al titular del derecho a no autoincriminarse, ya que es doctrina constitucional que, los trabajadores de la entidad queden amparados por el derecho a no declarar de la persona jurídica⁶¹.

Cuestión distinta, sería la aportación voluntaria de esos documentos por parte de algún empleado o directivo de la entidad, en el marco de una colaboración libre y voluntaria con la investigación, lo que no vulneraría el derecho a no declarar de aquella. Pero a mi juicio, para que ésta pudiera calificarse de voluntaria y espontánea, sería necesario que no existiera un requerimiento previo por parte del órgano judicial. Es cierto, como apunta NEIRA PENA, que la “lealtad” de los trabajadores o gestores de la empresa, o la confianza que debe informar las relaciones laborales, no son valores o intereses que entren dentro del ámbito de protección del derecho a no declarar, sino que tal derecho es un instrumento de protección del derecho de defensa y del derecho a la presunción de inocencia de la entidad, por lo que la colaboración voluntaria, bien de la empresa, bien de cualquiera de sus integrantes, aportando documentos incriminatorios, debe considerarse en todo caso, válida como fuente de prueba⁶².

Ello impone alguna matización, ya que si bien el legislador a través de la Ley Orgánica 1/2015, de 30 de marzo, ha pretendido incentivar a las empresas para que adopten una cultura de cumplimiento del Derecho y para que implementen medidas de control interno, no lo es menos, que tal aportación voluntaria deberá limitarse a aquellos documentos a los que tenga acceso por razón del desempeño de su función, sin extralimitación de ningún tipo, debiendo limitarse en su caso a denunciar los hechos a través del canal de denuncias, ya que el acceso no autorizado a dichos archivos o documentos, podrían acarrearles responsabilidad incluso penal⁶³. No debemos olvidar que, la implantación de los programas de cumplimiento normativo dentro de las empresas es una recomendación no sólo legal, sino jurisprudencial⁶⁴, para prevenir, los delitos de los que son responsables las empresas, y también el resto que puedan ser cometidos por sus administradores o empleados y de los que derivan graves consecuencias para ellos, e indirectamente para la organización. No cabe duda, que la inexistencia de un programa de cumplimiento facilita la comisión de los delitos corporativos⁶⁵. Pero lo cierto es que, salvo en determinados sectores (blanqueo de capitales), los programas de cumplimiento no son obligatorios, aunque si altamente recomendables⁶⁶.

Los terceros ajenos a la entidad que custodien documentos relativos a la actividad de la persona jurídica (gestorías, entidades bancarias, aseguradoras, proveedores, clientes) tendrán la obligación de aportar dicha documentación, cuando les sea requerida en el marco de un proceso judicial, no sólo por la obligación general de colaborar con la Administración de Justicia (art. 118 CE), sino por la específica que impone el artículo 575 LECrim. Este precepto establece un derecho de “exhibir objetos y papeles que se sospeche puedan tener relación con la causa”, obligación que se refiere a los terceros ajenos al proceso, no a las partes procesales, siendo así que la negativa de empleados y directivos, que ostenten esta información por cuenta ajena, no puede ser burlada, por la vía de interesarlos a título personal a quienes trabajan en ella.

A los representantes legales o miembros de los órganos directivos de la persona jurídica no imputados, si bien no les alcanzaría en toda su extensión este derecho, tampoco deberían declarar bajo el estatuto exclusivo de un testigo, ya que se encuentra ausente esa relación de ajenidad con el hecho investigado, respecto del cual pueden tener un relevante grado de conocimiento, debido al puesto que ocupan dentro del organigrama societario. Sería necesario, informarles cuando menos de los derechos que asisten a la persona jurídica, aunque no sean los representantes especialmente designados en el proceso, y que se extienden a los órganos directivos de la misma⁶⁷.

La jurisprudencia del Tribunal Supremo(STS 154/2016, de 29 febrero) ya  advirtió acerca de “la posible conculcación efectiva del derecho de defensa de la persona jurídica al haber sido representada en juicio, y a lo largo de todo el procedimiento, por una persona física objeto ella misma de acusación y con intereses distintos y contrapuestos a los de aquella”, así como la necesidad “de que la misma fuera representada (…) por alguien ajeno a cualquier posible conflicto de intereses procesales con los de la entidad, que debería en este caso ser designado, si ello fuera posible, por los órganos de representación, sin intervención en tal decisión de quienes fueran a ser juzgados en las mismas actuaciones”. Además, el Alto Tribunal, exhortaba en aquella, a los órganos judiciales a fiscalizar el controvertido trámite de designación de representante, así como al Legislador a establecer la oportuna regulación⁶⁸. Sin embargo, el legislador ha omitido tal recomendación, cuando menos en el Anteproyecto de Ley de Enjuiciamiento Criminal, obligando a designar al compliance officer como representante procesal de la corporación imputada. Regulación, a todas luces insuficiente, ya que nada dice del resto de individuos que en razón de su cargo, pueden conocer información potencialmente perjudicial para la entidad procesada, y que, sin embargo, en el más que probable caso de que fueran llamados como testigos, tendrían obligación de decir verdad. Lo cual, como indica GOENA VIVES, mantiene las dudas de que sea realmente posible y/o probable un nemo tenetur a las personas jurídicas imputadas desligado de los intereses de sus miembros⁶⁹.

No obstante, este Anteproyecto de Ley de Enjuiciamiento Criminal (que como tantos otros, parece haber quedado en el olvido) regula el derecho al silencio (art. 17), otorgándole un reconocimiento amplio, al disponer que nadie puede ser obligado a confesarse culpable ni a declarar contra sí mismo, indicando, además, que del silencio de la persona encausada o de su negativa a declarar no podrán extraerse consecuencias que le perjudiquen (art. 17.1). A continuación, exime de la prestación de juramento o promesa al encausado, que no podrá ser perseguido por el delito de falso testimonio por las declaraciones que realice (art. 17.2). lo que no supone novedad alguna en su estatuto procesal, en relación con la regulación vigente. Por el contrario, resulta novedosa la posibilidad de prohibir la utilización de manifestaciones o documentos previamente obtenidos bajo amenaza de sanción (art. 17.4), en aplicación de la denominada “excepción Saunders” contenida en la conocida STEDH de 17 de diciembre de 1996, Caso Saunders c. Reino Unido⁷⁰.

En cuanto al alcance subjetivo del derecho a la no autoincriminación, al igual que con la legislación vigente, el Anteproyecto LECrim reconoce esta garantía a quien sea sujeto pasivo del proceso y, por tanto, la extiende a personas jurídicas. Ahora bien, a diferencia de lo que ocurre en la actualidad, el Anteproyecto LECrim regula las reglas del proceso penal dirigido contra la persona jurídica en un capítulo autónomo (Capítulo III del Título II del Libro I). El derecho al silencio se menciona expresamente en varios de sus artículos (arts. 83 y 84). Sin embargo, pese a dicho reconocimiento formal, es dudoso (como se trata de demostrar en este trabajo) el alcance que el derecho al nemo tenetur de la persona jurídica vaya a tener en la práctica un reconocimiento material tan claro⁷¹. En ambas regulaciones, el régimen previsto para que la persona jurídica pueda prestar declaración en calidad de sujeto pasivo del proceso penal, es a través de su representante procesal, atribuyendo, como ya hiciera el Borrador de Código Procesal Penal de 2013, la representación de la persona jurídica encausada al “director del sistema de control interno de la entidad”; en tanto que persona encargada de supervisar la eficacia del modelo de prevención de delitos adoptado en la empresa. Si no se cuenta en el seno de la empresa con tal figura, se podrá nombra a “otra persona que acepte la representación” o, a falta de dicha designación, que sea el Juez de Garantías quien, a instancia del Ministerio Fiscal, el que designe “a quien ostente el máximo poder real de decisión en el órgano de gobierno o administración o como administrador de hecho” (art. 81.2). En cualquier caso, el Anteproyecto LECrim mantiene la prohibición de designar como representante procesal de la persona jurídica a quien deba declarar como testigo (art. 81.3).

Sigue, sin embargo, sin solucionarse la cuestión del posible conflicto de intereses, sobre el que ya llamó la atención el profesor GÓMEZ-JARA DÍEZ⁷², cuando coincidan el representante de la persona jurídica encausada y la persona física también encausada. Además, no es incontrovertido, que el director de cumplimiento sea la persona más indicada (en todo caso) para representar los intereses de la sociedad imputada, “pudiendo” faltar a la verdad aún, cuando esté en conflicto de intereses con la corporación.

Es lógico, como señala GOENA VIVES⁷³ que la incuestionable relevancia que los individuos personas físicas tienen para la defensa de la persona jurídica hace necesario que el estudio del nemo tenetur corporativo no se centre solo en la persona jurídica como sujeto pasivo del proceso, sino que debe atenderse asimismo, a la libertad de declarar de las personas físicas que integran la organización y que pueden afectar indirectamente a la defensa corporativa.

La amplia variedad de personas físicas que integran los entes corporativos, en concreto las sociedades mercantiles, con capacidades ejecutivas o de administración (administradores, directivos, socios), o de terceros externos que prestan servicios a aquellas (abogados, asesores, consultores, proveedores, clientes) y los propios trabajadores; conforman un bloque heterogéneo con intereses, que a veces, son difíciles de conciliar máxime en situaciones de crisis como la que conlleva la realización de conductas delictivas por parte de aquella, o  de alguna de las personas físicas con la misma relacionadas, desplegadas en su seno⁷⁴. Ello, sugiere, ampliar el derecho a la no autoincriminación en favor de aquellas personas físicas vinculadas al ente colectivo, que pueden ser asimismo, objeto de requerimientos de todo tipo, ya para la aportación de documentos, u otras fuentes de prueba.

2. Límites objetivos. Requerimientos documentales y derecho a la no colaboración activa

Los requerimientos documentales dirigidos a la entidad investigada son sin duda, un arma de doble filo, que se encuentra directamente relacionada con el derecho a no colaborar activamente, que ostentan las personas jurídicas en el proceso penal⁷⁵. Pero es que, además, aquellos, pueden ir dirigidos a otros individuos que interactúan en el contexto empresarial, y que en especial incumben a determinados sujetos en áreas contextualizadas de su actividad, como sucede por ejemplo en el ámbito de la prevención del blanqueo de capitales, máxime tras la aprobación de la Directiva 2018/843/UE del Parlamento y del Consejo Europeo, de 30 de mayo de 2018. En estos casos, sólo cabría invocar el derecho/deber de secreto profesional, reconocido en el artículo 24.2 CE. Pero como en nuestro ordenamiento, no se distingue entre deber de secreto profesional y privilegio de las comunicaciones abogado-cliente, sólo cabría alegar el deber de reserva de la persona física, no de la persona jurídica⁷⁶.

Como señala MARTÍNEZ ARRIETA⁷⁷ (en el marco de los delitos contra la Hacienda Pública) hay actos necesarios para el control de una actividad que no implican ni un quebranto al derecho a no declarar, ni merma del derecho a no ser fuente de prueba. No se trata de actos de naturaleza procesal, enmarcados en un proceso de indagación de un hecho delictivo, sino de actos referidos a la ordenación social correspondientes a un deber legal y constitucional de pagar impuestos. Para ello, distingue entre los órganos encargados de las pesquisas. Si es la administración tributaria la que reclama la documentación para asegurar el buen funcionamiento de la tributación, no hace sino cumplir con las facultades para las que ha sido creada, asegurar la correcta contribución al sostenimiento de los gastos públicos y ello aun cuando pueda existir sospecha de incumplimiento de la obligación. Una vez comprobada que la cuota defraudada es superior a 120.000 euros, se deduce el tanto de culpa al Ministerio Fiscal. En este caso, es el órgano judicial el que indaga a través de la fiscalía, es una indagación por delito, sobre un imputado, y cualquier colaboración debe ser informada y voluntaria, y despliega con total amplitud el derecho al silencio y a la no autoincriminación o a la no colaboración activa.

Será por tanto necesario, examinar si los requerimientos documentales forman parte del derecho a la no autoincriminación que venimos examinando; y en qué casos la persona jurídica investigada puede negarse a atender dichos requerimientos; qué sujetos ostentarían dicha legitimación; y cuáles son los efectos y alcance de aquellos documentos obtenidos a través de requerimientos coactivos. En primer lugar, parece lógico extender el derecho a no autoincriminarse a los requerimientos documentales, al incluir en tal derecho la falta de obligación de aportación o exhibición de documentos⁷⁸. La declaración, en sentido amplio del término, no tiene por qué ser exclusivamente verbal. No obstante, ello, algún sector doctrinal (BANACLOCHE PALAO) entiende que los documentos que forman parte del archivo de la persona jurídica no pueden ser considerados declaraciones a estos efectos, y su adquisición, aun de forma coactiva, resultaría perfectamente válida desde una perspectiva constitucional⁷⁹. Frente a ello, DEL MORAL GARCÍA, entiende que es perfectamente factible “desatender los requerimientos que se le efectúen para entregar documentación; o que la información falsa que pueda proporcionar no podrá generar responsabilidad penal. No es que pueda falsear la documentación, pero no le será exigible que la proporcione (sin perjuicio de que esa negativa provoque la necesidad de un registro o de una pesquisa más invasiva)⁸⁰. Tales elementos de prueba, obtenidos bajo apercibimiento de desobediencia, serían ilegales y, por ende, sin valor probatorio, por haberse vulnerado en su obtención el derecho fundamental de la entidad a no autoincriminarse (art. 11.1 LOPJ), como también lo sería la información recabada de esa forma en un expediente administrativo previo.

Esta disyuntiva (derecho a la no autoincriminación – deber de colaborar con la Administración), como advertía MARTÍNEZ ARRIETA⁸¹ se plantea en el marco del procedimiento administrativo tributario, donde el artículo 29.2 f) de la Ley General Tributaria obliga a “aportar documentos, libros y registros (…)” y el artículo 203 de la misma, tipifica la infracción tributaria por el incumplimiento de dicha obligación. Así, la persona jurídica, está obligada a entregar la información requerida por la Administración Tributaria, ya que, si no lo hace, podrá ser sancionado. La cuestión a tener en cuenta, es si la Administración Tributaria, puede utilizar esa información obtenida en el procedimiento administrativo sancionador de manera coactiva, en el curso de un proceso penal por delito fiscal contra las personas jurídicas.

La Fiscalía General del Estado en su Circular 1/2011, consideró que sí podían ser utilizados dichos documentos como prueba en el proceso penal, ya que de admitirse lo contrario “la reforma del Código Penal constituiría un arma de doble filo para el ius puniendi estatal, al colocar a las personas jurídicas en un terreno en el que se le facultaría para rehusar toda cooperación”⁸².

Para sostener dicha tesis, analiza la doctrina del Tribunal Constitucional, y llega a la conclusión que el derecho a la no autoincriminación no resultaba aplicable al caso planteado, por cuando aún concurría coacción derivada de tales requerimientos, cuya desatención supone la imposición de sanción tributaria, no existía identidad subjetiva entre la persona a la que se requirió la información bajo  coacción, la sociedad inspeccionada, y la persona finalmente  condenada en el proceso penal, que era el administrador de dicha sociedad⁸³. En definitiva, la persona jurídica no puede exonerarse de colaborar cuando la información se solicita en relación con la investigación que se sigue contra una persona física, aunque esté vinculada a ella. No cabe realizar una confusión de persona natural y jurídica a efectos de la aplicación del derecho.

El derecho a la no autoincriminación es compatible con la realización de pruebas sobre el investigado (detección de alcohol en sangre⁸⁴, obtención de unos cabellos, examen psiquiátrico). Pero ello, no implica la imposición al sospechoso de la carga de colaborar con su propia inculpación mediante actuaciones propias⁸⁵.

Ello permite concluir que, tras la incorporación de las personas jurídicas al proceso penal en calidad de acusados, en estos casos en los que se persigue la condena de aquellas por un supuesto delito contra la Hacienda Pública, cabría entender vulnerado el derecho a la no autoincriminación si la sentencia penal basa exclusivamente su condena, en documentos obtenidos durante el procedimiento inspector, previo requerimiento al finalmente condenado  bajo el apercibimiento de sanción administrativa.

La STC 54/2015, de 16 de marzo, niega la eficacia como medio de prueba al reconocimiento de hechos efectuado en un acta de conformidad correspondiente a otro expediente a efectos de provocar la desconexión de antijuridicidad de las pruebas obtenidas de una entrada y registro vulneradora de la inviolabilidad de domicilio y la acreditación de una contabilidad “B”. Esta solución, es criticada por algún autor⁸⁶, al entender que, si el derecho a la no colaboración activa no es predicable del procedimiento de inspección tributaria, la conformidad prestada en el acta es válida y su empleo en otro procedimiento administrativo no vulnerará tal derecho, sin perjuicio de que pueda vulnerar el ne bis in idem. La admisibilidad de un acta en otro procedimiento deberá examinarse no desde la óptica de un derecho (a la no colaboración activa) que no operaba, sino desde el prisma del principio de finalidad (GONZÁLEZ LÓPEZ)⁸⁷.

En el marco comunitario, la jurisprudencia ya se había hecho eco de esta cuestión, pero desde ópticas discrepantes. Así, el TJUE en sentencia de 18 de octubre de 1989⁸⁸, se inclina a favor de los intereses del procedimiento administrativo sancionador, ya que en ese momento las personas jurídicas no eran titulares del derecho a la no autoincriminación. Tras la incorporación de ese derecho al artículo 6 CEDH, el Tribunal de manera incomprensible siguió con esa tesis⁸⁹, por representar elementos esenciales de la noción de proceso justo directamente vinculado a la presunción de inocencia, y en tal sentido se ha recogido de manera expresa en la Directiva 2016/343/UE⁹⁰ respecto de las personas físicas.

Por el contrario, el TEDH ofrece una solución distinta. La sentencia de 25 de febrero de 1993⁹¹, si bien permite la conminación de la imposición de una sanción a la hora de obtener información o recabar documentos en un procedimiento administrativo, no cabe utilizar dicha información como prueba en el proceso penal para condenar a la persona jurídica. Ello impide, asimismo, solicitar coactivamente dicha información cuando existan posibilidades de que con posterioridad se vaya a abrir un proceso penal relacionado con la información obtenida⁹², e incluso, aunque esas sospechas no existan y dichas coacciones se ejerzan fuera de la previsión de un proceso penal, tampoco podrá utilizarse en caso de que finalmente este se inicie⁹³. En definitiva, la doctrina del TEDH permite valorar a efectos punitivos la información obtenida mediante coacción, si: a) aquella hubiera preexistido al requerimiento, independientemente de la voluntad de la persona jurídica requerida; y b) que no sea información con valor expresivo propio. De no ser así, no podrá utilizarse en el procedimiento penal de que se trate.

La doctrina del TEDH es perfectamente asumible en el seno del proceso penal habida cuenta de que en el derecho administrativo sancionador europeo las personas jurídicas, siempre han gozado de todos los derechos procesales reconocidos, sin que se haya efectuado matiz alguno en relación a su vigencia⁹⁴. Así, puede reconocerse el derecho-deber de reserva de quienes, teniéndolo legalmente reconocido, estén directamente vinculados al derecho de defensa de la persona jurídica, abarcando no sólo a los letrados que ejercitan el derecho de defensa, sino también a los representantes procesales de la entidad.

La STS 277/2018, de 8 de junio (Caso Nóos) establece que el hecho de no obligar a una persona a aportar documentación que le incrimine (se remite a la jurisprudencia del TEDH) debe ser extrapolable al derecho penal español, que además ha incorporado la responsabilidad penal de la persona jurídica”.

A fin de evitar la deseable impunidad, y preservar las obligaciones documentales que impone la ley, el TEDH especifica que, para que el derecho a no autoincriminarse despliegue todos sus efectos, es preciso que la medida coactiva se dirija a la obtención de documentos o fuentes de prueba, cuya existencia dependa de la voluntad del investigado. Por lo que los documentos que tengan una existencia independiente de la voluntad del sujeto requerido quedarían fuera del ámbito de protección del citado derecho⁹⁵. Así, la protección se extendería únicamente a aquellos requerimientos coactivos de información posteriores a la comisión del ilícito punible, y a aquellos otros documentos de cuya existencia no se tuviese certeza absoluta⁹⁶.

Al objeto de determinar si los documentos requeridos tienen un carácter obligatorio “ex lege”, o si por el contrario responden a la voluntad de la entidad de establecer determinados controles internos de sus actividades o son confeccionados en atención a un requerimiento “ad hoc” de los órganos de investigación penal⁹⁷. Así, tienen a estos efectos, carácter inculpatorio, la entrega de documentos que contengan una declaración y cuya existencia dependa del investigado, como, por ejemplo, las respuestas autoincriminatorias, realizadas por escrito, que puede dar el obligado tributario a determinadas preguntas formuladas por la Inspección Tributaria, cuadernos personales de notas, correspondencia o materiales elaborados, a solicitud de la Inspección por aquél⁹⁸. En el caso concreto de las personas jurídicas, como ejemplos paradigmáticos de documentos internos, de carácter autoincriminatorio protegidos por este derecho, se podrían señalar los archivos derivados del canal de denuncias en los que consten los hechos denunciados  y los resultados de las investigaciones internas que, voluntariamente haya llevado a cabo la entidad, así como las declaraciones escritas de la persona jurídica o de sus representantes admitiendo la existencia de irregularidades o ilegalidades en su actuación en relación con los hechos objeto de investigación. No serían contrarios a derecho, los requerimientos que afecten a documentos de llevanza obligatoria que se requieren en los procedimientos inspectores (contabilidad, facturación).

Se trata de documentos cuya aportación voluntaria, puede conllevar la aplicación de una exención de responsabilidad penal (art. 31 bis 2.1ª CP), para el caso de que antes de la comisión del delito se hayan implantado modelos de organización y gestión; o en su caso una atenuación de la misma (art. 31 quater d) CP) si antes del comienzo del juicio oral, “se han establecido medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica”. Sin embargo, al no existir una obligación legal expresa de documentar y archivar esa información, no se trataría de documentos requeridos ex lege, mientras que su carácter incriminatorio resulta evidente por lo que, de ser requeridos bajo amenaza de sanción, constituirían una prueba ilícita.

Parece evidente que la vía adecuada para acceder a los documentos internos de la entidad, cuando esta se resista a entregarlos voluntariamente, será acudir a la diligencia de investigación de entrada y registro en los locales en los que pudieran hallarse los citados documentos, por permitirlo así el artículo 554.4º LECrim. Todo ello tras la correspondiente autorización judicial mediante auto expresamente motivado, en la que además de hacer constar los presupuestos y las garantías materiales y formales de la misma, como si de una persona física se tratara, deberá ser especialmente cuidadosa con el contenido de los documentos que deberán ser objeto de incautación, en relación con los hechos de relevancia penal objeto de investigación.

Como advierten muy gráficamente, AGUILAR FERNÁNDEZ y LIÑÁN LAFUENTE⁹⁹ “pocos elementos probatorios hay más rentables para una acusación, procesalmente hablando, que un informe de investigación interna, o informe de autoevaluación, que concluya que los mecanismos de prevención no funcionaron, mucho más con el frecuente recurso a la utilización del sesgo retrospectivo en nuestra diaria realidad forense. En este campo, las corporaciones se encuentran ante el dilema de realizar una investigación interna, con el riesgo de que el resultado se convierta en una “soga al cuello” de la que sea imposible evadirse, si llegase dicha información a un eventual procedimiento, o no hacer ningún informe para evitar estas consecuencias, lo que posiblemente conllevaría al incumplimiento de su normativa interna de compliance”. Reseñan a continuación estos autores, una serie de medidas de protección de la documentación generada en el seno de una empresa con miras a preparar la defensa en un posible proceso, además del consabido secreto profesional entre abogado y cliente, que son las siguientes: i) Work Product Doctrine/Inmunity, que ofrece una protección reforzada a los materiales preparados por los abogados con vistas a la utilización en un previsible proceso, y que fue llevada al ámbito penal en la Sentencia United States vs. Nobles, y de ahí se incorporó como Regla 16 (b) (2) a la Federal Rules of Criminal Procedures, donde se regula la información no sujeta a la obligación de revelación¹⁰⁰. ii) Self Critical Analysis Privilege que plantea otorgar protección a los documentos generados en el ámbito de la mejora del compliance, partiendo de la base de que, si no se respetasen la documentación generada en la mejora del sistema, las empresas no se animarán a implementar un sistema eficaz. La finalidad de dicha doctrina se resume en intentar favorecer que las empresas realicen investigaciones de mejora de su sistema, sin el miedo a que ese trabajo pueda ser utilizado en su contra en un futuro, pues de otro modo se beneficiaría a la empresa que no revisa su sistema para mejorarlo¹⁰¹.

Concluyen dichos autores, que como esos documentos constituyen una fuente de información muy codiciada y útil en los procedimientos penales, el único mecanismo que existe para protegerla, de momento, es intentar ampararla en el privilegio del secreto profesional entre abogado y cliente. No obstante, cuando el abogado es un interno que, además realiza las funciones de compliance officer; esa protección tiende a diluirse. Defienden, la necesidad de que en la generación de documentos sensibles en el marco de un programa de compliance tenga intervención un abogado colegiado, que podrá ser externo o interno, pero que asuma concretamente el cometido de asesorar a su cliente (persona jurídica) respecto a un asunto concreto relacionado con la prevención de riesgos penales¹⁰².

Por otro lado, desde un punto de vista estrictamente formal, no faltan quienes advierten que, utilizar la medida de intervención judicial para acceder a la documentación interna de la entidad, podría resultar contrario al derecho a no declarar de aquellas¹⁰³.

Algunos autores (GOENA VIVES)¹⁰⁴, optan por la vía alternativa de privilegiar la información generada a resultas de las investigaciones internas, canales de denuncia, informes de forensic y demás mecanismos de compliance , apostando por admitir la protección de la información derivada de los programas de cumplimiento en unos términos similares a los previstos para los “acuerdos de clemencia” en el Derecho de la competencia, que excluyen la posibilidad de imponer una sanción administrativa a la empresa, que ante la autoridad administrativa detalle de manera transparente la totalidad de las prácticas anticompetitivas en las que hubiere incurrido; y que en el marco del proceso pena en que nos encontramos podría perfectamente enmarcarse dentro de la atenuante de colaboración en la investigación (art. 31 quater b) CP).

GALBE TRAVER¹⁰⁵, tras advertir de la incapacidad de la jurisprudencia para elaborar una doctrina sobre esta cuestión, examina las cuatro tesis que se han planteado acerca de la posibilidad de invocar el derecho a la no autoincriminarse frente a los requerimientos documentales: Así, a) Tesis de la preexistencia, que sostiene que el derecho a no autoincriminarse resulta inaplicable si los documentos preexisten al requerimiento, ya que la persona requerida no estaría declarando nada, sino tan sólo soportando prueba, del mismo modo que quien es obligado a espirar aire de un alcoholímetro (STC 103/1985, de 4 de octubre, que declaró que el sometimiento a la prueba de alcoholemia no es contrario al derecho a no declarar ya no declarar contra sí mismo). Niega el carácter testimonial de la aportación de documentos preexistentes, que sólo podrá invocarse el “nemo tenetur” frente a un requerimiento documental en aquellos casos en los que se pretendiera que el sujeto produzca ex novo el documento. Esta tesis resulta incompatible con la jurisprudencia del TEDH expuesta. b) Tesis de la predeterminación normativa, según la cual las autoridades solo pueden requerir aquellos documentos cuya existencia y aportación a las autoridades vienen previamente impuestas por el ordenamiento.Es decir, se puede invocar el derecho a no autoincriminarse cuando se exija la exhibición de documentos cuya existencia sea facultativa, es decir, cuando no venga impuesta por el ordenamiento. Deberán cumplimentarse aquellos requerimientos destinados a aportar al procedimiento aquella documental cuya existencia descansa en una obligación legal de tenencia, por lo que su existencia es independiente de su voluntad. Es más respetuosa con el derecho de defensa y permite conciliar estas exigencias con las facultades inspectoras de la Administración; pero plantea la dificultad de que cada vez son más los documentos exigidos ex lege, lo que conlleva el riesgo añadido de que el legislador instrumentalice sus competencias para restringir el contenido del derecho fundamental. Debe admitirse, conforme a esta tesis, que las autoridades puedan requerir de terceros (como Registro de la Propiedad o Mercantil) documentos que se hayan aportado por el sujeto en virtud de una obligación legal previa, y no de un requerimiento individualizado. c) Tesis de la certeza, por la que sólo pueden requerirse coactivamente aquellos documentos cuya existencia consta con certeza a la autoridad. Así, con su aportación el sujeto no confiesa nada que la autoridad no supiera. Según esta el derecho a la no autoincriminación no protege los documentos ni su contenido, sino tan sólo la acción de su aportación. La jurisprudencia exige que los documentos tengan un contenido directamente incriminatorio, cuando la realidad es que el derecho a la no autoincriminación protege el derecho a no colaborar, y no los documentos en cuestión, por lo que su carácter incriminatorio debería ser irrelevante a los efectos del contenido del derecho (si podía ser relevante si el requerimiento se dirige a un testigo que luego acaba siendo investigado). Esta tesis descansa en la noción de la jurisprudencia estadounidense¹⁰⁶ de que el carácter testimonial de la aportación es requisito necesario para apreciar una vulneración del derecho a la no autoincriminación, idea ésta más que dudosa, ya que el derecho a la no autoincriminación lo que proscribe es colaboración forzosa del investigado con la acusación, con independencia del carácter testimonial o no, que tenga esa colaboración. d) Tesis de la accesibilidad, que coincide con la anterior en sostener que las autoridades judiciales o administrativas sólo podrán requerir aquellos documentos cuya existencia les conste. Pero, además, las autoridades deberán estar en condiciones de obtener por ellas mismas los documentos. Para GARCÍA BERRO, la autoridad pública sólo podría requerir aquellos documentos que esté en condiciones de obtener por sí misma, siendo compatible con la jurisprudencia del TEDH respecto del derecho a la no autoincriminación¹⁰⁷. Esta tesis sostiene que, en procedimientos sancionadores, los requerimientos documentales coactivos no son admisibles en ningún caso; pero si la autoridad está en condiciones de obtener evidencias incriminatorias por sus propios medios (entrada y registro) el principio de proporcionalidad aconseja que se dispense al investigado la oportunidad de aportarlo voluntariamente, de modo que se evite el tener que acudir a otros medios más invasivos para sus derechos. El requerimiento pierde así su carácter coactivo (SAAP Barcelona. Sec. 9ª 671/2018, de 25 de abril; SAAP Valencia Sec. 5ª 1198/2017, de 20 de noviembre; SAAP Lérida Sec. 1ª 356/2018, de 26 de junio; SAAP Zaragoza. Sec. 2ª 787/2017, de 3 de octubre). No se puede, por tanto, dirigir nunca, requerimientos documentales coactivos al investigado para usarlos en su contra en procedimientos sancionadores.

2.1. Posición reforzada en el caso de investigaciones internas

En mi opinión, el derecho a la no autoincriminación (no colaboración activa) en el supuesto de las personas jurídicas, debe cobrar especial relevancia, dada la existencia, como ya avanzamos de diversos mecanismos contenidos en los programas de cumplimiento de cuyo análisis pueden revelarse importantes datos de carácter incriminatoria respecto de la actuación de la persona en cuestión, como pueden ser los canales de denuncia, las investigaciones internas, y las delaciones, además de que en caso de que no sean objeto de investigación los administradores, directivos y demás empleados de aquella, podrán ser citados a declarar en calidad en calidad de testigos¹⁰⁸, y como tales tienen obligación de decir la verdad. La doctrina advierte¹⁰⁹, que la investigación interna, constituye un arma de doble filo. De un lado, puede reflejar que existe un defecto de organización imputable a la sociedad; pero de otro, puede identificar al empleado concreto que ha cometido el hecho delictivo.

El problema puede producirse, sin embargo, cuando está implicado algún directivo o administrador de la sociedad. En tal caso, aunque la tentación de no iniciar la investigación es muy alta, la necesidad de realizarla aumenta, pues la sanción, aunque será prácticamente inevitable, podrá ser importantemente rebajada.

A la hora de realizar una investigación interna, como apunta GIMENO BEVIÁ¹¹⁰, “no todo vale”, ya que, si no se respetan determinadas garantías constitucionales, ello tendrá incidencias muy negativas en el proceso penal. Así, los aspectos más controvertidos derivan de las entrevistas a los trabajadores, ya que estos en el seno de una investigación interna no  tienen reconocido el derecho a no declarar, sino que habrá de ser ponderado como un elemento intrínseco del derecho a la intimidad frente al derecho a la libertad de empresa que permite al empresario sancionar al trabajador que se niega a colaborar en una investigación interna; y la intervención de las comunicaciones que sean propiedad de la empresa, respecto de las cuales no alcanzaría la protección constitucional del derecho al secreto de las comunicaciones¹¹¹. Así los beneficios de la colaboración deben entenderse única y exclusivamente respecto de la persona jurídica, no con sus empleados, ya que ésta, en su caso, obedecerá a otros parámetros y finalidades.

Lo que, desde luego, no cabe, es pactar una investigación interna entre la Fiscalía y la empresa, sin que se respeten los derechos y garantías de los miembros de la entidad que de una forma u otra pudieran verse afectado por los resultados de aquella. La obtención de una información así obtenida, trasladada al seno del proceso penal, sería prueba prohibida, y por tanto debería ser excluida de su valoración judicial.

El principio de oportunidad, utilizado en algunos ordenamientos, para exonerar a las personas jurídicas que colaboran, dirigiendo así el proceso penal, únicamente contra las personas físicas, puede suponer un incentivo de gran calado, que diluya otros derechos en juego. Por ello, como reconoce NIETO MARTÍN¹¹², la cooperación investigación privada-pública debe rodearse de una serie de garantías que compensen los peligros que genera: la primera de ellas, integrar en las investigaciones internas, las garantías básicas e irrenunciables del proceso penal, como principios éticos que forman parte de cualquier juicio justo; exigir que el derecho penal sólo pueda admitir material probatorio procedente de investigaciones internas que haya sido obtenido respetando los derechos fundamentales; y la necesidad de preservar la información obtenida por la empresa de la investigación pública, ya que su utilización por Jueces y Fiscales, contra su voluntad, constituiría una vulneración del derecho de defensa¹¹³.

Las investigaciones internas, como reconoce el penalista antes citado¹¹⁴, pueden tener dos objetivos: primero, demostrar la existencia o inexistencia del delito base y las personas que han participado en el mismo; y segundo, determinar la eficacia del programa de cumplimiento en general, y en relación con el delito concreto del que se le acusa. Aconseja, además, que se informe de su existencia al juez de instrucción y al fiscal, señalando que, en algunos países como Francia, si que existe una prohibición expresa de entrevistarse (en el curso de una investigación interna) con personas que van a ser testigos en el proceso penal.

Por ello, el justo equilibrio de las partes en el proceso, y en especial el principio de igualdad de armas, obliga ser especialmente respetuosos con esta garantía constitucional cuando de personas jurídicas investigadas se trate. En la parte pasiva del proceso penal no cabe la gradación de sus derechos y garantías, en función de que se trate de unos sujetos u otros, salvo con la única excepción que aquellos no les sean aplicables, en función a su naturaleza jurídica. Es más, el derecho a no declarar contra sí mismo, proclamado en el artículo 24.2 CE tiene una intensidad superior en el marco del proceso penal que en un expediente administrativo disciplinario¹¹⁵. Así, una interpretación extensiva de los artículos 409 bis y 786 bis 1 LECrim., abonarían este planteamiento, aunque para ajustarlo más a la idiosincrasia particular de estos sujetos se aluda al derecho a la no colaboración activa, siendo la cuestión más polémica la extensión la extensión de aquél a otros sujetos estrechamente relacionados con la persona jurídica investigada, no limitándose a los representantes especialmente designados para el caso concreto, ya que tal designación no excluye que sean otras personas físicas las que integran la voluntad de la persona jurídica y actúen como órganos de ésta, de modo que exigir la colaboración activa de dichas personas naturales suponga jurídicamente reclamar el auxilio de la persona jurídica¹¹⁶. Como explica GONZÁLEZ LÓPEZ, este efecto expansivo, del derecho a no colaborar activamente, para que sea efectivo y acorde con la peculiar naturaleza de la persona jurídica, deberá predicarse de las personas físicas que ostentan la condición de órganos de la persona jurídica, siempre que la colaboración pretendida se proyecte sobre la persona jurídica y conlleve una actuación propia de dichos órganos¹¹⁷.

Esta postura, no es extraña a nuestro ordenamiento, ya que la STS 988/2012, de 3 de diciembre, señalaba que para el caso de que la persona física integrante de la voluntad de la persona jurídica, sea llamado como testigo, debe reconocerse su condición de investigado, en la medida en que su declaración puede referirse a hechos cometidos por la persona jurídica de cuya voluntad era integrante y declare en perjuicio de aquella. Cuando menos, debería exigirse una fuente de prueba externa distinta a tal declaración para que aquella pudiera constituir prueba de cargo suficiente para desvirtuar la presunción de inocencia¹¹⁸, ya que la misma puede estar condicionada por múltiples factores externos que pongan en duda su verosimilitud y espontaneidad.

Piénsese, que incluso un abogado de empresa que fuese llamado a declarar como testigo, estaría obligado a hacerlo, ya que aquél no está sujeto al deber de confidencialidad¹¹⁹. Se presume que un abogado de empresa carece de la independencia de un bufete externo, pues está sometido a la disciplina política y estrategias que disponga la propia empresa. Esta relación no tiene la consideración de relación profesional, sino que es eminentemente laboral. Las comunicaciones entre ambos no son distintas a las mantenidas con cualquier otro empleado_¹²⁰, prevaleciendo en este caso su condición de tal. La ya citada STJCE (Akzo Nobel Chemicals Ltd), como indica GIMENO BEVIÁ ¹²¹sólo afecta a las investigaciones comunitarias en materia de competencia, pero no a las situaciones en las que se deban aplicar normas procesales de los Estados miembros, donde como sucede en el caso de España, es irrelevante que el Abogado sea externo o interno. Una hipotética extrapolación de este criterio, de un lado, vulneraría el ordenamiento jurídico español vigente, y de otro, supondría una discriminación del abogado de empresa. Además, en mi opinión, no haría sino incrementar los posibles conflictos de intereses convergentes, entre la persona jurídica y su representante a la hora de que ambos ejerciten cumplidamente su derecho de defensa, máxime si cuando ese abogado de empresa resulta a su vez acusado en el procedimiento y tiene intereses contrapuestos respecto de las cuestiones de fondo o a las referidas a la existencia o no del delito imputado¹²².

Es evidente, que una línea defensiva basada en la colaboración plena y transparencia, va a facilitar, sin duda, la labor del órgano instructor, pero puede suceder que ello, no sea una estrategia de defensa adecuada para la persona jurídica en cuestión, pudiendo negarse a colaborar, trasladándose así a las partes acusadora la necesidad de probar los hechos ilícitos.

2.2. Requerimientos documentales y diligencia de entrada y registro en el domicilio de las personas jurídicas. Posicionamiento garantista

El Juzgado Central de Instrucción de la Audiencia Nacional encargado de las investigaciones en cuestión, mediante providencia de 10 de mayo de 2021, acordó, entre otros particulares, requerir a la entidad querellada (sociedad anónima), a fin de que aportase: i) unas actas de reuniones de la Comisión de Auditoría que figuran en la Memoria de Actividades de la Comisión de Auditoria de las cuentas anuales consolidadas de la citada entidad; ii) un acuerdo “definitivo” suscrito con otra entidad mercantil; iii) copia certificada de los programas de cumplimiento normativo de la entidad, vigentes durante los años 2013 a 2016; iv) la totalidad de las denuncias internas de la misma recibidas a través de canal de denuncias durante los años 2013 a 2016, junto con los expedientes de tramitación de las mismas; v) copias digitales con los datos de seguimiento presupuestario y rentabilidad de determinados proyectos.

A fin de situar formalmente dicha petición, debe mencionarse que, un mes antes, en fecha 9 de abril de 2021, se había acordado una diligencia de entrada y registro en la sede social de la entidad, que se materializó el 13 de abril de 2021. Dicha resolución fue recurrida en reforma por la defensa de la entidad, recurso que fue desestimado por auto de 2 de junio de 2021, contra el que se formalizó el correspondiente recurso de apelación, que fue estimado parcialmente por auto nº 199/2021, de 1 de julio, de la Sección Cuarta de la Sala Penal de la Audiencia Nacional (RAA 374/2021). En lo que a las cuestiones que ahora nos ocupan, la citada resolución, tras exponer la doctrina del TEDH, Tribunal Constitucional y Tribunal Supremo, señala: (…) “Lo que si resulta evidente que si el injusto típico del denominado delito corporativo viene conformadopor una organización defectuosa y la culpabilidad del mismo, ocasionada por una cultura de cumplimiento inexistente, insuficiente o meramente complaciente con las exigencias legales, y éste deberá ser lo que constituye el “thema decidenci” del proceso penal con personas jurídicas en la posición pasiva de aquél, de ahí la importancia y el interés en su caso, por parte de aquella de traer a la causa los programas de cumplimiento normativo caso de existir, sin necesidad de un requerimiento atemporal como el que nos ocupa, ya que el momento procesal oportuno de su aportación forma parte de su estrategia defensiva interna.

La prudencia, aconseja por tanto la exclusión de este tipo de documentación del requerimiento llevado a cabo a fin de preservar el acervo probatorio que en su día pudiera aportarse, y en evitación de declaraciones de ilicitud probatoria, con la consiguiente conexión de antijuridicidad, que pudiera llegar a contaminar el resto de los medios de prueba practicados.

Un medio lícito de obtener tal documentación hubiera sido a través de la diligencia de entrada y registro, precisamente ya practicada en las presentes actuaciones al amparo del artículo 554.4 LECrim., con la correspondiente autorización judicial, ya que uno de los documentos que por lógica deben ser recabados en una diligencia de entrada y registro de una entidad mercantil como la que nos ocupa, son los programas de cumplimiento normativo, con independencia de su incautación material, en ese momento, o una mera  exhibición voluntaria, o coactiva del mismo, amparada por la habilitación judicial correspondiente.

A tenor de lo expuesto, deberá excluirse del requerimiento documental acordado mediante la providencia de 10 de mayo de 2021 ahora recurrida, la siguiente documentación: Copia certificada de los programas de cumplimiento normativo (compliance) de la mercantil investigada vigentes durante los años 2013 a 2016; así como la totalidad de las denuncias internas de aquella  recibidas a través del “canal de denuncias” durante los años 2013 a 2016, junto con los expedientes de tramitación de las mismas que se puedan haber generado, al formar parte estos de los programas de cumplimiento corporativos, cuya aportación voluntaria, es una decisión que corresponde en exclusiva a la persona jurídica investigada, al poder afectar a su posición procesal en el procedimiento en cuestión (…)”. Admitía, sin embargo, la validez de otros requerimientos documentales interesados (copias digitales con los datos de seguimiento presupuestario y rentabilidad de determinados proyectos), al no vulnerar el principio acusatorio propiamente dicho, a pesar de su íntima relación con el derecho fundamental a la defensa, que si podría verse vulnerado, además de comprometer el  principio de igualdad de armas, implícitamente contenido en el artículo 14 CE, y que se traduce en que todas las partes que intervengan en un proceso penal, han de recibir idéntico tratamiento procesal por parte de los órganos de la jurisdicción penal (…).

El requerimiento relativo a la aportación de la copia digital extraída de la herramienta de gestión de proyectos SAP y del gestor documental “Open Text” con los datos de seguimiento presupuestario y rentabilidad de determinados proyectos, vulneraría su derecho a la no autoincriminación, máxime cuando los documentos a los que viene referida aquella, habían sido expresamente mencionados como material a incautar en la Parte Dispositiva del auto de entrada y registro (…).

En definitiva, el Tribunal optó por acoger una tesis garantista, preservando el derecho a la no colaboración activa de la entidad investigada, máxime cuando se había llevado a cabo una diligencia adecuada para la finalidad perseguida, que no era otra que la incautación de documentación de todo tipo (a través de la diligencia de entrada y registro), con la que poder complementar los datos indiciaros resultantes de las declaraciones sumariales de los investigados, Expresamente, entre la documentación a confiscar, se aludía a la obtención de los correos corporativos de cuarenta y una personas físicas en relación con el desempeño de determinados cargos corporativos, y que al parecer ya habían sido incorporados a un informe forensic (externo), de los que se desprendía una actividad supuestamente fraudulenta, petición que no había sido calificada de desproporcionada por una resolución anterior de esa misma Sección Cuarta  (auto nº 322/2021, de 7 de junio), que desestimó el recurso de apelación formulado contra la decisión de autorizar la citada  diligencia de entrada y registro (RAA 299/2021).

Algunos, se preguntan que sucedería, si la presencia de un sistema de cumplimiento fuese obligatorio ex lege, como sucede con la necesidad de contar con un canal de denuncias. Entiendo que, la solución sería la misma, ya que una cosa es la obligatoria de contar con un determinado sistema de cumplimiento, y otra bien distinta, la obligatoriedad de su aportación, que debe encuadrarse en el derecho fundamental a la no autoincriminación de la persona jurídica y el derecho a guardar silencio, no pudiendo imponerse al imputado un deber de colaboración a través de la aportación de documentos que puedan incriminarle, tal y como apuntamos.

