Gatekeepers del compliance: el modelo italiano del “odv”

I. El compliance como modelo de control

El compliance, entendido como conjunto de programas de cumplimiento interno y buenas prácticas que las empresas adoptan para identificar los riesgos y poner en marcha mecanismos de prevención, gestión, control y reacción frente a los mismos, y mediante los cuales capacitan, monitorean y disciplinan a los empleados con respecto a las leyes y regulaciones aplicables¹, emerge como un modelo de control de la actividad empresarial que incide en la responsabilidad penal (o «por delito» en el sistema italiano) modificando sus características.

Y se ha establecido un órgano de supervisión específico para la correcta adopción de programas de cumplimiento adecuados, el “organismo di vigilanza” (odv)².

Tanto es así que se puede afirmar que la autoorganización de la empresa en sentido compliant se basa en este doble nivel de controles: modelo organizativo y responsable de la vigilancia de la misma (odv).

Este modelo en el ordenamiento jurídico italiano ha sido adoptado como base estructural de la responsabilidad penal de las entidades colectivas establecida por el Decreto Legislativo 231/2001.

A continuación, destacamos algunos aspectos peculiares.

I.1 Defecto organizacional como culpa e idoneidad organizacional como target

En primer lugar, el compliance tiene como objetivo orientar la actividad empresarial hacia políticas corporativas virtuosas, en beneficio de los stakeholders, pero también de la propia organización.

Sin embargo, el compliance, cuando se implementa eficazmente, tiene un alto coste para la empresa: pero en realidad, especialmente a largo plazo, es una inversión destinada a minimizar la verificación de infracciones dentro de la empresa, que tienen costes a menudo mucho mayores consistentes en las sanciones previstas por el Decreto Legislativo 231/2001 y en las que se derivan de la obligación de indemnización en el proceso civil; y también a identificar rápidamente las áreas críticas de la organización  que pueden dar lugar a actividades ilegales que también son perjudiciales para la propia empresa, estructurar la empresa según estándares superiores de calidad también de valor reputacional y, por tanto, a  establecerse en el mercado en términos de imagen y organización. No sólo conviene a la organización colectiva «hacer una buena prevención», sino también mostrarse como un sistema que funciona bien, capaz de corregir o neutralizar con prontitud las actividades no conformes. De hecho, la doctrina italiana desea que se imponga cada vez más una cultura empresarial³ en la que el control no se conciba como un freno a la actividad económica ni como un coste empresarial más, sino como una herramienta para evitar caer en actos ilegales y, sobre todo, para crear valor y rentabilidad, una inversión, aunque quizás a largo plazo⁴. No dista tanto la observación de que la responsabilidad por la comisión de delitos es consecuencia de las políticas de la propia empresa de la necesidad percibida de responsabilizar al organismo colectivo como tal.

El objetivo de este paradigma es, por tanto, involucrar al organismo colectivo en la prevención y lucha contra los delitos ventajosos para la empresa, haciendo evidentemente que prevalezcan los costes del delito y, en cambio, haciendo ventajoso su cumplimiento: mientras que el castigo del organismo que no ha adoptado una cuidadosa profilaxis preventiva representa el fracaso del proyecto político-criminal.

I.2 Connotación “mesocriminal” de la empresa

En términos de responsabilidad penal, el compliance desvía la atención del delito como decisión individual al riesgo ilícito como fenómeno sistémico a gestionar, como déficit de la organización en sentido preventivo, verdadera base de la responsabilidad de la organización por el delito. Este déficit puede derivar de una política empresarial deliberada encaminada a no invertir en cumplimiento y reducir los costes de prevención; o puede ser efecto de una deficiencia organizacional estructural no reconocida a tiempo.