Más concretamente, respecto de la diligencia de entrada y registro el artículo 554.4º LECrim., asumiendo la doctrina constitucional sentada en la STC 69/1999, de 26 de abril, reputa domicilio de la persona jurídica, “el espacio físico que constituya el centro de dirección de las mismas, ya se trate de su domicilio social o de un establecimiento dependiente, o aquellos otros lugares en que se custodien documentos u otros soportes de su vida diaria que quedan reservados al conocimiento de terceros”.

Como reseña GASCÓN INCHAUSTI¹²³, parece propio que un programa de cumplimiento que pueda considerarse eficaz pero que, al mismo tiempo respete adecuadamente la posición jurídica de la empresa y los derechos de sus trabajadores y administradores, debe dar cobertura al menos a los siguientes extremos: a) determinar quién o quiénes son las personas facultadas para conceder la autorización cuando se pretenda un registro no autorizado judicialmente; b) establecer un protocolo interno para dejar constancia de las circunstancias en que la autoridad ha solicitado el consentimiento y, singularmente, de la información recibida de esa autoridad para justificar su pretensión de entrada e inspección/registro; c) establecer un protocolo que determine las reglas de actuación de administradores y/o empleados durante la intervención de la autoridad pública autorizada, así como la forma de reaccionar en función del tipo de cooperación o el tipo de conductas que les sean recabadas por las autoridades públicas; d) disponer de reglas internas sobre acceso de la empresa a espacios y dependencias usados de forma permanente o estable por empleados, de modo que respecto de ellos quede excluida toda expectativa razonable de privacidad, a fin de que durante la práctica del registro los representantes de la persona jurídica puedan decidir si permiten la entrada en ellos a las autoridades que las practiquen.

La inviolabilidad domiciliar de las personas jurídicas, en la medida que estos entes colectivos son instrumentos jurídicos para la consecución de ciertos fines por parte de las personas físicas, se relaciona con la libertad de asociación, esto es, con la libertad de los individuos para constituir sociedades y para adoptar decisiones sobre su funcionamiento, sin injerencias irrazonables por parte del poder público.

Sin embargo, NEIRA PENA¹²⁴, entiende que el concepto de domicilio de las personas jurídicas debe ser objeto de acotación, en función de una interpretación teleológica, como la llevada a cabo por el Tribunal Constitucional¹²⁵, de forma que sólo quedasen protegidos aquellos lugares en los que, o bien se toman decisiones o se realizan actividades vinculadas con la dirección de la entidad, o bien se conservan documentos internos que, por su contenido y su vinculación con el desarrollo de la actividad de la entidad, deben ser excluidos del conocimiento de terceros.

Desde el punto de vista del consentimiento, la jurisprudencia del Tribunal Supremo¹²⁶ sostiene que sólo el representante legal de la persona jurídica, sin necesidad de poder especial, puede permitir la entrada y registro en el centro de dirección, sin que sea necesaria la autorización del órgano instructor¹²⁷. A este respecto, la doctrina procesalista¹²⁸ aconseja no establecer una pauta formal consistente en reservar la potestad de quien puede conceder autorización para esta diligencia, al consejo de administración u órgano de dirección equivalente, sino que “debe entenderse atribuida esta facultad a la concreta persona que en virtud de las circunstancias ostente la representación de la persona jurídica y en cuyo ámbito de potestades pueda razonablemente incluirse ésta. BANACLOCHE PALAO¹²⁹, por el contrario, opina que no es exigible ni que consientan todos los representantes de la persona, ni que el representante que consienta tenga autorización o poder especial para ello; debiendo ser un representante legal de la sociedad o empresa quien debiera otorgar tal autorización, pudiendo ser suficiente el responsable o directivo que esté a cargo de la dependencia u oficina donde se pretenda entrar.

Obviamente de tal potestad deberán quedar excluidos los trabajadores o empleados. Dicho consentimiento para ser eficaz, como indica la STC 54/2015, de 16 de marzo, deberá venir precedido de la correspondiente información expresa y previa, que debe incluir los términos y alcance de la actuación para la que se recaba la injerencia, de modo que, si aquél resulta viciado, no habrá consentimiento eficaz para justificar la intromisión domiciliaria.

En caso de duda, si concurriendo varios representantes, alguno de ellos se opone, deberá recabarse la pertinente autorización judicial, siendo de aplicación en estos casos además, la doctrina establecida por la STC 22/2003, de 10 de febrero, según la cual “el consentimiento del titular del domicilio al que la Constitución se refiere, no puede prestarse válidamente por quién se halla, respecto al titular de la inviolabilidad domiciliaria, en determinadas situaciones de contraposición de intereses que enerven la garantía que dicha inviolabilidad representa”¹³⁰.

Sólo cuando se pretenda la entrada y registro en espacios físicos en los que no se contienen elementos privados o protegidos del conocimiento de terceros, pertenecientes a la persona jurídica afectada, como pueden ser aquellos donde se desarrolle una actividad exclusivamente laboral, o meramente comercial (talleres, tiendas, almacenes o similares) la Policía Judicial podrá actuar de propia mano, y proceder a la entrada primero, y al registro, después, incautando lo que allí se encuentre, de interés para el objeto de la investigación, sin necesidad de autorización judicial, ni consentimiento previo del afectado, al vincularse dichos espacios a lo que podríamos denominar establecimientos abiertos al público.

En relación con las investigaciones internas, un programa de cumplimiento eficaz, debería incluir previsiones acerca de dichos registros. En relación con ello, lo relevante será que se contemplen medidas adecuadas y proporcionadas para eliminar cualquier expectativa razonable de privacidad respecto de esos lugares y espacios: a) debería formar parte del programa de cumplimiento la existencia de reglas, circulares, instrucciones o disposiciones equivalentes que adviertan de los usos no consentidos de espacios o dependencias de la empresa  y que contengan asimismo la previsión de que la empresa se reserva la posibilidad de acceder a esos lugares en ejercicio de sus funciones de supervisión o de cumplimiento penal; b) dependiendo del tipo de relación jurídica que ligue a la empresa con las personas físicas afectadas (mercantil, laboral), puede tener sentido que se incluyan medidas destinadas a complementar o reequilibrar de algún modo estos poderes, como puede ser  que se exija la presencia del propio administrador o trabajador afectado o de algún tipo de delegado sindical o representante de los trabajadores a la hora de practicarlo.; c) estos contrapesos, deberían formar parte de unos protocolos de actuación en la práctica de las inspecciones y registros que también  habrían de determinar los requisitos de conservación y custodia de lo eventualmente aprehendido, así como la forma de ponerlo a disposición, en su caso, de las autoridades de persecución penal¹³¹.

Estas prevenciones, sin duda, contribuyen a preservar los derechos de terceras personas no relacionadas con las supuestas actividades delictivas, que si bien no son los titulares directos del derecho a la inviolabilidad del domicilio (art. 18.2 CE) afectado por la diligencia de entrada y registro, sí podrían ver alterados otros derechos y garantías, como el derecho a la intimidad (art.18.1 CE), incluso el secreto de sus comunicaciones personales (art.18.3 CE), por ello, las resoluciones que acuerden las diligencias de entrada y registro en los domicilios sociales de las personas jurídicas, deberán ser muy precisas y concretas, en relación con el objeto de la misma, al fin de no extenderlas a documentos de carácter privado ajenos a la actividad delictiva y a sus posibles autores.

En definitiva, lo cierto es que, el Tribunal Supremo, al interpretar el artículo 554.4 LECrim-, entiende que su protección, en el caso de las personas jurídicas, es más débil, ya que sólo exige el mandamiento judicial para la principal dependencia de la persona jurídica, pero no para todas. La Sala, asimismo reconoce la incoherencia de dicho precepto, al aplicarse a las personas jurídicas imputadas, no a las no imputadas¹³². La “privacidad” de una persona jurídica no se robustece cuando se convierte en posible responsable penal. Tan tutelada ha de estar la intimidad de las personas jurídicas no imputadas como las de las imputadas. Sin embargo, a tenor de la ley solo es predicable ese concepto ampliado de domicilio a estos efectos de la persona jurídica imputada, y por tanto solo respecto de delitos susceptibles de generar responsabilidad penal de entes morales. La disposición, encierra, sin duda incoherencias (…). No puede proyectarse esa previsión sobre supuestos diferentes a los contemplados en ella: ni sobre estancias o negocios abiertos al público, no sobre sedes de personas jurídicas cuando las mismas sean ajenas a la imputación” (STS 583/2017, de 19 de julio)¹³³.

VI. CONCLUSIONES

El derecho a la no colaboración activa en la propia incriminación de las personas jurídicas resulta difícilmente compatible con el régimen de autorregulación y con las exigencias que el sistema de responsabilidad penal impone a las personas jurídicas.

No obstante, dada la mayor potencialidad de los instrumentos con que cuenta el ordenamiento penal, para llevar a cabo una investigación sobre una persona jurídica, es necesario, sin duda, extremar las garantías que le asisten, y así, se debe evitar acudir a medidas cautelares como la intervención judicial de la entidad (art. 33.7 in fine CP), para obtener cualquier tipo de documentación comprometida de aquella, que no sólo serían desproporcionadas, sino que además, incurriría en una evidente desviación de su naturaleza y finalidad, que  no es otra, sino que salvaguardar los derechos de los trabajadores o de los acreedores (art. 33.7 g) CP)¹³⁴.

No existe una obligación legal para la persona jurídica de colaborar en su propia incriminación, ni mucho menos dicha conducta debe llevar aparejada sanción o reproche alguno. A pesar de la dificultad del reconocimiento de tal derecho en caso de oponerse a los intereses de las personas físicas vinculadas a la organización, debe arbitrarse algún mecanismo, ya sea a modo de dispensa, o una declaración dirigida, en la que se pudiera acoger al derecho al silencio, si quiera parcialmente, aplicable a determinados testigos relacionados con la persona jurídica en cuestión, que vaya más allá del garantizado al representante procesal.

En el mismo sentido, las aportaciones documentales requeridas a las personas jurídicas que supongan su autoincriminación. Eso sí, para ello, será preciso un examen previo del contenido de aquella a fin de analizar su vinculación con el hecho de conexión, y con el defecto de organización, que es en definitiva el vínculo existente entre el supuesto delito investigado y la documentación cuya aportación se pretende.  Somos conscientes, que la actual redacción del artículo 786 bis LECrim., no favorece la tesis que venimos sosteniendo, pero nada obsta una modificación legal del mismo, para adaptarlo a las verdaderas necesidades y garantías de nuestro proceso penal, también respecto de las personas jurídicas.

La existencia de resoluciones, en el sentido de protección del derecho de no colaboración activa de las personas jurídicas, son hasta la fecha nulas o muy escasas, debiendo pronunciarse acerca de la ilegalidad de determinadas diligencias de investigación en relación con los procesos de personas jurídicas, referidas a la citación de trabajadores o directivos de la propia empresa investigada en calidad de testigos, para solventar así ese obstáculo que los principios expuestos conllevan, o el envío de requerimientos coactivos a terceras entidades, con aquellas relacionadas (consultorías, gestorías, entidades auditoras) que hayan prestado servicios para la persona jurídica en relación con los hechos investigados, encaminadas a acceder a la mismas información negada por las entidades, acogiéndose a este derecho consustancial a su posición de parte pasiva en el proceso penal¹³⁵.

El derecho a la no autoincriminación de las personas jurídicas, puede además, jugar un papel muy importante en aras a complementar el siempre discutido derecho al secreto profesional de los abogados de empresa, a pesar de sus diferencias. Hasta el punto que algunos autores¹³⁶ abogan, caso de la supresión o reducción de su ámbito de protección, para que pueda usarse estratégicamente con el objeto de salvaguardar la confidencialidad de la relación abogado-cliente, aplicable tanto al ámbito penal, como al administrativo sancionador.

Sólo así, se evitará que este transcendental derecho quede, en la realidad, vacío de contenido, aunque lo cierto es que resta aún mucho camino por recorrer, especialmente en materia de protección de la confidencialidad de la información generada en el marco de los programas de cumplimiento, y en materia de prohibiciones de valoración de determinadas fuentes de prueba, obtenidas bajo cualquier modo de coacción. En todo caso, deberá respetarse la estrategia defensiva por la que opte el sujeto investigado, ya que, de lo contrario, el derecho que ahora nos ocupa, así como el secreto profesional de los abogados, piedra angular del derecho de defensa, quedarían reducidos a la nada, y con ellos, las garantías procesales de las personas físicas y jurídicas investigadas.

I. Del delito fiscal y la responsabilidad penal de la persona jurídica

1. Razones de su inclusión en el elenco de delitos

Se van a cumplir trece años desde la entrada en vigor de La Ley Orgánica 5/2010, de 22 de junio, por la que se modificó el Código Penal, introduciendo en nuestro ordenamiento jurídico, a partir de su entrada en vigor el 23 de diciembre de 2010, la responsabilidad penal de la persona jurídica. La efeméride se presta a realizar un análisis de la aplicación de la nueva normativa que voy a limitar al delito contra la Hacienda Pública por poseer un mejor conocimiento sobre este delito y por cuanto ofrece unas peculiaridades que ya señalé en la colaboración¹ aportada a unas jornadas organizadas por la Abogacía General del Estado a raíz de la implantación de la responsabilidad penal en las personas jurídicas.

La principal peculiaridad es que el legislador español ha seleccionado el delito fiscal (artículo 310 bis) entre aquellos en que tal responsabilidad es exigible a la persona jurídica. Señalaba en el artículo citado que esta inclusión no había merecido crítica alguna; es más, el delito fiscal suele aparecer entre quienes hablan de la reforma del Código Penal como uno de los supuestos principales² en los que más justificación se encuentra para castigar a las personas jurídicas con una pena.

      Sin embargo, no me parece clara cuál sea la razón por la que el legislador ha decidido incluir los delitos contra la Hacienda Pública y contra la Seguridad Social (Título XIV del Libro II del Código Penal) entre los merecedores de sanción penal para la persona jurídica. En el apartado VII del preámbulo de la LO 5/2010 a este respecto se dice: “Se regula de manera pormenorizada la responsabilidad penal de las personas jurídicas. Son numerosos los instrumentos jurídicos internacionales que demandan una respuesta penal clara para las personas jurídicas, sobre todo en aquellas figuras delictivas donde la posible intervención de las mismas se hace más evidente (corrupción en el sector privado, en las transacciones comerciales internacionales, pornografía y prostitución infantil, trata de seres humanos, blanqueo de capitales, inmigración ilegal, ataques a sistemas informáticos…)”. De donde parece obtenerse que sea más el cumplimiento de obligaciones internacionales, que el convencimiento propio sobre la necesidad de una reforma del calado de la efectuada con la responsabilidad penal de la persona jurídica, el motivo que movió al legislador español para derribar uno de los muros que constreñían el derecho penal, el principio Societas delinquere non potest. En igual sentido en la Exposición de Motivos del Proyecto de Ley Orgánica publicado en el Boletín Oficial del Congreso de los Diputados de 15 de enero de 2007 se decía sobre la responsabilidad penal de las personas jurídicas: “A esa nueva especie de responsabilidad había que dotarla, como es lógico, de especiales garantías. Ante todo, descartando la posibilidad genérica de imputación de responsabilidad penal de las personas jurídicas en cualquier clase de delito, en favor de un sistema de incriminación específica, indicando en una serie de figuras delictivas que se admite la eventual comisión por una persona jurídica. Esa estricta selección, con la que se da estricto cumplimiento a nuestros compromisos europeos en esta materia, ha recaído sobre delitos de indudable trascendencia en los que es fácilmente imaginable la presencia de una persona jurídica en su dinámica comisiva, lo que explica la exigencia de una responsabilidad a éstas.” Remarcándose de esta manera que con la estricta selección de los delitos en los que se pretendía exigir también responsabilidad penal a las personas jurídicas se estaba dando cumplimiento a obligaciones de carácter supranacional.

      Sin embargo, cuando se observa en la Disposición final sexta de la Ley Orgánica 5/2010³ en la que se indican las normas de la Unión Europea incorporadas se puede comprobar que ninguna de ellas se refiere al delito fiscal. Es decir, la inclusión del delito fiscal no se debe a compromisos internacionales, luego se ha ido con la reforma más allá del estricto cumplimiento de nuestros compromisos europeos pese a lo que se dice en la Exposición de Motivos.

      En el apartado I del preámbulo de la LO 5/2010, junto a las obligaciones internacionales, también se alude como motor genérico de toda la reforma a que la experiencia aplicativa del Código ha ido poniendo en evidencia algunas carencias o desviaciones que es preciso tratar de corregir. Tampoco me parece que sea una carencia o desviación detectada en la persecución del delito fiscal lo que haya motivado su inclusión por cuanto no existía tal carencia; las dificultades que se experimentan en la persecución del fraude fiscal se encuentran más en la complejidad de la normativa tributaria y en problemas relacionados con la prueba del delito junto con la endémica escasez de medios materiales y humanos de la administración de justicia; pero la persecución del delito fiscal está asegurada por la existencia de una o más personas físicas responsables contra las que dirigir la acción penal cuya identificación está garantizada por la publicidad de los registros mercantiles en que deben inscribirse las sociedades y por la circunstancia de que para manejar, aún en la sombra, una sociedad mercantil es preciso dejar rastro documental bien en la propia sociedad bien en las entidades bancarias donde aquellas tienen sus cuentas; por esta razón no comparto que pueda concluirse que pueda fracasar la persecución del delito fiscal por la ausencia de una persona física donde residenciar el reproche penal, como parece deducirse cuando en el apartado VII del preámbulo justifica la supresión del apartado 2ª del artículo 31 que convertía en responsable directo de la pena de multa a la persona jurídica⁴. De hecho, la experiencia práctica ha demostrado que son escasos los procedimientos archivados por falta de determinación de la persona física responsable o por no ser esta hallada y, aún en este último supuesto, la razón del fracaso procesal no debemos buscarla sino en una deficiente aplicación judicial y policial de las posibilidades que ofrece nuestro sistema de búsqueda de personas. De otra parte, el hecho de ejercitarse la acción civil de modo conjunto con la penal en nuestro proceso criminal asegura el pago de las cuotas tributarias defraudadas por la sociedad, que aparece como responsable civil subsidiario del delito (artículo 120 CP). Además, la posibilidad de dirigir la acción para reclamar directa y solidariamente el pago de la multa que se impone por el delito fiscal que había sido introducida en la modificación operada por la Ley Orgánica 15/2003, de 25 de noviembre, en el artículo 31.2 del Código Penal convertía a la persona jurídica en responsable de la pena pecuniaria, de modo que al defraudador fiscal tampoco le resultaba rentable esconderse tras el velo societario para eludir las consecuencias penales de su acción pues tanto la pena privativa de libertad como la pena pecuniaria, esta por partida doble, tenían donde residenciarse.

2. Riesgos de su inclusión. Proporcionalidad de las penas y principio de intervención mínima del derecho penal

En definitiva, en mi opinión no existía necesidad alguna de reforma en la cuestión que se analiza, la inclusión de la persona jurídica entre los sujetos penalmente responsables del delito fiscal, ni hay exigencias internacionales en este sentido, ni el tipo penal hasta ahora vigente presentaba, en este aspecto, deficiencias que fuera necesario corregir. Creo que la inclusión del delito fiscal en el elenco de delitos en que la intervención de la persona jurídica le hace merecedora de residenciar en ella el reproche penal se debe a que, como se dice en la Exposición de Motivos del Proyecto de Ley Orgánica⁵, el delito fiscal es uno de esos delitos de indudable trascendencia en los que es fácilmente imaginable la presencia de una persona jurídica en su dinámica comisiva. Y, aprovechando la oportunidad ofrecida por la inclusión de la responsabilidad penal de la persona jurídica en nuestro ordenamiento jurídico, decidió incluir motu proprio la estafa (251 bis), las insolvencias punibles (261 bis), los delitos contra la Hacienda Pública y la Seguridad Social (310 bis) y la falsificación de tarjetas y cheques (399 bis) entre aquellos delitos en que puede exigirse tal responsabilidad a la persona jurídica por el mero hecho de ser fácilmente imaginable su presencia en la comisión de los mismos. En el resto de los delitos en que se exige dicha responsabilidad⁶, sí podemos encontrar en la raíz de la reforma el cumplimiento de obligaciones internacionales asumidas por nuestro país.

Como puede observarse, los delitos escogidos por propia iniciativa del legislador para, por el mero hecho de ser fácilmente imaginable la presencia de una persona jurídica en su dinámica comisiva, ser incluidos en el catálogo de aquellos en que es posible la persecución de la persona jurídica son de indudable significación económica y en este ámbito es frecuente en la sociedad moderna la presencia de empresas con personalidad jurídica propia e independiente de las personas físicas que las integran. Esta frecuencia es menor en el delito de estafa, pero, indudablemente, es muy alta en el delito fiscal donde el Impuesto sobre Sociedades recae, por su propia naturaleza, exclusivamente sobre personas jurídicas y el Impuesto sobre el Valor Añadido es recaudado en una gran proporción por empresas que giran en el tráfico mercantil bajo formas societarias.

De facto, si observamos la estadística que realiza el profesor Luis Rodríguez Domínguez⁷, hasta el año 2020 de las 64 sentencias en que se analiza la responsabilidad penal de las personas jurídicas, 18 corresponden al delito de estafa y 11 corresponden a delitos contra la Hacienda Pública. Lo que corrobora el acierto en el diagnóstico del legislador.

Descartada la posibilidad genérica de imputación de responsabilidad penal de las personas jurídicas en cualquier clase de delito y ceñida la estricta selección a delitos de indudable trascendencia, según afirma la Exposición de Motivos del Proyecto de Ley, igualmente pudiera ser que el motivo que motivó al legislador para incluir los delitos contra la Hacienda Pública y la Seguridad Social haya sido la relevancia económica del fraude fiscal. Ciertamente el fraude fiscal presenta en España cifras preocupantes, el Observatorio del Delito Fiscal publicó en diciembre de 2006 su primer  (y hasta ahora único) informe y en él se reseñaba que la deuda denunciada ante la jurisdicción penal alcanzaba hasta el mes de octubre de 2006 la nada desdeñable cifra de 4.678 millones de euros, de los que únicamente se habían finalizado 1.060 millones quedando, por tanto, 3.617 millones como deuda pendiente; cifras que en la actualidad a buen seguro alcanzan importes muy superiores.

Sin embargo, tal relevancia podría justificar la decisión del legislador si la reforma atendiera a criterios de prevención general o de prevención especial de modo que esta supusiera una mejora en la aplicación de tales criterios sin merma de otros principios básicos del derecho penal como el de proporcionalidad de las penas o el de intervención mínima, muros que, si bien presentan en la actualidad importantes grietas, es preciso conservar y no deben ser derribados si se pretende un derecho penal moderno y alejado de tiempos pasados y afortunadamente superados.

Desde la perspectiva del principio de proporcionalidad de las penas debe analizarse si la imposición al delito fiscal, sumada a la pena privativa de libertad correspondiente a las personas físicas responsables criminalmente del delito, de una pena de multa comprendida entre el duplo y el décuplo de la cuota tributaria defraudada, siempre que haya una única persona física responsable⁸, resulta proporcional a la gravedad del delito. La facultad que la primera redacción otorgaba, en el artículo 31 bis 2, al juez para moderar la pena de multa no iba a permitirle saltarse a la torera los límites que el Código Penal le impone al establecer las reglas generales para la aplicación de las penas (artículos 61 a 72) de manera que la pena mínima de multa, aun aplicando la facultad moderadora, no podrá bajar del duplo de la cuota defraudada, ello sin perjuicio de que la cuota defraudada también debe pagarse.

El principio de proporcionalidad de las penas fue, primero⁹ parcialmente reparado al permitir penas para la persona jurídica de multa del tanto de la cantidad defraudada y finalmente restaurado en el año 2015 con la introducción¹⁰ de un nuevo precepto, el art. 31 ter, en el Código Penal que ya faculta a los jueces para modular las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos. Aunque, como veremos la jurisprudencia ha ido un paso más allá cuando de sociedades unipersonales se trata.

En lo relativo al principio de intervención mínima y al carácter fragmentario del derecho penal entiendo que con la regulación instaurada también quedan afectados. Debe considerarse que los hechos que dan origen a un delito fiscal derivan de una declaración tributaria falsa, o de la omisión de dicha declaración, pero previamente a esta declaración existe una actividad económica que ha generado la obligación de tributar, pues bien, esa actividad económica se realiza, por regla general, sin ocultación de las personas físicas responsables de la empresa y sin que se produzca abuso de la persona jurídica para la comisión de hechos delictivos o el aprovechamiento de los efectos del delito; circunstancias que sí se producen, por ejemplo, cuando de actos constitutivos de delitos de tráfico ilegal de órganos humanos, trata de seres humanos, prostitución y corrupción de menores, lavado de dinero, delitos contra los derechos de los ciudadanos extranjeros, delitos contra la salud pública o terrorismo.

Por ello creo que en los casos en que se produce el delito fiscal tras una actividad económica realizada “a la luz del día”, sin uso de la persona jurídica para la facilitación de la comisión del delito o el aprovechamiento del beneficio obtenido con su comisión, el castigo a la misma supone la inmisión del derecho penal en un campo donde su intervención no es precisa, pues basta para el correcto castigo del delito, la pena privativa de libertad que se imponía a la persona física junto con la pecuniaria que pagaba, directa o indirectamente, la persona jurídica; lo que ya sucedía con la legislación anterior.

La circunstancia de que en el delito fiscal el único perjudicado es el Estado, a diferencia de los otros en los que se ha introducido la responsabilidad penal de la persona jurídica sin una correlativa exigencia internacional (la estafa, insolvencias punibles y falsificación de tarjetas y cheques) donde pueden existir múltiples perjudicados, convierte en innecesaria la garantía de la presencia de otro responsable penal del hecho delictivo, garantía en la que parece estar pensando el legislador cuando en la Exposición de Motivos del Proyecto de Ley Orgánica se dice: “Por otra parte, y frente a otras personas físicas o jurídicas que puedan sufrir el perjuicio, la garantía de que la responsabilidad penal de las personas jurídicas, en los concretos y explícitos casos en que se prevé su posible exigencia, no pueda ser burlada por el fácil camino de la desaparición, y, para impedirlo, se da una nueva redacción al artículo 130 añadiendo un apartado que, además de declarar la irrelevancia, a estos efectos de su disolución encubierta o meramente aparente, dispone que la transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal, que se trasladará a la entidad o entidades en que se transforme, con las que se fusione o las que la absorban o aquellas que resulten de su escisión. Muy claro ha de quedar entendido que esa responsabilidad no pretende ni puede sustituir, ocultar, empañar, o diluir la de las personas físicas”. El principio de autotutela de las administraciones públicas, que la Agencia Tributaria aplica con regularidad, cumple eficazmente esa función garantista sin que precise de mayores apoyos, menos aún del carácter tan grave como la imposición de nuevas penas a un nuevo sujeto del procedimiento penal.

Finalmente, la aplicación judicial de la responsabilidad penal de las personas jurídicas ha disminuido la afectación a estos principios como vamos a ver.

II. Aplicación judicial de la reforma en el delito fiscal

Pese a ser el delito fiscal de frecuente comisión hasta el punto de existir en todas las fiscalías españolas una sección de fiscales dedicada a este tipo de delitos, no existen demasiados pronunciamientos judiciales sobre la aplicación de la responsabilidad penal de la persona jurídica en este. Separaré el análisis en virtud de la categoría del órgano judicial.

1. El Tribunal Supremo

II.1.1 STS 123/2019

La primera ocasión en que tuvo ocasión el Tribunal Supremo de analizar la responsabilidad penal de la persona jurídica por su aplicación en un delito fiscal fue en la sentencia núm. 123/2019, de 8 de marzo de 2019. En ella ratificó¹¹ el criterio de que esta responsabilidad en todo caso debe respetar los principios irrenunciables que informan el derecho penal “de modo que los derechos esenciales reconocidos al acusado en el marco del proceso penal, sea material o procesal su contenido, deben ser igualmente reconocidos a las personas jurídicas”.

Entre estos principios a respetar está el de evitar que la persona jurídica comparezca en el proceso representada por otro de los acusados que pueda tener intereses contrapuestos “no solo respecto de las cuestiones de fondo, atinentes a la existencia o no del delito imputado, sino incluso en relación con la orientación que deba darse al mismo ejercicio del derecho de defensa. Pues es claro que los intereses del administrador acusado, sea socio o no de la entidad igualmente acusada, pueden no coincidir con los de ésta, con los de los socios minoritarios, o, incluso, con los de los trabajadores”. Circunstancia ya reseñada en otra sentencia anterior¹² en la que se analizaba un delito de tráfico de drogas.

La aplicación al caso de lo anterior implica que “La falta de citación del representante designado para el proceso, para su comparecencia en el acto del juicio oral, le supuso a la persona jurídica la imposibilidad de prestar declaración, con los derechos inherentes a la posición de acusado, así como de hacer uso de la última palabra en ejercicio del derecho de autodefensa”. Y aunque las partes no realizaron observación alguna al inicio del juicio oral, la sentencia, con cita de la STC 137/2017, señala que es responsabilidad del tribunal “verificar que las partes, en este caso los acusados, han sido citados y comparecen debidamente representados al acto del plenario, para que puedan ser oídos. En un caso como el presente en el que, ya desde la instrucción, se había apreciado la existencia de conflicto de intereses que justificaba que la sociedad acusada estuviera representada por persona distinta de la persona física contra la que también se dirigía la acusación, era necesario asegurarse de que la persona jurídica acusada era citada en la persona designada, precisamente, para su representación”.

Y aunque el art. 786 bis de la LECrim, dispone que la incomparecencia de la persona especialmente designada por la persona jurídica para su representación no impedirá en ningún caso la celebración de la vista, “sin embargo, la aplicación de esta previsión ha de partir de una correcta citación del representante, sin que pueda extenderse a los casos de ausencia de tal citación”.  

Razones por las que la sentencia apreció “un déficit relevante en las condiciones en las que la persona jurídica compareció y pudo desarrollar su defensa en el plenario, y no solamente por no haber sido adecuadamente citada la persona especialmente designada para su representación en la causa penal, sino también porque fue representada procesalmente por la misma Procuradora y defendida por el mismo Letrado que actuaban en representación y defensa de otro acusado con el que se había apreciado la existencia de intereses contrapuestos”.

Como en el supuesto enjuiciado se había dirimido también la responsabilidad penal de una persona física, la sentencia se pronunció sobre si la nulidad declarada para la persona jurídica debía afectarle.

Para ello parte de la consideración de que la responsabilidad penal de la persona jurídica encuentra su fundamento¹³ “en el incumplimiento de la obligación de adoptar medidas o sistemas orientados a controlar y evitar la comisión de determinados delitos que pudieran cometerse en su ámbito de organización”. Y que “la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal …, ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho”. Es decir, la mera inexistencia de formas concretas de vigilancia y control del comportamiento de representantes, directivos y subordinados, tendentes a la evitación de la comisión de delitos imputables a la persona jurídica, no constituye, por sí misma, un comportamiento delictivo.

Concluye que a la persona jurídica “no se le imputa un delito especial integrado por un comportamiento de tipo omisivo, sino el mismo delito que se imputa a la persona física, en el cual, generalmente, participará a través de una omisión de las cautelas obligadas por su posición de garante legalmente establecida, tendentes a evitar la comisión de determinados delitos. No se trata, pues, de una imputación independiente de la realizada contra la persona física, sino que tiene a ésta como base necesaria de las consecuencias penales que resultarían para la persona jurídica. A ésta le concierne, pues, no solo lo relativo a si su organización contiene medidas o planes de cumplimiento normativo, integrantes o no de un plan completo, establecidas con la finalidad de prevenir delitos o de reducir de forma significativa el riesgo de su comisión. También le afecta todo lo relativo a la prueba de los hechos ejecutados por las personas físicas, con todas las circunstancias que pudieran influir en la evitabilidad del delito concreto imputado, así como a la calificación jurídica de la conducta”.

Por lo que aun siendo posible enjuiciar separadamente a la persona jurídica, (artículo 31 ter CP), no debe ser excluida de la posibilidad de negar mediante su defensa la comisión del delito antecedente imputado a la persona física, si no lo impiden las propias circunstancias de la causa.

Señala además la sentencia que “a diferencia de otros casos en los que las consecuencias para la persona jurídica son de orden civil, lo cual ha permitido justificar su no intervención en algunos aspectos penales, en los casos de responsabilidad penal, la determinación de la existencia del delito antecedente imputado a la persona física, es un elemento necesario para establecer las consecuencias de orden penal que afectarán a la persona jurídica, lo que justifica su presencia y posibilidad de intervención en las cuestiones relativas a esa materia”.

Por lo que finalmente, a efectos de evitar cualquier asomo de indefensión, acuerda que la anulación de la sentencia y del juicio oral se extienda a ambos acusados, persona física y jurídica.  

II.1.2 STS 747/2022

El Tribunal Supremo, sentencia núm. 747/2022, de 27 de julio de 2022¹⁴, en un supuesto de delito fiscal se ha pronunciado sobre diversas cuestiones. Primero, sobre la entrada en vigor de la exigencia de la responsabilidad penal para las personas jurídicas cuando del delito fiscal se trata y, segundo, si es aceptable una doble penalidad -persona física y persona jurídica- cuando la persona física responsable penal es el único titular de la sociedad.

Sobre la primera cuestión, al analizar una defraudación de IVA y de retenciones del año 2010, reconocía que “Estamos ante un problema de aplicación de la ley penal en el tiempo que reviste cierto interés: entrada en vigor de una ley desfavorable en un momento en que el delito ya iniciado no está aún consumado”. Y aunque “En principio la nueva ley se aplica. El delito ha de entenderse cometido cuando se consuma. Ese es el criterio a efectos de prescripción, en principio. En cuanto a un delito de defraudación tributaria por impago de IVA así lo establece la jurisprudencia (STS 723/2021, de 29 de septiembre)” … Así “A efectos de consumación la jurisprudencia sostiene que se perfecciona el delito fiscal cuando se trata de defraudación del IVA el 30 de enero del ejercicio siguiente, en tanto en ese momento finaliza el periodo de pago”.

Sin embargo, “A efectos de aplicación de la ley penal en el tiempo, el fundamento de la irretroactividad de la ley penal y su vinculación con el principio de legalidad, así como la necesidad de previsibilidad de la ley invitan a otra exégesis”. Y teniendo en consideración que, en el supuesto analizado, IVA y retenciones de IRPF “Tanto el IVA como el IRPF son tributos que se devengan trimestral o mensualmente …, lo cierto es que durante los tres primeros trimestres de 2010 no había entrado en vigor la reforma del Código Penal que introdujo la responsabilidad penal de las personas jurídicas por lo que la conducta desplegada durante esos trimestres en ningún caso puede dar lugar a responsabilidad penal. Una interpretación contraria iría en contra del mandato contenido en el artículo 2.1 del Código Penal”.         

Por ello “Sólo cabría exigir responsabilidad penal por el fraude tributario cometido en el cuarto trimestre de 2010, cuya liquidación debía realizarse en los primeros días de enero de 2011, fecha en la que ya estaba en vigor la reforma penal introducida por la Ley Orgánica 5/2010”, pero como ni del relato de hechos probados ni de la fundamentación jurídica de la sentencia de instancia se podía determinar la cantidad eludida en ese cuarto trimestre de 2010 y “la determinación de esa cuantía es imprescindible para imponer la pena de multa, pena que tiene como referencia obligada la cantidad defraudada”, procedió a la libre absolución de la entidad recurrente por el impago de en el pago de impuestos correspondiente al ejercicio 2010. Reconociendo que “la solución a efectos de aplicación en el tiempo de la ley penal reclama una solución diferente a la de la fecha de consumación”.

La solución a la segunda cuestión viene precedida por el reconocimiento de que “El non bis in ídem parece repudiar la doble condena”. Y con un implícito reconocimiento de la exigibilidad también en la responsabilidad penal de las personas jurídicas del principio de proporcionalidad de las penas, esta sentencia señala que “El régimen de responsabilidad penal de personas jurídicas exige una mínima alteridad de la persona jurídica respecto de la persona física penalmente responsable. Cuando el condenado penalmente como persona física es titular exclusivo de la sociedad, no resulta factible imponer dos penalidades sin erosionar, no ya solo el principio del non bis in ídem, sino la misma racionalidad de las cosas.

El sistema de responsabilidad penal de personas jurídicas encierra inevitablemente ciertas dosis de ficción. Las penas impuestas a la persona jurídica no las sufren materialmente los entes morales, incapaces de padecer. Acaban inexorablemente recayendo en personas físicas (pocas o muchas, y más o menos diluidas). Cuando la persona jurídica se identifica con una persona física, es ésta la que sufre íntegramente la sanción. Si es penalmente responsable de la conducta por la que ha de responder la persona jurídica se le estará imponiendo una doble sanción por una única conducta: el delito cometido por él que arrastra, además, a la condena de la persona jurídica de su exclusiva titularidad”.

Y como la sanción a la persona jurídica se funda en la ausencia de un sistema interno de prevención eficaz, lo que permite a la jurisprudencia hablar de un delito corporativo y establecer un fundamento diferenciado de la sanción, así como hablar de autorresponsabilidad, resultaría “absurdo imponer a la persona física titular única de la mercantil dos penas: una por la comisión del delito: y otra ¡por no haber establecido mecanismos de prevención de sus propios delitos! Opera el principio de consunción: al castigar al responsable penal del delito se está contemplando y sancionando también su desidia e indiferencia (¡!) por no prevenir sus propios delitos; su, digamos en la nomenclatura extendida, falta de cultura de respeto a las normas”. Por otra parte, la sentencia señala una ventaja añadida a esta solución “La exclusión en esos casos del castigo independiente a la persona jurídica, amén de ser lo dogmáticamente correcto, arrastra benéficas repercusiones en el ámbito procesal. Otra solución complica absurdamente la tramitación: un doble sujeto pasivo procesal completamente artificial. Si además introducimos el ingrediente de la necesidad de evitar el conflicto de intereses (al que alude alguna jurisprudencia), llegaríamos al absurdo de tener que poner a la persona jurídica bajo la tutela de alguien que pueda defenderla frente ¡a su único titular!, y que pueda diseñar una estrategia defensiva propia (¿?)”.

 Y aunque reconoce que “Podría aducirse en contra de ese posicionamiento que la coherencia del sistema exige la doble pena para alejar consecuencias indeseables. Por ejemplo, que la pena de prohibición de recibir bonificaciones u otros beneficios fiscales no alcance a la mercantil”, lo rechaza por no ser argumento concluyente ya que “De participar mayoritariamente en otras sociedades el responsable penal, no afectará a ellas la prohibición, incluso si fuese único titular. El problema no se solventa con la doble penalidad, sino con previsiones penales o extrapenales que permitan «levantar el velo» en la ejecución de ese tipo de sanciones. La misma pena impuesta a una persona física en relación al IRPF no le impediría, a través de sus posibles sociedades acceder a esos beneficios que, como persona física, le están vedados”.

La alteridad de la persona jurídica también estaba sugerida en la Circular 1/2011 de la Fiscalía General del Estado, como reconoce la sentencia, pues si “la sociedad es tan solo una forma de revestir un negocio unipersonal, la doble responsabilidad es un sinsentido”.      

La sentencia rechaza que en estos casos de unipersonalidad sea aplicable la tesis de falta de imputabilidad de la persona jurídica recogida en algunas sentencias¹⁵ al no contar con una estructura mínimamente compleja. Por cuanto en supuestos como éste de Sociedades unipersonales “ese hipotético enfoque podría jugar solo de forma subsidiaria respecto de la perspectiva primaria: identifica un problema de estricto non bis in idem y de necesidad de levantar el velo. se produce un bis in idem si quien padece las dos penas es materialmente el mismo individuo, aunque formalmente sean dos sujetos jurídicos diferenciados: el administrador responsable penal es a la vez socio único de la mercantil”.

Solución que no es aplicable en los casos en que la persona jurídica no es de único socio, la sentencia identifica, para estos últimos, incluso resoluciones judiciales europeas de condena¹⁶.

Frente al hipotético argumento de que para evitar la doble penalidad el legislador ha previsto el mecanismo individualizador que aparece en el art. 31 ter.1 inciso final, lo que sería sugestivo de que el legislador contaba con esos casos, la sentencia argumenta que esa compensación solo aparece cuando el delito cometido por la persona física lleva también aparejada pena de multa, como es el caso del delito fiscal, pero en los supuestos en que no es así “Ante otras penalidades (pena única de prisión) no se evitará una indisimulable doble sanción: la prevista para la persona física que, además, se vería materialmente sometida a una pena de multa a través de la persona jurídica de la que es titular. No cabría compensación alguna para aliviar la realidad del castigo bimembre que en definitiva recaerá sobre la misma persona, la única que ha intervenido en el delito. La consecuencia a la que se llegaría de asumir otra perspectiva sería concebir la comisión por el responsable penal de determinados delitos mediante una persona jurídica de su exclusiva titularidad como una suerte de subtipo agravado en que la respuesta penal no es una sanción incrementada sino una doble penalidad”. Razón por la que entiende que “Resulta más coherente y acorde con los principios que inspiran el derecho penal, -un derecho realista, poco amigo de las meras apariencias que trata de guiarse por la realidad material- levantar el velo para evidenciar que no hubo dos responsables (la persona física y la persona jurídica) sino un único autor que se valió de un instrumento que no es nadie diferente a él mismo”.

2. La Audiencia Nacional

II.2.1 SAN 2/2023

La facultad que el art. 31 ter CP ha otorgado a los jueces para modular la pena de multa a imponer a personas físicas y jurídicas cuando son simultáneamente responsables de un delito fiscal ha tenido aplicación práctica en la sentencia 2/2023 de la Sala de Apelación de la Audiencia Nacional¹⁷ y en la revisada por esta¹⁸. En esta sentencia se considera que, aunque nos encontremos ante una sociedad de reducidas dimensiones, pero con medios materiales y personales y con una autentica actividad industrial, empresarial o comercial, que la diferencien de las sociedades pantalla, esta persona jurídica tendrá la capacidad para ser responsable penal pues le es exigible que se haya dotado de mecanismos de control siguiendo modelos de gestión destinados a la prevención de los delitos, mecanismos que han de existir incluso en el caso de personas jurídicas de pequeñas dimensiones en las que la única diferencia es que esas funciones de supervisión podría asumirlas el órgano de administración. Por lo que concurre la responsabilidad penal de la persona jurídica con la de su administrador y socio mayoritario, sin infringir el principio nom bis in idem. Y “Para evitar que en los casos de esta doble responsabilidad se llegue a producir una desproporción por las penas resultantes el art. 31 ter del CP establece como: Cuando como consecuencia de los mismos hechos se impusiere a ambas la pena de multa, los Jueces o Tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos. A este precepto acude la sentencia recurrida para llevar a efecto esta modulación, que se estima suficiente a efectos de resultar la multa proporcionada a los graves hechos realizados”.

II.2.2 SAN 21/2021

Anteriormente, al abordar unos hechos en los que se había producido una defraudación del IVA del año 2010, la Audiencia Nacional, en sentencia de 28 de octubre de 2021¹⁹, sobre la base de entender que la responsabilidad en el pago de la pena de multa que el derogado art. 31.2 del CP de 1995, tras su reforma por la LO 15/2003, de 25 de noviembre, en los supuestos de actuaciones punibles de representantes de personas jurídicas, por su carácter objetivo, era de carácter más perjudicial para la persona jurídica que la nueva regulación de la responsabilidad penal de la persona jurídica instaurada por la LO 5/2010, realiza una aplicación retroactiva de la nueva regulación por más beneficiosa y no impone el pago de la pena de multa a la persona jurídica. La fundamentación la extrae de la STS 234/2019, señala:  «Antes de la entrada en vigor de la Ley Orgánica 5/2010 la sanción penal de la persona jurídica, limitada al pago directo y solidario de la multa impuesta al administrador o representante, se imponía de modo objetivo ya que solo había que acreditar la relación jurídica del sancionado con la persona jurídica. A partir de la ley citada y de forma aún más incuestionable, a partir de la Ley Orgánica 1/2015, la responsabilidad penal de la persona jurídica se justifica en el principio de autorresponsabilidad y debe ser respetuosa con el principio de presunción de inocencia, lo que tiene innegables consecuencias en el régimen de prueba, así como en las garantías procesales que deben ser observadas para llegar a un pronunciamiento de condena. Desde esta perspectiva, la norma actual es más beneficiosa, no ya porque establece garantías procesales que no se han cumplido en este caso, sino porque sólo es posible la declaración de responsabilidad penal con fundamento en principios de autorresponsabilidad que en este caso no podían ser tomados en consideración. El sistema actual es incompatible con la normativa derogada, de ahí que resulta improcedente su aplicación”.

De lo que puede extraerse que, a partir de la entrada en nuestro ordenamiento de la responsabilidad penal de la persona jurídica, la persona jurídica, en ningún caso, ni en los acontecidos antes del año 2011, responderá por pena alguna si no deriva de un hecho propio que le pueda ser atribuido.

3. Tribunales Superiores de Justicia

El Tribunal Superior de Justicia de Aragón, en sentencia núm. 18/2021, de 23 de marzo²⁰, al resolver un recurso de apelación contra sentencia dictada el 23 de septiembre de 2020 por la Sección Tercera de la Audiencia Provincial de Zaragoza, con cita de la jurisprudencia aplicable²¹, reconoce que la responsabilidad penal de la persona jurídica exige la concurrencia de los siguientes presupuestos: a) un juicio de culpabilidad específico sobre la actuación de la persona jurídica; b) el fundamento de la responsabilidad penal no es objetivo, sino que ha de tener su soporte en la propia conducta de la persona jurídica, y c) el principio de presunción de inocencia se aplica a la persona jurídica, y es autónomo respecto del de la persona física.

4. Audiencias Provinciales

II.4.1 Barcelona

El Juzgado de lo Penal nº 20 de Barcelona en sentencia de fecha 10 de abril de 2014 había absuelto a la persona jurídica de los delitos fiscales derivados de defraudación en el IVA 2010 e Impuesto de Sociedades 2010; la Audiencia Provincial de Barcelona, en sentencia de 30 de marzo de 2015²², confirma la sentencia por cuanto la aplicación del nuevo art. 31 bis CP, que solicitaba la Abogacía del Estado en su recurso, vulneraría el principio de seguridad jurídica e irretroactividad de las leyes penales no favorables, establecido en el  artículo 9.3 CE.

En la sentencia se alude al “el especial empeño que el acusado había puesto para sumergir el grueso de su actividad empresarial”; lo que sugiere que la sociedad podía ser unipersonal; sin embargo la sentencia no llega a analizar dicha cuestión; como tampoco justifica la razón por la que entiende como retroactiva la aplicación de la responsabilidad penal de la persona jurídica al Impuesto sobre Sociedades que se declara el 25 de julio de 2011; cuando ya llevaba siete meses en vigor la LO 5/2010.

En cambio, aun tratándose también de una defraudación del IVA del año 2010 (además de otra defraudación correspondiente al año 2011), la Audiencia Provincial de Barcelona en sentencia de 11 de febrero de 2018²³, condenó a la persona jurídica por cuanto en los hechos probados pudo acreditarse una cuota defraudada en este impuesto en el mes de diciembre de 2010 superior a los 120.000 € habida cuenta del carácter mensual de las liquidaciones de IVA a las que estaba sometida la mercantil.

En cuanto a la imposición de las penas de multa, la Audiencia Provincial de Barcelona no hace uso de la facultad del art. 31 ter CP y fija su cuantía atendiendo a las reglas generales de los arts. 66 bis, 31 bis y 33.7.a) y f).

En sentencia, de 6 de mayo de 2022, que también considera el fraude de IVA del año 2010, además de IVA e Impuesto sobre Sociedades de los años 2011, 2012 y 2013, la Audiencia Provincial de Barcelona²⁴ al resolver un recurso de apelación contra una sentencia de 19 de septiembre de 2019 del Juzgado de lo Penal nº 9 de Barcelona confirma esta que impuso a la persona jurídica penas ligeramente inferiores a las personas físicas, sin hacer uso, por tanto, de la facultad moderadora del art. 31 ter CP. De otra parte, la condena incluye el delito de defraudación del IVA 2010 sin cuestionarse el efecto que podría tener sobre la responsabilidad penal de la persona jurídica la entrada en vigor de esta en la última semana del año; ciertamente el recurso que se resolvía tampoco planteaba esta cuestión.

En esta sentencia se hace un pronunciamiento sobre la carga de la prueba puesto que la sociedad recurrente había alegado que la carga de la prueba de la existencia de un defecto estructural “recae sobre la acusación, siendo esta una consecuencia del principio de presunción de inocencia que rige en nuestro sistema penal. Por lo tanto, para que la empresa sea penalmente responsable habrá que analizar si existía o no un defecto estructural en sus medidas de vigilancia y control, que además, debe ser grave, y si este defecto grave y estructural posibilitó o facilitó el delito cometido por sus integrantes, y será la acusación la que deberá hacer algo más que limitarse a afirmar la ausencia o la insuficiencia de medidas de control (incluso en el caso de los delitos cometidos por sus dirigentes) para evitar una inversión de la carga de la prueba”.

La Audiencia Provincial consideró que “en contra de lo sostenido por la parte apelante respecto de la carga de la prueba, y la extinción de responsabilidad penal de la persona jurídica, el  art. 31.2 del CP  establece una serie de condiciones que causan la exención de la responsabilidad criminal en la persona jurídica cuando el delito es cometido por las personas indicadas en el primer título de imputación, esto es, únicamente las referidas en el  art. 31 bis.1 a) CP , para tener efecto exonerante se exige que las cuatro condiciones concurran simultáneamente, en caso contrario, como prevé el art. 31 bis 2 in fine CP, será valorado a efectos atenuatorios. Estas condiciones exigibles son las siguientes: 1.ª Que antes de la comisión del delito el órgano de administración (como voz de la empresa) haya adoptado y ejecutado con eficacia modelos de organización y gestión, que incluyan medidas de vigilancia y control adecuadas para la prevención o reducción del riesgo de la materialización del ilícito. Estos son conocidos comúnmente con el término «compliance programs» o programas de cumplimiento. 2.ª Que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiado a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga la encomienda legal de supervisar la eficacia de los controles internos de la persona jurídica -son los compliance officer o comité de compliance -órgano de supervisión-. 3.ª Que los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención. 4.ª Que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª”.

Por lo que concluye; tras citar la Circular 1/2016 FGE que considera que lo propio sería analizar esta materia desde la perspectiva de la punibilidad y de las causas de exclusión pues no se trata de una causa de justificación -donde falta la antijuridicidad-, sino de una causa de exculpación; que “la carga de la prueba de la existencia del defecto de organización debió probarla la entidad condenada, en el sentido de probar que antes de la comisión del delito se había adoptado (existía) y ejecutado eficazmente un programa de prevención de riesgos jurídico penales, tendente a evitar la comisión de determinados delitos, de ahí que ante la ausencia de aquel, se impute a la persona jurídica el mismo delito que a la persona física en el cual participa por razón de la omisión de las cautelas obligadas por su posición de garante legalmente establecida en los términos dichos, que abarca el control de riesgos de la comisión de determinados delitos que puedan surgir de la conducta de las personas físicas vinculadas o integradas en la empresa”.

II.4.2 La Coruña

La Audiencia Provincial de la Coruña en sentencia de 18 de enero de 2022²⁵, al analizar un fraude fiscal relativo a los años 2009 y 2010, realiza un pronunciamiento en el mismo sentido que hemos visto en la sentencia de la Audiencia Nacional de 28 de octubre de 2021. “No resulta de aplicación tampoco el artículo 31.2 del Código Penal, vigente a las fechas de los hechos, la  STS de 08/05/2019  afirma que «Antes de la entrada en vigor de la Ley Orgánica 5/2010 la sanción penal de la persona jurídica, limitada al pago directo y solidario de la multa impuesta al administrador o representante, se imponía de modo objetivo ya que solo había que acreditar la relación jurídica del sancionado con la persona jurídica. A partir de la ley citada y de forma aún más incuestionable, a partir de la Ley Orgánica 1/2015, la responsabilidad penal de la persona jurídica se justifica en el principio de auto responsabilidad y debe ser respetuosa con el principio de presunción de inocencia, lo que tiene innegables consecuencias en el régimen de prueba, así como en las garantías procesales que deben ser observadas para llegar a un pronunciamiento de condena. Desde esta perspectiva, la norma actual es más beneficiosa, no ya porque establece garantías procesales que no se han cumplido en este caso, sino porque sólo es posible la declaración de responsabilidad penal con fundamento en principios de auto responsabilidad que en este caso no podían ser tomados en consideración. El sistema actual es incompatible con la normativa derogada, de ahí que resulta improcedente su aplicación.«

II.4.3 Jaén

Por su parte la Audiencia Provincial Jaén en sentencia de 17 de octubre de 2017²⁶; en un caso en que ninguna prueba se había practicado en autos sobre la composición societaria de la misma (más allá de la condición de administrador único por parte del otro acusado), ni sobre la realización o no de otras actividades distintas a las enjuiciadas o sobre la existencia o no de medidas de control o prevención de la comisión del delito; entendió que “si bien es cierto que, en la práctica, será la propia persona jurídica la que apoye su defensa en la acreditación de la real existencia de modelos de prevención adecuados, … lo que no puede sostenerse es que esa actuación pese, como obligación ineludible, sobre la sometida al procedimiento penal, ya que ello equivaldría a que, en el caso de la persona jurídica no rijan los principios básicos de nuestro sistema de enjuiciamiento penal, tales como el de la exclusión de una responsabilidad objetiva o automática o el de la no responsabilidad por el hecho ajeno, que pondrían en claro peligro planteamientos propios de una hetero responsabilidad o responsabilidad por transferencia de tipo vicarial, a los que expresamente se refiere el mismo Legislador, en el Preámbulo de la Ley 1/2015 para rechazarlos, fijando como uno de los principales objetivos de la reforma la aclaración de este extremo”.

Por lo que “la persona jurídica solamente responderá penalmente cuando además de acreditarse la comisión de un hecho delictivo por alguna de las personas físicas a las que se refiere el apartado primero del Art. 31 bis del Código Penal, se pruebe también que la persona jurídica no adoptó las medidas de control adecuadas y necesarias para la evitación de la comisión de delitos. Y, la acreditación de tales extremos corresponde, inequívocamente, a las acusaciones, pública y/o privada”.

Idéntico pronunciamiento sobre la carga de la prueba se contiene en la sentencia de 30 de junio de 2017 de la Audiencia Provincial de Pontevedra²⁷. En ella se revoca la condena a la persona jurídica efectuada en sentencia de 9 de mayo de 2016 por el Juzgado de lo Penal nº 3 de Pontevedra.

II.4.4 León

La Audiencia Provincial de León en sentencia de 9 de junio de 2022²⁸ confirmó la sentencia dictada el 23 de noviembre de 2021 por el Juzgado de lo Penal dos de Ponferrada en la que se condenó al acusado y a la persona jurídica, como autores de un delito contra la Hacienda Pública en relación con el IVA del ejercicio fiscal de 2015. Sin hacer uso de la facultad prevista en el art. 31 ter CP se condenó a la misma pena de multa que a la persona física. En los hechos probados se indica que la sociedad del administrador coincide con la persona del único socio. En el recurso de apelación no se efectuaron alegaciones relativas a la unipersonalidad de la sociedad ni, por ello, a una posible vulneración del principio non bis in idem; tampoco se solicitó la aplicación del art. 31 ter CP.

II.4.5 Madrid

En cambio en un supuesto de unipersonalidad de la sociedad, la Audiencia Provincial de Madrid en sentencia de 3 de mayo de 2023²⁹, absuelve del delito fiscal a la persona jurídica al entender que “la razón para el tratamiento diferenciado de responsabilidades no está tanto en que se trate de personas jurídicas unipersonales o no sino en criterios de complejidad y estructura organizativa interna (que la puede haber en sociedades unipersonales) pues, faltando esa complejidad, ni siquiera cabría apreciar la culpabilidad que derivaría del incumplimiento de unos deberes de supervisión y control que si quedan consumidos en la propia dinámica delictiva del administrador que delinque, bastará con la condena de este y la absolución de la persona jurídica procederá por su consideración como inimputable debido a que no cabe estimar que concurra en ella el elemento de culpabilidad, en la medida que es incompatible con su naturaleza hablar de mecanismos internos de control y, en consecuencia, de cultura de respeto a la norma, a partir de la cual se residencia su capacidad de culpabilidad. Lo determinante es la existencia de una complejidad interna, presumible a partir de un suficiente sustrato material organizativo que, si falta, no se da el presupuesto para hablar de imputabilidad penal por inexistencia de capacidad de culpabilidad ya que, debido a su mínima estructura, no concurre la base desde la que conformarla y es que, no habiendo posibilidad de establecer mecanismos de control, no puede surgir el fundamento de su responsabilidad; de ahí que no toda sociedad pueda considerarse imputable en el ámbito penal (SSTS 894/2022, de 11 de noviembre)”.

También trata el problema de la responsabilidad de la persona jurídica derivada de la aplicación del art. 310 bis CP en una sociedad unipersonal, aunque referido a un fraude a la Seguridad Social, la Audiencia Provincial de Santander en sentencia de 2 de mayo de 2022³⁰. E, igualmente, con cita de las circulares 1/2016 y 1/2011 de la Fiscalía General del Estado entiende que el sistema está ideado fundamentalmente para la mediana y gran empresa; razón por la que “parece más adecuado reconducir la cuestión a la inexistencia del delito corporativo por la inimputabilidad de la persona jurídica. En efecto, asumida la existencia de la sociedad unipersonal, si esta es de tan pequeña entidad en la que además el socio único es el único administrador y empleado, carece de sentido exigirle como sociedad «la cultura de respeto» a la norma que está en la base del delito corporativo”.

Tampoco se actúa la facultad moderadora del art. 31 ter CP, imponiéndose la misma pena de multa a la persona física y a la jurídica en la sentencia de 13 de octubre de 2016 de la Audiencia Provincial de Madrid³¹. Si bien es cierto que la misma fue dictada de conformidad.

II.4.6 Pontevedra

La Audiencia Provincial de Pontevedra en sentencia de 16 de septiembre de 2022³² confirmó la absolución de la persona jurídica efectuada por el Juzgado de lo Penal nº 2 de Vigo de 25 de abril de 2022. Ciertamente no fue recurrida la absolución de la persona jurídica, aunque el recurso si cuestionaba la condena de la persona física habiendo sido absuelta la jurídica; la Audiencia entendió que “cabe tanto la posibilidad de que una persona física empleada de una persona jurídica resulte condenada como autora de un delito, y que no responda dicha persona jurídica si no concurren tales requisitos, como que resulte condenada una persona jurídica sin que lo hubiera sido previamente la persona física, como el caso del  art. 31 ter CP , en que la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella”.

Justamente ese último supuesto se había dado en la sentencia de 17 de diciembre de 2020 en la Audiencia Provincial de Pontevedra³³. La Audiencia condena a la sociedad mercantil que era acusada por un delito contra la Hacienda Pública por fraude de IVA del año 2016 absolviendo a la persona física a quien se atribuía igual delito en razón a ser administrador de dicha sociedad. Ciertamente la persona física juzgada había adquirido una participación del 70% de la sociedad el 30 de diciembre de 2016 y no se acreditó que ejerciera de hecho funciones propias del administrador ni con anterioridad ni con posterioridad a dicha fecha; la administradora de la sociedad había sido declarada rebelde tras no ser hallada para su citación al juicio.

II.4.7 Santander

Finalmente, la Audiencia Provincial de Santander, en sentencia de 3 de octubre de 2022³⁴, impone, en argumento que no consigo entender, a la persona jurídica una pena de multa sólo ligeramente inferior (triplo) frente a la persona física (cuádruplo) por considerar “el hecho de que la persona que incumplió el deber de control fue precisamente su órgano de administración y máximo responsable de la empresa, y teniendo un cuenta las graves consecuencias que la comisión del delito pudiera tener para la supervivencia de la empresa”.

III. Conclusiones

No han sido muchas las sentencias que han aplicado la responsabilidad penal de las personas jurídicas en el delito fiscal, aunque existe unanimidad en que la persona jurídica responde por hecho propio.

Debe destacarse los contradictorios pronunciamientos sobre la aplicación de la reforma a los impuestos del año 2010 y sobre a quién incumbe la carga de la prueba de la existencia de programas de cumplimiento normativo.

Los pronunciamientos judiciales no han aplicado la facultad moderadora de la pena de multa prevista en el art. 31 ter 1 de lo que podría concluirse que entienden que no queda afectado el principio de proporcionalidad de las penas con la condena a la persona jurídica en este delito, aunque me inclino a pensar que lo sucedido es que no le ha sido planteada la cuestión debidamente a los tribunales.

Si, en cambio, hay pronunciamientos sobre el principio de intervención mínima y el non bis in idem en el sentido de excluir la responsabilidad penal de las personas jurídicas unipersonales salvo que posean una estructura compleja de funcionamiento.

I. Introducción

La Inteligencia Artificial es una de las innovaciones que más espacio ocupan en la conversación pública actual y, cómo no podía ser de otra forma, el mundo del Derecho no es ajeno a este fenómeno. Aunque ya existen aplicaciones específicamente diseñadas para los operadores jurídicos que emplean inteligencia artificial generativa para facilitar la labor de abogados, fiscales o jueces, pocos se atreven a pronosticar cómo podrán cambiar las profesiones jurídicas en los próximos años gracias a esa inteligencia artificial que promete acercarnos a la conocida como singularidad tecnológica. De igual forma, en el ámbito del compliance la inteligencia artificial promete ser una potente herramienta que ayudará a las organizaciones a desarrollar sistemas de control más robustos con una menor inversión.

Curiosamente, una de las mayores esperanzas que se ha depositado en la inteligencia artificial es que pueda ayudarnos a comprender mejor la inteligencia humana y el funcionamiento del cerebro y la mente del hombre, y es que tan cierto es que en las últimas décadas se han producido notables avances en el ámbito de la neurofisiología, la neurología, la psiquiatría o la psicología, como que seguimos ignorando mucho más de lo que conocemos. Rafael Yuste¹, neurobiólogo, director del Centro de Neurotecnología de la Universidad de Columbia y uno de los impulsores de la iniciativa BRAIN², ha señalado en diferentes charlas y conferencias que el conocimiento que tenemos del cerebro humano, en una escala del 1 al 10, podría situarse actualmente en un 4, y que resultaría un logro sobresaliente, sin necesidad de imaginar escenarios distópicos, llegar a comprender algo tan aparentemente sencillo como qué es un pensamiento.

Mientras la investigación continúa y se siguen dando importantes pasos para conocer el funcionamiento de la mente humana, ignorar lo que la ciencia y, en particular, la psicología nos enseña, ya a día de hoy, sobre el proceso cognitivo o la memoria nos aboca a un proceso judicial en el que las decisiones injustas, aunque legales y respetuosas con la jurisprudencia, se dicten en una frecuencia mucho mayor de lo soportable por un sistema de justicia penal avanzado.

Esto resulta muy evidente en el ámbito de la psicología del testimonio, una especialidad a la que, salvando honrosas excepciones, se ha prestado una escasa atención por nuestra doctrina científica y nuestra jurisprudencia. Como ejemplo de lo que decimos, criterios como el de persistencia, exhaustividad o total consistencia en las diferentes declaraciones practicadas durante el proceso son todavía hoy criterios nucleares en la valoración de los testimonios vertidos por investigados y testigos (en este sentido se pueden consultar la sentencia de la Sala Segunda del Tribunal Supremo núm. 989/2017, de 12 de enero o la sentencia de su Sala Quinta núm. 44/2022, de 30 de mayo, entre otras muchas). Sin embargo, la ciencia nos demuestra que esos criterios no están necesariamente presentes cuando quien declara dice la verdad y, muy al contrario, hay veces que pueden ser signos de que quien depone está faltando a ella.

Del mismo modo, la influencia que los prejuicios y los sesgos pueden tener –y, de hecho, tienen– en las resoluciones judiciales, es ignorado por muchos operadores jurídicos³, lo que impide conjurar sus efectos.   

En este artículo expondremos brevemente algunos de los hallazgos que la psicología ha efectuado y que tienen un mayor impacto en los procesos penales, para posteriormente plantearnos qué influencia pueden tener, específicamente, en aquellos en que se encuentra en discusión la responsabilidad penal de las personas jurídicas.

II. El funcionamiento de la memoria y su impacto en las declaraciones efectuadas en sede judicial

Existen diferentes tipos de memoria (memoria a corto plazo, episódica, semántica, etc.) las cuales dependen de distintas regiones cerebrales. La memoria que interviene en el testimonio prestado en los procesos judiciales es, fundamentalmente, la memoria a largo plazo de tipo episódico⁴, que es la que permite recordar hechos o episodios vividos en un tiempo determinado.

Es bien sabido que diferentes enfermedades neurológicas como el Alzheimer y patologías psiquiátricas como la depresión o el trastorno de estrés postraumático⁵ pueden afectar en diferentes grados a la memoria episódica. De igual modo, ha sido ampliamente estudiado y demostrado que los delitos violentos suelen provocar lesiones psíquicas en forma de trastornos adaptativos, como depresión o ansiedad, y trastornos de estrés postraumático⁶, lo que puede afectar al recuerdo que la víctima tiene de los mismos.

Resulta menos conocido que existen procesos perfectamente naturales que experimentan todos los individuos y que afectan a los recuerdos y a la memoria, por lo que tienen impacto en los testimonios vertidos en los procesos penales. Mencionaremos solo algunos de estos procesos:

• La memoria es, en gran medida, un proceso adaptativo que permite al hombre aprender de las experiencias y aumentar así sus posibilidades de sobrevivir. Precisamente por ser esa su función evolutiva principal, la memoria se basa en la «reconstrucción» de los recuerdos mediante un proceso cognitivo complejo y dinámico más que en la «reproducción» de dichos recuerdos.
• De esta forma, no debe representarse la memoria como un sistema en el que los recuerdos se encuentran colocados en un cajón en el que se conservan inmutables hasta que, cuando es preciso, son extraídos y reproducidos como si de una película se tratara; lejos de esa típica imagen, lo cierto es que el proceso memorístico es sumamente complejo, que los recuerdos pueden ir variando con el tiempo y en ellos pueden influir informaciones obtenidas después del hecho⁷.

• En el ámbito del Derecho Penal, el impacto psicológico que para la mayor parte de las personas supone el tener conocimiento de un posible delito suele empujarlas a rememorar ese hecho una y otra vez, bien reflexionando sobre el mismo o comentándolo con otros, lo que puede influir en ese proceso reconstructivo al que hemos hecho referencia.
• Partiendo de la premisa anterior, es comprensible que la interacción entre diferentes testigos –por ejemplo, mediante el contacto entre ellos en la empresa en que se ha producido el presunto delito o hablando antes de sus declaraciones en un proceso penal– influya en el recuerdo que tienen de un determinado hecho. De esta forma, las interacciones entre testigos pueden producir distorsiones en los recuerdos de aquellos o conllevar sugestiones, deliberadas o no, pero también pueden provocar un fenómeno conocido como «narración colaborativa» («collaborative storytelling»), de tal forma que algunos estudios apuntan a que la información sobre un hecho que aportan varios testigos juntos es mayor que la suma de la información que cada uno de ellos tiene⁸.

• Diferentes experimentos han demostrado que quienes presencian un incidente violento suelen tener una precisión muy baja en la identificación de los agresores, menor que la que presentan los testigos que presencian situaciones no violentas⁹ (como suelen ser los delitos susceptibles de generar responsabilidad penal de las personas jurídicas).

•  No es en absoluto infrecuente que las personas tengan recuerdos alterados o incluso totalmente falsos, existiendo estudios que acreditan que una de cada cinco personas tiene recuerdos vívidos de hechos que en realidad no han tenido lugar (un ejemplo muy frecuente y conocido es el de los niños que aseguran haber visto a los Reyes Magos o a Papá Noel en su habitación, pero es un fenómeno que también está presente en los adultos)¹⁰.

• Las declaraciones que se van prestado a lo largo del proceso (por ejemplo ante las Fuerzas y Cuerpos de Seguridad del Estado, posteriormente ante el Juez de Instrucción y finalmente ante el órgano de enjuiciamiento) e incluso las conversaciones que puedan mantener investigados y testigos entre sí o con abogados antes o después de esas declaraciones sucesivas, pueden alterar el recuerdo que tienen de un determinado hecho.

• En particular, cabe mencionar que la sugestión puede afectar de forma decisiva a los testigos, tanto a los adultos como a los niños¹¹. Así, por ejemplo, las opiniones o feedback que pueda darse a los testigos tras una declaración judicial en instrucción puede afectar al recuerdo que esos testigos tienen de un hecho y, de esta forma, influir de forma inconsciente en sus declaraciones posteriores¹².

Como puede verse, existen múltiples procesos psicológicos que afectan a los recuerdos y a los testimonios, y conocerlos puede suponer una importante ventaja en los procesos judiciales. Descendiendo al terreno concreto a que se refiere este artículo, podría parecer, y en cierta medida es cierto, que cuando se enjuicia un posible delito corporativo y se analiza el modelo de organización y gestión implantado por la persona jurídica para prevenir delitos, la testifical puede perder el carácter de prueba estrella que tiene en otro tipo de procesos, dejando ese carácter principal a otro tipo de pruebas como la documental o la pericial. De ello podría colegirse que el impacto que pueden tener en este tipo de procesos las cuestiones planteadas en este apartado deberían ser menores. Sin embargo, no cabe ignorar que la prueba del presunto delito que se atribuye a la persona física, ese «hecho de referencia», tiene una influencia decisiva en la determinación de si existe o no un delito de la persona jurídica¹³ de la que forma parte; de igual forma, las testificales pueden ser muy relevantes para acreditar que el sistema de compliance de la persona jurídica estaba debidamente difundido e implantado en la organización, se aplicaba correctamente y no consistía en un mero «paper compliance»¹⁴. Cabe afirmar, por consiguiente, que también en los procesos penales contra los entes colectivos resulta esencial tener en consideración lo que la ciencia nos enseña sobre la memoria.

III. Prejuicios y otros factores extrajurídicos que afectan a los procesos judiciales

No es preciso insistir demasiado en la teoría: los jueces se deben limitarse a aplicar de forma reflexiva y razonada el derecho, lo deben hacer de forma independiente e imparcial y sobre la base de la sólida base de garantías y derechos fundamentales que nos hemos dado. La práctica, en cambio, suele demostrar que nada es tan sencillo, sin que ello suponga ningún demérito para los jueces sino la consecuencia natural de su naturaleza humana. En las resoluciones judiciales, igual que en el resto de decisiones adoptadas por el hombre, influyen de forma decisiva factores psicológicos, políticos y sociales, muchas veces de forma inconsciente para quien dicta esas resoluciones.

Esto que resulta intuitivo ha sido confirmado científicamente. Estudios en que participaron jueces israelíes apuntaron a que el cansancio, el estado de ánimo o incluso el índice de glucosa en sangre pueden influir en las decisiones judiciales que adoptan los jueces. En aquellos experimentos se observó que el mero hecho de tomar una pausa para comer y descansar influyó, y no de forma marginal, en las decisiones adoptadas por los participantes después de la misma¹⁵.

En Estados Unidos, país en el que la raza ha supuesto un factor determinante en el sistema de justicia penal¹⁶, se han efectuado estudios que demuestran que los jueces albergan los mismos prejuicios que el resto de la sociedad y que dichos prejuicios pueden influir notablemente en las resoluciones que dictan¹⁷. Por suerte, estos mismos estudios apuntan a que los jueces pueden superar o mitigar sus prejuicios, por ejemplo, cuando el contexto racial se presenta como muy evidente en el caso o cuando son invitados a hacerlo.

Cabe pensar, pese a que los estudios en este ámbito son mucho más limitados, que los posibles prejuicios de los jueces respecto de las grandes corporaciones o empresas de sectores económicos determinados, pueden tener igualmente influencia en las decisiones de esos jueces al valorar los posibles delitos corporativos que se atribuyan a esas personas jurídicas.

Entendemos que resultaría igualmente de interés analizar desde un punto de vista psicológico si es posible que exista una tendencia de los jueces a dictar resoluciones condenatorias (civiles y/o penales) respecto de las personas jurídicas cuando este aparenta ser el único medio para que las víctimas de los delitos sean indemnizadas y también comparar si existen menores reparos psicológicos para condenar penalmente a las personas jurídicas que a las personas físicas.

Pero no solo son importantes para el proceso penal estos factores extrajurídicos que afectan a los jueces. Los sesgos cognitivos, a los que haremos referencia seguidamente, afectan tanto a jueces como a otros actores que participan en el proceso, como fiscales, policías, testigos, investigados/acusados o peritos, por lo que conocer su existencia y funcionamiento así como disponer de recursos para manejarlos adecuadamente constituyen herramientas fundamentales para desenvolverse con éxito en los procedimientos penales.

IV. Algunos de los sesgos cognitivos más relevantes en el proceso penal

Todos los abogados que intervienen en procesos penales han experimentado en alguna ocasión la frustrante sensación, cuando no completa convicción, de que el juez de instrucción parece haber adoptado una posición al inicio del procedimiento y ninguna de las diligencias practicadas parece ser capaz de modificar ese criterio. Eso mismo puede ocurrir con el Ministerio Fiscal o con los agentes de las Fuerzas y Cuerpos de Seguridad del Estado, que pueden actuar como si solo existiera un sospechoso y buscaran únicamente pruebas que confirmen su tesis, descartando aquellas que parecen refutarla. En estos casos, puede que estén jugando un papel clave diferentes sesgos cognitivos, como el sesgo retrospectivo (hindsight bias), el sesgo de anclaje (anchoring bias), también llamado efecto ancla, el sesgo de confirmación (confirmation bias) o el sesgo contextual (contextual bias). Del mismo modo, algunos de estos sesgos pueden darse de forma combinada y resultar en lo que se conoce como visión de túnel (tunnel visión)¹⁸. Ser consciente de esta realidad puede ser el primer paso para lograr revertir esa situación por lo que abordaremos someramente algunos de estos sesgos.

IV.1 Definición de sesgo cognitivo

Comenzando por el principio, y aunque existen múltiples definiciones diferentes, podemos decir que los sesgos cognitivos son la tendencia sistemática a pensar de manera distorsionada debido a la interpretación parcial de la información disponible. Se trata de una desviación en la toma de decisiones racionales o del juicio objetivo, lo que puede influir significativamente en las percepciones y actitudes de los individuos hacia diversos aspectos de la vida. Aunque los sesgos cognitivos pueden parecer errores o defectos en el pensamiento, en realidad son producto de una serie de atajos mentales o heurísticas que el cerebro utiliza para procesar información de manera más eficiente. Dado que el cerebro humano tiene una capacidad limitada para procesar información, estas heurísticas pueden ser útiles para tomar decisiones rápidas en situaciones complejas o inciertas. Sin embargo, también pueden llevar a errores sistemáticos o sesgos en el pensamiento¹⁹.

IV.2 El sesgo de confirmación

Este sesgo consiste en la tendencia humana a buscar e interpretar la información de manera parcial para confirmar las hipótesis de que se parte²⁰. De esta forma, la información que refuerza la hipótesis se ve sobrevalorada por quien la analiza mientras que se desprecia o minusvalora aquella que debilita esa hipótesis.

Un ejemplo clásico lo encontramos en la astrología y, más concretamente, en el horóscopo. Cuando alguien cree en él es fácil que se sienta identificado con los rasgos y características que, según la astrología, definen a las personas de su signo del Zodíaco. Esas características son muy genéricas y variadas por lo que, considerando que todas las personas reúnen en mayor o menor medida muchos rasgos comunes (tenacidad, inteligencia, simpatía, honestidad, etc.), es inevitable que cualquier persona se identifique con algunas de esas características. El sesgo de confirmación hará que quien cree en el horóscopo busque la información que confirme su hipótesis –«si soy Leo debo tener una serie de rasgos comunes a todos los que son de ese signo zodiacal»– e ignore aquella otra que refute esa hipótesis –como aquellos rasgos que según la astrología deberían tener los Leo y que la persona en particular no reúne–. Lo mismo ocurre con los pronósticos basados en el signo zodiacal, resultando una sobrevaloración de los vaticinios acertados (por ejemplo, «hoy serás reconocido en el trabajo») y una minusvaloración de los que resulten fallidos (por poner un caso, «puede que encuentres el amor en un lugar inesperado»).

Lógicamente esta manera de proceder choca frontalmente con el método científico y puede llevar al sujeto a alcanzar convicciones erróneas de las que le resulte muy difícil desprenderse. Puede ocurrir, por ejemplo, cuando un policía, fiscal o juez cree que una persona es responsable de un delito y valora las diligencias que se van practicando en el sentido más favorable a la confirmación de ese prejuicio. Algunos autores sostienen que el sesgo de confirmación es el aspecto del razonamiento humano que merece más atención en el ámbito jurisdiccional²¹ y, lo sea o no, es indiscutible que es muy relevante en los procesos judiciales.

El sesgo de confirmación ha sido ampliamente estudiado, gracias a lo cual sabemos mucho de él, como que se produce de forma más o menos subconsciente²², que es más fácil detectar en los demás que uno mismo²³ o que muchas veces puede conllevar que estemos más interesados en demostrar a los demás que estamos en lo cierto que en la verdad.

Aterrizando este concepto en el proceso penal contra personas jurídicas, si un juez o fiscal tienen la creencia inicial de que una entidad ha incurrido en un determinado delito corporativo –y ello puede darse, a su vez, por la concurrencia de otros sesgos como el retrospectivo– la valoración que harán de las circunstancias que permiten atribuirle responsabilidad penal, como su sistema de debido control, probablemente adolezca de este sesgo. De esta forma, cuando evalúen la información incorporada a la causa tenderán a descartar o minusvalorar aquella que debilite su tesis –como pudiera ser los grandes esfuerzos desarrollados por la empresa para desarrollar un completo mapa de riesgos o mantener el modelo de organización y gestión debidamente actualizado– y sobrevalorar la que permita confirmarlo –como la poca concreción de los procedimientos o protocolos establecidos para mitigar los riesgos detectados, por poner un ejemplo–.

IV.3 El sesgo de anclaje

Para explicar de forma sencilla cómo funciona otro de los sesgos que juega un relevante papel en los procesos penales, el sesgo de anclaje, podemos traer a colación un experimento que se hizo en el «Exploratorium» de San Francisco²⁴ y que recoge el premio Nobel de Economía Daniel Kahneman²⁵ en su famoso libro «Pensar rápido, pensar despacio»²⁶.

A algunos visitantes del Exploratorium se les expuso la problemática que supone para las aves marinas los pequeños vertidos de petróleo que se producen cerca de la costa del Pacífico. Posteriormente, se les preguntó si estaban dispuestos a hacer una contribución anual para ayudar a paliar los efectos de este problema ecológico. A los que se hizo esta pregunta sin ninguna otra referencia, dijeron que estaban dispuestos a pagar una media de 64 dólares anuales. Sin embargo, los participantes a los que les preguntó «¿Estaría dispuesto a pagar 5 dólares…?» antes de preguntarles directamente qué cantidad estarían dispuestos a abonar, dijeron estar dispuestos a pagar únicamente 20 dólares de media. Por el contrario, cuando se les preguntó previamente si estaban dispuestos a pagar 400 dólares, su disposición a pagar ascendió a 143 dólares de media. Este tipo de estudios demuestran que incluso cuando el sujeto es consciente de que la referencia inicial no es correcta o está muy lejos de la propia creencia, ésta puede tener un influjo en las percepciones o decisiones posteriores.

En el ámbito de procesos judiciales, investigadores españoles efectuaron un interesante estudio sobre 555 resoluciones judiciales dictadas por órganos jurisdiccionales penales de Galicia entre 1980 y 1995 y encontraron que el 63,6% de las resoluciones analizadas presentaban el efecto ancla respecto de la petición del fiscal o de las decisiones judiciales anteriores, lo que podría implicar una lesión de algunos principios básicos del proceso penal como el de presunción de inocencia o el que atribuye a las acusaciones la carga de la prueba²⁷.

A la vista de estos hallazgos resulta oportuno reflexionar sobre el orden en que se practican las pruebas en el juicio oral español, antecediendo las pruebas de la acusación a las de la defensa. Este orden no es ocioso, por supuesto, y tiene como objetivo, precisamente, favorecer a estas últimas, pero cabe preguntarse cómo puede afectar en la mente del juez tanto el orden de las pruebas como el modo en que aquellas se practican a la luz de lo que la psicología nos enseña.

De igual forma, la inevitable circunstancia de que el atestado, la denuncia o la querella y la documental que las acompaña sea el primer contacto del juez instructor con los hechos puede pesar, en algunos casos, en el juicio que aquel debe realizar al finalizar la instrucción. Por ello resulta clave que el investigado sea informado lo antes posible de que lo está siendo para que pueda ejercer en plenitud todos los derechos de que es titular, participando desde el inicio en la causa, aportando elementos de descargo y exponiendo su versión de los hechos, si lo desea²⁸.

Curiosamente, hace más de un siglo y con una clarividencia que ha sido largamente alabada, ALONSO MARTÍNEZ ya advirtió, quizá sin saberlo, de las cuestiones psicológicas que venimos comentando. En la Exposición de Motivos de la Ley de Enjuiciamiento Criminal avisaba de que la falta de intervención del investigado durante la fase de instrucción y el hecho de que fuera el mismo el juez el que instruía y dictaba sentencia eran los vicios más graves del procedimiento penal:

«que el Juez que instruye éste es el mismo que pronuncia la sentencia con todas las preocupaciones y prejuicios que ha hecho nacer en su ánimo la instrucción,; y que, por la naturaleza misma de las cosas y la lógica del sistema, nuestros Jueces y Magistrados han adquirido el hábito de dar escasa importancia a las pruebas del plenario, formando su juicio por el resultado de las diligencias sumariales y no parando mientes en la ratificación de los testigos, convertida en vana formalidad; que, en ausencia del inculpado y su defensor, los funcionarios que intervienen en la instrucción del sumario, animados de un espíritu receloso y hostil que se engendra en su mismo patriótico celo por la causa de la sociedad que representan, recogen con preferencia los datos adversos al procesado, descuidando a las veces consignar los que pueden favorecerle; y que, en fin, de este conjunto de errores, anejos a nuestro sistema de enjuiciar, y no imputable, por tanto, a los funcionarios del orden judicial y fiscal, resultan dos cosas a cual más funestas al ciudadano: una, que al compás que adelanta el sumario se va fabricando inadvertidamente una verdad de artificio que más tarde se convierte en verdad legal, pero que es contraria a la realidad de los hechos y subleva la conciencia del procesado; y otra, que cuando éste, llegado al plenario, quiere defenderse, no hace más que forcejear inútilmente, porque entra en el palenque ya vencido o por lo menos desarmado. Hay, pues, que restablecer la igualdad de condiciones en esta contienda jurídica, hasta donde lo consientan los fines esenciales de la sociedad humana».

El diagnóstico que hacía el Ministro de Gracia y Justicia en 1882 de las disfunciones que presentaba el proceso penal antes de la aprobación de nuestra vigente y parcheada Ley de Enjuiciamiento Criminal podría parecer tan anacrónico como la propia norma y claramente superado por el proceso penal actual, ilustrado por la Constitución y el Convenio Europeo de Derechos Humanos. Sin embargo, y pese a que es cierto que la regulación procesal mitiga en gran medida estos riesgos, no lo es menos que lo ocurrido durante la fase de instrucción puede tener un influjo psicológico muy relevante en la fase del juicio oral.

La confianza que puede tener el juez encargado del enjuiciamiento en la competencia y profesionalidad de sus colegas que han intervenido en la fase de instrucción resulta totalmente comprensible y no tiene nada de malo en sí mismo. Pero piense el lector en una situación que no es ni mucho menos infrecuente. Imagine un procedimiento iniciado a resultas de un atestado policial o de la denuncia formulada por el Ministerio Fiscal (en ambos casos, con el impulso de personas que reúnen la condición de funcionarios públicos, la misma que tiene el juez instructor). Durante una prolongada fase de instrucción se acuerdan diligencias de investigación limitativas de derechos fundamentales y todo tipo de medidas cautelares personales y reales. En esa primera fase procesal interviene el Ministerio Fiscal, como garante de la legalidad (art. 124 de la Constitución española), para respaldar e incluso promover las actuaciones señaladas y todas las decisiones del juez instructor resultan confirmadas por la instancia superior. Es decir, al menos cuatro jueces y otros funcionarios sostienen, si bien con la provisionalidad inherente a la fase instructora, que existen sólidos indicios de criminalidad. Abstraerse de esa realidad y considerar únicamente la prueba practicada en el plenario es una exigencia legal pero no necesariamente una condición psicológica del juez encargado del enjuiciamiento, entre otras cosas, por el sesgo de anclaje que hemos aludido.

Naturalmente, este efecto ancla puede afectar también a otros operadores que participan en el proceso penal, como los expertos de la policía que analizan evidencias físicas, lo que ha llevado a que se sostenga la necesidad de que sean profesionales distintos los que intervengan en las distintas fases de análisis de las pruebas (por ejemplo, que quienes recojan las pruebas físicas en el lugar del crimen, y que no solo han visto el elemento concreto a analizar sino también la escena en su conjunto y puede que incluso a las víctimas, no sean quienes las analicen después)²⁹.

IV.4 El sesgo de contexto

El sesgo de contexto es aquel por el que el análisis efectuado por un sujeto se ve influido no solo por información relevante para el caso sino también por la información irrelevante que se tiene sobre el mismo. Así, se ha demostrado que la información externa hace que incluso los que efectúan análisis científicos aparentemente inmunes a sesgos cognitivos, como quienes examinan huellas dactilares o patrones de manchas de sangre³⁰, se ven influidos por la información externa que puedan tener del asunto en cuestión³¹.

Como inquietante ejemplo de la influencia que puede tener la información irrelevante de que dispone el sujeto decisor podemos traer a colación un experimento llevado a cabo en la Universidad de Würzburg (Alemania). Los investigadores solicitaron a juristas noveles pero también a jueces con décadas de experiencia que efectuaran valoraciones jurídicas complejas como proponer imposición de penas ante supuestos de hecho constitutivos de delito. Para su sorpresa, los investigadores observaron que algo tan absolutamente aleatorio como es lanzar unos dados durante ese proceso influía en dichas valoraciones, incluso a los individuos más experimentados³². Como puede verse, la información irrelevante que cualquier persona puede identificar como tal puede tener un influjo psicológico sustancial en decisiones tan trascendentes como la imposición de penas privativas de libertad.

Este sesgo de contexto también refuerza el hecho de que el orden en que se presentan las pruebas, como ya hemos mencionado al tratar el sesgo de anclaje, no resulte ni mucho menos irrelevante. Experimentos presentados en 2017 demostraron que la valoración global de las pruebas practicadas no es únicamente resultado de la suma de todas ellas, sino que el orden en que son presentadas tiene una influencia decisiva. En estos experimentos los investigadores presentaron a agentes de policía diferentes pruebas (como pruebas de ADN o testificales) algunas de las cuales eran incriminatorias, otras eran exonerantes y apuntaban a la inocencia, y otras eran neutras. Como habían previsto, los policías que tuvieron contacto primero con las pruebas incriminatorias fueron más propensos a concluir que el sospechoso era culpable tras el análisis de toda la prueba. Sin embargo, no preveían otro de los hallazgos de su estudio, y es que aquellos que primero analizaron la prueba exculpatoria y posteriormente tuvieron acceso a pruebas ambiguas fueron inclinándose a pensar que el sospechoso era culpable antes incluso de que se practicara la prueba incriminatoria. Los expertos atribuyeron estos hallazgos al sesgo de contexto.

IV.5 El sesgo retrospectivo

Es indiscutible que incluso aquellos sujetos que actúan con toda la prudencia y adoptan buenas decisiones pueden obtener malos resultados, ya que en la mayor parte de las situaciones de la vida esas decisiones se adoptan en condiciones de incertidumbre, en contextos en los que factores ajenos a la voluntad del decisor pueden influir en el resultado final. Cuando, producido ese desenlace, se analiza la conducta del decisor, se tiende a juzgar aquella como acertada si el resultado es positivo y como equivocada cuando el resultado negativo, ignorando otros factores que pudieran haber influido en el desenlace, en uno u otro sentido, y la limitada información de que el decisor disponía ex ante.

Los profesores de la Universidad de Pennsylvania Jonathan Baron y John C. Hershey llevaron a cabo diferentes experimentos que les permitieron descubrir que el resultado que una determinada acción u omisión ha producido afecta de forma decisiva a las creencias de quien la valora a posteriori, de tal forma que dicho tercero que debe valorar la decisión tiende a no creer lo que se le dice sobre la información de que disponía el decisor ex ante. Dicho con otras palabras, quienes juzgan las decisiones que se adoptan en el ámbito de la política, la vida cotidiana o el derecho, tienden a confundir la evaluación de las consecuencias con la evaluación de las decisiones adoptadas, sin que la simple comprensión de esta confusión sea suficiente para eliminarla³³.

Este fenómeno aparece con gran claridad, por ejemplo, en los accidentes de trabajo, los cuales pueden ser, en determinadas circunstancias, constitutivos de infracciones administrativo-laborales o incluso de delitos contra la seguridad en el trabajo y de lesiones u homicidio imprudente. Tan cierto como que una diligente actividad preventiva puede mitigar adecuadamente los riesgos derivados de casi cualquier proceso productivo, como que muchas veces, una vez que se ha producido el siniestro, aquel aparenta ser mucho más previsible de lo que en realidad era ex ante. Esto lleva, con frecuencia, a que jueces y fiscales a valorar negativamente la actividad preventiva de la compañía incluso cuando, en realidad, el accidente resultaba mucho más imprevisible de lo que pareciera a posteriori. De igual modo, cuando el accidente ya ha tenido lugar, existe una lógica tendencia a pensar que las medidas implantadas para evitarlo eran insuficientes o no fueron aplicadas de forma adecuada. De esto hablamos cuando decimos que el sesgo retrospectivo puede ser clave en los procesos penales. Y es que se conoce que el sesgo retrospectivo no solo afecta a los juicios de previsibilidad, sino que también influye en los juicios que se hacen a posteriori sobre la razonabilidad o diligencia de la conducta desarrollada ex ante³⁴.

Resulta lógico, por consiguiente, que sea en el ámbito de la responsabilidad civil en el que los estudios sobre esta materia son más abundantes. Por ejemplo, en el ámbito de la responsabilidad civil profesional, es sabido que cuando un paciente muere en la mesa de operaciones existe un mayor riesgo de que se juzgue como equivocada la decisión del cirujano de operar que si la operación se completa sin complicaciones, y ello aunque desde el punto de vista de la lex artis la decisión sea igualmente diligente. De igual forma, cuando un puente se ha caído, es mucho más probable que se juzguen como equivocadas las decisiones que adoptó el ingeniero que lo diseñó y como imprudente su conducta.

Volviendo al objeto específico de este artículo, una vez que se ha cometido el delito de la persona física, existirá una tendencia natural a pensar que dicho delito era mucho más previsible para la persona jurídica de lo que en realidad era antes de su comisión. Cuando en el seno del proceso penal se analice el mapa de riesgos de la entidad esta creencia puede ser determinante, pues puede llevar a pensar, quizá de modo erróneo, que no se evaluó adecuadamente este concreto riesgo, ignorando la limitada información de que se disponía en aquel momento. Lógicamente, dado que los mapas de riesgos son el necesario punto de partida para el establecimiento de medidas de mitigación de riesgos, este sesgo desplegará también sus efectos cuando se valoren las medidas de debido control establecidas por la entidad. De igual modo, el esfuerzo desarrollado por la persona jurídica para mitigar el riesgo que se ha materializado, en términos económicos y de formación a los empleados, tenderá a parecer menor del necesario, pues resultó insuficiente para evitar el delito. 

Considero que la valoración judicial de los mecanismos establecidos por una determinada persona jurídica para prevenir la comisión de hechos ilícitos debería consistir, de acuerdo con los perfiles típicos que ha definido nuestro legislador, en un estudio de la diligencia desplegada por aquella, sin que la mera comisión del delito de la persona física, que indudablemente constituye el hecho de referencia y una conditio sine qua non para la atribución de responsabilidad penal, sea un indicio de que el modelo de organización y gestión era inadecuado. Si ello es así, la valoración de la diligencia desarrollada para la persona jurídica para establecer un modelo de organización y gestión eficaz para la prevención del delito, o para  crear una auténtica cultura de respeto por el Derecho, si se quiere seguir la terminología empleada por la célebre sentencia del Tribunal Supremo núm. 154/2016, de 29 de febrero³⁵, no debe hacerse atendiendo a una valoración ex post, sino a la diligencia desarrollada conforme a la información de que se disponía ex ante.  

Cabe hacer un cierto paralelismo en este punto con la jurisprudencia de la Sala Primera del Tribunal Supremo en el ámbito de las acciones de responsabilidad de administradores, según la cual debe evitarse la identificación de la actuación antijurídica de la sociedad que no abona sus deudas y cuyos acreedores se ven impedidos para cobrarlas porque la sociedad deudora es insolvente, con la infracción por su administrador de la ley, de los estatutos o de los deberes inherentes a su cargo. En esos casos, la Sala de lo Civil apunta que «Esta errónea concepción de la responsabilidad de los administradores sociales convertiría tal responsabilidad en objetiva y se produciría una confusión entre la actuación en el tráfico jurídico de la sociedad y la actuación de su administrador» (sentencias 150/2017, de 2 de marzo, y 274/2017, de 5 de mayo). Por eso venimos insistiendo que «para que pueda prosperar la acción individual es necesario identificar una conducta propia del administrador, distinta de no haber pagado el crédito, que pueda calificarse de ilícito orgánico y a la cual pueda atribuirse la causa de no haber sido satisfecho el crédito» (vid. auto del Tribunal Supremo de 20 de septiembre de 2023, rec. 3395/2021 con cita de la previa sentencia núm. 612/2019, de 14 de noviembre).

El diagnóstico del Tribunal Supremo se produce sobre la base de que múltiples resoluciones de tribunales inferiores incurren en ese error jurídico cuyo fundamento, sin embargo, pocas veces es identificado. ¿Por qué es tan frecuente que se atribuya responsabilidad a los administradores cuando el impago, existiendo una situación de insolvencia, no está ocasionada, en realidad, por una conducta propia de dichos administradores? La respuesta está en el sesgo retrospectivo y en este punto es fácil comprender que este sesgo guarda una íntima relación con la protección legal de la discrecionalidad empresarial (business judgement rule) que en nuestro ordenamiento se recoge en el artículo 226 de la Ley de Sociedades de Capital³⁶. 

IV.6 Algunas consideraciones comunes a estos sesgos

Estos sesgos, y otros muchos que la psicología ha estudiado, no se presentan necesariamente aislados sino que pueden presentarse, y de hecho lo hacen, conjuntamente, interfiriendo en un mayor grado en el juicio efectuado. Obviamente, el proceso penal liberal se construye sobre la base de unos derechos fundamentales constitucionalmente consagrados y se desarrolla con todo un conjunto de garantías procesales y de reglas de tratamiento y de juicio que contrarrestan parcialmente estos efectos, pero la conciencia de los sesgos puede reforzar estas garantías del justiciable y, en consecuencia, una debida formación de los jueces en esta materia resulta esencial. Siendo ello así, no es menos cierto que conocer que los sesgos existen es un requisito necesario pero no suficiente para mitigar sus efectos, y conviene asumir que no es posible anularlos por completo. Del mismo modo, resulta importante señalar que estos sesgos no afectan por igual a todas las personas, pues factores como la inteligencia, la reflexión cognitiva o rasgos básicos de la personalidad hacen a las personas más susceptibles a los efectos de estos sesgos³⁷.

Aunque el impacto sobre el proceso puede ser enorme, estos sesgos no siempre implican un incumplimiento de la legalidad; no obstante, ofreceremos dos ejemplos en que los sesgos cognitivos sí provocan infracciones normativas. El primero de ellos se refiere al artículo 2 de la Ley de Enjuiciamiento Criminal, que impone a todas las autoridades y funcionarios que intervengan en el procedimiento penal que consignen y aprecien «las circunstancias así adversas como favorables al presunto reo». Incluso de forma subconsciente, los jueces, fiscales o agentes de policía pueden pasar por alto aquellas circunstancias favorables al presunto reo u otorgarles un peso mucho menor del debido cuando aquellas contravengan sus creencias (a estas alturas ya sabemos que ello se debe al sesgo de confirmación). Otro ejemplo claro es cuando la valoración de la prueba realizada por el órgano judicial resulta sencillamente irracional y arbitraria, aunque ello no sea percibido así por el juez que subjetivamente tiene la convicción de que su decisión es correcta y, más aún, justa, debido a la visión de túnel. En estos casos el ordenamiento jurídico sí ofrece mecanismos de respuesta que permiten a las partes reaccionar frente a las consecuencias de los sesgos cognitivos.

Para concluir, debemos advertir del riesgo que existe de que los sesgos y prejuicios de que pudiera adolecer la jurisprudencia actual se trasladen a la justicia 2.0 en que la inteligencia artificial tenga una intervención decisiva, pues los algoritmos se ven influenciados por aquella al nutrirse de la experiencia actual³⁸.

5. Presunción de inocencia de personas jurídicas y sesgos cognitivos

Uno de los principios cardinales del Derecho Penal contemporáneo es aquel que proclama que toda persona acusada de una infracción debe ser presumida inocente mientras no se demuestre lo contrario. Aun cuando no sea una creación ex nihilo, ya que inspiraba por completo la Ley de Enjuiciamiento Criminal desde su promulgación en el siglo XIX, ha recibido un vigor inusitado desde su inclusión en el art. 24 de la Constitución, cuya interpretación -según indica el art. 10 del mismo texto- ha de hacerse a la luz de la Declaración Universal de Derechos Humanos y de los demás tratados internacionales sobre la materia ratificados por España (nos lo recuerda la sentencia del Tribunal Supremo núm. 22/2016, de 27 de enero citando la sentencia del Tribunal Constitucional  núm. 138/1992, de 13 de octubre).

Esta presunción de inocencia despliega sus efectos en el proceso penal no solo respecto de las personas físicas que se ven sometidas a aquel sino también respecto de las personas jurídicas investigadas y/o acusadas. Lo explicaba con enorme lucidez MAZA MARTÍN³⁹:

«Como en cualquier enjuiciamiento de carácter penal, en el de la persona jurídica también ha de respetarse el derecho a la presunción de inocencia de quien es acusado, lo que supone la existencia de una verdad, verdad interina pero que, en cualquier caso, requiere ser enervada mediante pruebas que generen la convicción suficiente acerca de la comisión del hecho merecedor del reproche punitivo que, en este ámbito y conforme a lo que ya se vio, no es otro que el de la ausencia en la  persona jurídica de herramientas de prevención del delito cometido por la persona física acordes con las posibilidades en cuanto a medios y capacidad de las que esa persona jurídica en concreto disponga».

Con igual contundencia lo afirma la sentencia de la Sala Segunda núm. 534/2020, de 22 de octubre: «Que la persona jurídica es titular del derecho a la presunción de inocencia está fuera de dudas», resolución que no hace sino plasmar algo reiterado por la jurisprudencia desde la sentencia núm. 154/2016, de 29 de febrero⁴⁰.

Partiendo de esta premisa, recordaremos que el contenido constitucional del derecho a la presunción de inocencia implica, como nos enseñan las sentencias de la Sala Segunda del Tribunal Supremo núm. 1192/2011, de 16 de noviembre y núm. 199/2012, de 15 de marzo:

• Que la aceptación convencida por el Juzgador de la verdad de la imputación se haya atenido al método legalmente establecido, lo que ocurrirá cuando los medios de prueba practicados sean lícitos y válidos y el debate produzca en condiciones de contradicción y publicidad;
•  Que, en relación con el resultado de la actividad probatoria, la certeza del Juzgador pueda asumirse objetivamente y no como mero convencimiento subjetivo de aquél. Tal objetividad no exige que las conclusiones sean absolutamente incuestionables, pero sí que resulten fundadas por su vinculación a la actividad probatoria.
• Y ello en relación a los elementos esenciales del delito, tanto objetivos como subjetivos, y significadamente, a la participación del acusado (persona física o jurídica, nos permitimos adicionar).

Dicho con otras palabras, el estándar establecido por el Tribunal Supremo, en línea con la doctrina constitucional (recogida, entre otras, en la sentencia núm. 81/1998, de 2 de abril), es claro: la sentencia condenatoria debe basarse en pruebas válidas, sometidas a contradicción y con un significado incriminatorio suficiente («más allá de toda duda razonable») para estimar acreditado que el acusado realizó de forma activa, eficaz y decisiva los hechos por los que ha sido condenado; pruebas que además deben ser valoradas con arreglo a las máximas de la experiencia y a criterios lógicos y razonables (sentencia del Tribunal Supremo núm. 375/2021, de 5 de mayo).

Como es sobradamente conocido, todo ello implica que la carga de la prueba corresponde a las acusaciones también cuando hablamos de personas jurídicas acusadas. Ello es así porque si bien las personas jurídicas no tienen ningún privilegio especial respecto de las personas físicas sometidas a un proceso penal, tampoco resulta aceptable relajar las garantías propias de nuestro sistema cuando hablamos de entes colectivos (sentencia número. 221/2016, de 16 de marzo⁴¹).

A estas alturas de este breve comentario, se adivina con facilidad cuáles son los problemas que los sesgos cognitivos pueden provocar y la afectación que pueden implicar en el derecho a la presunción de inocencia, también en el que ostentan las personas jurídicas. Es claro que los sesgos pueden afectar a la valoración de la prueba y al razonamiento del juez sobre aquella, proceso dotado de un cierto grado de discrecionalidad pero que en ningún caso puede caer en la arbitrariedad. Entronca esta cuestión con la inquietud de muchos autores por reducir el margen de arbitrio judicial y objetivar al máximo los criterios de convicción judicial, sin que sea preciso llegar a objetivos imposibles como la búsqueda de una «verdad absoluta». Este tema, del que el profesor de la Universidad de Pavía Michele Taruffo⁴² representa probablemente la principal autoridad en Europa, ha llevado a plantear la aplicación judicial de modelos matemáticos y estadísticos para la valoración probatoria, como el conocido Teorema de Bayes⁴³, ampliamente estudiado en Estados Unidos.

Estando todavía muy lejos de aplicarse esas posibles medidas de objetivación, en los procesos penales contra personas jurídicas, como en cualesquiera otros, se impone una motivación de las conclusiones probatorias basada en parámetros de argumentación racional, no en la obtención intuitiva de certezas personales del juez⁴⁴. El problema que observamos es que, aunque quiera llevar a cabo esa labor de forma escrupulosa, huyendo de creencias o certezas personales, el juez puede verse igualmente influido en el análisis de esa prueba por los sesgos cognitivos descritos, normalmente sin ser siquiera consciente de ello.

VI. Conclusión

Volviendo al principio, podemos afirmar sin miedo a equivocarnos que la comprensión de la mente constituye un reto al menos tan complejo y apasionante como el que supone para el hombre la inteligencia artificial.

Si bien queda un largo camino por recorrer, el conocimiento de que disponemos sobre la psicología jurídica ofrece ya claves de extraordinaria trascendencia para el proceso penal. Así, como hemos expuesto sucintamente, en los procesos penales contra personas jurídicas, como en cualesquiera otros, juegan un papel absolutamente determinante factores psicológicos que afectan a todos los operadores jurídicos. Conocer este hecho resulta esencial para intervenir con éxito en los procesos penales en defensa de personas jurídicas.

I. Introducción

En esta contribución pretendemos aportar algunos criterios interpretativos a propósito de una figura con una gran virtualidad práctica, pero con unos contornos ciertamente difusos, confusos y, si se nos permite el calificativo, problemáticos. Nos referimos a las investigaciones internas, llevadas a cabo en el seno de las entidades corporativas cuando se ha cometido algún ilícito penal y se pretende el descubrimiento de sus autores y la determinación del alcance del hecho. El punto de partida inexorable será fijar cuál es su concepto, en qué consisten. A continuación, llevaremos a cabo un examen sobre su tipología y los posibles efectos de cada una de ellas para, a renglón seguido, exponer sus principales rasgos característicos. En este sentido, es preciso que hagamos alusión al método que se sigue en su desarrollo, a las diferentes opciones con que cuentan las personas jurídicas y, en definitiva, a cómo se plasman los resultados que se obtengan. Precisamente, una vez que se haya realizado la visión de conjunto sobre las investigaciones internas será el momento preciso en que nos cuestionemos una serie de interrogantes, a propósito del mantenimiento y respeto de los derechos de los intervinientes en tales investigaciones. De modo preliminar, podemos adelantar que surgen poderosas dudas en cuanto al modo de cohonestar el desarrollo de las investigaciones internas en el seno de las empresas con el respeto a los derechos fundamentales de los individuos que se someten, participan o intervienen en ellas como investigados. Asimismo, cabe poner en tela de juicio la propia virtualidad intra procesal de tales mecanismos de investigación, así como su forma de aportación al proceso, una vez éste se encuentra iniciado.

            No podemos obviar que las investigaciones internas están llamadas a desempeñar un papel esencial en el marco de la responsabilidad penal de las personas jurídicas. Efectivamente, la posibilidad de eximir -o atenuar- la responsabilidad criminal, sobre la base de la existencia y aplicación de un sistema efectivo de cumplimiento normativo es un poderoso aliciente para que las investigaciones internas se erijan en un elemento fundamental, que permita una colaboración activa con los juzgados y tribunales en el descubrimiento de los delitos y en la identificación de sus posibles responsables. En este sentido, no podemos sino congratularnos de su existencia y de que los entes corporativos pretendan la averiguación de los posibles defectos estructurales en su organización y den una respuesta efectiva ante la comisión de hechos delictivos en su seno. Nada que objetar, en línea de principio, a que las investigaciones internas constituyen un canal de descubrimiento de actos delictivos que resulta idóneo, útil y con unas potencialidades aún no perfectamente delimitadas. Máxime cuando, en plena era del compliance, al hilo de la Directiva 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión -Directiva whistleblowing-, han surgido distintas leyes nacionales que han fomentado el empleo de los canales internos de denuncia.

De esto no ha sido una excepción el legislador español que, con notable retraso en cuanto al plazo de transposición, ha dictado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Pues bien, en todas estas iniciativas subyace, como nota común, la delegación en las personas jurídicas de facultades de inspección de delitos y actuaciones ilegales. Observamos un cambio de paradigma, una suerte de desplazamiento en los entes privados de la obligación de perseguir los actos ilegales de que tengan constancia y de ponerlo en conocimiento de las autoridades formales de control de los delitos -judicatura, fiscalía y Cuerpos y Fuerzas de Seguridad del Estado-. En este proceso de trasvase, característico del Derecho Penal moderno y de los postulados de la sociedad del riesgo, que con tanta maestría ha perfilado SILVA SÁNCHEZ en multitud de obras, nos encontramos con que, en el ámbito del Derecho Penal de la empresa, viene a jugar un destacado papel la investigación interna que se realice en su seno por cada corporación, lo que sería, prima facie, demostrativo de que nos hallamos ante un buen ciudadano corporativo, que pretende la colaboración con las autoridades judiciales, el descubrimiento del delito, la aportación de pruebas, la recuperación de elementos materiales y la evitación de la propagación de sus efectos.

            Si bien, pese a los loables objetivos que en muchas ocasiones se persiguen, no podemos pasar por alto que, en otras tantas ocasiones, el desarrollo de estas investigaciones internas puede ser -o es- meramente utilitarista, destinado a una exención -o atenuación- de la responsabilidad penal por el hecho propio. Huelga decir que, siguiendo la línea jurisprudencial mayoritaria y a la más autorizada doctrina en este campo, nos adherimos a los postulados que propugnan que en el ordenamiento penal español se ha implantado un sistema de autorresponsabilidad de las personas jurídicas, por el hecho propio, es decir, la comisión de su delito corporativo, por la ausencia de los mecanismos de control adecuados y la existencia de un defecto estructural en el plano organizativo¹. Pues bien, y retomando nuestro hilo, no solo hemos de aludir a las luces -que las hay- de la práctica de las investigaciones internas, sino que, como contrapunto, pondremos de manifiesto algunos aspectos dudosos que surgen en cuanto a su aplicación en la práctica. Nos referimos, significadamente, al respeto a los derechos fundamentales -en esencia, de índole procesal- de los sujetos que se someten a tales procedimientos en el seno de las empresas. Debemos recordar que se trata de actos que se desarrollan en una esfera privada, sin las garantías, controles y procedimientos propios del proceso penal. En este sentido, es preciso cuestionarse de qué modo se pueden afectar tales derechos, cómo se incorporan en el proceso penal los elementos dimanantes de tales investigaciones, qué efectos producen, cómo han de ser valorados, qué repercusión operan en la esfera personal -o laboral- de los sujetos investigados en ellas, qué alcance pueden tener, etc. Como podemos observar, surge una multitud de interrogantes y con estas breves líneas pretendemos arrojar algunas respuestas desde la teoría y la praxis judicial.

            Para cumplir con nuestra finalidad efectuaremos una breve reseña del marco conceptual que manejamos y, además, apuntaremos las principales soluciones -o dudas- que se han presentado en la práctica de los juzgados y tribunales. Así, atenderemos a las aportaciones doctrinales más significativas al respecto. Vaya por delante que, ante el ingente y continuo aparato bibliográfico que genera la responsabilidad penal de las personas jurídicas, calificada por el siempre perspicaz DEL MORAL GARCÍA como una “auténtica vedette del mundo académico penal de estos últimos años”², resultará una tarea hercúlea -por no decir imposible- mencionar todos y cada uno de los autores que han abordado su estudio. Vayan por delante, por descontado, nuestras disculpas por las omisiones que se puedan apreciar en el texto. Al análisis doctrinal, o combinado con él, ya que en este ámbito han de ir inexorablemente de la mano la doctrina y la práctica, sumaremos el estudio de las más importantes resoluciones judiciales en la materia o, ante su ausencia, propondremos nuestros criterios interpretativos sobre su aplicación práctica.

II. Las investigaciones internas

II.1 Concepto y clases

            El punto de arranque viene representado por la determinación del concepto que manejamos de las investigaciones internas. Hay que subrayar que, como tales, no se mencionan en el Código Penal (CP). El elemento clave a tener en cuenta es el art. 31 bis.5 CP, cuando enuncia los requisitos³ de los modelos de organización y gestión de las personas jurídicas. Como podemos apreciar, de su mera lectura se desprende que no se contiene una obligación expresa de realización de tales inspecciones internas, ni se les alude nominalmente. A su vez, hemos de anotar el art. 31 quater CP⁴, en que se atiende a las circunstancias atenuantes específicas de los entes corporativos, y en que cabría incardinar la función que cumplen las investigaciones internas, en el bien entendido de que, en efecto, su resultado puede conllevar la aportación de pruebas nuevas y relevantes en el curso de una instrucción. Pues bien, como ha señalado RODRÍGUEZ-GARCÍA, la norma penal delinea, a los efectos de la exención o la atenuación de la responsabilidad, una serie de requisitos esenciales, que se pueden agrupar en tres clases: “el diseño e implementación del programa, la supervisión de su funcionamiento y el ejercicio concreto de la función prevención de delitos”, y apostilla que “a ellos pueden sumarse otras herramientas, no reguladas directamente en el dispositivo penal, entre las que se encuentran las investigaciones internas”⁵.

            Pese a la aparente novedad de las investigaciones internas, debemos poner de relieve que tuvieron sus orígenes entre las empresas norteamericanas a principios de la década de 1970, ante la sospecha de sobornos que se habrían realizado a autoridades de Bélgica, Japón, Holanda, Honduras e Italia para obtener contratos públicos⁶. Asimismo, a mediados de la década de 1980, se propagó su empleo en EE. UU., si bien, su generalización no se produjo hasta el inicio del S. XX, debido a los distintos escándalos financieros que comenzaron en el año 2001. Destaca MONTIEL que, en cuanto a sus finalidades, las investigaciones internas “no solo han servido para identificar a los responsables de los ilícitos dentro de la empresa, sino también para muchos otros propósitos: dar explicaciones al Estado y a la sociedad sobre negociaciones cuestionables; evidenciar el cumplimiento de requerimientos legales en materias vinculadas a la salud o al medio ambiente; influir en la estrategia empresarial”, entre otros aspectos.

            Tal y como explican VILLEGAS GARCÍA y ENCINAR DEL POZO⁷, para comprender en su debida dimensión el concepto y alcance de las investigaciones internas corporativas, ha de tomarse en cuenta “una serie de modificaciones sustanciales”. En efecto, en origen, se trataba de una facultad del empresario para controlar a sus subordinados “desde el prisma del poder de vigilancia de la actividad o prestación laboral”, con la finalidad de descubrir aquellas actividades del empleado o directivo “desleal”, en orden a la imposición de sanciones de naturaleza privada. Por lo tanto, en dicho esquema destacaba que constituía una visión “iusprivatista”, en la que el empresario actuaría en una “función de policía privada o empresarial”, y en la que ostentaría “el señorío de la investigación”. De ahí que se partiese de un “modelo policial”. No obstante, dichos autores puntualizan que semejante esquema se puede considerar superado, debido a una serie de razones: i) las autoridades estatales carecen de los medios y de los mecanismos suficientes y necesarios para controlar, de modo exhaustivo, todas las actividades que se realizan en las empresas, significadamente, en las grandes multinacionales. En algunos casos no solo carecerían de medios, sino de la información o de los conocimientos necesarios para realizar dicho control, lo que caracterizan como “asimetría en la información”, en cuya virtud las grandes mercantiles “generan una información técnica acorde con sus intereses y el regulador no cuenta con medios suficientes para contrastarla”. La existencia de una “puerta giratoria” –revolving door-, en los supuestos en los que se da un “trasvase entre los sujetos integrantes de los órganos de regulación y los órganos de gobierno de los operadores económicos”, también tendría su influencia en los mecanismos de supervisión. ii) Ante tal situación, el Estado tomaría conciencia de una segunda idea: “las empresas pueden detectar e investigar las conductas irregulares con un coste económico y de recursos menor que las autoridades públicas”. De este modo, ante la dificultad estatal para conocer qué concretos sujetos de las entidades corporativas cometen delitos, se opta por alentar a las mercantiles para que “frenen a sus subordinados mediante la autovigilancia”.

            No existe un concepto unitario de investigaciones internas corporativas, por lo que podemos atender a distintas aproximaciones doctrinales al respecto. Así las cosas, para NIETO MARTÍN⁸, se trata de una parte esencial de los programas de cumplimiento normativo, que tienen como objeto “averiguar cualquier tipo de infracción al código ético y a las normas de cumplimiento normativo”, por lo que es más amplio que la investigación de delitos. En este sentido, los entes corporativos pueden emplearlas para averiguar hechos delictivos que se les podrían atribuir como delitos propios o, en segundo término, los ilícitos penales que se cometan frente a ellas. De igual modo, dicho autor las califica como “una herramienta de cumplimiento de carácter reactivo”, dado que se activan cuando aparece la sospecha de una irregularidad. Otra nota relevante es que nos encontramos ante procedimientos internos, de la propia sociedad.

            DEL ROSAL BLASCO⁹ destaca que cuando se produce una comunicación o denuncia de unos hechos con apariencia delictiva en el seno de una mercantil, si presenta “una mínima virtualidad y consistencia”, habrá de llevarse a cabo una investigación interna, que será más o menos extensa, sumaria, sencilla o compleja en función del tamaño y características de la sociedad de que se trate. A su vez, manifiesta que es preciso que la empresa tenga la mayor información de los hechos, a fin de que pueda reaccionar corrigiendo las disfunciones “que se hayan detectado y prevenir las posibles consecuencias negativas que tales hechos puedan tener para la empresa (reputacionales, económicas, limitaciones a la contratación pública, sancionadoras, etc.)”. Si bien, apostilla que en España no existe tradición en la realización de tales investigaciones, “ni tampoco las agencias o entidades reguladoras ni la Fiscalía imponen determinadas exigencias a dichas investigaciones internas, como es que se lleve a cabo a través de una firma de asesoría o un despacho de abogados independiente, cuyos honorarios los paga la propia empresa, pero que tienen que someter el resultado de la investigación, directamente, a la Fiscalía o al regulador, pero no a la empresa”. No obstante, añade que será preciso que la mercantil cuente con un protocolo sobre el modo en que han de practicarse las meritadas investigaciones.

En decir de NEIRA PENA¹⁰, las investigaciones corporativas persiguen una serie de finalidades, que podemos condensar en: esclarecer si ha tenido lugar una infracción, cuál es su naturaleza y su alcance dentro de la organización, si continúa produciéndose en el presente, qué sujeto o sujetos están involucrados, en qué grado, quién es responsable de los supuestos hechos ilícitos, por qué ocurrieron y si se trata de un hecho aislado, o bien, de un problema sistemático o extendido por toda la organización. Otro aspecto característico viene dado por el tipo de elementos probatorios que se recaban en ellas: esencialmente documental y entrevistas al personal, si bien, también persiguen asegurar las fuentes de prueba, de cara a un futuro e hipotético proceso penal.

            En cuanto a la utilidad de las investigaciones internas, se ha destacado por FEIJOÓ SÁNCHEZ que, desde el punto de vista de la atribución de la responsabilidad criminal a los entes corporativos, el hecho cometido será solo individual y no será preciso el castigo de la entidad,  “tanto si no existe defecto de la organización como si la persona jurídica puede distanciarse de la infracción individual”, y, en dicho sentido, alude a “la conveniencia de poner en marcha investigaciones corporativas internas ante sospechas, indicios o denuncias de actividades ilegales o contrarias a la normativa de la entidad”¹¹.

            Resultan sumamente compartibles las apreciaciones de PALOMINO SEGURA¹², cuando pone de relieve que la reforma operada por la LO 1/2015 en el CP ha comportado dos novedades de gran calado en la materia analizada: i) para que un modelo de prevención de delitos sea eficaz y adecuado ha de imponerse a los individuos que se hallen sometidos a él “la obligación de informar (o, mejor dicho, denunciar) al órgano supervisor de la sociedad sobre los incumplimientos del modelo interno de los que se tenga conocimiento”, y ii) que dicho modelo de prevención ha de contener un sistema disciplinario que sancione, de modo adecuado, el incumplimiento de aquellas medidas internas de prevención. Además, dicho autor manifiesta que de la nueva redacción de la responsabilidad penal de las personas jurídicas se colige, como obligación de la sociedad, “realizar una revisión exhaustiva e imparcial para comprobar la veracidad de los hechos de tal forma que, eventualmente, pueda dar lugar la imposición de una sanción disciplinaria fundada y ajustada a Derecho”. A su vez, asevera que tales investigaciones internas constituyen un reto para las sociedades, debido a dos aspectos: i) que se fijen, con carácter previo por el ente corporativo, una serie de políticas internas que sean suficientemente claras y concretas como para habilitar a la mercantil a practicar tales investigaciones. ii) La necesidad de coordinar tales actividades con una pluralidad de marcos normativos de referencia, esencialmente, de ámbito laboral, de protección de datos y societario. Con todo, dicho autor reconoce la ausencia de un ámbito normativo claro, lo que obliga a acudir a las concreciones jurisprudenciales.

            Precisamente, en este punto, debemos tener presente que la Circular 1/2016 de la Fiscalía General del Estado (FGE), de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, alude de modo expreso a las investigaciones internas, y manifiesta que “la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena. Operarán en sentido contrario el retraso en la denuncia de la conducta delictiva o su ocultación y la actitud obstructiva o no colaboradora con la justicia”.

            Pues bien, observando la virtualidad que confiere el Ministerio Público a tales investigaciones internas, podemos agregar que nos hallamos ante¹³ “una actividad privada, voluntaria y unilateral, que, en función del principio de autotutela, no requiere de habilitación normativa alguna: basta con que no se encuentre prohibida”. Puesto que la entidad pretende acogerse a la aplicación de la eximente -o atenuante-, lleva a cabo un compromiso permanente y serio de evitar el delito corporativo. En dicho caso, tal y como indican ORSI y RODRÍGUEZ-GARCÍA, se incardina la realización de investigaciones internas, quienes agregan que la realización de tales indagaciones constituye la mejor estrategia de defensa, siempre y cuando sea “rápida, equilibrada y objetiva”. Además, pese a que no se pueda calificar, de modo pleno, como imparcial, puesto que se lleva a cabo por el encargo de una de las partes en el conflicto en cuestión -la persona jurídica-, “puede ser ejecutada con una metodología rigurosa y la menor arbitrariedad posible”. En este sentido, a propósito del modo de ejecución -en que incidiremos más adelante-, y a su práctica por abogados ajenos a la entidad objeto de la investigación, algún autor ha puesto de manifiesto que, en estadios próximos al proceso penal, está “plenamente justificado, e incluso resulta recomendable que en estas fases tan anteriores al inicio de un hipotético proceso penal intervengan letrados, externos a la entidad, con las consiguientes ventajas que comporta el secreto profesional”¹⁴.

            No obstante, debemos llamar la atención sobre la ausencia de novedad de las investigaciones internas empresariales, puesto que ya eran practicadas en el ámbito laboral, al albur del art. 20.3¹⁵ del Estatuto de los Trabajadores, en que se dota al empresario de “facultades concretas de dirección, control, vigilancia y defensa tanto del patrimonio empresarial, como de los empleados”¹⁶. Asimismo, para MARTÍNEZ DE LA FUENTE, las investigaciones internas constituyen el “nexo” entre la denuncia interpuesta por un empleado, que informe sobre la posible infracción constitutiva de una irregularidad, cometida en el seno de la entidad, y la subsiguiente sanción disciplinaria -en el marco interno de la persona jurídica- que puede recaer sobre el sujeto infractor.

Hemos de resaltar que se trata de investigaciones “alegales”, puesto que carecen de un sustrato normativo específico y propio. Algún autor ha referido que nos hallamos en la antesala de la colaboración con las autoridades para el esclarecimiento de los hechos, donde la cooperación pivotaría “precisamente en facilitar la investigación hecha por la compañía, donde se detallan los hechos que han sido de objeto de investigación, sus resultados, y las personas que hubieran podido participar en tales hechos”¹⁷; aunque el propio ROS REVENTÓS pone de manifiesto que, en comparaciones con otros ordenamientos jurídicos, la regulación española “no incentiva suficientemente a las empresas para la implementación de programas de prevención de delitos, para la investigación de hechos delictivos, ni para la colaboración con la justicia en la averiguación de los hechos”. En la misma línea, y de modo clarividente, GOENA VIVES¹⁸ escribe que, al regular los requisitos de los programas de cumplimiento normativo, el legislador español “omitió (¿olvidó?) la referencia a las investigaciones internas”, a las que caracteriza como “procesos internos de la empresa, orientados a la averiguación de infracciones penales o de otra naturaleza, con carácter preventivo, confirmatorio o reactivo”. A juicio de dicha autora, las investigaciones internas constituyen “uno de los pilares esenciales de cualquier programa de compliance con pretensiones de serlo” y, ante la laguna normativa, propone que se acuda a otras fuentes, entre las que destaca el Derecho comparado, tanto por su carácter de pauta de interpretación y mejora de la normativa existente, como por la constatación de que muchas transacciones comerciales presentan carácter transnacional, por lo que “las empresas nacionales pueden entrar en el ámbito de aplicación de los regímenes sancionatorios extranjeros”. En todo caso, tal y como sintetiza DEL ROSAL BLASCO, la investigación interna puede “ayudar a la empresa a demostrar que el programa de cumplimiento normativo ha funcionado adecuadamente, si bien lo que ha sucedido es que el autor del delito lo ha cometido eludiendo fraudulentamente los modelos de organización y de prevención (art. 31 bis, núm. 2, 3.º, CP)”¹⁹.

Si avanzamos un paso más en la fijación del marco conceptual y terminológico, y tras apuntar algunas características esenciales de las investigaciones internas, en este punto hemos de diferenciarlas de otras actuaciones, desarrolladas en el marco de la empresa, con las que podrían presentar ciertas similitudes, solapamientos o áreas de confluencia. Hacemos alusión, en concreto, a las auditorías a que se someten los programas de cumplimiento normativo en el seno de las corporaciones. Las auditorías pretenden comprobar o medir el grado de funcionamiento del sistema de cumplimiento normativo, se llevan a cabo de modo periódico, ya sea por servicios de la propia empresa o externalizados, y no es preciso que exista sospecha de irregularidad alguna en la actividad empresarial. De este modo, en este elemento se halla el principal aspecto diferencial con las investigaciones internas: la auditoría no obedece a que se haya recibido una denuncia o comunicación de la existencia de una irregularidad o infracción, sino que es una actuación prevista, programada con una determinada periodicidad -semestral, anual, bianual, etc.- y que pretende efectuar un seguimiento de la adecuación de la actuación corporativa a lo plasmado en el programa de cumplimiento normativo. En definitiva, la auditoría busca constatar que la actividad societaria se adecúa a lo previsto y, en su caso, detectar las posibles deficiencias, disfuncionalidades, irregularidades e incumplimientos, en orden a su corrección, subsanación, eliminación o mejora.

En todo caso, compartimos los postulados de LASCURAÍN SÁNCHEZ²⁰ cuando subraya que el análisis de riesgos, en el marco de una empresa, requiere un gran esfuerzo inicial y en otros momentos posteriores “de peculiar intensidad”, tales como el emprendimiento de nuevas actividades o las reformas penales, por lo que cabe estimar una cierta simbiosis entre dicho análisis y las inspecciones internas, ya que en ambas facetas se indaga cómo se hacen las cosas en la empresa y cómo se deberían hacer, si bien, el primer supuesto se enmarca en el “análisis global de cara a conocer cuán probable es que se cometan ciertos delitos en la organización, producción, comercialización o distribución empresarial, y tal globalidad dimensiona la propia actividad de conocimiento”, mientras que la investigación interna “obedece a la sospecha de una concreta conducta individual o de un concreto defecto de organización preventiva, formando parte de los objetivos que modalizan el establecimiento de concretas responsabilidades individuales”. De igual modo, se ha anotado²¹ que el plan de prevención de delitos debe evolucionar de la misma forma que lo hace la persona jurídica, y que, si se crea una nueva sede de la entidad, o se introduce una nueva área de negocio, ha de verificarse si tales cambios deben conllevar la modificación o adaptación del programa de cumplimiento existente. A ello se agrega que otros factores externos a la propia actividad de la mercantil, como las reformas legislativas o ciertas interpretaciones jurisprudenciales, también pueden conllevar la modificación del programa de prevención de delitos.

También se ha llamado la atención sobre el papel de los consejos de administración de las empresas, en el marco del programa de cumplimiento, para que el funcionamiento de los concretos controles resulte efectivo y, sobre el particular de las investigaciones internas, se ha escrito que “en caso de iniciarse efectivamente una investigación judicial (administrativa o penal) por presuntas irregularidades o malas prácticas dentro de la empresa o institución, esta tendría que colaborar estrecha y lealmente con las autoridades públicas, e incluso abrir su propia investigación interna, preferentemente bajo el mando de un inspector independiente y con prestigio”²².

En cuanto a las clases de investigaciones internas corporativas, siguiendo a LEÓN ALAPONT²³, podemos apuntas varias tipologías: en primer lugar, una primera clasificación discriminaría entre aquellas investigaciones internas preventivas y, en segundo lugar, reactivas, si bien, ya hemos manifestado que esta tipología no resulta completamente precisa, puesto que las preventivas se confundirían, en puridad, con las, auditorías. Como ya vimos, en ellas no es preciso que se haya cometido ninguna actividad irregular o ilícita, sino que tendrían por finalidad contrastar el nivel de adecuación de la actividad social al programa de cumplimiento normativo. De ello podemos extraer que las investigaciones internas a las que atendemos en este trabajo serán siempre de corte reactivo, es decir, será preciso que previamente se haya descubierto una infracción del programa de cumplimiento. De hecho, podríamos indicar que si se diese una unificación terminológica, patrocinando una concepción amplia, y se ubicase dentro de las investigaciones internas, de modo global, tanto a las auditorías periódicas como a aquellas actividades indagatorias específicas, ante el descubrimiento de una actividad irregular, se podría hacer referencia a investigaciones internas ordinarias, que serían las pautadas, regladas y programadas con antelación, y aquellas investigaciones internas extraordinarias, que surgirían, precisamente, ante la comunicación, descubrimiento o hallazgo de una actividad ilícita. Si bien, este criterio resultaría vago y poco preciso.

La segunda clasificación se basa en un criterio cronológico, tomando como referencia si se ha iniciado o no un proceso judicial para depurar las posibles responsabilidades penales. En este caso, podemos aludir a investigaciones internas prejudiciales o parajudiciales, según tengan lugar con anterioridad a que se inicie el citado proceso penal, en que se investigue si existe o no un delito corporativo, o bien, se desarrolle durante la tramitación del procedimiento. Debemos llamar la atención sobre la posibilidad de que en las investigaciones parajudiciales se solapen las actividades de indagación. Además, y sobre lo que volveremos más adelante al abordar los aspectos problemáticos de las investigaciones internas, han de se de relieve los diferentes niveles de protección o garantía de las personas investigadas en ambas sedes, toda vez que difieren notablemente un proceso penal y un expediente empresarial, de naturaleza privada. En este sentido, no podemos obviar que, como expresa GONZÁLEZ CUSSAC²⁴, las investigaciones internas encuentran cobertura legal en la normativa mercantil y laboral, en la esfera de las facultades de “dirección y control” de la entidad, si bien, su eficacia debe respetar el sistema de derechos fundamentales. Por último, un tercer criterio clasificatorio diferencia según quién desarrolle las actividades de investigación, y se alude a las investigaciones externalizadas, que se llevan a cabo por terceros ajenos a la organización -tal y como indicamos con anterioridad, a propósito de la oportunidad de que se desarrolle por letrados especializados en la materia-, frente a aquellas otras que ejecutan los propios órganos de la empresa, pudiendo ser un profesional concreto o un equipo. Esta clasificación resulta relevante en cuanto al marco operativo del secreto profesional, tal y como analizaremos con posterioridad.

NIETO MARTÍN²⁵ propone otra clasificación, en atención a las finalidades que persiguen. En su opinión, tales investigaciones pueden y deben tener diferentes regulaciones, en función de las finalidades a conseguir. Enumera cuatro tipos de investigaciones internas: i) las que tienen por objeto imponer sanciones disciplinarias, debido a la comisión de infracciones contra el código ético de la mercantil; ii) las que pretenden colaborar con la Administración de Justicia o con una autoridad administrativa, con la finalidad de beneficiarse de una rebaja de la sanción imponible o de llegar a un acuerdo, si ello fuera posible -aunque dicho autor asume que tales investigaciones “constituyen uno de los casos más peligrosos de privatización”²⁶-; iii) las investigaciones preventivas destinadas a mejorar el programa de cumplimiento normativo -que serían las auditorías a las que hemos aludido con anterioridad- y iv) las investigaciones dirigidas a preparar la defensa jurídica, bien de la mercantil, bien de sus directivos.

Al hilo de estas clasificaciones, podemos esbozar, en apretada síntesis, una serie de ventajas e inconvenientes de esta suerte de privatización de la actividad investigadora, siguiendo a NEIRA PENA²⁷. En primer lugar, en cuanto a las ventajas: i) se ahorran recursos públicos y se disminuyen los plazos, además de su carácter utilitarista para las empresas, en virtud de la anteriormente citada atenuación de responsabilidad por la aportación de pruebas nuevas y relevantes. En segundo término, esta actuación empresarial ii) permite orillar la práctica de diligencias de investigación oficiales que resultarían más invasivas en la entidad y que provocarían una mayor obstaculización de su actividad social. Otro aspecto que no podemos pasar por alto es iii) la reducción del daño reputacional que comportarían algunas diligencias de instrucción, fundamentalmente en el ámbito de las grandes mercantiles cotizadas. En este sentido, podemos hacer una breve acotación y tomar en consideración que las noticias en prensa sobre investigaciones judiciales a personas jurídicas conllevan notables efectos negativos en cuanto a su cotización bursátil, afectan a la imagen de la sociedad, crean incertidumbre entre sus accionistas, acreedores e inversores y pueden llegar a distorsionar la competencia entre mercantiles, lo que constituye un buen referente de la repercusión que comporta la posible existencia de un delito corporativo en el seno de una mercantil, y de la máxima prudencia con que ha de operarse en tales diligencias de instrucción.

Otras ventajas de las investigaciones internas vienen dadas por el refuerzo positivo para su imagen, puesto que constituye un valor positivo que se colabore de modo activo con la Administración de Justicia. En este sentido, podríamos seguir a GÓMEZ-JARA DÍEZ y poner en relación esta actuación con la que sería propia de un “ciudadano corporativo fiel al Derecho” –corporate citizenship–²⁸. Por último, entre los aspectos positivos de la práctica de las investigaciones internas corporativas, debemos indicar que posibilitan que la organización tome un conocimiento pleno de la situación de referencia, de la existencia de irregularidades en su seno, de los posibles autores y del alcance de lo actuado. Con ello se evita que le resulte imprevisto o descontrolado el caudal de información y de documentación que se podría derivar durante una investigación oficial.

Una vez que hemos enunciado los elementos beneficiosos o favorables, en este momento hemos de atender a su contrapunto, cifrado en los efectos perjudiciales o desventajas que presenta su ejecución. De modo telegráfico podemos citar los siguientes: la ausencia de independencia en los sujetos que realizan la investigación, en aquellos casos en que se lleva a cabo por un órgano propio de la mercantil -pensemos que, en otras ocasiones, se contrata a profesionales ajenos a la entidad, tales como consultoras o letrados especializados en compliance-, así como, muy significadamente, los riesgos para los derechos fundamentales de los individuos objeto de las pesquisas. Este es el elemento central que aúna las críticas doctrinales, precisamente, por la ausencia de una regulación específica, que clarifique el estatuto de derechos del trabajador o directivo investigado en un procedimiento interno. Sobre este aspecto volveremos enseguida, pero, en este momento introductorio, no podemos sino subrayar que se trata de un entorno desregulado y privado, carente de las salvaguardas, tutelas y garantías que proporciona el proceso penal, por lo que es dable apreciar notables asimetrías, ausencias y carencias.

II.2 Desarrollo de las investigaciones internas

            Después de atender a las clases de investigaciones internas, a sus ventajas e inconvenientes, debemos prestar atención al modo en que se desarrollan tales investigaciones. Es decir, cómo se ejecutan, quién las lleva a cabo, qué fases tienen, qué resultados arrojan y, sobre todo, a los efectos de nuestro análisis, cómo se articulan o relaciona con el proceso penal en que se investigan tales hechos: es decir, de qué modo se introducen en el procedimiento y si existe obligación o no de aportar tales conclusiones. A modo introductorio, podemos compartir el esquema que brinda LEÓN ALAPONT en cuanto a las fases que componen la investigación interna. En su decir, se pueden diferenciar cuatro fases o etapas²⁹: i) fase preliminar, donde se valora la verosimilitud y credibilidad de la información recibida. En este momento también podría suceder que el denunciante desistiese. En dicha fase se valora si se exige un principio de prueba de lo comunicado o, por el contrario, ello no es preciso. También se debe atender al número de indicios con que se cuenta en dicho punto, en orden a determinar si, efectivamente, concurre una irregularidad y justifica que se lleve a cabo un conjunto de comprobaciones básicas. ii) La segunda fase sería, propiamente, la de apertura de la investigación: el programa de compliance de la mercantil ha de concretar los sujetos, sus potestades, los límites y los ámbitos de actuación -así como los elementos vedados-; en este momento cobra relevancia el diseño del plan de actuación, donde se consignan la metodología que se empleará, el cronograma, las herramientas que se utilizarán y las concretas actuaciones. iii) La tercera fase es la propia investigación: es la etapa más casuística. No resulta factible suministrar criterios generales, puesto que la preside una serie variable de factores contingentes, tales como la finalidad perseguida, el/los delito/s objeto de indagación, el tamaño de la entidad corporativa… En ella se pueden adoptar medidas cautelares o de aseguramiento. iv) La fase final es aquella en que se obtienen y se documentan los resultados: deben consignarse en un informe detallado, que debe describir, de modo técnico, qué concretas actuaciones y procesos se han seguido y, a título de ejemplo, los siguientes: autor, objeto, alcance, antecedentes, actuaciones y los resultados que se han obtenido. Además, y ello resulta relevante, también se plasmarán los posibles sesgos o limitaciones con que cuente la indagación, si han existido incumplimientos o no y, en su caso, las líneas de actuación que se deberán desarrollar con posterioridad.

Pues bien, y adaptándonos a dicho esquema, podemos compartir la notable explicación que efectúa MARTÍNEZ DE LA FUENTE³⁰. En su decir, por norma general, tanto la gestión de los canales de denuncia como la investigación de los hechos puestos en su conocimiento corresponderá al oficial de cumplimiento –compliance officer– de la mercantil, ya que es el órgano encargado de la recepción de las denuncias y de la supervisión del cumplimiento del programa de compliance. No obstante, esta afirmación no puede ser categórica, ya que, para afirmar qué concreto órgano de la entidad va a asumir la investigación, habrá de estarse al caso concreto y al específico programa de cumplimiento: hay que analizar los correspondientes procedimientos internos, ya que se podría atribuir a sujetos diferentes del oficial de cumplimiento. En este sentido, esta misión se podría encomendar, tal y como enumera MARTÍNEZ DE LA FUENTE, al departamento de auditoría interna, a la comisión de auditoría y control, o a otras áreas de la empresa, en función de los hechos que se investiguen y que, a priori, “podrían resultar más idóneos para el manejo de la investigación”. Asimismo, en atención a la complejidad de la investigación y a las necesidades de medios en la mercantil -valorando los elementos técnicos, las necesidades temporales o permanentes de recursos-, ha de ponderarse si se externaliza toda la indagación o concretas partes de ella, en determinados trabajos de investigación, lo que originaría que surgiera un “soporte del órgano instructor designado”.

            Añade el autor que seguimos que tales investigaciones, para brindar respuestas eficaces, requieren que la sociedad disponga, con carácter previo, de un protocolo adecuado, que se integre en su programa de compliance, en que se describa la metodología de trabajo que se va a seguir, así como los “flujos para la adopción de decisiones”. A continuación, una vez que se tiene conocimiento o se detecta la concreta irregularidad, resulta “recomendable” que se diseñe un plan de trabajo específico, en que se detallen los aspectos más relevantes de la indagación: quién va a asumir las funciones ejecutivas, qué sujetos van a desarrollar la investigación, cuáles serán sus funciones y qué responsabilidades asumirán, qué ámbito fáctico concreto se va a delimitar, de qué medios va a disponer el personal investigador o qué sistema de registro se va a emplear, entre otros aspectos. No obstante, subraya MARTÍNEZ DE LA FUENTE que resulta factible que estos elementos vayan variando a medida que avanza la investigación interna, en función de su propia naturaleza y de los avances que se vayan obteniendo.

            De modo subsiguiente, una vez diseñado el plan de trabajo, ha de comenzar la actividad investigadora. Nuevamente, siguiendo al autor citado, cabe significar que el empresario cuenta con una variedad de medios para llevar a cabo la investigación interna, entre los que enumera: i) los registros en los despachos de los empleados y en otras dependencias de la mercantil, tales como taquillas, ii) el análisis de aquella información que se encuentre en dispositivos informáticos o electrónicos de la empresa que se hubieran facilitado al empleado al inicio de su prestación laboral. Cabe subrayar que se trata de instrumentos de trabajo facilitados por la propia organización y que, por lo tanto, no son de propiedad privada del trabajador. Entre ellos se podrían incluir los teléfonos móviles de empresa, los ordenadores, tablets, discos duros portátiles, etc. iii) El análisis de la correspondencia del empleado a través de su correo electrónico corporativo, tanto en relación con las comunicaciones emitidas como recibidas, siempre y cuando haya sido leída o abierta. iv) La revisión de los registros de los programas informáticos de gestión. v) La revisión de las grabaciones de los sistemas de videovigilancia de la empresa que se hallen instalados en las inmediaciones del concreto puesto de trabajo de que se trate. vi) La realización de entrevistas -a los que dicho autor también califica como “interrogatorios”-. Ante la ausencia de una normativa expresa, y por la posible interferencia o conexión con un proceso penal sobre tales hechos, MARTÍNEZ DE LA FUENTE propone que tales investigaciones internas se inspiren “en lo posible en los principios rectores de las investigaciones públicas, en el sentido de asegurar el cumplimiento de los cánones garantistas de las normas procesales penales”. En concreto, asevera que han de respetarse los derechos de los investigados que se contienen en el art. 118 LECRIM, muchos de los cuales estima extrapolables a este ámbito y, sobre todo: el derecho a ser informado de los hechos que se le imputan, el derecho a la asistencia letrada garantizada mediante un abogado elegido por el sujeto investigado, el derecho a no declarar contra uno mismo y a no confesarse culpable. En todo caso, dicho autor propugna que las medidas de investigación interna han de ser proporcionales a la gravedad de los hechos, y que se deben evitar “eventuales invasiones en la esfera de los derechos fundamentales del empleado investigado”, debiendo actuar el empresario como “máximo garante” de tales derechos.

            En este punto hemos de hacer una breve acotación, a propósito de la promulgación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Puesto que hemos indicado que la primera fase es preliminar, donde se valora la verosimilitud de la información recibida, forzoso es reconocer que dicha información puede proceder de un denunciante o informante radicado en la propia organización. Dicho cauce, la denuncia interna, se ha potenciado mediante la citada Directiva 2019/1937, cuya tardía transposición se ha llevado a cabo en España mediante la Ley 2/2023. En dicha norma, y por lo que a nosotros respecta, siguiendo a GARCÍA-PANASCO MORALES³¹, llama la atención el silencio sobre el modo en que se ha de desarrollar la investigación, puesto que el art. 19.1 de la Ley solo expresa que “la instrucción comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados”, sin concretar cuáles son esas actuaciones -y con una terminología, “instrucción”, propiamente penal-. Si bien, con buen tino, el autor que seguimos puntualiza que dicho precepto solo alude a las investigaciones desarrolladas por la Autoridad Independiente de Protección del Informante (A.A.I.), no a las llevadas a cabo por las empresas. Ello puede acarrear problemas interpretativos en los supuestos de exámenes indebidos de dependencias, archivos o dispositivos informáticos de los trabajadores. Además, aunque el art. 39 de la Ley 2/2023 garantice la presunción de inocencia, el derecho de defensa y el derecho de acceso al expediente del afectado, sin embargo, en los casos de investigaciones llevadas a cabo por la A.A.I., dichos derechos pueden verse notablemente restringidos, puesto que el art. 19.2 Ley 2/2023, al tratar los derechos a la información de la comunicación con la denuncia, y a formular alegaciones por escrito por parte de la persona afectada, dispone: “No obstante, esta información podrá efectuarse en el trámite de audiencia si se considerara que su aportación con anterioridad pudiera facilitar la ocultación, destrucción o alteración de las pruebas”, por lo que se consagra una suerte de “secreto de actuaciones de facto”. A su vez, el Libro-Registro de comunicaciones no será público, y solamente se podrá acceder a él mediante resolución judicial motivada (art. 26), lo que puede parecer contradictorio con la remisión directa al Ministerio Fiscal si se aprecia el carácter delictivo de los hechos (art. 9.2).

            GARCÍA-PANASCO MORALES también destaca que podría darse otra disfunción en relación con la aplicación, en el ámbito empresarial, de las causas de inadmisión de denuncias, recogidas en el art. 18.2.a) Ley 2/2023³². En decir de dicho autor, tales causas carecen de justificación en el ámbito privado, y podrían “poner en tela de juicio la verdadera eficacia real del sistema interno de información y, por extensión, del programa de compliance, con la consecuente repercusión negativa para su propia responsabilidad penal”. Mientras que RAGUÉS I VALLÉS³³ advierte de la ausencia de coordinación de las investigaciones internas con las autoridades encargadas de la persecución penal y con los correspondientes procedimientos disciplinarios, lo que confronta con la Directiva comunitaria, que apuesta por un modelo administrativo de protección. Además, RAGUÉS tilda de “sumamente sorprendente” que el legislador no haya procedido a la reforma del CP ni de la LECRIM, al hilo de la promulgación de la Ley 2/2023, puesto que “llama la atención que no se haya buscado una mejor coordinación entre la actuación de la AIPI, por una parte, y el Ministerio Fiscal o los jueces de instrucción, por otra”. Precisamente, y al hilo de dicha crítica, sobresalían las objeciones formuladas por VILLEGAS GARCÍA³⁴, todavía en fase prelegislativa, quien subrayaba que la LECRIM solo aludía al denunciante -y no al informante o delator-, que la obligación de denuncia ya se recoge en la norma procesal y que sentenciaba que “no se puede regular el informante a espaldas de nuestro proceso penal y sin introducir en la Ley de Enjuiciamiento Criminal las modificaciones necesarias. Porque la pregunta esencial que no resuelve el proyecto es quién protegerá al informante y cómo, cuando se convierta, en su caso, en un denunciante-testigo en el proceso penal”.

            A lo que antecede debemos agregar que el desarrollo de una investigación interna puede generar colisiones con distintos bienes jurídicos y derechos fundamentales de los trabajadores y empleados, lo que ocasiona distorsiones y disfunciones desde postulados del Derecho Penal y Procesal Penal³⁵. Pueden cometerse delitos contra la intimidad de tales personas, mediante atentados indebidos al derecho a la intimidad o al secreto de las comunicaciones. También se podría aludir a posibles delitos de amenazas, cuando se conmina a los trabajadores o empleados a responder a las preguntas formuladas en las entrevistas -o interrogatorios-, ante la advertencia de pérdida del puesto de trabajo en caso de no colaboración –talk or walk-. Semejantes conductas, llevadas a cabo durante la investigación interna, pueden originar que el producto que de ellas se derive no pueda ser empleado en un ulterior e hipotético proceso penal, llegando a afirmarse que sería aplicable la teoría de los frutos del árbol envenenado. Por tales motivos, estima NIETO MARTÍN que el desarrollo de la investigación debe estar meticulosamente planificado, y que se debe examinar la legitimidad y la proporcionalidad de cada uno de los medios empleados, y de la forma en que se lleven a cabo. Asevera, además, que los citados riesgos se reducen si la entidad cuenta con un “Código de investigaciones internas”, en que se desarrollen los principios y garantías básicos de las investigaciones.

            NIETO MARTÍN, en su destacado análisis³⁶, también pone el foco de atención en que la empresa no solo hará acopio de la información interna -documentos propios o información suministrada por los trabajadores-, sino que puede acudir a la información exterior -inteligencia corporativa-, mediante repositorios de acceso abierto, registros públicos y ficheros, si bien, tales prácticas han de ser meticulosas y respetuosas con la legislación de protección de datos, en orden a limitar el almacenamiento masivo de información sobre un sujeto determinado. A su vez, alude a las obligaciones de conservación de documentación y a los individuos que están obligados a ello, así como a la posibilidad de adopción de medidas cautelares durante la investigación, que guardan cierto paralelismo con las que se pueden adoptar en el proceso penal. Sirva como ejemplo el precinto de equipos informáticos para evitar que se acceda a ellos y que se destruya o altere su contenido, o el precinto de locales o la prohibición de acceso a determinados lugares a personas concretas. Refiere NIETO MARTÍN que el informe final de la investigación interna puede tener forma oral o escrita, y será presentado ante la persona u órgano designado para ello. Aboga por el informe escrito, a los fines de garantizar la trazabilidad del sistema de cumplimiento normativo. En este sentido, enfatiza en su importancia de cara a evaluar las debilidades del programa, en que se indique los errores que han propiciado la comisión de la infracción, así como las mejoras que se proponen e, incluso, que se efectúe una propuesta de sanción disciplinaria. A su parecer, los resultados de tales informes deberían hacerse públicos, sobre todo si imponen sanciones y se trata de hechos conocidos, ya que la publicidad favorece la conciencia de que el programa de cumplimiento funciona, de modo efectivo, y de que la mercantil lo toma en serio. Además, esta transparencia aumenta la legitimidad del sistema y propicia que los miembros de la corporación lo acaten.

            Son interesantes, en este punto, las aportaciones de MONTIEL, cuando propone una serie de directrices generales para el diseño e implementación de autorregulaciones sobre investigaciones internas³⁷. A su juicio, en la confección de estos programas se deben sintetizar dos elementos: la incorporación de los trabajadores en el diseño de las autorregulaciones y, en segundo término, la conciliación de las prácticas implementadas en las investigaciones con los principios propios del Estado de Derecho y, en concreto, del derecho al debido proceso. Abunda en su análisis cuando expone que se debe partir de la existencia de una relación jurídico-laboral entre el empresario y los trabajadores, con sus correspondientes derechos y deberes, ya que ello se encuentra en la génesis de numerosas tensiones con la implementación de los derechos y deberes laborales. Agrega que “cuando también se toma como punto de referencia al trabajador -y no solo la rentabilidad empresarial o la necesidad de prevenir y erradicar la criminalidad- en el diseño e implementación de una «ordenanza» de investigaciones internas, se busca principalmente compensar esta posición de poder del empleado”, y que ello favorece comprometer a los trabajadores de la mercantil en el proceso de “autolimpieza empresarial”. Si bien, puntualiza que la incorporación de los trabajadores en la implementación de las autorregulaciones puede tener un carácter “fuerte”, cuando diseñan, de modo conjunto, tales programas, o débil, cuando únicamente se pone en conocimiento del trabajador la totalidad de sus deberes y se le informa de las facultades investigadoras del empleador.

Dicho autor también presta atención a que el ordenamiento laboral se halla presidido por el principio de buena fe, y pone de relieve que tal principio habría de conllevar la previsibilidad de las medidas que afecten a derechos de los trabajadores, y advierte que “el entramado de cuestiones jurídico-penales y jurídico-laborales que aparecen mixturadas en este proceso de autolimpieza hace poco aconsejable un traslado sin adaptaciones de las reglas de las ordenanzas procesal-penales al ámbito privado”, ya que regiría el principio nemo tenetur y el trabajador podría rehusar dar explicaciones sobre los hechos. Si bien, MONTIEL opina que una serie de circunstancias desaconsejan la plena traslación de los postulados de las investigaciones oficiales a las investigaciones internas: i) ambos fenómenos presentan significativas diferencias, pese a las analogías que puedan existir y al carácter complementario entre ellas; ii) un traslado, sin las debidas adaptaciones, “privaría al empleador de facultades que son inherentes a su rol en el ámbito de las relaciones laborales”; iii) traer al ámbito interno societario el principio nemo tenetur en toda su plenitud desnaturalizaría la relación jurídica que une al empresario con sus trabajadores; iv) la buena fe, como principio contractual, se predica tanto del empleador como de los empleados, por lo que estos últimos “tienen el deber de colaborar en el esclarecimiento de los acontecimientos internos de la empresa y el deber de dar información cierta, incluso respecto a daños causados por ellos mismos a la empresa”. Por ello, concluye que se debe adoptar una vía intermedia, en la que los investigadores se sujeten “a las leyes generales y a los estándares del Estado de Derecho”, lo que evita “colocar al trabajador en una situación de vulnerabilidad, al mismo tiempo que no se priva al empleador de derechos inherentes a su posición jurídica”, aunque plasma que ello es solo el punto de partida “de un trabajo arduo de adecuación de las normas del Derecho privado y del Derecho procesal penal a las particularidades de las investigaciones internas”.

            En todo caso, compartimos los postulados de GÓMEZ MARTÍN y VALIENTE IVÁÑEZ³⁸ en cuanto a los principios que han de regir las actividades de una empresa “socialmente responsable”, y que también atañen a las investigaciones internas. En opinión de dichos autores, los programas de cumplimiento de las empresas se someten a los siguientes principios: i) separación de poderes, lo que se traduce en que la realización de los distintos actos empresariales ha de implicar a distintos miembros de la mercantil y, a ser posible, a diferentes departamentos competenciales; ii) la documentación o verificabilidad, es decir, que se documente toda la actividad empresarial, incluso sus actos de control, y tales elementos documentales han de ser custodiados y conservados por la mercantil; iii) congruencia y coherencia en las operaciones que desarrollen, que han de tener, además, una contrapartida, subrayando que las contrapartidas no pueden ser desproporcionadas; iv) “transparencia en la gestión empresarial, independencia e imparcialidad de los órganos de control y cumplimiento o explicación”, para lo que abogan por la creación de comités de auditoría que centralicen la recepción de denuncias, insten a la realización de investigaciones internas y adopten las medidas oportunas para subsanar la irregularidad cometida o denunciar al responsable; v) la confidencialidad de las investigaciones internas corporativas, que se traduce en que sean secretas, para no perturbar el normal funcionamiento de la mercantil, cuyos resultados han de suministrarse al comité de auditoría, que “será el encargado de decidir si eleva la información al Consejo de Administración, al Informe Anual de Gobierno Corporativo y a los accionistas”.

            Como podemos inferir de lo que antecede, hemos de llegar a una primera conclusión: no existe una normativa uniforme en cuanto a las investigaciones internas corporativas, y sería recomendable que existieran, cuando menos, unas pautas o criterios a las que se pudieran acoger las empresas, puesto que ello redundaría en beneficio de la seguridad jurídica. Ante la precitada laguna normativa, como se ha anotado, existen diversas propuestas doctrinales. La mayoría de ellas coinciden en lo sustancial, a la hora de enunciar una serie de pautas o fases sucesivas que han de ser observadas. Se aprecian ciertos paralelismos con el desarrollo de las investigaciones extrasocietarias e, incluso, oficiales, y surgen dudas en cuanto al pleno respecto de los derechos fundamentales de las personas sometidas a la investigación. Podemos apreciar rasgos de esa privatización del instrumento punitivo, anotada por un sector doctrinal, y que tiene uno de sus mayores exponentes en la supervisión de los programas de compliance y en la realización de las investigaciones internas. Las entidades se convierten, cada vez más, en sujetos delegados de la función inspectora, en agentes estatales: han de ser ellas quienes detecten las irregularidades y comportamientos ilícitos en su seno, quienes adopten las medidas de prevención para evitarlos, las disposiciones para poner fin a su continuación, el aseguramiento de las fuentes de prueba y las que promuevan el descubrimiento de los autores materiales del acto ilícito, bajo la conminación de no ser beneficiarias de la exención o atenuación de responsabilidad, en caso contrario. Asistimos, cada vez en mayor medida, a un Derecho Penal premial, en que se pretende el aliciente -incluso económico, según algún sector doctrinal- de actos de delación y de persecución de los hechos ilícitos cometidos en el seno de la empresa. Con ser positivas algunas de las propuestas formuladas, hemos de anotar los riesgos que comporta la posibilidad del surgimiento de la figura de los cazarrecompensas.

Si retomamos el desarrollo de las investigaciones internas, observamos que su resultado ordinario o usual es un informe final, en que se plasmen los hallazgos, las conclusiones, el método seguido, las medidas de investigación adoptadas y los sujetos afectados. En este sentido, ello no es una cuestión menor, dado que la plasmación de los resultados de la investigación en un informe final, la atribución de la autoría de los hechos a un sujeto determinado y las medidas de aseguramiento de las fuentes de prueba pueden tener una notable relevancia en el momento de su aportación al proceso penal que se ventile por los mismos hechos. En consecuencia, el desarrollo de la investigación, el respeto escrupuloso a los protocolos y programas de actuación internos, así como a las posibles normas que se puedan promulgar al respecto, no constituyen meros formalismos, sino que pueden conllevar vulneraciones en el derecho de defensa, ahora ya en el estadio intraprocesal, si es que en la obtención de tales elementos probatorios se conculcaron los derechos fundamentales de los investigados. De ello se colige la pulcritud, el cuidado y la meticulosidad con que se han de guiar los investigadores a la hora de ejecutar el plan de indagación previsto. De ahí también que resulte recomendable que se informe al investigado de los hechos que se le atribuyen y de la posibilidad de que en tales actuaciones internas se halle aconsejado, asesorado o acompañado de un letrado de su confianza, en el bien entendido de que resulta capital garantizar el derecho de defensa.

II.3 Algunas cuestiones controvertidas: su colisión con los derechos fundamentales

Tal y como hemos adelantado, las investigaciones internas, con ser cierto que redundan en notables beneficios, tanto internos -descubrimiento de conductas irregulares, de empleados y directivos incumplidores, constatación de que el programa de detección de delitos es eficaz, interiorización de una cultura de cumplimiento de la legalidad en todos los ámbitos de actuación empresarial, etc.- como externos -ahorro de recursos materiales, personales, reducción de tiempo…-, pueden conllevar una serie de efectos perniciosos en la esfera de los derechos fundamentales de los sujetos investigados. En este sentido, tal y como plasma MONTIEL³⁹, las investigaciones internas corporativas provocan un “sinnúmero de cuestiones de enorme interés”, entre las que cita el respeto al principio nemo tenetur y la extensión de los deberes de informar del trabajador, el fundamento material de las investigaciones internas; la función y el diseño de los programas de amnistía, los tipos de sanciones adoptadas tras concluir las investigaciones, el nivel de sospecha exigido, o la existencia o no de un deber de implementar estas investigaciones, entre otros.

            Asimismo, se ha puesto el acento en la multitud de implicaciones que tienen las expectativas de confidencialidad en las investigaciones internas. A este respecto, sobresale el esquema que nos brinda GOENA VIVES⁴⁰, cuando explica que las garantías que rodean a las investigaciones internas también pueden confluir o enfrentarse con otros aspectos, como el deber de colaboración de todos los ciudadanos con la Administración de Justicia. En concreto, dicha autora se centra en la posibilidad de formular requerimientos judiciales de información, vinculados al compliance, por parte de la autoridad judicial y su admisibilidad a la luz del derecho de defensa y del derecho a la tutela judicial efectiva. Apostilla dicha autora que esta cuestión no solo tiene relevancia de cara a la persona jurídica, sino que también puede tener su incidencia sobre los derechos fundamentales y sobre los deberes institucionales de aquellas personas físicas que las representan. Además, de modo lúcido, se cuestiona tres aspectos de suma relevancia: “si se efectúa una entrada y registro en la sede de la persona jurídica o en la de sus asesores jurídicos (consultores y/o abogados), ¿estaría protegida la información derivada de una investigación interna? En el mismo sentido: si la autoridad judicial emite un requerimiento de información por el que solicita los resultados de una investigación interna, ¿puede invocarse el derecho a la no autoincriminación y/o el derecho-deber de reserva profesional? Si se desatendiera dicho requerimiento, ¿qué responsabilidades penales podrían derivarse para la empresa, para sus agentes y/o para sus asesores?”.

            GOENA VIVES advierte que la Circular 1/2016 de la FGE -a la que hemos hecho alusión con anterioridad- semeja establecer una “suerte de responsabilidad objetiva por no colaboración” de la persona jurídica. Tras destacar que la principal línea defensiva de la mercantil, frente a una eventual sanción, es de carácter afirmativo, sentencia que la información derivada de una investigación interna resulta “especialmente controvertida”. Por un lado, en este aparente dilema, reconocer a la corporación un privilegio de confidencialidad superior al derecho de no autoincriminación resultaría “difícilmente compatible con el rol de co-agentes del Estado” que se impone en el sistema de autorregulación de los arts. 31 bis y ss. CP. A su vez, destaca que “parece arduamente conciliable con la reciente intensificación de los deberes positivos de colaboración a quienes prestan servicios de asesoría o consultoría jurídica, cuyo derecho-deber de reserva se encuentra limitado a los casos de defensa letrada” y, en tercer lugar, alude a la circunstancia de que, en muchas ocasiones, serán las propias personas físicas que pertenecen a la sociedad quienes estarán interesadas en la entrega voluntaria de un informe de forensic -resultado de la investigación interna- por las ventajas punitivas que ello puede conllevar. A modo de corolario, GOENA VIVES alude a que esta información puede resultar “altamente sensible y valiosa para la acusación”, y cuestiona la incorporación automática, en el proceso penal, del material obtenido en una investigación interna, ya que ello “podría suponer la admisión de una suerte de «proceso paralelo», más policial que penal”, y muestra su escepticismo sobre la decisión, por parte del instructor, de expulsión del material aportado, ya que es él quien dirige la investigación y, en segundo término, sobre la propia virtualidad del expurgo judicial, del que afirma que “no presenta suficientes garantías de imparcialidad”.

Por otro lado, VILLEGAS GARCÍA y ENCINAR DEL POZO⁴¹ han destacado que, para que las investigaciones internas puedan emplearse en el proceso penal, deben ser completas y detalladas, y han de revelar todos los elementos necesarios para delimitar la comisión del delito, incluyendo a sus posibles autores materiales. A su vez, enfatizan en que tales indagaciones en modo alguno pueden comportar una coacción que vulnere el derecho a no autoincriminarse, puesto que, en tal caso, se transformarían en una suerte de puerta falsa o trasera por la que sería factible introducir en el proceso penal pruebas obtenidas con vulneración de derechos fundamentales. De igual modo, en opinión de BACIGALUPO ZAPATER, el éxito de las investigaciones internas depende “sustancialmente de su riguroso respeto de las normas aplicables”, puesto que, en este ámbito, el empresario actúa “en una función de policía privada o empresarial, o, dicho con otras palabras, lo hace en el marco de su programa de compliance. La experiencia enseña que en esta actividad «sin sensibilidad respecto de las directivas del derecho penal, del derecho del trabajo y de la protección de datos la investigación interna concluye en debacle»”⁴². Asimismo, debemos llamar la atención sobre algunos postulados extranjeros que resultan sumamente interesantes. Hacemos alusión a la denominada “doctrina del producto del trabajo”, y que en el ámbito que nos ocupa cristalizaría en las salvaguardas que ofrece el “privilegio abogado-cliente” en la delincuencia de cuello blanco y, sobre todo, en las investigaciones internas corporativas⁴³.

Por ende, la colisión con los derechos fundamentales de los sujetos investigados, en virtud de las facultades y potestades de supervisión y control que ostenta el empresario, constituye una de las más importantes fuentes de controversia en este campo. A título meramente enunciativo, podemos citar algunos supuestos dudosos que han sido tratados por la jurisprudencia. Podemos comenzar mencionando el derecho a la intimidad de los trabajadores y empleados, así como al secreto de sus comunicaciones, en el caso del acceso a dispositivos telefónicos, informáticos o a correos electrónicos corporativos. En este caso, podría debatirse si el empleador excede sus posibilidades indagatorias y se adentra en la comisión de un delito contra la intimidad. Cuando se trata de semejantes medidas de injerencia, debe acudirse a parámetros tales como la necesidad, la proporcionalidad o la idoneidad de la medida en cuestión. En este concreto supuesto, relativo a la intervención en los dispositivos electrónicos y telemáticos, juega un destacado papel el margen de aplicación del canon de la expectativa razonable de confidencialidad⁴⁴, que proviene de la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) y, en concreto, de la STEDH 2017/61, caso Barbulescu vs. Rumanía. En ella se plasmó que era necesario el consentimiento expreso de los trabajadores a los efectos de investigaciones internas sobre ordenadores, medios digitales, correos, mensajes y teléfonos corporativos. En esencia, y siguiendo a PALOMINO SEGURA, podemos esquematizar los requisitos que han de concurrir en el acceso lícito a los dispositivos telemáticos de los trabajadores: “(i) que la sociedad haya informado a sus empleados de manera clara y con carácter previo acerca de la naturaleza y alcance de una potencial vigilancia -siendo por ello muy importante contar con una política interna que regule esta materia-; (ii) que la intromisión en el derecho a la vida privada del empleado no se realice de manera desproporcionada, debiéndose establecer criterios de búsqueda que limiten dicha intromisión, tales como delimitar un espacio temporal, dispositivos supervisados, número de personas con acceso a dicha información, palabras clave, etc.; (iii) que la sociedad tenga un fin legítimo que justifique el nivel de intromisión; (iv) que la supervisión no pueda ser realizada por medios menos invasivos; y (v) que la sociedad haya destinado el resultado de la supervisión al fin para el que fue obtenido”⁴⁵.

 La Sala 2ª del TS, en varios pronunciamientos, ha acogido la doctrina derivada de la STEDH citada. Sirva como ejemplo la STS 489/2018, de 23 de octubre⁴⁶, en la que se realiza un análisis de la cuestión en los órdenes jurisdiccionales afectados -significadamente laboral-, y se concluye que resulta nula la prueba que se basa en un acceso ilegítimo, que no ha sido autorizado por el trabajador y al que se vulnera su expectativa de confidencialidad. En el caso de autos que se enjuicia en la meritada resolución, el directivo que había sido investigado no había asumido la obligación de utilizar el ordenador, de modo exclusivo, con finalidad empresarial; tampoco se le había informado, de modo previo, sobre las facultades que se reservaba la empresa en cuanto a la fiscalización de los mensajes emitidos o recibidos desde ese dispositivo, o mediante la cuenta de correo corporativa. En tercer lugar, no existía una prohibición de envío, desde dicha cuenta corporativa, de correos electrónicos que fuesen ajenos a su actividad laboral, ni se le había sido advertido de una hipotética facultad de la empresa de examinar el dispositivo por su cuenta y sin previo aviso. De ahí que se concluyese que el trabajador no había autorizado, ni expresa ni tácitamente, que su empleador pudiese acceder a los contenidos indicados.

Esta línea jurisprudencial se ha mantenido en fallos posteriores. Podemos citar aquí la STS 328/2021, de 22 de abril⁴⁷, en la que se valora si el registro realizado por un empleador, en el ordenador de trabajo de un empleado, constituye una fuente de prueba ilícita o no. En esta resolución vuelve a enfatizarse en el derecho de exclusión que ostenta el empleado y, en todo caso, se sitúa en el centro del debate la proporcionalidad de la medida, ya que la renuncia no puede ser inopinada o incondicional. De igual modo, la STS 56/2022, de 24 de enero, ahonda en esta interpretación y dispone que el citado acceso solo resulta lícito si el empleador cuenta con el consentimiento previo del trabajador. Por lo tanto, la anuencia puede ser de dos tipos, expresa o tácita. De la mayor relevancia, en orden a esta segunda modalidad, resulta la consideración de que “la permanencia en el puesto tras esta comunicación puede interpretarse como un consentimiento tácito. Máxime si no constan objeciones”⁴⁸ respecto de la política interna sobre uso de aparatos y sistemas TIC. Si bien, en esta resolución se trataba de un caso en que el acceso a los correos lo había protagonizado un socio de la mercantil, y la Sala 2ª apostillaba que era “muy discutible que la mera condición de socio de una mercantil, sin atribución de responsabilidad gestora alguna, habilite para ejercer funciones de control y supervisión de la actividad empresarial, fuera de los cauces del derecho a la información que garantiza la legislación sectorial”.

Asimismo, podemos traer a colación la STS 89/2023, de 10 de febrero⁴⁹, en que se discutía a propósito de la incorporación de una serie de correos electrónicos corporativos de trabajadores a un informe de forensic. Algunos de los empleados alegaron que tales emails fueron obtenidos sin su consentimiento explícito, mientras que otros expresaron que, aunque sí prestaron su consentimiento, lo hicieron de modo viciado. En esta resolución resulta interesante que la Sala 2ª diferencia dos categorías de sujetos: los que habían prestado su consentimiento, de quienes se predica que carecen de cualquier expectativa de privacidad y, por otro lado, los que no han prestado dicho consentimiento, “sin perjuicio, ya se ha dicho, de los que, por haber sido enviados o recibidos por quienes sí asintieron, se hallaban disponibles para éstos. En este caso, en el de los trabajadores que no prestaron consentimiento a la revisión de sus terminales, y partiendo de que ninguna advertencia u observación previa se les había realizado por la empresa acerca de la posibilidad de acceder al contenido de los mismos, sí puede sostenerse, con razón, que se quebrantó una expectativa legítima de intimidad y, en consecuencia, proclamarse la nulidad de lo así obtenido”.

Debemos destacar que esta línea jurisprudencial encuentra su soporte en la normativa extrapenal, como se desprende de lo regulado en materia de protección de los datos personales, dado que el art. 87 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales⁵⁰ ha consagrado la tutela de la intimidad de los trabajadores en cuanto al uso de los dispositivos digitales puestos a su disposición por el empleador. En términos análogos se ha pronunciado el art. 20 bis del Estatuto de los Trabajadores, en cuanto a la protección de la intimidad del trabajador.

Sin embargo, desde la doctrina se ha llamado la atención sobre el efecto restrictivo de las investigaciones internas que puede conllevar alguna de las limitaciones jurisprudenciales al acceso al correo electrónico de los empleados. A tal efecto, podemos mencionar las manifestaciones formuladas por GÓMEZ MARTÍN⁵¹. Dicho autor comenta la anteriormente citada STS 328/2021, que versaba sobre un supuesto de acceso al correo electrónico del empleado por parte de la administradora única de la empresa, ante la sospecha de que estaba prestando servicios para la competencia. Pues bien, después de compartir varios de los postulados centrales de la resolución, GÓMEZ MARTÍN aduce “que sea razonable distinguir entre datos personales y secreto de las comunicaciones no significa, sin embargo, ni que esta delimitación resulte en todo caso fácilmente practicable, ni tampoco que deba ser directamente trasladada de su ámbito natural de operatividad, el de la relación Estado-ciudadano”. Se centra en las dudas que surgen en cuanto a la determinación de la consumación de una comunicación por vía telemática. También explica que, en la traslación de funciones policiales a las personas jurídicas, resulta factible que, ante la comisión de un hecho ilícito, y para evitar el daño reputacional, la entidad omita la denuncia ante las autoridades formales de control del delito y depure de modo interno las posibles responsabilidades. Al hilo de dicha materia se cuestiona qué conducta habrá de seguir el empleador cuando existe un mensaje de correo electrónico que todavía no ha sido leído por el trabajador. Según la STS 328/2021, ello precisa, necesariamente, la interrupción de la eventual investigación interna iniciada y que se solicite la correspondiente autorización, por lo que dicho autor concluye su trabajo preguntándose si “sigue teniendo sentido la realización de una investigación interna que muy probablemente tendrá que ser interrumpida ab initio”, a lo que contesta, de modo tajante, que “la STS 328/2021, 22-4 asesta un nuevo golpe, esta vez quizá mortal, a las investigaciones internas corporativas”.

            Otro de los efectos controvertidos a los que hemos de prestar atención viene determinado por el ámbito de operatividad que podemos atribuir al uso de sistemas de grabación a través de la videovigilancia en el ámbito profesional. Nuevamente, si acudimos como parámetro de interpretación al TEDH, en este caso debemos estar a la STEDH Caso López Ribalda y otros contra España, de 17 de octubre de 2019⁵². En esta resolución se validó que se estableciesen -bajo determinadas garantías que consigna- sistemas de videovigilancia en el ámbito laboral. Además, en esta sentencia se avanza un paso más y es posible inferir que la videovigilancia puede no ser comunicada a los empleados, y que no por ello resultará ilegítima, siempre y cuando existan sospechas razonables de la comisión de un comportamiento que sea constitutivo de una infracción grave, que genere un perjuicio relevante para la entidad corporativa, siempre y cuando dicho método de averiguación se pueda reputar eficaz en un juicio ex ante. Precisamente, a propósito de la utilización de la videovigilancia cuando no se informe a los empleados de la mercantil se ha pronunciado la STC 119/2022, de 29 de septiembre. En ella se analizó la confrontación existente entre el derecho a la utilización de los medios de prueba pertinentes y el derecho a la intimidad y la protección de los datos personales de los trabajadores. En esencia, el TC, por una mayoría de seis votos frente a cinco, validó que el empleador podía utilizar las imágenes obtenidas de un sistema de videovigilancia, instaladas con fines de seguridad, aunque no se hubiera notificado de modo expreso a los trabajadores su existencia, en caso de que existan sospechas de delito flagrante cometido contra los intereses de la entidad. Según la sentencia de la mayoría de la Sala, el hecho de que se hubiera infringido el deber recogido en el art. 89.1 LOPD⁵³ no podía conllevar que la grabación de un delito flagrante no pudiera ser aportada al proceso de despido disciplinario, ya que ello tendría cabida en la excepción prevista en el mismo art. 89.1 LOPD. Frente a tales aseveraciones se alzaba el sector minoritario del TC, disidente, y que confeccionó un voto particular en que se plasmaba: “[n]o bastará que se verifique que concurre una situación de flagrancia en la captación de la imagen y la presencia en el lugar de trabajo de los carteles anunciadores de la existencia del sistema para legitimar, desde la perspectiva del art. 18.4 CE, el uso de esa imagen con fines disciplinarios. Será preciso, además, en atención a la naturaleza esencial y principal del deber específico de información a los trabajadores en cuanto garantía del derecho fundamental, que se den cumplidas razones por parte del empleador respecto de su incumplimiento”. A la vista de estas divergencias valorativas, se ha señalado por la doctrina que, después de la STC 119/2022, “persiste, pues, la incertidumbre sobre la relevancia del deber de informar del empleador para la validez probatoria de las imágenes obtenidas con el sistema de videovigilancia que haya instalado”⁵⁴.

            Unos meses antes de la STC 119/2022, la Sala de lo Social del TS dictó la STS 692/2022, de 22 de julio, en la que validó como prueba las grabaciones obtenidas en un domicilio particular, en cuya virtud el matrimonio de propietarios entregó carta de despido a su empleada del hogar. En esta resolución, la Sala 4ª introdujo alguna modulación a la doctrina que estamos comentando. El punto de partida fue que no toda vulneración del art 89.4 LOPD, en relación con el deber de información, constituye una violación del derecho a la protección de los datos personales. La Sala atendió a la existencia de graves sospechas de sustracción, por parte de los propietarios, y estimó que dicha sospecha fundada justificaba la ausencia de comunicación a la empleada. Asimismo, introduce otro factor de ponderación, cifrado en el carácter permanente o temporal de las cámaras, y concluye que, si es permanente, no se puede soslayar el deber de información del art. 89.1 LOPD. Por el contrario, si la colocación es temporal, como en el caso enjuiciado, y su instalación es puntual, con la finalidad de esclarecer un concreto hecho, el precitado deber deviene “modulable”.

            En tercer lugar, no podemos pasar por alto qué sucede con las entrevistas/interrogatorios que se llevan a cabo durante las investigaciones internas, y ello tanto con relación a su concreto desarrollo como, con posterioridad, a propósito de su aportación al simultáneo o posterior proceso penal. Nuevamente, el punto de partida es la inexistencia de una regulación específica sobre la materia, por lo que hemos de asumir su admisibilidad. Por si fueran pocos los problemas suscitados, hemos de dar una nueva vuelta de tuerca y cuestionarnos qué sucede en el supuesto de que el empleado o directivo exteriorice manifestaciones autoincriminatorias. En este sentido, en puridad, no es dable una equiparación con la confesión brindada en sede judicial, puesto que no se produce ni en el seno de un proceso, ni rodeada de todas las garantías formales ni ante una autoridad judicial, por lo que ha de relativizarse su alcance y virtualidad. Tomemos como referente en esta materia el art. 406 LECRIM, cuando trata la confesión del sujeto investigado, y establece: “La confesión del procesado no dispensará al Juez de instrucción de practicar todas las diligencias necesarias a fin de adquirir el convencimiento de la verdad de la confesión y de la existencia del delito”. La dicción literal del precepto nos lleva a una primera conclusión: si en el caso de un proceso penal resulta insuficiente la mera confesión y es preciso que se practique la totalidad de las diligencias, con más motivo ha de predicarse su carácter relativo en el seno de una investigación interna corporativa, que no se halla presidida por las garantías del proceso penal.

            En este punto, resultan interesantes las aportaciones de VILLEGAS GARCÍA y ENCINAR DEL POZO⁵⁵, cuando se cuestionan en qué medida se pueden trasladar a estos sistemas privados de investigación -e incluso sanción- las garantías clásicas del Derecho Penal, tales como el principio de culpabilidad, la presunción de inocencia o la no autoinculpación. El punto álgido se encuentra en cómo se incorporan los materiales obtenidos en una investigación interna al proceso penal. No podemos obviar que en el desarrollo de las indagaciones se han podido recopilar numerosos elementos incriminatorios, dimanantes de las entrevistas realizadas, de los documentos obtenidos, de los cuestionarios entregados a los trabajadores, o del control de sus medios telemáticos -con las salvaguardas y cortapisas que hemos anotado-, y que este acervo puede ser empleado como prueba en el proceso penal, “de ordinario, en una doble dirección: i) en beneficio de la entidad, que mostrará con ello su voluntad de colaboración con las autoridades y su “compromiso de respeto al Derecho”; y ii) en perjuicio de la persona física responsable de la infracción”. Así las cosas, los autores que seguimos explican que, durante la investigación interna, se deben respetar los derechos de los investigados. En concreto, destacan que se les debe informar de su posición y de que sus intereses pueden no ser coincidentes con los de la entidad, que, incluso, puede pretender “recopilar información en su contra para utilizarla en el proceso penal ulterior”. De ahí que promuevan una clara diferenciación entre la esfera de intereses afectados, que pueden ser contrapuestos. Además, esta concreta delimitación permitirá determinar de qué derechos es titular la propia entidad, entre los que enuncian el derecho a no autoincriminarse o a la confidencialidad en la relación abogado-cliente. Apostillan que tales derechos solo se podrán tutelar, de modo pleno, si no hay confusión entre sus límites y los derechos propios de las personas físicas investigadas. Por último, ponen como ejemplo la aportación de las entrevistas realizadas a los trabajadores por abogados de la empresa. En dicho supuesto entienden que tales letrados de la compañía deberán ser “taxativos en la información al entrevistado sobre a quién representan, porque solo así este último podrá valorar qué información está dispuesto a suministrar”.

Una vez que hemos prestado atención a los principales supuestos dudosos y de colisión entre las investigaciones internas corporativas y los derechos de los trabajadores y directivos, es el momento de apuntar, siquiera de modo somero, una serie de riesgos y límites derivados de tales investigaciones, siguiendo a PEÑARANDA EZPONDABURU⁵⁶. Dicha autora subraya que se debe prestar atención a la posible conexión de antijuridicidad en la obtención de las fuentes de prueba, para lo que atiende a los postulados dimanantes de la doctrina Falciani -STS 116/2017, de 23 de febrero-. En este sentido, los resultados de las investigaciones internas que den lugar a pruebas -dentro del proceso-, y en cuya génesis no se haya respetado el principio de proporcionalidad, y hayan vulnerado los derechos de privacidad de los trabajadores, pueden ser reputadas nulas. Sirva como ejemplo de esta línea de opinión la STS 56/2022, de 24 de enero⁵⁷, en la que se consigna que “(s)e pretendió obtener una ventaja procesal mediante la lesión de derechos fundamentales siendo precisamente esto lo que justifica axiológica y constitucionalmente la activación de la regla de exclusión”. De ahí que el art. 11 LOPJ constituya un medio idóneo para declarar nulas las evidencias obtenidas en investigaciones internas con vulneración de derechos fundamentales, por lo que, ante la ausencia de una disciplina expresa, dicho precepto omnicomprensivo permite tutelar, también en este ámbito, que las pruebas no se hayan obtenido con vulneración de los derechos fundamentales. Con todo, es preciso que se hagan ulteriores esfuerzos dogmáticos y jurisprudenciales para perfilar, con mayor nitidez, en qué medida un particular -una entidad corporativa- puede vulnerar derechos fundamentales cuando desarrolla investigaciones internas, en el marco de su programa de compliance, y qué cauces resultan adecuados para una incorporación al proceso penal con pleno respeto a los derechos fundamentales del investigado y, significadamente, de los derechos del art. 24 CE.

A modo de síntesis podemos concluir que los distintos niveles de exigencia, protocolos, parámetros y planes de actuación e intervención que empleen e implementen las entidades corporativas han de ser respetuosos con los derechos fundamentales de los trabajadores. La clave de bóveda del sistema se halla en lograr el equilibrio entre la exhaustividad de las labores indagatorias y la existencia y respeto a los derechos fundamentales de las personas físicas sometidas a las labores inspectoras. Por ello, entendemos que es preciso que se establezcan los límites legales a dichas investigaciones, en los que se valore la relación cliente-abogado, y se parta del derecho a la no autoincriminación⁵⁸. Otro elemento que debemos resaltar es el carácter voluntario en la actuación de la mercantil, como veremos a continuación al analizar los aspectos prácticos y propios de la praxis judicial. La mercantil ostenta libertad para aportar, si lo estima oportuno y conducente a su esfera de derechos e intereses, los resultados de la investigación –forensic– y la documentación obtenida durante su desarrollo a las autoridades. No se puede conminar a su aportación, ya que ello podría cercenar, por vía oblicua, su derecho de defensa, en su vertiente de no declarar contra sí misma y de no confesarse culpable. En este sentido, tal y como explica LASCURAÍN SÁNCHEZ⁵⁹, debemos tomar en consideración que, judicializada una causa contra una persona jurídica, semejantes requerimientos de información sobre las investigaciones internas, tanto a los terceros que hayan participado -investigaciones externalizadas- como a la propia entidad o a sus letrados internos o vinculados, pueden vulnerar el meritado derecho de la persona jurídica a no declarar contra sí misma. En apretado y preciso resumen, tal y como manifiesta el autor que seguimos: “Se trata por lo tanto de la generación interna de elementos de prueba por razones de ejercicio del derecho de defensa. Desde luego que como tales no son inalcanzables a la instrucción, si se accede a ellas con plenas garantías, pero creo que lo que no pueden ser es recabadas bajo compulsión pública. Y si lo son, no pueden tener valor probatorio, so pena de la vulneración de los derechos de defensa y a la presunción de inocencia”.

III. Aspectos prácticos: su análisis en fase de instrucción

Como hemos referido a lo largo de este artículo, el estudio de las investigaciones internas plantea cuestiones que no son sencillas de resolver en la práctica judicial, cuando se hace valer su existencia en el marco del procedimiento penal en su fase preliminar; la instrucción.

En este apartado nos vamos a referir a la valoración por el Magistrado Instructor de las investigaciones internas desplegadas en el seno de una empresa a la hora de determinar la responsabilidad penal del dicho ente corporativo. En cualquier caso, hemos de advertir que se trata de un ámbito del Derecho Penal y Procesal Penal que aún tiene un camino que recorrer y donde las decisiones encaminadas a resolver las distintas cuestiones que se van ir planteando resultan extraordinariamente casuísticas.

El punto de partida debe ser, necesariamente la responsabilidad penal de las personas jurídicas. Es en este contexto donde las investigaciones internas podrán resultar relevantes, tal y como ya hemos señalado, como uno de los elementos que permiten coadyuvar al Juez a alcanzar la convicción de que en la persona jurídica investigada existe una verdadera cultura de cumplimiento normativo que impregna toda su organización, y que el modelo de organización y gestión de la entidad, su correcto funcionamiento y su eficacia a la hora de prevenir y actuar contra la delincuencia corporativa, justificará atenuar o incluso eximir totalmente de responsabilidad penal a la entidad que se enfrenta a una instrucción penal.

La responsabilidad penal de las personas jurídicas, como se ha señalado a lo largo de este artículo, se introduce en nuestro Código Penal en el año 2010, siendo objeto de una importante reforma en el año 2015. Debemos recordar que en esta última reforma se introdujo la posibilidad de que la persona jurídica pueda quedar exenta de responsabilidad si, antes de la comisión del delito, hubiera adoptado y ejecutado eficazmente un modelo de organización y gestión adecuado (incluyendo, en su caso medidas de vigilancia y control), para prevenir delitos de la naturaleza del que se cometió por la entidad, o al menos, que sirva para reducir de forma significativa el riesgo de su comisión (art. 31 bis.2 y 4 CP). Este modelo de vigilancia y control es lo que habitualmente se conoce como compliance.

Para que esta exención de responsabilidad penal pueda darse en la práctica, el CP establece unos requisitos mínimos que deberán reunir el compliance o modelo de organización y gestión (art. 31 bis.5 CP). Resulta llamativo observar cómo, entre estos requisitos, el legislador omitió cualquier referencia a las investigaciones internas, es decir, aquellos procesos desplegados en el seno de la entidad y puestos en marcha como reacción a la presunta comisión de una infracción, dirigidos precisamente a su esclarecimiento, y a la determinación de los responsables, proyectándose frente a los empleados de la entidad como un eficaz mecanismo de prevención de futuras infracciones.

Como ya vimos, sí que se refiere a las investigaciones internas la Circular FGE 1/2016. Esta alusión a las investigaciones internas sitúa muy bien el contexto en el que las investigaciones internas adquieren relevancia en el procedimiento penal, y es el de la “consideración” como atenuante o, en su caso, eximente de la actividad desplegada por la entidad como resultado de la implantación de un modelo de organización y gestión con pretensiones reales de ser calificado de “adecuado” por el instructor.

Debemos recordar que uno de los contenidos mínimos que exige el Código Penal en el “compliance” es la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Esta obligación se debe completar en la actualidad con las novedades introducidas por la Ley 2/2023, en la medida en que la información sobre los riesgos e incumplimientos deberá transmitirse a través de los canales de denuncia que se establezcan en la entidad, ya se trate de una denuncia interna por un empleado de la entidad, ya de una denuncia anónima.

III.1 Las investigaciones internas antes del procedimiento penal

Partimos del supuesto que una persona jurídica está dotada de un modelo de organización, por muy básico que sea, es decir, que tiene un compliance. Es importante señalar que esta posibilidad no es más que una hipótesis, pues la sociedad podría carecer completamente de un modelo de organización y gestión en los términos referidos en el art. 31 bis CP, y operar en el tráfico jurídico, sin más consecuencias para la entidad que la imposibilidad de acceder a la atenuación o exención de responsabilidad penal prevista en el Código. No existe, por tanto, un delito de omisión de programa de cumplimiento.

Si la entidad goza del referido programa, la investigación interna se pondrá en marcha cuando la persona bajo cuyo mando esté observar el cumplimiento de este modelo tenga conocimiento de un hecho que merece ser esclarecido. Iniciada la investigación interna, su principal característica es, como se ha aludido, la falta de una normativa regulatoria (un procedimiento uniforme). A diferencia de lo que ocurre con el procedimiento penal, minuciosamente reglado, y que es el resultado de una concatenación de actos procesales, las investigaciones internas no tienen esta rigidez, por lo que cada entidad posee un amplio margen de libertad en su configuración.

Tratándose de investigaciones llevadas a cabo por la Autoridad Independiente de Protección del Informante, el art. 19.1 de la Ley 2/2023 dispone que “la instrucción comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados”, sin concretar tales actuaciones. Fuera del caso previsto en la Ley 2/2023, el modo de conducir la investigación en cada entidad dependerá, por lo general, de la estructura interna de la sociedad, su complejidad, capacidad económica y naturaleza del delito de que se trate. Cuando la empresa goza de un sistema de cumplimiento, la investigación interna será una suerte de actuación de policial, con un alcance “paraprocesal”. Entendemos que su valor no es necesariamente “pre” procesal, pues una investigación interna no siempre debe desembocar en un proceso penal.

Aunque lo lógico es imaginar que de la investigación interna resulte una posterior actuación judicial que permita a la entidad aspirar a una atenuación o exención de la responsabilidad penal, ello no tiene por qué ser necesariamente así. Cabe imaginar que la investigación interna permita disuadir un riesgo detectado en la entidad, sin que éste llegue a materializarse en la comisión de un delito, o incluso que la supuesta infracción cometida por la persona jurídica no llegue a conocimiento del Juez de Instrucción, por lo que no tenga más recorrido que el interno.

En los casos en que la investigación interna se inicia para detectar o mitigar un riesgo, o cuando por cualquier circunstancia puede presumirse que no acabará en un procedimiento penal, se trata de actuaciones que no desbordan el marco de la entidad en la que se genera la investigación, por lo que la afectación a los derechos de las partes se analizará desde una dimensión estrictamente interna de la empresa. Como hemos señalado al analizar los efectos en los derechos fundamentales de las investigaciones internas, estas tendrán que realizarse con respecto a los derechos fundamentales de las personas físicas que se ven envueltas en ellas, buscando un equilibrio entre la exhaustividad de las labores indagatorias y la existencia y respeto a los derechos fundamentales de aquellos.

Las consecuencias de esta investigación se producen dentro de la empresa y en el círculo de las relaciones jurídicas de la entidad con los terceros, pudiendo consistir, por ejemplo, en la adopción de algún tipo de medida por los órganos sociales (consejo de administración, Junta General, presidente de la entidad, etc.) o bien, alguna de las medidas previstas en el Estatuto de los Trabajadores cuando el responsable del hecho es un empleado, como la resolución de un contrato o una reclamación de una cantidad, o bien la comunicación del resultado de la investigación o de la información recabada a la Fiscalía, a la Policía o, directamente, al Juzgado.

De este modo, lo lógico, será pensar que, con toda probabilidad, tras la investigación interna pueda iniciarse un procedimiento penal, y que, por tanto, la investigación se desarrolle con una razonable expectativa de que el material usado en la investigación pueda ser usado en el ulterior procedimiento penal en donde se exija responsabilidad penal a la persona jurídica que precisamente puso en marcha la investigación.

III.2 Las investigaciones internas en el procedimiento penal

Es en este punto donde se plantean las situaciones más interesantes. La puesta en marcha de un procedimiento penal permitirá al Juez reexaminar tanto el modo en que la investigación se desarrolló en la empresa, como el resultado de la investigación interna. Iniciado un procedimiento penal corresponderá a la persona jurídica valorar si aporta al procedimiento la investigación que hubiera podido realizar, tomando en consideración si su resultado se alinea con la estrategia de defensa que se pretende plantear en el procedimiento penal. Si la entidad presenta el forensic o el resultado de la investigación efectuada, con vocación de que produzca efectos en el procedimiento penal, corresponderá al Juez examinar si se cohonesta con las garantías y los derechos fundamentales propios del proceso penal.

Por tanto, debemos referirnos a cuándo y por qué aportar las investigaciones internas al procedimiento, cómo se incorporan en el proceso penal los elementos dimanantes de tales investigaciones y su valoración. Esta última cuestión resulta especialmente relevante, pues la afectación a los derechos de las partes que puede resultar de una investigación interna debe examinarse a la luz del valor que se le pretende dar al resultado de dicha investigación.

III.2.1 Cuándo introducir una investigación interna

El sistema de responsabilidad penal de las personas jurídicas que articula el CP español no prevé evitar la denuncia o querella, ni siquiera la incoación del proceso penal, por haber actuado la persona jurídica con la diligencia debida, investigando internamente los hechos y delimitando el alcance de los responsables personas jurídicas. No existe en España algo parecido a lo que en Estados Unidos sería el Deferred Prosecution Agreement (acuerdos de persecución diferida) y los Non Prosecution Agreements (NPA o acuerdos de no persecución), negociados entre la persona jurídica sospechosa y la Fiscalía, que permiten aplazar o suspender el ejercicio de la acción penal condicionándolo al cumplimiento de determinados acuerdos.

Por tanto, si el Instructor tiene conocimiento de la “notitia criminis” (a través de querella del Fiscal, denuncia o atestado policial) de la que se desprende la existencia de indicios razonables de la existencia de un hecho subsumible en uno de los delitos los previstos para las personas jurídicas, cometido por alguna de las personas previstas por el Código Penal en beneficio directo o indirecto del ente corporativo, no queda más opción que iniciar el procedimiento penal.

Una vez delimitado el marco inicial de imputación en el que resulta subsumible el hecho es cuando entra en valor el presupuesto sobre el que pivota todo el sistema de responsabilidad de la persona jurídica, ha de determinarse si se ha producido una quiebra del modelo de organización y gestión, de los sistemas de prevención de la infracción y/o los mecanismos de vigilancia y control de la persona jurídica, provocando, precisamente como consecuencia de este déficit, que aflore el delito en cuestión.

En la medida en que la jurisprudencia ha consolidado la existencia de un sistema de responsabilidad por hecho propio por “culpa” de la entidad, en principio la prueba de este déficit corresponderá a la acusación⁶⁰, que será quien tendrá que demostrar que la comisión del delito es resultado de la falta de un “adecuado” modelo de organización y gestión.

Ahora bien, ello no impide que, iniciado el procedimiento penal, sea el Juez de Instrucción quien valore que el compliance era eficaz, como señalan VILLEGAS GARCÍA y ENCINAR DEL POZO⁶¹, sin que sea necesario -siempre y en todo caso- diferir la evaluación para el acto del juicio oral. Ahora bien, dadas las características de esta fase previa del proceso penal que determinan, como ha reconocido reiteradamente la Jurisprudencia de la Sala 2ª del TS, que solo son auténticas pruebas aquellas que se practican en el juicio oral, en ocasiones será difícil alcanzar en fase de instrucción una conclusión definitiva sobre un programa de cumplimiento normativo (con respeto a las garantías de todas las partes), particularmente, en supuestos en los que su evaluación sea especialmente compleja debido, por ejemplo, al tamaño de la entidad o a la actividad que realice, todo ello en relación con la naturaleza de la actividad ilícita de que se trate.

La experiencia práctica ha puesto de manifiesto la posibilidad de efectuar la valoración del programa de cumplimiento en fase de instrucción, incluso en supuestos complejos, cuando resulta evidente, a la vista del material que obra en el procedimiento, que el programa resulta eficaz, que existe una verdadera cultura de cumplimiento normativo en la entidad y que el resultado delictivo no fue consecuencia de una falta de implantación de un compliance “adecuado”, especialmente cuando ya se han practicado todas las diligencias de instrucción, estando pendiente tomar alguna de las decisiones previstas en el art. 779 LECrim.

Así se ha confirmado por la Sala de lo Penal de la Audiencia Nacional, en el Auto núm. 36/2023, de 30 de enero, en el que se afirma que “(l)os arts. 779 y 783 de la Ley de Enjuiciamiento Criminal contemplan la posibilidad de sobreseer las actuaciones una vez finalizada la instrucción. No se trata en este caso de hurtar el instructor la decisión al órgano de enjuiciamiento ni de que valore indicios de modo distinto a como pudo hacer este Tribunal al resolver otros recursos en este procedimiento. El resultado de las diligencias practicadas después del auto nº 51/2022 de 07.02.2022 y el de las ordenadas por este tribunal en el mismo, influye en el resultado de la instrucción y en la valoración de todas las diligencias en su conjunto (…)” ⁶².

La valoración del programa de cumplimiento en fase de instrucción presenta otro importante beneficio para la entidad: evitar el perjuicio reputacional que causa a la empresa la investigación en curso. Se trata de un daño a la imagen de la sociedad especialmente relevante en aquellos casos en los que el delito presenta relevancia en los medios de comunicación. Por tanto, la aportación al procedimiento de las investigaciones internas o del forensic que se ha realizado por la entidad investigada puede realizarse desde el primer momento de la investigación.

III.2.2 Por qué incorporar al procedimiento penal la investigación interna

La STS 221/2016, de 16 de marzo, manifiesta: “Desde la perspectiva del derecho a la presunción de inocencia a la que se refiere el motivo, el juicio de autoría de la persona jurídica exigirá a la acusación probar la comisión de un hecho delictivo por alguna de las personas físicas a que se refiere el apartado primero del art. 31 bis del CP, pero el desafío probatorio del Fiscal no puede detenerse ahí. Lo impide nuestro sistema constitucional. Habrá de acreditar además que ese delito cometido por la persona física y fundamento de su responsabilidad individual, ha sido realidad por la concurrencia de un delito corporativo, por un defecto estructural en los mecanismos de prevención exigibles a toda persona jurídica, de forma mucho más precisa, a partir de la reforma de 2015. La Sala no puede identificarse -insistimos, con independencia del criterio que en el plano dogmático se suscriba respecto del carácter vicarial o de responsabilidad por el hecho propio de la persona jurídica- con la tesis de que, una vez acreditado el hecho de conexión, esto es, el particular delito cometido por la persona física, existiría una presunción iuris tantum de que ha existido un defecto organizativo. Y para alcanzar esa conclusión no es necesario abrazar el criterio de que el fundamento de la responsabilidad corporativa no puede explicarse desde la acción individual de otro. Basta con reparar en algo tan elemental como que esa responsabilidad se está exigiendo en un proceso penal, las sanciones impuestas son de naturaleza penal y la acreditación del presupuesto del que derivan aquéllas no puede sustraerse al entendimiento constitucional del derecho a la presunción de inocencia. Sería contrario a nuestra concepción sobre ese principio estructural del proceso penal admitir la existencia de dos categorías de sujetos de la imputación. Una referida a las personas físicas, en la que el reto probatorio del Fiscal alcanzaría la máxima exigencia, y otra ligada a las personas colectivas, cuya singular naturaleza actuaría como excusa para rebajar el estándar constitucional que protege a toda persona, física o jurídica, frente a la que se hace valer el ius puniendi del Estado”.

Que sea la acusación quien tenga la carga de acreditar que el delito cometido por la persona jurídica ha sido por un defecto estructural en los mecanismos de prevención exigibles no significa que la entidad investigada adopte una posición pasiva, máxime cuando la prueba de la existencia del “adecuado” programa de compliance puede determinar la atenuación e incluso la exoneración de responsabilidad penal, evitando con el ello el daño reputacional inherente a la imputación. Existe, por tanto, un importante estímulo para que la entidad investigada participe activamente en el procedimiento, aportando todo aquello que pueda servir para poner fin al procedimiento penal, y, en este contexto, las investigaciones internas que se hayan podido realizar por la entidad son un importante elemento a tener en cuenta.

Uno de los principales peligros que suscita el sistema de responsabilidad penal de las personas jurídicas es, precisamente, que el programa de cumplimiento adquiera un carácter excesivamente utilitarista. Como señalan VILLEGAS GARCÍA y ENCINAR DEL POZO, el art. 31 bis 5 CP responde a la necesidad de que los modelos de organización y gestión no sean un elemento puramente figurativo o “cosmético” para eludir la responsabilidad penal de las personas jurídicas. Al contrario, deben reunir una serie de presupuestos mínimos que el legislador considera imprescindibles para que sean un instrumento eficaz y dinámico, que demuestren realmente el compromiso de la entidad con el cumplimiento del Derecho. Estos presupuestos revelan, por otro lado, que para el texto punitivo, los programas de cumplimiento normativo deben tener eficacia preventiva (análisis de los riesgos penales, autonomía del órgano de control y dotación financiera), pero también deben favorecer la detección de los ilícitos (obligación de informar sobre posibles incumplimientos y riesgos) y la reacción adecuada ante ellos (sistema disciplinario y sanción de los incumplimientos).

Pero el precepto, más allá de permitirnos realizar esta primera aproximación sobre cómo entiende el legislador penal que debe ser un programa de cumplimiento normativo, es claramente insuficiente para concluir que, de manera efectiva, el modelo es eficaz y dinámico y ha desarrollado debidamente estas tres funciones: prevención, detección y sanción⁶³. En efecto, el CP no da unos criterios claros sobre cómo valorar el programa de cumplimiento, ni mucho menos concreta qué valor debe tener la investigación interna a la hora de examinar la eficacia del programa, pero es evidente que se trata de un elemento relevante en la valoración del conjunto de factores que pueden ser tenidos en consideración para pronunciarse sobre la exención de responsabilidad de la entidad.

Así se ha señalado por la Audiencia Nacional, cuando en el citado auto de 30 de enero de 2023, se afirma: “La Comisión de Ética y Cumplimiento tras ser informada del trabajo realizando por el Chief Compliance Officer, el testigo XXX, encargó a un Catedrático de Derecho Penal un análisis de este Informe, tanto en lo relativo a la metodología utilizada para hacer su investigación como a la coherencia y consistencia de sus conclusiones con las evidencias obtenidas. Este informe acompañado a las actuaciones (…) de 30.12.2019 concluye que la investigación interna llevada a cabo por AAA se atenía con rigor al cumplimiento de los estándares establecidos y aceptados internacionalmente en este ámbito, que la investigación había sido exhaustiva, sin dejar fuera ningún ámbito ni extremo que debiera de haber sido incluido en la misma y que el Informe era consistente y coherente con las evidencias disponibles.

La importancia de este informe no son sus conclusiones, sino que evidencia la cultura de cumplimiento de los modelos de prevención de delitos que imperaba en AAA y a la que antes nos referíamos, sometiendo a revisión externa, aparte de su normativa interna, a su propio órgano de supervisión y control, lo que no podía sino ser con la finalidad de reaccionar frente a cualquier eventual fallo del sistema para corregirlo, pues no se pone de manifiesto otra intención con esas actuaciones”.

Por tanto, la razón por la que presentar las investigaciones internas será, en esencia, tratar con ello de lograr frenar los efectos de la responsabilidad penal de la persona jurídica, y en el mejor de los casos, el archivo del procedimiento.

III.2.3 Cómo aportar la investigación interna

Ya nos hemos referido en este trabajo a la necesidad de que la investigación interna se sujete al respeto de los derechos fundamentales. Cuando la investigación interna realizada por la entidad se pretende usar en el procedimiento penal, resultará particularmente relevante que se respeten los derechos propios del procedimiento penal, en particular, el derecho a la presunción de inocencia y el derecho a no autoincriminarse.

Una de las primeras decisiones que deberá adoptar la entidad, tan pronto como sea llamada al procedimiento, será si quiere o no aportar al procedimiento la investigación interna que hubiera podido realizar. En esta decisión deberá tener en cuenta si resulta una ventaja para el ejercicio de su derecho de defensa, atendido el nivel de información que conlleva un proceso de investigación interna, cuando éste se realiza con la seriedad que exige una investigación de estas características.

No pretendemos en este punto volver a referir lo ya expuesto al exponer la afectación en los derechos fundamentales de los intervinientes, pero debe quedar claro que la aportación de esta clase de investigaciones efectuadas por las entidades investigadas debe ser voluntaria. Resulta difícil imaginar que se requiera, con apercebimiento de incurrir en delito de desobediencia, para aportar un material con una incidencia tan relevante en el derecho de defensa y el derecho a la no autoincriminación. Como señala GOENA VIVES, es preciso ofrecer una interpretación que permita a las personas jurídicas, a sus miembros (administradores, directivos y empleados), así como a quienes les prestan asesoramiento jurídico en el marco de una investigación interna, saber -con un mínimo de certeza- qué derechos pueden invocar frente a un requerimiento y en qué medida. Asimismo, conviene hacer una serie de recomendaciones, orientadas a proteger al máximo la información generada. Se trata de algo que responde, como mínimo, a un doble objetivo. En primer lugar, garantizar los derechos de la persona jurídica en cuanto sujeto pasivo del proceso. En segundo lugar, proteger los derechos de las personas físicas que guardan alguna relación con la empresa y que podrían verse perjudicados por un requerimiento de información relativo a una investigación interna.

Así, por ejemplo, cabe pensar en el interés por la confidencialidad que tienen el empleado que presta una declaración bajo coacción, el asesor jurídico que lleva a cabo la investigación interna en la creencia de estar amparado por el secreto profesional o el compliance officer que debe gestionar los riesgos detectados. Si los materiales probatorios recabados con una investigación interna se incorporan al proceso de un modo casi automático, sin tener en cuenta los intereses de defensa de quienes están involucrados en ella -individuos o corporaciones-, las posibilidades de defensa de estos sujetos se verían claramente reducidas. Además, si no se ofrece un mínimo de garantías de protección del material generado en la investigación, es posible que ello desincentive “el buen compliance”. A la vista de tales circunstancias, abogar por un mínimo de expectativas de confidencialidad respecto de los materiales generados en una investigación interna, no implica estar a favor de conceder una suerte de patente de corso, incompatible con el legítimo interés del Estado en una persecución penal eficaz. En cambio, se trata de fijar las condiciones para que las investigaciones internas sirvan a la promoción de la prevención, detección y reacción frente a los delitos, pero sin desautorizar la justicia del proceso⁶⁴.

Compartimos esta afirmación. La experiencia práctica demuestra que no es posible requerir a una entidad para que presente una investigación interna sin vulnerar con ello derechos esenciales del procedimiento para cualquier investigado. Si en el proceso penal no queremos admitir la existencia de dos categorías de sujetos de la imputación, uno persona física y otra persona jurídica, tampoco se pueden desdeñar los derechos de las personas jurídicas investigadas cuando sean objetos de la investigación. Así pues, la presentación de estas investigaciones debe hacerse depender de la voluntad de la entidad en el marco de la estrategia de defensa que quiera hacer valer, asumiendo la persona jurídica las consecuencias de no aportar esta relevante documentación en aras a valorar la existencia de una verdadera cultura de cumplimiento.

IV. Bibliografía

– BACIGALUPO ZAPATER, E., “Problemas penales del control de ordenadores del personal de una empresa”, Diario La Ley, 8031, 2013.

– DEL MORAL GARCÍA, A., “Regulación de la responsabilidad penal de las personas     jurídicas en el Código Penal español”, en PÉREZ-CRUZ MARTÍN, A.J. (dir.),  Proceso penal y responsabilidad penal de las personas jurídicas, Thomson Reuters Aranzadi, 2017, Cizur Menor, pp. 47-75.

– DEL ROSAL BLASCO, B., “Las investigaciones internas en las empresas como estrategia preprocesal de defensa penal corporativa”, Diario La Ley, núm. 9180,  2018.

– DEL ROSAL BLASCO, B., Manual de responsabilidad penal y defensa penal  corporativas, La Ley, Madrid, 2018.

– ESQUINAS VALVERDE, P., Corruptos y delincuentes de cuello blanco en España: un  estudio criminológico de sus características, causas y vías de prevención, Tirant    lo Blanch, Valencia, 2023.

– ESTRADA CUADRAS, A./TOMÁS VAQUÉS, C., “Legado jurisprudencial del 2022 en materia de investigaciones internas”, La Ley Compliance Penal, núm. 12, 2023.

– FEIJOÓ SÁNCHEZ, J.B., “Fortalezas, debilidades y perspectivas de la responsabilidad  penal de las sociedades mercantiles”, en ONTIVEROS ALONSO, M. (coord.), La responsabilidad penal de las personas jurídicas: fortalezas, debilidades y perspectivas de cara al futuro, Tirant lo Blanch, Valencia, 2014, pp. 135-176.

– GARCÍA- PANASCO MORALES, G., “La nueva Ley del informante: cuando las buenas intenciones se pueden convertir en un problema”, Diario La Ley, núm.  10264, 2023.

– GOENA VIVES, B., “Investigaciones internas y expectativas de confidencialidad:   perspectivas a partir del derecho comparado angloamericano y continental”, La  Ley Compliance Penal, núm. 6, 2021.

– GÓMEZ-JARA DÍEZ, C., Actor corporativo y delito corporativo. Elementos de un sistema de autorresponsabilidad penal de las personas jurídicas desde una perspectiva teórico-práctica, Thomson Reuters Aranzadi, Cizur Menor, 2020.

– GÓMEZ MÁRTÍN, V./VALIENTE IVÁÑEZ, V., “Responsabilidad penal de la persona jurídica”, en CORCOY BIDASOLO, M./GÓMEZ MARTÍN, V. (coords.), Manual de Derecho penal, económico y de empresa. Parte general y parte especial, Tirant lo Blanch, Valencia, 2016, pp. 128-158.

– GÓMEZ MARTÍN, V., “¿Un (nuevo) golpe mortal a las investigaciones internas corporativas? Comentario a la STS (Sala 2ª) 328/2021, de 22 de abril”, La Ley Compliance Penal, núm. 5, 2021.

– GONZÁLEZ CUSSAC, J.L., Responsabilidad penal de las personas jurídicas y programas de cumplimiento, Tirant lo Blanch, Valencia, 2020.

– GONZÁLEZ URIEL, D., “La responsabilidad penal de las personas jurídicas, el delito   corporativo y el blanqueo de dinero”, Anuario de Derecho Penal y Ciencias Penales, Tomo 76, Fasc/Mes 1, 2023, pp. 221-287.

– LASCURAÍN SÁNCHEZ, J.A., “Análisis de riesgos penales: cuatro inquietudes”, La Ley Compliance Penal, núm. 7, 2021.

– MARTÍNEZ DE LA FUENTE, J., “Investigaciones internas en el seno de los programas de compliance”, en ORTEGA BURGOS, E., Derecho Penal 2021, Tirant lo  Blanch, Valencia, 2021, pp. 451-472.

– MONTIEL, J.P., “Autolimpieza empresarial. Compliance programs, investigaciones internas y neutralización de riesgos penales”, en KUHLEN, L./MONTIEL,  J.P./ORTIZ DE URBINA GIMENO, I. (eds.), Compliance y teoría del Derecho penal, Marcial Pons, Madrid, 2013, pp. 221-244.

– NEIRA PENA, A.M., La instrucción de los procesos penales frente a las personas jurídicas, Tirant lo Blanch, Valencia, 2017.

– NIETO MARTÍN, A., “Investigaciones internas”, en NIETO MARTÍN, A. (dir.), Manual de cumplimiento penal en la empresa, Tirant lo Blanch, Valencia, 2015.

– NIETO MARTÍN, A., “Reforma del proceso penal y regulación de las investigaciones    internas”, publicado el 30 de abril de 2020 en https://almacendederecho.org/reforma-del-proceso-penal-y-regulacion-de-las- investigaciones-internas.

– NIETO MARTÍN, A., “Responsabilidad penal de la persona jurídica y programas de  cumplimiento: de la gestión de la legalidad a la legitimidad”, La Ley Compliance Penal, núm. 4, 2021.

– ORSI, O.G./RODRÍGUEZ-GARCÍA, N., “Las investigaciones defensivas en el  compliance penal corporativo”, en RODRÍGUEZ-GARCÍA, N./RODRÍGUEZ LÓPEZ, F. (coords.), «Compliance» y responsabilidad de las personas jurídicas,    Tirant lo Blanch, Valencia, 2021, pp. 293-389.

– PALOMINO SEGURA, J., “Las investigaciones internas corporativas”, en ORTEGA BURGOS, E. (dir.), Derecho Penal 2020, Tirant lo Blanch, Valencia, 2020, pp.  675-690.

– PASCUAL SUAÑA, O., “Implicaciones en el derecho a no incriminarse de las personas jurídicas del proyecto de ley whistleblower”, Revista de la Asociación de Profesores de Derecho Procesal de las Universidades Españolas, núm. 6, 2023,  pp. 71-111.

– RAGUÉS I VALLÉS, R., “La Ley 2/2023 de protección de informantes: una primera valoración crítica”, La Ley Compliance Penal, núm. 13, 2023.

– RODRÍGUEZ-GARCÍA, N., “Las investigaciones internas corporativas”, en ROCA      MARTÍNEZ, J.M. (dir.), Procesos y prueba prohibida, Dykinson, Madrid, 2022,  pp. 191-227.

– ROS REVENTÓS, I., “La investigación interna, la colaboración con las autoridades y    la reparación del daño como causa de exención de la responsabilidad penal de la persona jurídica: una propuesta de modificación del art. 31 quáter”, La Ley  Compliance Penal, núm. 11, 2022.

– SANGUINÉ, O., “Derechos fundamentales de las personas jurídicas en el proceso penal”, en ONTIVEROS ALONSO, M. (coord.), cit., pp. 413-496.

– SAURA ALBERDI, B., “Diseño e implementación del plan de prevención de delitos en la empresa”, en PÉREZ-CRUZ MARTÍN, A.J. (dir.), op. cit., pp. 293-301.

– VILLEGAS GARCÍA, M.A., “Algunas reflexiones sobre el Proyecto de Ley de  protección del informante”, Diario La Ley, núm. 10187, 2022.

– VILLEGAS GARCÍA, M.A./ENCINAR DEL POZO, M.A., Lucha contra la corrupción, compliance e investigaciones internas. La influencia del Derecho estadounidense, Thomson Reuters Aranzadi, Cizur Menor, 2020, pp. 229-231.

– VILLEGAS GARCÍA, M.A./ENCINAR DEL POZO, M.A., “Hacia una guía de  valoración de los programas de compliance para el proceso penal”, La Ley Penal,  núm. 142, 2020.

– VILLEGAS GARCÍA, M.A./ENCINAR DEL POZO, M.A., “Los derechos de la organización y de los investigados en las investigaciones internas: cuestiones para  el debate”, La Ley Compliance Penal, núm. 8, 2022.

– VILLEGAS GARCÍA, M.A./ENCINAR DEL POZO, M.A., “La jurisprudencia penal sobre el cibercontrol empresarial de los subordinados”, Diario La Ley, núm.   10388, 2023.

I. Introducción

El presente artículo pretende analizar la incidencia que puede tener la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante “Ley de Protección del Informante”) sobre el Modelo de prevención penal¹ regulado principalmente en el artículo 31 bis del vigente Código Penal².

Para ello hemos analizado dos temas de mayor enjundia, para posteriormente tratar algunas otras cuestiones de menor trascendencia. En primer lugar, hemos estudiado si el canal para comunicar riesgos e incumplimientos del Modelo de Prevención Penal es un canal interno de información, y las consecuencias que esto tendría en dicho modelo, consecuencias que podrían tener el efecto de convertir en sujetos obligados de la Ley de Protección del Informante a aquellas entidades que dispusieran de un Modelo de Prevención Penal.

En segundo lugar, hemos analizado los contenidos mínimos del procedimiento de gestión de la información establecidos en el artículo 9 de la Ley de Protección al Informante, y como afectaría al Modelo de Prevención Penal, obligando a las entidades a incluir en el mismo regulaciones más complejas, como el acuse de recibo al informante, los plazos de respuesta y la remisión de la información al Ministerio Fiscal, entre otros.

También tratamos otros impactos en el Modelo de Prevención Penal, de menor complejidad, pero con efectos importantes en el marco penal y que obligarían a modificaciones en el Manual del Modelo³. Estos temas son los referidos a la obligación de la admisión de comunicaciones anónimas, el tratamiento dado a los grupos de sociedades, el registro de informaciones e investigaciones y, por último, la preservación de la identidad del informante.

II. El canal interno de información en el Modelo de Prevención Penal

El requisito 4º del artículo 31 bis, 5 del Código Penal que configura el Modelo de Prevención Penal se refiere a la obligación que debe imponer la persona jurídica a sus integrantes de informar sobre posibles riesgos e incumplimientos. Determinar si este requisito está configurando un canal interno de información es muy importante, puesto que, si lo fuera, en virtud de la Ley de Protección del Informante, dicho canal interno tendría que encontrarse integrado en un Sistema Interno de Información.

II.1 Coincidencia en el ámbito material de aplicación

No es de extrañar que exista una importante incidencia de esta nueva ley sobre la concreta normativa penal señalada, puesto que son normas que regulan aspectos muy interrelacionados, desde el momento en que el Modelo de Prevención Penal tiene como finalidad prevenir delitos o reducir de forma significativa el riesgo de su comisión⁴, y establece que dichos modelos deberán cumplir, entre otros, el requisito de imponer “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”⁵.

La Ley de Protección del Informante contempla, por su lado, en su ámbito material, las acciones u omisiones que puedan constituir infracciones al Derecho de la Unión Europea⁶, y las “Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave”⁷.

El cuarto requisito exigido al Modelo de Prevención Penal requiere la comunicación de riesgos penales y de incumplimientos a las normas y controles establecidas en el modelo⁸, que vienen a ser “las medidas de vigilancia y control idóneas para prevenir delitos”⁹, por tanto, entendemos que hay un solape en el objeto de las comunicaciones de ambas normas que analizamos a continuación.

En el Modelo de Prevención Penal los empleados deben comunicar los riesgos penales y los incumplimientos a las medidas de vigilancia y control idóneas para prevenir los delitos o reducir su riesgo de comisión. Tenemos que entender por riesgos penales aquellos hechos que puedan indicar la existencia de una probabilidad mayor que la contemplada en el riesgo residual¹⁰ de que se haya cometido, de que se esté cometiendo, o de que se vaya a cometer un delito en la empresa. Esto incluye, por tanto, tanto estos hechos como aquellos incumplimientos a la práctica totalidad de los controles internos de la empresa, puesto que los controles internos, en su mayoría, estarán incluidos en el Modelo de prevención penal¹¹.

Puede apreciarse que la intersección entre la materia denunciable contenida en ambos cuerpos legales no es muy amplia, quedando fuera de la misma una gran cantidad de acciones u omisiones. Así, solo queda dentro de la intersección, esto es, de las materias contempladas en ambas normas, las acciones u omisiones constitutivas de infracción penal, y aquellos incumplimientos de controles internos que puedan constituir infracciones administrativas graves o muy graves. Quedarían fuera por tanto aquellas acciones u omisiones que constituyesen incumplimientos del Modelo de Prevención Penal que no constituyesen infracciones administrativas. Como consecuencia, éstas últimas no disfrutarían de la protección que la Ley 2/2023 da al informante y a la persona sobre la que se informa, ni a los requisitos establecidos principalmente en su artículo 9 relativo al procedimiento de gestión de informaciones¹².

Por ejemplo, la comunicación sobre el incumplimiento por parte de un empleado en la política de uso de las herramientas informáticas por instalar en el ordenador un programa que podría poner en riesgo la seguridad informática, será seguramente un incumplimiento a las normas del Modelo de Prevención Penal, pero no constituirá, en la mayoría de los casos, un delito o una infracción administrativa grave o muy grave. Quedaría por tanto excluido del ámbito de la Ley de Protección del Informante.

II.2 Canal interno de información

En relación con las informaciones objeto de ambas regulaciones, otra cuestión que hay que preguntarse es si la materialización del requisito 4º del artículo 31 bis del Código Penal que establece que la persona jurídica impondrá “la obligación de informar de posibles riesgos e incumplimientos” constituye un Canal interno de información de acuerdo con la Ley 2/2023.

Es cierto que esta norma no define exactamente qué es un canal interno de comunicación, pero a lo largo del artículo 7, aporta suficientes elementos como para entender su concepto y naturaleza.  Podemos entender que el “canal” es el cauce o vía singular por la que se traslada la concreta información o aviso¹³. El tenor literal del apartado 1 del texto legal citado reza “Todo canal interno de información de que disponga una entidad para posibilitar la presentación de información respecto a las infracciones previstas en el artículo 2 (…)” siendo estas infracciones, entre otras, las “Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave”¹⁴.

Para contestar esta cuestión hay que analizar dos cuestiones adicionales que se derivan de la primera:

• ¿Se encuentran los posibles riesgos e incumplimientos que regula el artículo 31 bis dentro de las infracciones previstas en el artículo 2 de la Ley de Protección al Informante? Ya hemos analizado en el apartado anterior, y hemos concluido que son objeto de información contemplados en ambas normas, las acciones u omisiones constitutivas de infracción penal, y aquellos incumplimientos de controles internos que puedan constituir infracciones administrativas graves o muy graves. Por lo tanto, una parte de los posibles riesgos e incumplimientos sobre los que hay que informar de acuerdo con el Modelo de Prevención Penal se encuentra recogido en el Artículo 2 de la Ley de Protección del Informante. La respuesta a esta pregunta debe ser afirmativa.
• Existe una segunda cuestión, ¿la solución que una persona jurídica establezca para cumplir dicho requisito del Modelo de Prevención Penal constituye un canal interno de información? Parece difícil que la persona jurídica pueda establecer un procedimiento para que sus integrantes puedan “informar de posibles riesgos e incumplimientos al organismo encargado de vigilar en funcionamiento y observancia del modelo de prevención” sin que este constituya un canal interno de información, cuya naturaleza es la de un medio para posibilitar y canalizar la presentación de información de irregularidades a la empresa¹⁵.

Ya, a partir de la Circular de la Fiscalía¹⁶ se consideró que, en la regulación de la responsabilidad penal de la persona jurídica, uno de sus requisitos coincidía con el denominado “canal de denuncia” o sistema de “whistleblowing” ¹⁷. Tenemos que concluir que la obligación impuesta por las personas jurídicas a sus integrantes de informar de posibles riesgos e incumplimientos constituye un “canal interno de información” de acuerdo con la Ley de Protección del Informante.

II.3 Sistema interno de información

En virtud del artículo 7.1 sobre el Canal interno de información “Todo canal interno de información de que disponga una entidad para posibilitar la presentación de información respecto de las infracciones previstas en el artículo 2 estará integrado dentro del Sistema interno de información”¹⁸. Por tanto, tenemos que concluir que, de acuerdo con la norma, independientemente del tamaño de la entidad, toda persona jurídica que disponga de un Modelo de Prevención Penal, y por tanto de un procedimiento para informar de riesgos penales e incumplimientos al modelo, debería tenerlo integrado en un Sistema interno de información.

No es objeto de este artículo, pero seguramente, de un análisis adecuado se podría obtener la misma conclusión sobre otros canales que prevé la normativa española. Todas las personas jurídicas obligadas por estas diversas normativas a tener canales internos de información estarán, seguramente, obligadas a tener un Sistema interno de información de acuerdo con la Ley de Protección al Informante, por lo que es muy probable que las entidades obligadas del sector privado sean muchas más que las establecidas en la norma de forma expresa¹⁹.

Por otro lado, esta conclusión implica que hay que dotar al canal interno de información del Modelo de Prevención Penal de todas características que son obligatorias para el Sistema interno de información, y que no eran obligatorias de acuerdo con el Código Penal. Entre ellas podemos destacar²⁰ la de que el canal esté diseñado, establecido y gestionado de forma segura; contar con un responsable del sistema; contar con una política o estrategia en materia del Sistema interno de información y protección de los informantes debidamente publicada; contar con un procedimiento de gestión de las comunicaciones recibidas y establecer las garantías para la protección del informante.

III. Grupos de sociedades

El código penal no hace referencia alguna a los grupos societarios cuando regula la responsabilidad penal de la persona jurídica, puesto que esta se predica en su literalidad de las personas jurídicas individuales. La regulación penal exige poseer personalidad jurídica independiente para la atribución de responsabilidad, de la que carecen los grupos de sociedades²¹. De esto habría que deducir que los modelos de prevención penal deberían establecerse en cada una de las personas jurídicas de un grupo para ser eficaces de cara a su utilidad procesal en un procedimiento penal. Es cierto, sin embargo, que la lógica económica y práctica del día a día ha llevado a los grupos empresariales a establecer modelos de prevención penal en el grupo, de manera que sean aplicables a cada una de las filiales, en ocasiones decenas de ellas. En estos casos no se cumpliría con la formalidad establecida por la norma de que el órgano de administración haya adoptado y ejecutado con eficacia modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos²², si bien no habría problema si conseguimos demostrar ese constructo denominado “cultura de respeto al Derecho” que la jurisprudencia ha creado²³ y que impera en la mayoría de las sentencias, y a la que la Fiscalía General del Estado se refiere como “cultura ética empresarial”, “cultura corporativa de respeto a la Ley” o “Cultura de cumplimiento”²⁴.

Sin embargo, el artículo 11 de la Ley de Protección del Informante se refiere a los grupos de sociedades, incluyéndolos en las obligaciones de la norma, previendo precisamente que los grupos obligados no lo serán los formalmente establecidos como tales, sino aquellos que lo sean conforme al artículo 42 del Código de Comercio²⁵, lo que viene a constituir esta obligación para un sinnúmero de situaciones empresariales distintas.

El artículo citado de la Ley de Protección del Informante señala que “la sociedad dominante aprobará una política general relativa al Sistema interno de información (…) y a la defensa del informante, y asegurará la aplicación de sus principios en todas las entidades que lo integran, (…)”, sin obligar a que cada sociedad dependiente tenga un Sistema interno de información independiente, puesto que “el Sistema interno de información podrá ser uno para todo el grupo”.

Las implicaciones que en los modelos de prevención penal tiene esta norma son más bien colaterales o de coherencia regulatoria. En principio, una sociedad que tiene establecido su Modelo de Prevención Penal, aprobado por su órgano de gobierno, no tiene ninguna dependencia en cuanto a responsabilidad penal de su sociedad dominante, que podrá tener o no esa cultura ética o su Modelo de Prevención Penal más o menos desarrollado, sin que esto debiera ser trascendente para la sociedad dependiente.

Sin embargo, la Ley de Protección del Informante señala que la sociedad dominante “asegurará” la aplicación de los principios de su política general relativa al Sistema interno de información y la defensa del informante²⁶. Ya hemos visto en apartados anteriores que todo canal interno de información obliga a establecer un Sistema interno de información, y que el requisito 4º del 31 bis, 5 relativo a la obligación de informar de posibles riesgos e incumplimientos constituye un canal interno de información. Esto, reforzado por el artículo 10, 2 de la Ley de Protección del Informante que reza del siguiente tenor literal “Las personas jurídicas del sector privado que no estén vinculadas por la obligación impuesta en el apartado 1 podrán establecer su propio Sistema interno de información, que deberá cumplir, en todo caso, los requisitos previstos en esta ley”, lleva a concluir que cualquier empresa que tenga establecido un Modelo de Prevención Penal, en virtud de la Ley de Protección del Informante, adquiere la obligación de integrar su canal de comunicación de riesgos penales e incumplimientos del modelo en un Sistema interno de información, y a su sociedad dominante -cuando exista- a establecer una política general relativa a dicho sistema, debiendo además asegurar su cumplimiento.

IV. Anonimato

Una vez que hemos considerado como canal interno de información el requisito 4º de un Modelo de Prevención Penal, habrá que atribuir a este canal todas las características que la norma, de forma imperativa, establece para los canales internos de información. Esto es una conclusión que se deriva directamente del último punto tratado: si el Modelo de Prevención Penal debe, en virtud de la Ley de Protección del Informante, cumplir con los requisitos del Sistema interno de información, el canal del modelo de prevención debe cumplir con los requisitos establecidos para los canales internos de información.

La nueva norma establece claramente²⁷ que “Los canales internos de información permitirán incluso la presentación y posterior tramitación de comunicaciones anónimas”. Esto implica que el canal del Modelo de Prevención Penal tendrá que modificarse en aquellas entidades en las que su modelo no prevea esta opción, lo que normalmente implicará modificaciones técnicas en la herramienta o instrucciones adicionales a los posibles denunciantes.

V. Procedimiento de gestión de informaciones

Nada establece el Código Penal sobre el tratamiento a dar a las comunicaciones que se reciban respecto a los posibles riesgos e incumplimientos al Modelo de Prevención Penal, más allá de que se comuniquen “al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”²⁸. Deja, por tanto, la norma penal, el tratamiento a dar a las comunicaciones, al arbitrio de la persona jurídica receptora, de acuerdo con lo que señale su Modelo de Prevención Penal, el respeto a los derechos de las personas involucradas, el cumplimiento de la legislación y el derecho de defensa de la sociedad.

Sin embargo, la Ley de Protección al Informante, tiene también un impacto en esta cuestión sobre el Modelo de Prevención Penal, estableciendo en la persona jurídica unas obligaciones que hasta este momento no tenía, a través del Procedimiento de gestión de informaciones de su artículo 9. Dicho artículo, establece como una obligación del órgano de gobierno de las sociedades afectadas por la norma la aprobación de un “procedimiento de gestión de las informaciones”²⁹, que contendrá las previsiones necesarias para que el Sistema interno de información y los canales internos de información cumplan con los requisitos de la Ley de Protección del Informante³⁰. Estos requisitos mínimos, del Sistema interno de información y de los canales, por afectar obligatoriamente a estos últimos, afectan directamente al canal del Modelo de Prevención Penal, siendo las principales exigencias de la norma las que reflejamos a continuación, señalando al mismo tiempo su impacto en el Modelo de Prevención Penal.

V.1 Acuse de recibo al informante

Un requisito mínimo del procedimiento de gestión de informaciones es “el envío de acuse de recibo de la comunicación al informante, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación”³¹. Esta disposición es un aspecto más a incorporar al canal interno del Modelo de Prevención Penal. La previsión de proporcionar al denunciante un recibo de la comunicación en el plazo de siete días, ni ninguna otra parecida se encuentra entre los requisitos que la norma penal establece, y por lo tanto, para cumplir con la Ley de Protección del Informante, consideramos que es necesario contemplarlo en el Manual del Modelo de Prevención Penal, solo exceptuado por el riesgo de poner en peligro la confidencialidad.

La norma no exceptúa las denuncias anónimas, por lo que hay que prever que la herramienta que materializa el canal interno del Modelo de Prevención Penal, además de permitir las denuncias anónimas, permita también proporcionar al informante este recibo, que el día de mañana le pueda permitir, por ejemplo, acogerse a la protección de la norma, a través de la Autoridad Independiente de Protección del Informante, o de cualquier otro procedimiento de los establecidos en la norma.

No nos parece muy clara la excepción de entrega del recibo que se señala para cuando exista riesgo de poner en peligro la confidencialidad, puesto que esto supondría una evidente desprotección para el denunciante anónimo que no parece congruente con el espíritu de la norma. Hay que entender que el denunciante anónimo, una vez puesta la denuncia, puede no poder probar el día de mañana la autoría de la comunicación, y sin este recibo podría quedar inerme.

Por otro lado, este precepto tiene especial sentido en relación con el apartado e) del artículo 9. 2, que establece la obligación de prever la posibilidad de mantener la comunicación con el informante, o de solicitar información adicional, lo que implica la creación de una vía de contacto con el denunciante anónimo, puesto que en este caso tampoco se exceptúan las comunicaciones anónimas y por tanto obliga en todos los casos.

V.2 Plazo máximo de respuesta

La Ley de Protección del Informante determina “el plazo máximo para dar respuesta a las actuaciones de investigación, que no podrá ser superior a tres meses, (…) salvo casos de especial complejidad (…), en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales”³². Tampoco el Código Penal establecía limitaciones respecto a las comunicaciones recibidas en el ámbito del Modelo de Prevención Penal, si bien, en virtud de la nueva norma, ahora se tendrán que prever esos plazos en los procedimientos integrantes de dicho modelo de prevención estableciendo los tres meses o la ampliación a seis meses como plazo máximo para finalizar la instrucción o la investigación y tomar una decisión. Sin embargo, no parece que este artículo pretenda solo limitar el plazo durante el que se puede tramitar el procedimiento³³, sino que viene a determinar el plazo en el que se debe dar respuesta al informante.

Aunque no se especifica más, podría entenderse que se establece una obligación de comunicar al informante el resultado de la investigación, cuestión que solo podría ser de forma muy limitada, puesto que lo impedirían en la mayoría de las ocasiones razones de peso como los derechos de los investigados, el derecho de defensa de la persona jurídica, la confidencialidad debida si se ha comunicado o se va a comunicar a una autoridad pública los hechos, especialmente si esta autoridad es el Ministerio Fiscal y se puede iniciar una investigación o un procedimiento que lógicamente sería  secreto en su inicio.

En este sentido, no entendemos que -de este artículo- deba interpretarse que estos plazos se refieran a la obligación de dar cuenta al informante de la investigación realizada ni de sus resultados. Sin embargo, cierta comunicación del resultado al informante -en lo esencial e imprescindible- puede tener la virtualidad de que le haga desistir de acudir a la revelación pública o al acceso a canales externos, por que entienda que el Sistema interno de información de la persona jurídica ha funcionado y cumplido con su finalidad.

V.3 Comunicación posterior con el informante

Respecto a la “Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional”³⁴ es una cuestión de sentido común y de enorme utilidad para la obtención de información adicional a la señalada en la comunicación inicial, sin que fuera requerida en el Modelo de Prevención Penal, puesto que no había referencia a ella. Esta disposición tiene su sentido en los casos en los que la denuncia es anónima, ya que, si es nominal, es más sencillo acudir al informador a solicitar más información. Ya hemos señalado que esta previsión es consecuencia de otro efecto que tiene la Ley de Protección del Informante sobre el canal interno del Modelo de Prevención Penal, como es la obligación de que los canales internos de información permitan las comunicaciones anónimas³⁵. Ambas aportaciones de la norma deben ahora recogerse en el canal interno de los Modelos de Prevención Penal, incluyendo tanto la posibilidad del anonimato del denunciante como dotar al canal de la posibilidad de que se pueda mantener la comunicación con el informante también en los casos en los que la denuncia sea anónima, y especialmente en estos casos, sin que esas nuevas comunicaciones, ahora bidireccionales, no pongan en riesgo -o lo incrementen- de que la identidad del informante -o del afectado- pueda ser conocida. Esta obligación puede llegar a ser muy trascendente especialmente en las personas jurídicas que sean de pequeña dimensión, y que ahora estén solventando el canal interno del Modelo de Prevención Penal con soluciones muy sencillas, que ahora deben sofisticarse en alguna medida.

V.4 Información a la persona afectada

Señala también la norma, en su artículo 9, el “Establecimiento del derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento. Dicha comunicación tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación”³⁶. Como en los casos anteriores, la norma penal nada dice sobre esta materia, y, entendemos, debe ahora contemplar estos supuestos, al disponer el Modelo de Prevención Penal de un canal interno de información, como venimos señalando.

La trascendencia de esta obligación para la persona jurídica se encuentra en que de la literalidad del artículo no se deduce que pueda haber excepciones a este derecho, en todo caso hay flexibilidad en cuanto al tiempo y la forma de la comunicación, pero no en cuanto a si debe hacerse o no. No parece tampoco que la flexibilidad en la comunicación al afectado pueda hacerse de manera que anule de facto el derecho a ser informado de forma que pueda utilizarlo en su defensa, y que pueda tener efectos en los resultados de la investigación o del procedimiento. Parece difícil que se pueda admitir una comunicación final, cuando la investigación está acabada, a modo de alegaciones finales, puesto que se estaría privando al afectado de su derecho a ser oído en cualquier momento. Desde luego el artículo no es claro, pero reconoce expresamente un derecho de defensa, sin excepciones, que puede ser flexibilizado en cuanto al tiempo y forma, pero sin anularlo ni imposibilitar su ejercicio.

En el ámbito del Modelo de Prevención Penal esta obligación no ofrecería problemas cuando se trate de incumplimientos del Modelo de Prevención Penal que no sean infracciones administrativas o aun siéndolo, no haya riesgo de constituir una infracción penal. Sin embargo, cuando se trata de un riesgo penal real, en que es posible que el derecho de defensa de la empresa entre en juego, así como la posibilidad de que se comunique a Fiscalía o se pueda presentar una denuncia o querella, las cosas son diferentes.

¿Cómo entendería el Juzgado o Fiscalía que previamente a la denuncia o querella se realizase una comunicación al investigado en la que se pusiese en su conocimiento las acciones y omisiones que se le atribuyen, pudiendo destruir, alterar u ocultar pruebas que no estén al alcance de protección de la empresa?³⁷

Es una cuestión difícil que simplemente planteamos, puesto que los bienes jurídicos a proteger son tan variados y de tal importancia que se requeriría un análisis en profundidad que excede las pretensiones de este artículo. En todo caso, sí podemos concluir que el Manual del Modelo tendrá que contemplar la comunicación al investigado de las acciones y omisiones que se le atribuyen, así como la posibilidad de oírle en cualquier momento, independientemente de las limitaciones que establezca en materia penal.

V.5 Comunicación fuera del canal

Establece la norma que el procedimiento de gestión de informaciones garantizará “la confidencialidad cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos o a miembros del personal no responsable de su tratamiento, al que se habrá formado en esta materia y advertido de la tipificación como infracción muy grave de su quebranto y, asimismo, el establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al Responsable del Sistema”³⁸. Esta es otra materia no regulada en la normativa penal sobre el Modelo de Prevención Penal, que simplemente establece la obligación de informar al organismo encargado de vigilar el funcionamiento y observancia del modelo, configurando así un canal interno de información concreto, determinando el destinatario del mensaje, el objeto del mensaje y los sujetos obligados.

La persona jurídica, en el diseño que realice del Modelo de Prevención Penal, determinará la concreción de esta obligación de comunicar y los medios o herramientas a través de los que se materialice ésta. La lógica de este diseño, y en especial la lógica de todo modelo de prevención, debería llevar a la persona jurídica a establecer en su Manual del Modelo los protocolos o procedimientos a seguir cuando la noticia de la existencia de un riesgo penal o de un incumplimiento al Modelo de Prevención Penal se conozcan por una vía diferente al canal interno de información. Es cierto que el requisito 4º del artículo 31 bis, 5 del Código Penal no obliga a esta ampliación, pero sí lo hace la finalidad del modelo de prevenir delitos o reducir de forma significativa el riesgo de su comisión, en relación con el requisito 2º³⁹, el 5º⁴⁰ y el 6º⁴¹, que no limitan estas medidas a los riesgos e incumplimientos comunicados o conocidos a través de la previsión de la obligación de informar, sino que -especialmente en el requisito 6º- se señala “cuando se pongan de manifiesto infracciones relevantes”, sea cual sea el medio por el que se conozca.

Por tanto, entendemos que el Manual del Modelo ya debería prever la circunstancia de que la comunicación pudiera seguir otras vías, diferentes a las establecidas formalmente, y por lo tanto la respuesta a dar. Sin embargo, con esto no queremos decir que este contenido mínimo del procedimiento de gestión de la información no impacte en el Modelo de Prevención Penal, todo lo contrario. Es cierto que entendemos que el modelo debía prever esto, pues son obligaciones que antes se podían deducir, pero que ahora constituyen obligaciones expresas, como la formación a los integrantes de la persona jurídica, especialmente a los mandos intermedios, de los procedimientos a seguir en caso de que reciban este tipo de comunicaciones.

También deben ser informados de que la ruptura de la confidencialidad puede conllevar la comisión de la infracción prevista en la Ley de Protección del Informante, que la norma en su artículo 9 ya califica como “muy grave”⁴². Por último, el comportamiento exigido a cualquier receptor de la comunicación es la inmediata comunicación al Responsable del Sistema de Información. Entendemos que esto se podría solventar estableciendo el procedimiento de que el receptor de la comunicación deba trasladar la misma al canal interno de información establecido en el Modelo de Prevención Penal, que lógicamente llegará al Responsable del Sistema de Información. Con esta medida permitimos también a este intermediario en las comunicaciones que se pueda beneficiar de la posibilidad del anonimato, si así lo desea, puesto que lógicamente será beneficiario de todas las protecciones que establece la norma.

V.6 Remisión de la información al Ministerio Fiscal

Por último, el artículo 9 establece también como contenido mínimo del procedimiento de gestión de informaciones la “remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea”⁴³.

Evidentemente estamos ante una de las disposiciones de la norma más preocupantes en varios aspectos. En primer lugar debido a que la literalidad utilizada viene a configurar un momento muy inmaduro de cualquier análisis de la información comunicada: que los hechos puedan ser “indiciariamente constitutivos de delito” es prácticamente la definición de la existencia de riesgo penal, riesgo que es la condición que el tantas veces traído requisito 4º del artículo 31 bis, 5 establece como condición para que el integrante de la persona jurídica tenga la obligación de comunicar al órgano encargado de vigilar el funcionamiento y observancia del modelo.

No ayuda tampoco a desvirtuar esta conclusión el uso en la disposición de los términos “con carácter inmediato”, que nos acerca más al inicio del procedimiento de análisis de la denuncia o de investigación que al final.

Ante esto solo tenemos dudas, y podemos aportar pocas soluciones, en el convencimiento de que la disposición es un absoluto sinsentido. Nos tendríamos que preguntar si la persona jurídica debe remitir a fiscalía la información de forma previa a su análisis e investigación, cuando todavía no sabe si los hechos realmente sucedieron, la gravedad que pueden revestir, las personas implicadas, y lo que es más grave, sin tener la información suficiente para poder evaluar el riesgo penal existente para la empresa y su estrategia de defensa.

¿Dónde queda el derecho de la empresa a no autodenunciarse? En palabras del Profesor Lascuraín “el brete, el brete inconstitucional, es el siguiente: si mi sistema de cumplimiento es probablemente defectuoso, si denuncio, me denuncio, y si no lo hago, pues también. La salida es esa: la inconstitucionalidad. O la forzada interpretación de que ese deber de denuncia se refiere sólo a los supuestos en los que la entidad no tiene posibilidades de responsabilidad penal, bien sea porque por su índole esté excluida (art. 31 quinquies 1 CP), bien porque se trate de un delito que no genera responsabilidad penal de las personas jurídicas”⁴⁴.

Por otro lado, esta disposición podría entenderse inconsistente con la ya analizada del derecho de la persona afectada por la comunicación a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento, que casa mal con la comunicación inmediata al Ministerio Fiscal⁴⁵.

La interpretación conjunta de estas dos disposiciones: la comunicación inmediata a fiscalía ante hechos que pudieran indiciariamente constituir delitos y el derecho del afectado por la comunicación a ser informado de la acusación, dificultando la posible investigación posterior del Ministerio Fiscal, es harto complicada. Sin embargo, esta misma inconsistencia puede llevar a una interpretación más práctica y acorde con el derecho de defensa de la persona jurídica, consistente en excluir del Sistema Interno de Información, en la línea con lo señalado por el profesor Lascurain, aquellas comunicaciones que puedan tener riesgo penal para la empresa, no por una forzada interpretación de la Ley de Protección del Informante, sino como consecuencia del ejercicio del derecho de defensa.

Entendemos por tanto que la persona jurídica tendrá que prever esta circunstancia en el Modelo de Prevención Penal, estableciendo hasta cierto punto, y sin complicar más las cosas de lo que ya lo están, quien y en qué circunstancias decidirá si se realiza esta remisión al Ministerio Fiscal, puesto que es un contenido mínimo del procedimiento de gestión de informaciones, regulador de las comunicaciones recibidas por los canales internos, incluido el del Modelo de Prevención Penal.

VI. Registro de informaciones

Dispone la Ley de Protección del Informante en su artículo 26 que todos los sujetos obligados a disponer de un canal interno de informaciones “deberán contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar”. Ya hemos visto que la mera tenencia de un Modelo de Prevención Penal en el que contemplemos el canal interno de información que describe el requisito 4º del artículo 31 bis, 5 del Código Penal debe estar integrado en el Sistema interno de información en virtud del artículo 7.1 de la Ley de Protección del Informante⁴⁶.

Por tanto, será necesario que las comunicaciones recibidas en el canal interno del Modelo de Prevención Penal se integren en dicho libro-registro, volviendo a la problemática que esto pudiera tener respecto al derecho de defensa de la entidad. Es cierto, por otro lado, que no se especifica detalle alguno del contenido del registro, tan solo informaciones recibidas e investigaciones internas a que hayan dado lugar, excluyendo al menos literalmente aquellas investigaciones que hayan surgido por otras vías distintas a los canales internos de información, y pudiendo contener una referencia tan breve como sea necesario, e incluso, forzando la interpretación y en virtud del derecho de defensa, sin contenido sobre la completa investigación realizada, dejando solo sus referencias formales a modo de identificación. Si posteriormente es solicitada la investigación en el marco de un procedimiento penal, según la condición procesal de la entidad, ésta decidirá si la aporta o no, o en qué medida lo hace.

Es una cuestión en todo caso a analizar en mayor profundidad, puesto que el requerimiento por parte del juzgado de documentos ligados al canal de denuncias y a las investigaciones internas afectan claramente al derecho a la no autoincriminación de la persona jurídica, y esta afectación hubiera requerido previsión en ley orgánica⁴⁷.

VII. Preservación de la identidad del informante

También en este ámbito puede darse un importante impacto causado por las disposiciones de la Ley de Protección del Informante sobre el Modelo de Prevención Penal, especialmente por el artículo 33 de la primera norma citada, relativo a la “Preservación de la identidad del informante y de las personas afectadas”. Este impacto se debe, en primer lugar, como en otros casos ya analizados, a la regulación incluso detallada de la Ley 2/2023 de aspectos que el Código Penal dejaba completamente a la autorregulación prudencial de la persona jurídica, a través de sus órganos de gobierno.

Sin embargo, la nueva norma establece el derecho del informante a que su identidad no sea revelada a terceras personas⁴⁸, excepto -y de forma exclusiva- “a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora”⁴⁹.

Una vez que la norma ha establecido que el canal interno de información tiene que permitir y facilitar las denuncias anónimas⁵⁰ y su posterior tramitación, este derecho del informante quedaría garantizado, desde el momento en que el propio informante eligiera el anonimato, evitando que esta pudiera ser trasmitida. Por tanto, dicho artículo 33 se refiere a los casos en los que el informante quiera comunicar su identidad⁵¹, otorgándole la norma el derecho a decidir si quiere o no ejercer su derecho de que su identidad no sea comunicada a un tercero. Podríamos entender en una interpretación lógica que hay tres posibles formas de informar: (i) de forma anónima; (ii) nominalmente, pero prohibiendo la comunicación a terceros; o bien (iii) nominalmente, pero permitiendo el informante la comunicación a terceros. Sin embargo, consideramos que, en la realidad, esa posible opción del informante a que se comunique su identidad quedará muy disminuido tras la obligación de la persona jurídica de garantizar la confidencialidad de esta identidad^{52 53} .

Esta seguridad respecto a la confidencialidad de la identidad del informante se trata de reforzar en el apartado segundo del artículo 33 de la Ley de Protección del Informante, si bien de forma un tanto confusa en lo que se refiere a los sistemas internos de información, sobre los que establece que “no obtendrán datos que permitan la identificación del informante”, cuestión implícita en la posibilidad de presentar comunicaciones anónimas, y que tiene un sentido confuso si se refiere a los casos en los que la comunicación no sea anónima, puesto que el informante tendrá que poder identificarse en algún campo de los establecidos en la herramienta que concrete el canal interno de información. De hecho, a continuación, en el ya citado segundo apartado del artículo 33, se señala que “Los sistemas internos de información (…) deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado”. Parece entonces que el “no obtendrán datos que permitan la identificación del informante” se debe referir a la comunicación anónima, el caso (i) antes analizado, prohibiendo que el sistema interno de información pueda, una vez recibida la comunicación, investigar o incluir información relativa o relacionada con la identidad del informante. Interpretación que tiene su lógica cuando el objeto de esta acción es el sistema interno de información, y no el canal interno de información, que como hemos señalado tiene que poder recopilar esta información si así lo desea el informante.

No cabe duda por tanto de la prohibición expresa de comunicación a terceros, si bien hay que interpretar quienes son los terceros a los que se prohíbe dicha comunicación. Entendemos que se refiere a cualquier persona física o jurídica diferente a la entidad receptora de la comunicación, puesto que el artículo 32 de la misma ley es el que delimita quien puede tener acceso a los datos personales contenidos en el Sistema interno de información dentro de la persona jurídica, sin que aparezcan exceptuados los datos de identidad del informante⁵⁴. Este artículo incluso permite su comunicación a terceros cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de procedimientos sancionadores o penales⁵⁵, cuestión no muy clara que analizaremos a continuación.

 El artículo 32 hemos visto que determina, con carácter general, las personas que dentro de la organización receptora podrán tener acceso a los datos personales del Sistema interno de información, datos entre los que se encuentra la identidad del informante, entre otros. Dicho artículo habilita, dentro del ámbito de sus competencias al Responsable del Sistema, y a quien lo gestione directamente; al responsable de recursos humanos, cuando pudiera proceder la adopción de medidas disciplinarias; y al responsable de los servicios jurídicos, si procediera la adopción de medidas legales. Además, habilita a los encargados del tratamiento y al delegado de protección de datos.

En su apartado segundo, el mismo artículo señala que “Será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan”. Por lo que habría que incluir en este ámbito de acceso a los datos a aquellas personas necesarias para la adopción de medidas correctoras o la tramitación de procedimientos sancionadores, tramitación y medidas que incluyen la instrucción de los procedimientos, así como la investigación de los hechos. Esta disposición es la que permite por tanto la investigación e instrucción de los hechos, incluso por terceros, cuando así sea necesario, o el establecimiento de medidas de protección, por ejemplo.

Por otra parte, el artículo 33 en su apartado 3º, párrafo 1º señala taxativamente que “La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora”. Las limitaciones en este caso solamente incluyen tres autoridades como posibles conocedoras de la identidad del informante: la judicial, la fiscal y la administrativa, si bien habría que añadir aquellos otros terceros a los que se refiere el artículo 32, “cuando resulte necesario para la adopción de medidas correctoras en la entidad”, puesto que para la tramitación de procedimientos sancionadores y penales que pudieran proceder ya estarían incluidas las tres autoridades citadas.

El propio artículo 33 establece un procedimiento de salvaguarda para los casos de revelación de la identidad del informante a una de estas tres autoridades, consistente en que “se trasladará al informante antes de revelar su identidad, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial”, estableciendo además salvaguardas adicionales, debiendo comunicar la autoridad competente al informante, cuando esta revelación se haya dado, los motivos de la revelación por escrito.

No es la finalidad de este artículo analizar este punto en profundidad, pero sería conveniente aclarar el sentido de la norma respecto al acceso a los datos personales incluidos en el Sistema interno de información, y el acceso a los datos identificativos del informante o de los afectados por la información comunicada y los casos en lo que sería posible.

En lo que afecta al Modelo de Prevención Penal, entendemos que hay una cuestión de importancia que hay que regular en el Manual del Modelo, para que el canal interno de información del Modelo pueda estar integrando en el Sistema interno de información y por lo tanto cumpla con la Ley de Protección del Informante. Esta cuestión es la del acceso a los datos personales y a la identidad del denunciante por parte de las personas que compongan el Modelo de Prevención Penal, como el compliance officer, o el órgano de clasificación de la comunicación o incluso el “organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención” al que los integrantes de una persona jurídica tienen la “obligación de informar de posibles riesgos e incumplimientos”⁵⁶. Entendemos, como ya hemos adelantado, que se encuentran entre los habilitados por el artículo 32 de la Ley de Protección del Informante para conocer la identidad del informante o los datos personales que pueda conllevar una comunicación y que por lo tanto se integrarían en el Sistema interno de información. Esto es así bajo la interpretación del artículo 32 en su apartado segundo, entendiendo que resulta “necesario para la adopción de medidas correctoras en la entidad”, puesto que el Modelo de Prevención Penal dispone de un sistema corrector, más bien podríamos decir de respuesta⁵⁷, pero corrector en todo caso, con la finalidad de prevenir delitos o de reducir de forma significativa el riesgo de su comisión. Por tanto, esos órganos internos de la entidad, ya sea de supervisión si se refiere al Órgano de supervisión y control⁵⁸ o alguna de las estructuras internas de compliance encargadas de la ejecución del Modelo de Prevención Penal podrían acceder a esa información.

VIII. Conclusiones

No es este un artículo para conclusiones, puesto que su finalidad es la de mostrar los puntos en los que el Modelo de Prevención Penal de una persona jurídica debería modificarse para ajustarse a la Ley de Protección del Informante, porque de acuerdo con nuestra interpretación, aquel debe ajustarse a aquella. Esto se deriva de que el denominado canal de denuncias o canal ético del Modelo de Prevención Penal es un canal interno de información de los definidos en la nueva norma, y por lo tanto precisa integrarse en un Sistema de información penal ajustado a la Ley 2/2023.

Desgraciadamente, la claridad no es una de las virtudes de esta norma, como tampoco lo es su compatibilidad con el derecho de defensa, ni con la legislación precedente, especialmente la penal en lo relativo a los requisitos del Modelo de Prevención Penal del artículo 31 bis del Código Penal. Una de las virtudes de la norma penal era que los requisitos expuestos en el apartado 5º de dicho artículo configuraban un modelo de prevención que cualquier persona jurídica podría diseñar e implementar de forma eficaz y con un coste razonable y proporcional a sus dimensiones.

Sin embargo, después del análisis realizado en el presente artículo, parece claro que toda empresa que tenga un Modelo de Prevención Penal se convierte de forma automática y en virtud del artículo 7. 2 de la Ley de Protección al Informante en sujeto obligado por dicha ley, y que por lo tanto debe implementar en su Modelo una cantidad de modificaciones tan importante como las descritas en el presente artículo. La obligación de ajustarse a plazos, comunicaciones, procedimientos y a disponer de ciertas herramientas para que el canal interno cumpla con las condiciones de la norma conllevan la pérdida, en muchos casos, de esa virtualidad de la normativa penal española que era la flexibilidad para poder ajustarse a todos los tamaños de empresa. Esto, junto al retroceso en cuanto al derecho de defensa de la empresa y su seguridad jurídica, quizá constituyan los mayores problemas de esta nueva norma.

I. Introducción. La regulación en el Código Penal

El artículo 31 bis CP, en su versión final, a diferencia de lo que se planteó durante la elaboración de la norma, no excluye a persona jurídica alguna de carácter privado de la posible autoría de los delitos específicamente contemplados en la parte especial del Código Penal.  Así, ni en el art. 20 del proyecto de Ley¹, ni en la versión final del texto, se descartó la responsabilidad penal de las personas jurídicas en atención al tipo o tamaño de la sociedad, distinguiéndose sin más entre personas jurídicas de pequeñas dimensiones y aquellas que no lo son,  exceptuando además a las  personas jurídicas públicas². De hecho,  la única dispensa existente en el precepto se refiere a la innecesaridad de que, en las personas jurídicas de pequeñas dimensiones, las funciones de supervisión sean ejercidas por un órgano específico de control, bastando con que el órgano de  administración las asuma directamente. A contrario sensu , ello implica que todas las sociedades, grandes o pequeñas, incluso con escasa complejidad estructural , se ven abocadas a adoptar una estructura de compliance caso de querer verse eximidas de responsabilidad.   Incluso, la propia redacción del artículo 31 ter 1 CP, que permite modular la multa impuesta a personas físicas y jurídicas , según criterios de proporcionalidad,  parece dar a entender que el legislador asume la cierta falta de proporcionalidad que encarna la simultánea imposición de una sanción penal a pequeñas personas jurídicas y a su administrador, por lo que, aceptando tal posibilidad, modula, que no elimina, la pena de multa a imponer a ambas. Sin embargo, de aceptarse este planteamiento, la complejidad y el coste de la elaboración de un plan de cumplimiento puede hacer inviable económicamente el futuro de una pequeña sociedad.

II. La proporcionalidad como vía de flexibilizar la exigencia de compliance y de limitar la responsabilidad penal de las pequeñas sociedades

Desde el prisma de la falta de proporcionalidad surgen los primeros intentos de limitar, que no suprimir, la responsabilidad de las pequeñas sociedades mediante la relajación de las exigencias de compliance. 

Doctrinalmente³ se señala que la llamada a la proporcionalidad es común a toda una serie de instrumentos internacionales, como la Recommendation of the Council for Further Combating Bribery of Foreign Public Officials in International Business Transactions de la OCDE, en cuya última edición de 26 de noviembre de 2021, tras hacer un llamamiento a la existencia de controles internos  en pequeñas y medianas empresas⁴, se reconoce que la guía debe tener una aplicación flexible respecto de dichas  empresas⁵. En el mismo sentido, también se trae a colación el United States Sentencing Commission Guidelines Manual, cuya última edición es de 2021, que regula en su capítulo VIII, páginas 509 a 553, las sentencias sobre organizaciones. En el apartado correspondiente a Effective Compliance and Ethics Program,  la guía hace hincapié en el tamaño societario a la hora de establecer un medio informal de cumplimiento de sus exigencias para las pequeñas organizaciones⁶.

En España, la Circular 1/2016 de la Fiscalía General del Estado no prescinde de la exigencia de responsabilidad penal a las pequeñas sociedades, sino  que hace  un llamamiento a la flexibilidad en la demostración de su compromiso ético mediante una   “razonable adaptación a su propia dimensión de los requisitos formales del apartado 5, que les permita acreditar su cultura de cumplimiento normativo, más allá de la literalidad del precepto y en coherencia con las menores exigencias que estas sociedades tienen también desde el punto de vista contable, mercantil y fiscal “.

No excluye ningún tipo de sociedades, sino que afirma que “La única especialidad que el Legislador dispensa a estas entidades consiste en eximirlas del cumplimiento de la condición segunda del apartado anterior, de modo que las funciones del oficial de cumplimiento las desempeñe directamente el órgano de administración. Se mantiene, por lo tanto, la obligación de adoptar los modelos de organización y gestión, con los requisitos contemplados en el apartado 5”. 

La consecuencia será que “las características de los modelos de organización y control de estas personas jurídicas de pequeñas dimensiones deberán acomodarse a su propia estructura organizativa, que no puede compararse con la de las empresas dotadas de una organización de cierta complejidad, que les viene en buena medida legalmente impuesta”.  

Únicamente se descartan las llamadas sociedades pantalla, encaminadas a la comisión de delitos, en cuanto que el régimen de responsabilidad de las personas jurídicas no está realmente diseñado para ellas (supervisión de los subordinados, programas de cumplimiento normativo, régimen de atenuantes…) de tal modo que la exclusiva sanción de los individuos que las dirigen frecuentemente colmará todo el reproche punitivo de la conducta, que podrá en su caso completarse con otros instrumentos como el decomiso o las medidas cautelares reales. Se entiende así que las sociedades instrumentales, aunque formalmente sean personas jurídicas, materialmente carecen del suficiente desarrollo organizativo para que les sea de aplicación el art. 31 bis, especialmente tras la completa regulación de los programas de cumplimiento normativo”.

Dichas personas jurídicas serán inimputables cuando carezcan de cualquier clase de actividad legal o cuando lo sea de manera meramente residual y aparente para lograr sus propios propósitos delictivos.

Nótese, sin embargo, que el fundamento último de la exclusión de las sociedades pantalla predeterminadas al delito reside en la ausencia de desarrollo organizativo, argumentación que será absolutamente trascendente cara a la posible exclusión de la responsabilidad penal de pequeñas sociedades,  no encaminadas a la comisión de delitos, con existencia real y actividad cierta y tangible, pero dotadas de escasa complejidad organizativa.

Con relación a la doctrina sentada por el Tribunal Supremo en esta materia, cabe subrayar que tradicionalmente optó por un llamamiento a la proporcionalidad, pero sin exceptuar claramente a las pequeñas personas jurídicas de la exigencia de compromiso con el derecho y, por ende, del marco de responsabilidad penal fijado en el artículo 31 BIS CP, limitándose a expulsar de la norma a las sociedades pantalla.

La primera sentencia que con rigor y profundidad abordó el problema de la responsabilidad penal de las personas jurídicas,  la STS 156/2016, de 29 de febrero, aparta del ámbito de aplicación del artículo 31 bis CP a las sociedades ficticias, pero no aborda realmente la problemática de las pequeñas sociedades⁷.  A pesar de ello, deja como eje esencial de la exclusión de las primeras la ausencia de una estructura organizativa real que pudiera fundamentar la exigencia de responsabilidad, lo cual resultará capital⁸.

La posterior STS 221/2016, de 16 de marzo, tras reafirmar que la esencia de la responsabilidad penal de las personas jurídicas reside en su carácter de delito corporativo, hace referencia a un defecto estructural en los mecanismos de prevención exigibles a toda persona jurídica⁹.

Sin embargo, la reciente reforma operada por la Ley 18/2022, que permite que la sociedades de responsabilidad limitada se constituyan con un simple capital social no mayor de un euro, e introduce simultánea responsabilidad personal de los socios por la diferencia existente entre el capital social fijado y la cifra de 3.000 euros, nos pone de manifiesto el resultado profundamente insatisfactorio que produce la extensión ilimitada del régimen de la responsabilidad penal de la persona jurídica a cualquier tipo de sociedades, especialmente respecto de aquellas cuya estructura es extremadamente simple y apenas encubre a la persona física  que la ha constituido,   que resulta ser la mayor parte de las veces  su administrador único, en un fenómeno bastante común de huida de la responsabilidad universal del comerciante individual.

III. El fundamento dogmático de la responsabilidad penal de las personas jurídicas y de su exención

Como señaló en su día la STS 234/2019, de 8 de mayo, el fundamento de la responsabilidad penal de la persona jurídica radica en su consideración como delito corporativo, por la existencia de un defecto estructural en los mecanismos de prevención. Esto viene a reconocer que es precisa la existencia de una organización que posea una cierta entidad para que podamos hablar de defecto estructural.

En esta línea se ha decantado la parte más relevante de la doctrina, que ha abogado por la introducción del llamado actor corporativo, entendiendo que únicamente un actor corporativo puede cometer un delito corporativo¹⁰.  Se entenderá por actor corporativo “aquella persona jurídica que goza de un sustrato –sc. estructura– organizativo-material suficiente para considerarse como una entidad independiente de las personas físicas. De conformidad con este planteamiento sólo un actor corporativo tiene capacidad para cometer un delito corporativo puesto que sólo a aquellas personas jurídicas que gozan de una cierta estructura organizativo- material puede reprochárseles dicho déficit”¹¹. De esta manera, “sólo esos actores corporativos dotados de substrato organizativo- empresarial propio son los destinatarios primigenios de los estándares nacionales e internacionales de Compliance”¹².  

La consecuencia inmediata de dicha consideración es que podemos distinguir entre sociedades imputables y sociedades inimputables. Esto es, de la misma forma que en el Derecho penal de las personas físicas no todas las personas físicas son imputables, en el Derecho penal de las personas jurídicas no todas las personas jurídicas deben ser consideradas imputables per definitionem¹³. Y ello porque sólo en las estructuras complejas podremos encontrar una voluntad propia e independiente de la de la persona física que comete la infracción, y que las hará susceptibles de reproche penal^14. La doctrina profundiza en la cuestión, haciendo un más que sugestivo planteamiento sobre escalas de imputabilidad de las pequeñas sociedades, distinguiendo entre aquéllas personas jurídicas que carecen de estructura compleja, en que el socio único es administrador único y empleado (que serían inimputables), aquellas otras que tendrían algún tipo de organización, aunque no compleja,  y asalariados no  socios, las cuales  podrían ser semi- imputables, a las que habría que aplicar el artículo 31 ter) CP, y la regla de modulación de la multa, y, finalmente, las sociedades con estructura suficientemente desarrollada y compleja, totalmente imputables¹⁵. Sólo en estas sociedades resultaría razonable la instauración de un plan de cumplimiento.

Como hemos visto, el planteamiento anterior subyacía tanto en las argumentaciones de la Circular de la Fiscalía General del Estado como en las contenidas en sentencias del Tribunal Supremo arriba citadas a las que, sin embargo, les faltaba dar un paso más allá de su limitada aplicación a las sociedades pantalla,  sin existencia real y puro instrumento al servicio del delito, con ausencia de una verdadera actividad, organización o infraestructura. Este paso, dejando a un lado relevantes ejemplos en instancias judiciales inferiores¹⁶, lo dará la STS 894/2022, de 11 de noviembre, como consecuencia natural de los fundamentos dogmáticos ya recogidos en la jurisprudencia, aunque precedida en este punto por la STS 747/2022, de 27 de julio¹⁷.

IV. La STS 984/2022

4.1 Los hechos

En el año 2014, día 19 de marzo, la denunciante C. M. C suscribió un contrato de asociación con la entidad E.C.T S.L., en cuyo nombre actuó el acusado O.G.S, de la cual era administrador y representante legal el también acusado J.M.M.

C. inició su negocio en Rúa XX de Lugo,  como local franquiciado de E.C.T SL  y abonó a la sociedad la cantidad de 6000,50 euros, mediante transferencia bancaria realizada el día 29 de marzo siguiente, en concepto de reserva de zona y servicios adicionales asesoramiento, plano 3D, estudio de mercado etc-; la entidad asumió la obligación de suministrarle «los productos propios para el desarrollo del negocio»,  haciéndose mención en la cláusula núm. 6.5 del contrato que era distribuidora de marcas reconocidas (D&G, Relish, Rare, Nolitat Antony Morato…) con continuidad sujeta a posibles variaciones.

En el mes de junio de 2014 C. solicitó a la entidad nueva mercancía, ofreciéndole el acusado J.M.M ropa que indicó ser de la marca «Amelie Arnour», presentándola como una prestigiosa marca creada en el año 1976 en Paris por la diseñadora y actriz Amelie Le Pen, cuyas prendas se producían en una fábrica sita en Villepinte, a 15 km de París, y en cuyos sus talleres se realizaba todo el proceso de manufactura. C. aceptó el ofrecimiento, adquirió prendas -un lote Amelie 608 euros y vestido Amelie 19 euros-, en la creencia de que la información que le había sido facilitada era cierta, y recibió diversas prendas en su tienda. Para su abono hizo entrega de prendas de otras marcas más una cantidad adicional de 300 euros. En todo caso, la denunciante descubrió que dichas prendas no se correspondían con la oferta y que, en realidad, habían sido fabricadas por un almacén de venta al por mayor, por la entidad M. S.L., y posteriormente reetiquetadas como Amelie Arnour, marca que aún no había sido inscrita en ese momento.

Finalmente, C comunicó a la entidad E.C.T SL la rescisión del contrato de asociación suscrito entre ambos, el día 10 de julio de 2014.

4.2 La acusación

Durante la instrucción, fueron llamados a declarar como imputados los dos administradores solidarios, no así la sociedad, y en el curso de su declaración se les pregunta por esos hechos que, presumiblemente, se califican como delito de estafa, sin que se formule a ninguno de ellos pregunta alguna que pudiera guardar relación con el delito corporativo en que se supone que podría haber incurrido la sociedad.

Más tarde, el Ministerio Fiscal presenta su escrito de acusación, calificando los hechos como delito de estafa de los arts. 248 y 249 CP, acusando solo a los dos administradores, aunque solicitando que, junto con ellos, se declare la responsabilidad civil directa de la sociedad. Por su parte, la denunciante, constituida como acusación particular, en su escrito de acusación relaciona elementos fácticos que aparentemente apunten al delito corporativo del que acusa a la sociedad y,  sin embargo, le imputa el mismo delito de estafa que a las dos personas físicas.

Finalmente, el auto de apertura de juicio oral tiene por formulada acusación contra las dos personas físicas y contra la jurídica, para los tres por el mismo delito de estafa de los arts. 248.1º, 249 y 250.6º CP., presentando, a continuación, sus respectivos escritos de defensa los tres acusados. Los de J.M y EC.T SL son sustancialmente iguales.

4.3 La condena

La Audiencia Provincial condenó a J.M.M y a E.C.T SL como autores criminalmente responsables del delito de estafa,  con la concurrencia de la circunstancia modificativa de la responsabilidad criminal atenuante de dilaciones indebidas. Se impone a J.M.M, a las penas de prisión de 1 año y de inhabilitación especial para el derecho de sufragio pasivo durante el tiempo de la condena y a E.C.T SL,  a pena de multa del doble de la cantidad defraudada, en total 1.854 euros.

4.4 La casación

La defensa de la persona jurídica presenta recurso de casación “Por infracción de Ley al amparo de lo dispuesto en el Art. 849.1 de la Ley de Enjuiciamiento Criminal, por aplicación indebida de preceptos de carácter sustantivo, los artículos 248, 249, 109, 110, 116 y 123 del Código Penal; todos ellos en relación con los artículos 27 y 28 del Código Penal”. Nótese que no se contiene mención alguna a la posible infracción del artículo 31 BIS CP. Tampoco se articula un motivo específico con este contenido. No obstante, la sentencia salva este defecto impugnativo aludiendo a que “aunque no hay un desarrollo expreso, en la medida que se interesa la absolución de los dos condenados, uno de los cuales es una persona jurídica, la voluntad impugnativa que subyace en el recurso nos ha de llevar a dedicar la atención a esta cuestión”.

4.5 La posición de la Sala

Tras subrayar que la persona jurídica no fue oída como investigada, lo cual parece ser un defecto común a muchas de las instrucciones que se realizan con personas jurídicas, la sentencia hace hincapié en un elemento mollar de las declaraciones de las personas físicas imputadas: no se formuló a ninguno de ellos pregunta alguna que pudiera guardar relación con el delito corporativo en que se supone que podría haber incurrido la sociedad.  Además, pone de manifiesto la sentencia del alto tribunal que las actuaciones practicadas no habían puesto de relieve indicio alguno que apuntase a un propio delito corporativo que debiera llevar a su imputación, por lo que la apertura de juicio oral contravino lo dispuesto en el artículo 783.1 Lecrim, y hubiera debido dictarse auto de sobreseimiento libre del artículo 637.2 Lecrim, ante la ausencia de delito corporativo.

Pone la sentencia el acento en el delito corporativo y en la falta  de base fáctica que lo sustente, subrayando que premisa básica del delito de la persona jurídica es la existencia de una complejidad organizativa, dado  que, existiendo criterios de imputabilidad propios de la persona jurídica, éstos pasan por “los fallos en que, por defecto de organización o funcionamiento, incurra en el ejercicio de su actividad sobre la gestión, el control, la supervisión o vigilancia para la prevención del delito de que se trate, y todo ello sin prescindir de los criterios rectores del campo del derecho en que nos estamos moviendo, que es el penal, informado por principios como el de culpabilidad subjetiva, de manera que su responsabilidad habrá de serlo por la perpetración de su propio hecho corporativo y en función del reproche culpabilístico de dicho hecho, al margen y obviando criterios de responsabilidad objetiva, como supondría hacerla responsable por una simple transferencia acrítica del hecho cometido por la persona física; el cometido por ésta, como hecho de conexión, podría ser presupuesto de la comisión del de aquélla, pero no serviría como fundamento, que ha de buscarse en uno propio”.

En definitiva, la complejidad organizativa es presupuesto necesario para que podamos hablar de defecto estructural en los mecanismos de prevención  y control que le fueran exigibles por razón de su organización, de manera que  “cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad, con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad”.

La sentencia deja con acierto al margen  la cuestión del ne bis in idem– pues se trata de sociedades reales y no puras pantallas, con existencia jurídica propia y actividad real- y se centra en el elemento complejidad para fundamentar la falta de imputabilidad: “en el caso que nos ocupa nos encontramos con una sociedad, que, si bien formalmente contaba con dos socios administradores solidarios, solo uno de ellos ejercía sus funciones como tal, como lo evidencia que la sentencia de instancia condena exclusivamente a uno; y no solo eso, sino que lo que nos parece determinante es que se trata de una sociedad de tan mínima complejidad que era la forma de presentarse al público, a través de ella, su administrador, que, como persona física, ha sido condenada, o, dicho de otra manera, era tan mínima su complejidad, que difícilmente se diferenciaba el socio de la propia sociedad”¹⁸.

Faltando dicha complejidad, «ni siquiera cabría apreciar la culpabilidad que derivaría del incumplimiento de unos deberes de supervisión y control, que si, como hemos dicho, quedan consumidos en la propia dinámica delictiva del administrador que delinque, bastará con la condena de este, y la absolución de la persona jurídica procederá por su consideración como inimputable, debido a que no cabe estimar que concurra en ella el elemento de culpabilidad, en la medida que es incompatible con su naturaleza hablar de mecanismos internos de control y, en consecuencia, de cultura de respeto a la norma, a partir de la cual se residencia su capacidad de culpabilidad. Lo determinante es la existencia de una complejidad interna, presumible a partir de un suficiente sustrato material organizativo, que, si falta, falta el presupuesto para hablar de imputabilidad penal, por inexistencia de capacidad de culpabilidad, ya que, debido a su mínima estructura, no se da la base desde la que conformarla, y es que, no habiendo posibilidad de establecer mecanismos de control, no puede surgir el fundamento de su responsabilidad, de ahí que no toda sociedad pueda considerarse imputable en el ámbito penal, y, esto que decimos, encuentra apoyo en el Preámbulo de la LO 1/2015, de 30 de marzo, en la medida que los mecanismos de control lo pone en relación con las dimensiones de la persona jurídica”.

V. Conclusiones

La sentencia extiende la inaplicación del régimen de responsabilidad penal del artículo 31 BIS a aquellas sociedades sin estructura organizativa compleja. En este sentido, proyecta a éstas la doctrina que ya había sentado respecto de las sociedades pantalla.

La base de todo ello está en el concepto de autor corporativo: sólo un autor corporativo puede cometer un delito corporativo.

La esencia del autor corporativo es la complejidad de la organización. Únicamente una organización compleja debe acudir a mecanismos de compliance. La falta de tales mecanismos fundamentará la antijuricidad de la conducta, pues estaremos ante un estado de cosas que facilitará la comisión de delitos en su seno, residiendo su culpabilidad en la ausencia de cultura de cumplimiento, en la falta de compromiso con el derecho¹⁹.

La ausencia de complejidad organizativa será en evidente en casos de socio unipersonal y administrador único con ausencia de otros trabajadores. En estos casos, podremos hablar de persona jurídica inimputable, por ausencia de capacidad de culpabilidad,  a la que cabría aplicar el artículo 637.3 LECrim.

Habrá otros casos menos evidentes, que tendrán que dilucidarse en atención a datos concretos obrantes en la causa,  tomando en cuenta la existencia de algún tipo de organización, aunque no compleja y asalariados no socios, sociedades que podrían ser semi- imputables, aplicándoseles la modulación prevista en el artículo 31 ter 1 CP.

Al resto de las personas jurídicas les sería de aplicación el artículo 31 BIS CP.

En fase de instrucción ,al estar ante una cuestión puramente fáctica, será preciso citar a la persona jurídica en calidad de investigada, determinar su composición accionarial, estructura, trabajadores, cuenta de pérdidas y ganancias, cifra de negocio, actividad. A partir de ahí, podremos determinar su imputabilidad y, en su caso, abordar el sobreseimiento libre del artículo 637.3 LECrim.

Es preciso que la acusación describa la existencia de los elementos del delito corporativo en su escrito de acusación. No será suficiente una mera alusión a los artículos del Código Penal que fundamentan la responsabilidad penal de las personas jurídicas.  De no describirse el sustrato fáctico del delito corporativo, no procederá la apertura de juicio oral, sino acordar el sobreseimiento libre del artículo 637-2 Lecrim²⁰

La sentencia que en su caso se dicte deberá también explicar por qué estamos ante un actor corporativo y en qué ha consistido el delito corporativo.

I. Introducción

El 21 de febrero de 2023 se publicó en el Boletín Oficial del Estado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante referida como “Ley 2/2023”). Esta ley transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en adelante referida como “la Directiva europea”). La finalidad de ambos textos es brindar protección frente a las represalias que puedan sufrir las personas físicas que informen sobre las infracciones a que se refieren ambos textos. Aunque el objeto de este marco normativo es muy claro, conviene recordarlo para no buscar en él pretensiones más allá de la protección a los informantes, como puedan ser instrucciones pormenorizadas sobre modo de organizar la gestión de la denuncia de irregularidades. Por ello, la Ley 2/2023 determina un marco normativo bastante general de los denominados sistemas internos de información, tanto para el sector privado como para el público. En cuanto al modo concreto de gestionar las comunicaciones recibidas, se limita a ordenar el canal externo de información de la Autoridad Independiente de Protección del Informante, regulada igualmente en esta Ley. El procedimiento allí descrito no es de aplicación general a todos los sistemas de información, sino a dicha autoridad u otras entidades u órganos autonómicos relacionados con ese ámbito competencial. No obstante, puede adoptarse como fuente de inspiración para procedimentar la gestión de comunicaciones en otras entidades públicas y también en el sector privado.

Visto lo anterior, es comprensible que los destinatarios tanto de la Directiva europea como de la Ley 2/2023 echen en falta contenidos prácticos que les ayuden a implantar y gestionar eficazmente los canales y sistemas para la denuncia de irregularidades. Por ello, la existencia de un estándar internacional previo sobre este particular constituye una ayuda de gran valor para quienes deseen completar estas normas básicas con principios de gestión generalmente aceptados en la comunidad internacional. En los siguientes apartados destaco algunos aspectos del estándar ISO 37002:2021 sobre sistemas de gestión de la denuncia de irregularidades, de notable utilidad a la hora de implantar y gestionar las medidas que vienen exigidas por el marco legal de aplicación.

II. La normalización internacional

La organización internacional de normalización ISO ya había contemplado los canales internos para el planteamiento de inquietudes¹ en el contexto de normas sobre compliance: los estándares ISO 37001:2016 e ISO 37301:2021 hacen referencia a dichos procedimientos para el planteamiento de inquietudes, incluyendo una regulación básica sobre su finalidad y características, pero sin desarrollar el modo de gestionarlos ni entrar en detalles procedimentales. Dada su creciente relevancia, se comprende que en el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se decidiese impulsar la creación de un nuevo estándar mediante la creación del grupo de trabajo (“Working Group”, WG) ISO/TC 309 WG 3 que daría lugar al estándar ISO 37002:2021 sobre sistemas de gestión para la denuncia de irregularidades. Esta norma de aplicación voluntaria recoge prácticas ampliamente reconocidas en muchas jurisdicciones, que están alineadas con los contenidos tanto de la Directiva europea como de la Ley 2/2023. Pero es relevante subrayar la internacionalidad del estándar ISO y no vincularlo exclusivamente con el marco europeo, que, como veremos, cubre y supera.

III. Principios rectores para la buena gestión de denuncias internas

Al estándar ISO 37002:2021 le aplican los mismos principios implícitos que a cualquier sistema de gestión, cuales son la subordinación a ley (su contenido no puede contravenir el derecho positivo aplicable), el de proporcionalidad (adecuación a las circunstancias tanto internas como externas de cada organización), enfoque basado en el riesgo (priorización de las actividades en virtud de la exposición al riesgo que suponen para la organización) y mejora continua (adaptación a las circunstancias cambiantes e incremento de su eficacia).

Al margen de lo anterior, la Introducción del estándar ISO 37002:2021 señala que “este documento proporciona orientación para que las organizaciones creen un sistema de gestión de la denuncia de irregularidades basado en los principios de confianza, imparcialidad y protección”. Estos tres principios explícitos coinciden con los aspectos clave cuyo déficit provoca disfunciones en la gestión de la denuncia de irregularidades. En no pocas ocasiones, al desarrollar un análisis de las causas raíz de su pobre desempeño, surgen deficiencias directa o indirectamente vinculadas con alguno o varios de estos tres elementos. En verdad, los principios están interrelacionados, de modo que las carencias en alguno de ellos afectan fácilmente al resto.

Es importante subrayar que estos tres principios afectan a todo el estándar y, por lo tanto, son de aplicación a todas partes involucradas en una denuncia, y que, como explicaré más adelante, son el denunciante, los sujetos de la denuncia y a las otras partes interesadas pertinentes.

Principio de confianza

Podría decirse que la confianza equivale a la esperanza o seguridad de que la denuncia de irregularidades será adecuadamente gestionada -en su más amplia interpretación-, pero siempre desde una perspectiva objetiva. Es decir, lo que permite adquirir confianza en el sistema de gestión de la denuncia de irregularidades no es que beneficie sesgadamente a determinados colectivos (incluidos los denunciantes), sino su capacidad de demostrar sólidamente cómo se gestionan las irregularidades y el modo en concluyen, frente a todos los colectivos implicados. Aunque lo contrario podría incluso generar confianza a grupos mayoritarios, no lo haría con el conjunto y quebraría, además, el Principio de imparcialidad.

Principio de imparcialidad

La imparcialidad supone la ausencia de interés o ánimo en beneficiar o perjudicar a alguna de las personas implicadas en la denuncia de irregularidades. Suele asociarse con “neutralidad” u “objetividad” y se erosiona cuando las personas que deben gestionar una irregularidad están afectadas por sesgos o prejuicios que afectan, positiva o negativamente, a colectivos o personas involucradas con una denuncia de irregularidades (por ejemplo, son amigos del denunciante o del sujeto de la denuncia, o pertenecen a un mismo grupo familiar o de proximidad). También si tienen interés directo o indirecto en un resultado concreto de la gestión de una denuncia de irregularidades (por ejemplo, cuando les afecta directa o indirectamente, o guarda relación con una actividad o proceso que les puede afectar).  Finalmente, también pueden verse afectadas por factores de diversa índole que conculcan su libre pensamiento y capacidad para actuar de manera justa en la gestión de la denuncia de irregularidades (por ejemplo, cuando dependen de un superior afectado por cualquiera de los factores anteriores, o el expediente guarda relación con alguna actividad en la que han estado involucradas anteriormente).

Cabe cuidar la imparcialidad tanto en fondo como en forma. El estándar ISO 37002:2021 trae a colación esta diferencia cuando, por ejemplo, en su apartado 8.4.1 Tratamiento de la denuncia de irregularidades señala que “en interés, tanto de la imparcialidad real como de la percibida, se debería considerar, según corresponda, la posibilidad de emplear investigadores externos…”

Todo lo anterior invita a concluir sobre la conveniencia una política sobre conflicto de intereses específica para las personas involucradas en la operación del sistema de gestión de denuncia de irregularidades.

Principio de protección

Proteger supone resguardar de un daño o peligro. Cuando se piensa en ello surge inmediatamente la figura del denunciante, pues es la más expuesta a sufrir consecuencias adversas con motivo de su denuncia. Sin embargo, no sólo el denunciante sino todos los protagonistas implicados en la denuncia de irregularidades merecen protección. Esto aparece contemplado en los apartados 8.3.2 Evaluación y prevención de riesgos de conducta perjudicial, respecto del denunciante y de otras partes interesadas pertinentes. Los apartados 8.4.2 Protección y apoyo al denunciante y 8.4.4 Protección de los sujetos de la denuncia se proyectan sobre estos dos colectivos en particular. Vemos, pues, que este Principio de protección se aplica de manera generalizada y no sólo al denunciante, como podría pensarse.

Como veremos más adelante, la protección guarda relación con conductas perjudiciales, que no equivalen necesariamente a las “represalias” a que se refiere la Directiva europea y la Ley 2/2023. Como desarrollaré más adelante, la definición 3.13 Conducta perjudicial del estándar ISO 37002:2021 señala que tanto puede darse de forma activa como omisiva, pero también tanto de forma dolosa como imprudente.

IV. Otros aspectos asociados con una adecuada cultura corporativa

La Introducción del estándar ISO 37002:2021 también se refiere a la importancia de fomentar una cultura de apertura, transparencia, integridad y de rendición de cuentas, que se consideran igualmente principios relevantes para la norma.

Apertura

Cuando el estándar ISO 37002:2021 señala la conveniencia de fomentar una cultura de apertura, coincide con lo que informalmente califica como “cultura de hablar/escuchar”, así citada en varios apartados de esta norma² y definida como “proporcionar un entorno bidireccional fiable, donde cualquier parte pertinente tenga la confianza suficiente y se aliente a plantear inquietudes sobre irregularidades o sospechas de irregularidades, y la organización demuestre su compromiso de recibir, evaluar, tratar y concluir los casos de denuncia de irregularidades”³.

Transparencia

La transparencia suele asociarse con una gestión ética, no porque sean conceptos equivalentes, sino por la tendencia a ocultar actuaciones vergonzantes o reprobables. Sin embargo, el mero hecho de comunicar de forma transparente determinadas informaciones o hechos, no los legitima. La transparencia, por sí sola, no rehabilita las malas praxis.

Por otra parte, la transparencia no supone divulgar alegremente cualquier información, sino siempre sobre la base del principio de “necesidad de conocer”, que abordaré más adelante.

En cualquier caso, es el apartado 7.4 Comunicación del estándar ISO 37002:2021 el que guarda mayores vínculos explícitos con prácticas de transparencia, como también sucede con los mismos apartados en estándares previos ISO 37001:2016 e ISO 37301:2021. Las comunicaciones internas y externas de las organizaciones en materia de gestión de la denuncia de irregularidades ganan protagonismo, especialmente en el contexto de la información no financiera que demandan algunos reguladores y la sociedad en general.

Integridad

La integridad en las organizaciones supone actuar de forma honesta, manteniendo un compromiso con la ética y los valores que se derivan de ella. Se juzga comparando la coherencia entre los valores que dicen observar las personas y sus actos. En el contexto del sistema de gestión de la denuncia de irregularidades, y cuando se aplica sobre personas⁴, se cita la integridad en su acepción moral o personal⁵, esto es, como sinónimo de honradez, honestidad y respeto a los demás.

Rendición de cuentas

La rendición de cuentas, que en ocasiones se engloba dentro del “principio de responsabilidad” supone, en esencia, que las personas y las organizaciones se hacen responsables de sus actos. Es lo que viene a decir la definición 3.30 Rendición de cuentas del estándar ISO 37002:2021: “obligación hacia otro por el cumplimiento de una responsabilidad”. Por lo tanto, las actuaciones deben ser trazables para poder ser fiscalizadas y dar o pedir explicaciones. Rendir cuentas atraviesa por informar de lo que se está gestionando y asumir las consecuencias derivadas de esos actos.

Las funciones y cargos investidos de ciertas capacidades responden tanto del modo en que las ejercitan como si no lo hacen. Señala el apartado 5.3.1 Alta dirección y órgano de gobierno que el “órgano de gobierno, la alta dirección y todo el resto del personal deberían ser responsables de comprender, cumplir y aplicar las recomendaciones del sistema de gestión de la denuncia de irregularidades, en lo que respecta a su función en la organización”. Esto enfatiza que todas las personas de la organización rinden cuentas de sus actos y de lo que se espera de ellas respecto de la gestión de la denuncia de irregularidades.

V. Entidades que pueden disponer de un sistema

Tanto la Directiva europea como la Ley 2/2023 abordan la protección al informante tanto en el sector privado como en el público. Son alcances que igualmente prevé el estándar ISO 37002:2021, cuya plasticidad admite igualmente su aplicación en grupos de sociedades. De hecho, recurre al concepto de “organización”, que es la “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (3.25)”

La Nota 1 que incorpora esta definición reafirma lo dúctil del concepto, pues, entre otras opciones, comprende (i) un comerciante individual, (ii) una corporación, firma, empresa, autoridad, sociedad, organización benéfica o institución, tanto de naturaleza jurídica privada como pública, y (iii) una parte de las estructuras citadas, o una combinación de ellas. Esto permite establecer el sistema de gestión de la denuncia de irregularidades que mejor se adapte a cada caso, en aras a su eficacia. Cubre pues las opciones que también pueden resultar de aplicar la Directiva europea y la Ley 2/2023, si bien el legislador español añade una cautela formal adicional: los canales a través de los cuales informar sobre infracciones referidas en su artículo 2, deben integrarse en un mismo sistema interno de información⁶. Es un modo de garantizar el tratamiento homogéneo y garantista de las comunicaciones que versen sobre dichas materias en particular.

VI. Irregularidades denunciables

El estándar ISO 37002:2021 define “irregularidad” como toda “acción u omisión que pueda causar daño”. Vemos que es un concepto mucho más amplio que las infracciones de derecho positivo a que se refieren tanto la Directiva europea como el artículo 2 de la Ley 2/2023, pudiendo acoger cualquier incumplimiento de la normativa aplicable pero también la violación de los códigos éticos, de conducta y demás políticas de la organización. Por eso se refiere a “irregularidades”, que evoca menos al derecho positivo que el término “infracciones” que emplea el citado marco jurídico.

La relación enunciativa y no limitativa de hechos denunciables que aporta el estándar ISO 37002:2021 pueden producirse por acción u omisión, y también obrando dolo o negligencia. Además, (i) no es preciso que causen un daño, sino que tengan la capacidad de hacerlo, (ii) tanto puede tratarse de circunstancias presentes como pasadas o futuras, y (iii) pueden guardar relación con un solo hecho o una serie de ellos.

En comparación con lo establecido en la Directiva europea y en la Ley 2/2023, es posible que un concepto tan amplio genere inseguridad. Pero se establecen dos mecanismos que restringen sensiblemente su trascendencia a efectos del sistema de gestión.

En primer lugar, la organización puede limitar el alcance del sistema de gestión de la denuncia de irregularidades a determinados tipos de irregularidades, siempre que cubra las necesidades de la organización en virtud de lo dispuesto en el Capítulo 4 Contexto de la organización del estándar ISO 37002:2021. Desde luego, en España debería alcanzar las infracciones de derecho positivo relacionadas en el artículo 2 de la Ley 2/2023.

En segundo lugar, la irregularidad es informada por el denunciante, que debe basar su comunicación sobre observaciones, experiencias o informaciones, que llevarían a la misma creencia a otra persona. Por consiguiente, para que las irregularidades denunciadas entren en la esfera del estándar ISO 37002:2021 no deben ser meras especulaciones, intuiciones u opiniones, debiendo estar basadas en un sustrato razonable que conduciría a cualquiera a actuar del mismo modo en que lo hace el denunciante. Esta línea argumental puede ser de ayuda para interpretar los condicionantes de protección contemplados en la Ley 2/2023⁷.

En cuanto a los tipos de denuncias que pueden cursarse, el estándar ISO 37002:2023 comprende las contempladas en la Directiva europea y la Ley 2/2023. La Nota 2 de la definición 3.10 Denuncia de irregularidades trata los siguientes tipos:

Las denuncias confidenciales, donde el destinatario conoce la identidad del denunciante o la información que puede identificarlo, pero que no se gestiona fuera del principio “necesidad de conocer” (need to know) salvo que preste su consentimiento el denunciante, y excepto en los casos donde lo requiera la ley. Es el tratamiento por defecto de toda denuncia de irregularidades y guarda estrecha relación con los tres principios esenciales del estándar: confianza, imparcialidad y protección.

Las denuncias anónimas, donde el denunciante no revela su identidad. Serán tratadas igualmente como confidenciales, salvo que devengan abiertas por decisión del denunciante.

Las denuncias abiertas, que son aquellas que realiza el denunciante sin ocultar su identidad ni exigir que se mantenga en secreto. Es el caso de las denuncias de irregularidades que hace públicas el propio denunciante (incluyendo las revelaciones públicas a que se refiere la Ley 2/2023⁸), o las que comunica privadamente, pero permitiendo que se conozca su identidad.

VII. Responsable de gestionar las denuncias

El estándar ISO 37301:2021 se refiere a la “función de la denuncia de irregularidades” como las “personas con la responsabilidad y autoridad para el funcionamiento del sistema de gestión (3.1) de la denuncia de irregularidades (3.10)”. Es un concepto convergente con el “responsable del sistema interno de información” a citado en la Ley 2/2023⁹, que tanto puede ser unipersonal como colegiado, si bien en este último caso la ley española exige que delegue en uno de sus miembros las facultades de gestión del sistema y la tramitación de expedientes de investigación¹⁰.

Las capacidades decisorias de la función de gestión de denuncias se limitan a las que constan en el estándar ISO 37002:2021 y se circunscriben la tramitación razonable de las denuncias de irregularidades¹¹. Aunque no dispone de capacidades decisorias, pueden ser objeto de delegación en mayor o menor medida, según disponga la alta dirección. Tal delegación es frecuente de cara al ejercicio de bastantes cometidos operativos de la gestión de la denuncia de irregularidades, desarrollados en los apartados 8.2 a 8.5 del estándar ISO 37002:2021.

En cualquier caso, para que una organización disponga de función de la gestión de denuncia de irregularidades es preciso que (i) se le haya encomendado la operación del sistema de gestión, y (ii) dicha función disponga de autoridad para acometer esta tarea. Son requisitos alineados con las exigencias de la Ley 2/2023¹².

VIII. Partes implicadas en una denuncia

El estándar ISO 37002:2021 contempla diferentes sujetos que están de algún modo relacionados con las eventuales comunicaciones y su gestión. Podemos distinguir entre aquellos que guardan relación con la denuncia de irregularidades (denunciante, sujetos de la denuncia y partes interesadas pertinentes), y aquellos otros que intervienen en su gestión (función de la gestión de denuncia de irregularidades, personas que llevan a cabo labores de apoyo y protección al denunciante y a las partes interesadas pertinentes, encargados de la investigación, órgano de gobierno y alta dirección como sujetos que son informados, etc). A continuación me fijaré en el primer grupo, subrayando nuevamente que los principios de confianza, imparcialidad y protección del estándar ISO 37002:2021 aplican a todos ellos, dado que son los valores generales que propugna la norma.

El denunciante

“Denunciante” es un término definido como la “persona que informa sobre sospechas de irregularidades (3.8) o sobre irregularidades reales y tiene una creencia razonable de que la información es verdadera en el momento de informar”. Por lo tanto, el denunciante es el que desencadena la gestión de la denuncia de una irregularidad a través de los canales establecidos por la organización y su sistema de gestión, o incluso externamente: recordemos que el apartado 8.4.2 Protección y apoyo al denunciante cubre tanto las denuncias que se comuniquen internamente como también las externas ante las autoridades pertinentes.

El denunciante puede ser (i) personal de la organización, incluyendo representantes sindicales, (ii) personal de terceras partes con las que la organización mantiene o prevé mantener alguna relación o vínculo, (iii) toda persona que haya desempeñado en el pasado o vaya a desempeñar en el futuro cualquiera de estas posiciones.

Por la propia naturaleza de estas categorías, parecería que cuando el estándar ISO 37002:2021 se refiere a la “persona” está pensando en personas físicas, cuál es el planteamiento de la Directiva europea y la ley española. No obstante, la Nota 2 a la definición 3.9 Denunciante aclara que igualmente pueden ser personas jurídicas¹³.

Los sujetos de la denuncia

Aunque el estándar ISO 37002:2021 no define “sujetos de la denuncia” emplea extensivamente esta expresión¹⁴, vinculada claramente con los autores de las irregularidades, sus partícipes e incluso sus encubridores. No es un concepto constreñido al término “denunciados” que emplea la Directiva europea y la Ley 2/2023. Junto con los denunciantes, son los protagonistas indiscutibles de la denuncia de irregularidades.

El estándar internacional es consciente de que los sujetos de la denuncia pueden verse afectados negativamente por una gestión inadecuada que desvele su identidad, no preserve la confidencialidad de las investigaciones, conculque las garantías de proceso pertinentes, o no les brinde apoyo y comunicación regular. Todo ello considerando en particular que (i) pueden ser objeto de denuncias fraudulentas, es decir, cursadas a sabiendas de que la información facilitada es incorrecta o incompleta, ocasionalmente con la voluntad de perjudicarles, y (ii) pueden también cursarse denuncias de buena fe, pero que una vez investigadas no confirmen la sospecha o entendimiento del denunciante (normalmente debido a su desconocimiento de la totalidad de hechos y circunstancias relacionadas con el contenido de comunicación).

En cualquier caso, el párrafo c) del apartado 8.4.1 Tratamiento de las irregularidades denunciadas reconoce la presunción de inocencia de cualquier sujeto de la denuncia, como igualmente exige la Ley 2/2023¹⁵.

Las partes interesadas pertinentes

El estándar ISO 37002:2021 recurre al término no definido “partes interesadas pertinentes” en múltiples ocasiones¹⁶, que únicamente comprende a los sujetos próximos a la posición del denunciante, pero no a quienes son objeto de la denuncia ni aquellos otros a los que dedica el apartado 8.4.4 Protección de los sujetos de la denuncia.

Son ejemplos de partes interesadas pertinentes (i) personas que acompañen al denunciante en el momento de cursar la denuncia de irregularidad o que le presten apoyo o ayuda durante el proceso de su gestión, (ii) testigos señalados por el denunciante, (iii) miembros de la familia del denunciante, (iv) representantes sindicales u otros colectivos que den soporte al denunciante, y (v) sujetos que hayan desarrollado investigaciones internas que alimenten o den soporte a las conclusiones o sospechas del denunciante.  Como sucede en el caso del denunciante, tanto pueden ser personas físicas como jurídicas. Todo ello conforma un alcance mayor y más razonable que el reflejado en la Ley 2/2023¹⁷.

Una parte interesada pertinente muy peculiar son aquellos sujetos de los que se piensa erróneamente que han denunciado la irregularidad, cuando realmente no lo han hecho. Podría ser el caso, por ejemplo, de víctimas de acoso sexual o denigración moral señalados en la denuncia cursada por un tercero que ha testificado esa situación. Es una aproximación que va más allá de las previsiones de la Directiva europea y la Ley 2/2023, que omiten esta figura tan singular. Sobre ellos también se proyecta el contenido del apartado 8.4.5 Protección de las partes interesadas pertinentes.

IX. Confidencialidad y «necesidad de conocer»

El principio general es que la identidad del denunciante, de los sujetos de la denuncia y de las partes interesadas pertinentes no debería revelarse a nadie más allá de lo necesario sin su consentimiento. La Nota 2 a la definición 3.10 Denuncia de irregularidades del estándar ISO 37002:2021 califica como denuncia confidencial aquella donde el destinatario conoce la identidad del denunciante o cualquier información que pueda identificarlo, pero que no se gestiona fuera del principio “necesidad de conocer” (need to know) salvo que preste su consentimiento el denunciante, y excepto en los casos donde lo requiera la Ley. Por lo tanto, el principio de “necesidad de conocer” va más allá de los casos obvios que contempla la Directiva europea y la Ley 2/2023¹⁸, abarcando no sólo a las autoridades legitimadas, sino también a otras personas (eventualmente terceros), cuando resulte necesario para la adopción de medidas correctoras (no sólo punitivas) en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan. Cabe subrayar que el principio de “necesidad de conocer” no supone suspender el tratamiento confidencial de las informaciones de la denuncia, sino extender sus cautelas a otros sujetos cuya intervención es completamente necesaria en el contexto de su gestión.

En los casos donde la organización considere probable que se produzca una brecha de confidencialidad, debería notificarla al denunciante y a las partes afectadas lo antes posible¹⁹, adoptando medidas adicionales para evitar o minimizar los perjuicios.

El estándar ISO 37002:2021 es consciente de que mantener la confidencialidad sobre el denunciante y otras partes interesadas es complejo y requiere de procesos y procedimientos enfocados a ello. En relación con los mismos, sugiere que se tenga en cuenta que (i) con independencia de los hechos comunicados, una serie de características de una persona (su nombre, voz, forma de escribir, género, descripción de su puesto de trabajo, departamento al que pertenece, operación en la que está trabajando, etc) pueden identificarla, (ii) las circunstancias que envuelven a la irregularidad denunciada (hechos, fechas, personas involucradas, etc) pueden llevar a que se conozca quién es el denunciante, (iii) el modo en que se lleva a cabo una investigación (departamentos a los que se accede, información que se solicita, entrevistas que se mantienen), pueden también identificar al denunciante, (iv) cómo se informa del resultado de una investigación o de gestión de la irregularidad (a qué personas, bajo qué circunstancias) pueden igualmente identificar al denunciante, (v) los datos que se recopilan a efectos de seguimiento o como indicadores de evaluación pueden identificar inadvertidamente al denunciante (mencionando el departamento, la materia o el tipo de irregularidad, etc.), (vi) en caso de denuncias tanto anónimas como confidenciales, es posible que se precise revelar la identidad del denunciante para seguir la investigación, cuando, por ejemplo, así lo precisan terceros clave, cuya opinión puede ser determinante, (vii) en caso de denuncias anónimas, que los denunciantes adquieran consciencia de que tal circunstancia restringe la capacidad de la organización para protegerlo y también puede limitar la eficacia de la investigación, (viii) también en caso de denuncias anónimas y para vencer el inconveniente de archivar o dejar de investigar casos debido a la imposibilidad de contactar con el denunciante, las organizaciones pueden establecer mecanismos de comunicación con ellos que garanticen igualmente su anonimato.

X. Etapas esenciales en la gestión de denuncias

El estándar ISO 37002:2021 describe y articula las cuatro etapas por las que atraviesa la gestión de la denuncia de irregularidades: recepción, evaluación o triage, tratamiento y conclusión. La Ley 2/2023 estable igualmente cuatro etapas en relación con el canal externo de la Autoridad Independiente de Protección al Informante, muy coincidentes con las anteriores: recepción de informaciones, trámite de admisión, instrucción y terminación de las actuaciones. No obstante, el estándar internacional es más prolijo en cuanto a buenas prácticas en cada una de ellas, convirtiéndose en un apoyo interpretativo clave para los sistemas de información inspirados en el procedimiento articulado para la indicada autoridad.

En el apartado 1 Objeto y campo de aplicación del estándar,  estos cuatro pasos aparecen meramente indicados, pero se repiten en el apartado 4.4 Sistema de gestión de la denuncia de irregularidades del Capítulo 4 Contexto de la organización, y luego son objeto de mayor desarrollo en el Capítulo 8 Operación, dentro de sus apartados 8.2 Recepción de denuncias de irregularidades, 8.3 Evaluación de denuncias de irregularidades, 8.4 Evaluación y prevención de riesgos de conducta perjudicial y 8.5 Conclusión de casos de denuncia de irregularidades. No cabe duda de que estas cuatro etapas condicionan el modo en que se estructura, documenta y opera un sistema de gestión de la denuncia de irregularidades²⁰.

Recepción de las denuncias de irregularidades

El sistema de gestión debería especificar cómo cursar y recibir las comunicaciones susceptibles de tratamiento²¹. Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.2 Recepción de las denuncias de irregularidades del estándar ISO 37002:2021.

Evaluación de las denuncias de irregularidades (triaje)

En este paso de evaluación se analizan tres cuestiones básicas (triaje), como son (i) la categoría y prioridad que debe darse a la gestión de la denuncia recibida, (ii) la integridad de la información recibida y, por lo tanto, su nivel de fiabilidad, en el sentido de que se infiera el nexo causal entre los hechos y la irregularidad comunicada, siendo tal vínculo plausible por el nivel de detalle y verosimilitud de los datos suministrados, y (iii) la relevancia de la información recibida, pues aún siendo cierta puede quedar fuera del alcance del sistema de gestión de la denuncia de irregularidades. En caso contrario, seguirá el proceso normal para su gestión o incluso uno especial de urgencia (en virtud de la priorización). Todo ello puede conducir a solicitar más información o desestimar la denuncia.

Sobre la base de esta evaluación inicial, también se concluye preliminarmente en cuanto a dos aspectos clave: (i) evaluación del riesgo de perjuicio que pueden implicar los hechos denunciados para el denunciante, los sujetos de la denuncia, las partes interesadas pertinentes, la propia organización, o cualquier tercero en general y (ii) el nivel de protección y apoyo que cabe aplicar a los denunciantes, pero también a otras personas implicadas.

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.3 Evaluación de las denuncias de irregularidades del estándar ISO 37002:2021.

Tratamiento de las denuncias de irregularidades

El tratamiento de las denuncias supone, (i) desarrollar una investigación imparcial cuando sea oportuno, esto es, en virtud de la información previamente evaluada, (ii) sobre la base del análisis preliminar desarrollado en la etapa de evaluación, poner en marcha las medidas tanto protección como de apoyo eficaces y oportunas para quien corresponda, y (iii) Establecer el seguimiento para el denunciante y otras personas implicadas (incluidos los denunciados), también pensando en prevenir, contener o mitigar el perjuicio asociado con la denuncia en sí o con los hechos denunciados.

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.4 Tratamiento de las denuncias de irregularidades del estándar ISO 37002:2021.

Conclusión de los casos de denuncia de irregularidades

Con esta etapa se cierra la investigación (cuando ha sido oportuno realizarla) y se adoptan las medidas procedentes. También se decide acerca de la monitorización de aquellas medidas relacionadas con la protección y apoyo tanto al denunciante como a otras personas implicadas (puede ser preciso mantenerlas a pesar de que haya concluido el expediente). En este sentido, la Ley 2/2023 restringe la protección a los dos años siguientes a ultimar las investigaciones, aunque se puede solicitar su extensión a la Autoridad Independiente de Protección al Informante²².

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.5 Conclusión de los casos de denuncia de irregularidades del estándar ISO 37002:2021.

XI. Externalización y comunicación a las autoridades

Señala el apartado 5.3.1 Alta dirección y Órgano de gobierno del estándar ISO 37002:2023, que se puede asignar la totalidad o parte de la función de gestión de la denuncia de irregularidades a personas externas a la organización, aunque establece varias cautelas frente a tal escenario.

Así, antes de la externalización deberían desarrollarse procedimientos de debida diligencia para asegurar que se apliquen los más altos estándares de protección de datos por defecto y por diseño, según determina el apartado 7.5.4 Protección de datos del estándar ISO 37002:2021. En cualquier caso, siempre se deberán mantener personas en el seno de las organizaciones con responsabilidad y autoridad sobre la externalización. Caber recordar que el apartado 8.1 Planificación y control operacional del estándar ISO 37002:2021 señala que “la organización debería asegurarse de que los procesos, productos o servicios proporcionados externamente, que son pertinentes para el sistema de gestión de la denuncia de irregularidades, estén controlados”. Con ello, se deja claro que delegar responsabilidades no significa abdicar de ellas, y que siempre competerán a la organización, a su alta dirección, e incluso al órgano de gobierno en su posición residual de garante. En contra de este enfoque que brinda libertad a las organizaciones, la Ley 2/2023 sólo permite externalizar la fase de recepción de informaciones²³, aspecto a tener muy presente en la contratación de servicios con terceros.

En relación con las fases de la gestión de la denuncia de irregularidades y puesto que en su evaluación puede concluirse su trascendencia como infracción legal, el estándar ISO 37002:2021 ampara informar a las autoridades correspondientes. La Ley 2/2023 es más drástica, exigiendo remitir con carácter inmediato la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito²⁴ o cuando así se desvele en el transcurso de la investigación²⁵.

XII. Conducta perjudicial

Mantener los principios de confianza, imparcialidad y protección precisa evitar que el denunciante sea represaliado por haber cursado legítimamente una denuncia de irregularidades. El estándar ISO 37002:2021 brinda algunos ejemplos, sustancialmente coincidentes con los regulados en la Directiva europea. No obstante, evita emplear el término “represalia”, que evoca un acto consciente y voluntario contra el denunciante, y recurre al de “conducta perjudicial”, que tanto puede ser una acción u omisión deliberada como también negligente²⁶. Así, por ejemplo, una gestión defectuosa de la denuncia de irregularidades que derive en el conocimiento de la identidad del denunciante anónimo encaja como conducta perjudicial, sin que sea un acto de represalia en el sentido coloquial del término. Esta es una de las diferencias entre el enfoque del estándar ISO 37002:2021 respecto de la Directiva europea y la Ley 2/2023. También es motivo de alejamiento respecto de los estándares previos ISO 37001:2016 e ISO 37301:2021 igualmente empleaban la expresión “represalia”.

Es igualmente importante saber que la conducta perjudicial no sólo es aquella que puede afectar al denunciante, pues la definición 3.13 Conducta perjudicial la relaciona con un denunciante u otra “parte interesada pertinente”. Este último término no definido lo emplea el estándar ISO 37002:2021 de manera frecuente para referirse a sujetos próximos al denunciante, que pueden ser objeto de conductas perjudiciales con motivo de la denuncia, como familiares o compañeros del denunciante, personas que le han brindado apoyo, sujetos que pueden convertirse en potenciales denunciantes, personas que pueden ser percibidas como denunciantes, aunque realmente no lo sean, y cualquier persona física o jurídica implicada en un proceso de denuncia de irregularidades.

Sin embargo, no tienen la consideración de actos perjudiciales aquellos que se adopten contra el denunciante por motivo de sus propias irregularidades, no vinculadas con haber cursado una denuncia de irregularidad. Esta cautela evita que los sistemas de gestión de denuncias se conviertan en un instrumento de impunidad ante ciertas conductas irregulares, lo cual sería del todo paradójico.

XIII. La protección y su alcance

Según cuáles sean los potenciales focos de las conductas irregulares, la organización debería reflexionar y decidir sobre qué hacer respecto de los siguientes aspectos, que se refieren tanto al denunciante como a otras partes interesadas pertinentes: (i) medidas orientadas a la protección de su identidad, (ii) si procede compartir la información, en caso de que sea estrictamente preciso, según el principio de “necesidad de conocer” (need to know), (iii) si procede brindar apoyo y protección durante todo el proceso de gestión de la denuncia, incluyendo las comunicaciones regulares con los afectados (denunciante y otras partes interesadas pertinentes), especialmente considerando si son colectivos especialmente vulnerables como niños, personas discapacitadas, migrantes, personas mayores, etc., (iv) si procede cambiar el lugar de trabajo a algunos sujetos o proyectar sobre ellos algún tipo de preparativos o medidas cautelares, y, (v) si procede, advertir a los sujetos de la denuncia o a otras partes interesadas que llevar a cabo una conducta perjudicial o quebrantar la confidencialidad en el tratamiento de la información puede constituir una falta disciplinaria.

Obviamente, el nivel de apoyo y protección, así como las acciones que se vayan a adoptar tras esta reflexión dependerán del tipo, momento y consecuencias de la irregularidad denunciada.

Sin perjuicio de lo anterior, los riesgos que se hayan detectado en los momentos iniciales de la gestión deberían ser objeto de seguimiento a lo largo de todo el proceso para evitar que se materialicen en cualquier momento, incluyendo, por ejemplo, cuando se decida realizar una investigación, cuando ésta se lleva a cabo o cuando se informa de sus resultados. Incluso, si procede, cuando el caso haya sido cerrado.

Protección y apoyo al denunciante

El estándar ISO 37002:2021 nos habla de protección y apoyo al denunciante, que es la persona física o jurídica que informa acerca de irregularidades, sean sospechadas o reales, bajo la creencia razonable de que cuanto informa es verdadero en el momento en el que lo hace. Como ya indiqué, esto no quita la protección a otros colectivos tratados en los apartados 8.4.4 Protección de los sujetos de la denuncia y 8.4.5 Protección de las partes interesadas pertinentes, y que igualmente pueden ser objeto de conductas perjudiciales. Recordemos, además, que la protección no sólo cubre a los denunciantes internos, sino también los externos que han recurrido a los canales dispuestos por las autoridades competentes.

Aunque una política dedicada a la denuncia de irregularidades debe incluir una prohibición expresa de cualquier conducta perjudicial, se extiende el mensaje a cualquier otra política de la organización²⁷, cuyo contenido debería dejar siempre claro que no se tolerarán intentos de identificar al denunciante o de llevar a cabo conductas perjudiciales, circunstancias que darán lugar a las acciones disciplinarias procedentes.

Proteger a este colectivo supone llevar a cabo las actividades razonables para (i) evitar la conducta perjudicial (por ejemplo, que se conozca la identidad del denunciante, cuando era secreta), (ii) contener el daño que ya se ha causado (por ejemplo, para que la identidad del denunciante que ha sido desvelada por negligencia, deje de difundirse todavía más), y (iii) evitar un daño mayor (por ejemplo, que tanto el denunciante como otras partes interesadas pertinentes sufran otras conductas perjudiciales).

El apartado 8.3.2 Evaluación y prevención de riesgos de conducta perjudicial del estándar ISO 37002:2021 señala una serie de factores a considerar para evaluar el riesgo de perjuicio para el denunciante y otras partes interesadas pertinentes. Lógicamente, este apartado 8.4.2 Protección al denunciante se remite a dichos factores a la hora de establecer una estrategia de protección adecuada.

En la práctica, las labores de apoyo al denunciante conllevan empatizar y tranquilizarlo, trasladándole la importancia de su conducta para la organización, dando al mismo tiempo los pasos que procuren su bienestar, lo que incluye apoyo emocional (de modo que la denuncia de la irregularidad no le ocasione desequilibrios o trastornos emocionales), financiero (para que el denunciante no se vea impedido a discontinuar su rol en la denuncia de irregularidades debido a restricciones económicas que guarden relación con la organización), legal (de modo que el denunciante conozca sus derechos y el modo de trasladar su denuncia externamente, llegado el caso) y reputacional (para que no se produzcan efectos que impacten negativamente en la imagen o reputación del denunciante y otras partes interesadas pertinentes. La Ley 2/2023 reconoce algunas de estas labores de soporte²⁸, y deja en manos de la Autoridad Independiente de Protección al Informate decidir acerca de algunas de ellas (apoyo financiero y psicológico).

La reparación de una conducta perjudicial supone restituir al denunciante a la situación que habría tenido de no haberse producido la misma, o lo más cercana a ella en el caso de que no pueda revertirse completamente²⁹, incluyendo indemnizarlo por los daños sufridos³⁰.

Aparte de las medidas de reparación, la organización debe pensar en adoptar las medidas disciplinarias apropiadas ante cualquier persona responsable de una conducta perjudicial.

Protección de los sujetos de la denuncia

No existen motivos para dejar de aplicar los principios de confianza, imparcialidad y protección a las personas contra las que se dirigen las denuncias de irregularidades, especialmente cuando la propia norma reconoce la posibilidad de denuncias fraudulentas³¹, como también lo hacen la Directiva europea y la Ley 2/2023³². No debería minusvalorarse el daño que puede sufrir injustamente este colectivo.

Por todo ello y en cuanto a este grupo cabe, a título enunciativo, (i) proteger su identidad, (ii) preservar la confidencialidad para evitar daños a su reputación, y (iii) asegurar los derechos que le asistan y que no existan motivos para restringir, y (iv) proporcionar apoyo durante todo el proceso, lo que incluye una comunicación regular.

Cuando se descarta la existencia de irregularidades o no se obtienen evidencias acerca de las mismas, procede igualmente aplicar medidas de remediación en los diferentes ámbitos que puedan precisar, incluyendo las que afectan a la reputación, financieras o estatus profesional.

Protección de las partes interesadas pertinentes

El estándar ISO 37002:2021 no limita la protección al eventual impulsor de una denuncia de irregularidad, es decir, al denunciante, sino que la extiende a otros sujetos de su entorno, que guardan relación o empatizan con su posición o argumentos, pudiendo también ser personas físicas o jurídicas según aclara la Nota 5 del apartado 3.13 Conducta perjudicial del estándar. La protección se extiende igualmente a los sujetos sobre los que se piensa erróneamente que han denunciado la irregularidad, cuando realmente no lo han hecho.

Puesto que algunos de estos sujetos pueden ser externos a la organización (la familia del denunciante, por ejemplo), el nivel de protección dependerá de las capacidades reales, habilidades y competencias para actuar. Aunque esto puede dar lugar a escenarios muy variados, la organización debería siempre reflexionar hasta dónde puede extender su nivel de protección, sin desestimar de entrada a ningún sujeto o colectivo que puedan sufrir una conducta perjudicial.

XIV. Conclusiones

No cabe duda de que el estándar ISO 37002:2021 constituye una excelente fuente de información de buenas prácticas compatibles con el marco jurídico de la Directiva europea y la Ley 2/2023. Sin embargo, siendo el objeto de estas normas fijar un umbral mínimo de garantías de protección al informante, es lógico que no sólo hallemos en el estándar internacional directrices útiles para este propósito, sino también usos más avanzados y generalmente aceptados.

Adoptar el nuevo marco normativo básico como único referente para estructurar y gestionar los sistemas internos de información, públicos o privados, es muy arriesgado, pues omite algunas cuestiones relevantes para su eficacia, según he ido comentando al hilo de este artículo. Así, por ejemplo, relegar a un segundo plano las vulneraciones éticas o de valores que no constituyan infracciones de derecho positivo, o ignorar la posibilidad de que la persona jurídica ostente la condición de denunciante y sea objeto de protección directa y desvinculada de la persona física, son planteamientos ya superados por muchas organizaciones.

Para evitar una regresión, se debe aclarar que el nuevo marco jurídico-positivo no impide introducir mejoras a sus contenidos mínimos, para lo cual el estándar internacional ISO 37002:2021 constituye un referente obligado.