La organización es portadora de un alto potencial criminógeno, pero también de un formidable potencial preventivo: se desarrolla sobre complejos procesos de toma de decisiones -normalmente no de individuos, sino de realidades colegiadas- que reflejan también la complejidad de la realidad empresarial, que nunca va concebida, según una imagen antropocéntrica, como una realidad totalmente homogénea que piensa y elige como un ser humano: de hecho, en la propia organización colectiva, a menudo surge un conflicto real entre unidades empresariales con diferentes sensibilidades, algunas más dedicadas a la rentabilidad y otras al respeto de las reglas y procedimientos⁵.

Estos perfiles emergen de manera clara  en la legislación italiana de las últimas dos décadas: además del Decreto Legislativo 231/2001, en el que el programa de compliance es el punto central de responsabilidad⁶, el apartado 2 del art. 2086 del Código Civil, introducido por el Decreto Legislativo 14/2019, aunque con vistas a la protección preventiva contra las crisis empresariales, exige que cada empresa establezca una estructura organizativa, administrativa y contable adecuada a la naturaleza y tamaño de la empresa.

Partiendo de la concepción de Tiedemann⁷, se habla de culpa por organización⁸: la culpabilidad del organismo colectivo puede derivar de una elección deliberada de desorganización, es decir, de no cumplir con el deber general de organizarse para hacer frente a la prevención de riesgos de delito (consecuencia de políticas de reducción de costes); o de la adopción de un modelo organizativo deficiente, no adecuado a nivel preventivo (el llamado compliance cosmético⁹), o de la no implementación del modelo según las best practices¹⁰ (una de las manifestaciones de la conocida irresponsabilidad organizada); decisiones que pueden derivar bien de una política empresarial orientada a maximizar el beneficio, en términos de reducción de costes de prevención, bien de una grave deficiencia de gestión o de información¹¹.

En el centro del reproche contra el colectivo se encuentra, por tanto, la «laguna organizativa, es decir, un déficit de planificación y control como para hacer posible o facilitar significativamente la comisión del delito individual»¹²: la llamada culpa por organización es el objeto del reproche, pero por el contrario la organización correcta representa el objetivo del cumplimiento.

De modo que sin organización no hay delito corporativo¹³.

La estructura de las grandes organizaciones constituye un marco típicamente «mesocriminal», es decir, con este concepto, un paradigma de imputación que caracteriza los delitos cometidos en el contexto de realidades colectivas lícitas y reconocidas por el ordenamiento jurídico, y que se sitúa entre el derecho penal de imputación individual y la llamada macrocriminalidad, propio de las grandes organizaciones criminales-, en el que se perpetran delitos supuesto de responsabilidad del ente colectivo (en su interés o ventaja). Un contexto caracterizado por la imposibilidad para el individuo de controlar y dominar los procesos que conducen a la verificación de hechos penalmente relevantes que, por la complejidad de su génesis y la necesidad de su explicación en el contexto y en relación con la organización, también a la luz de dinámicas de grupo específicas, deben ser calificados como mesocriminales: un concepto, el de mesocriminalidad, que se refiere a las relaciones peculiares, propias del derecho penal corporativo, entre las actividades individuales y la estructura de organizaciones complejas, con las consiguientes consecuencias en términos de atribución de responsabilidad tanto a personas físicas como a sujetos metaindividuales: la estructura organizativa de la empresa o entidad constituye una situación típica –lícita– de conexión entre la acción individual del miembro individual y la infracción producida colectivamente, en el sentido de que la conducta individual se revela en estrecha dependencia de la interacción con las actividades de otros sujetos, de la estructura del cuerpo colectivo y de la dinámica de la organización¹⁴.

I.3 Compliance y aparato de control

Un sistema dirigido a establecer, mantener y posiblemente reconstituir una buena organización de gestión y prevención, en cuyo contexto el hecho ilícito – non compliant – constituye un riesgo que el propio sistema es apto para afrontar (y si no lo es, significa que la organización tiene fallas), requiere mecanismos de control interno apropiados¹⁵, por lo que los gatekeepers se conciben como elementos esenciales del compliance mismo.

II. Implicaciones del compliance en el derecho penal

Estos aspectos se reflejan significativamente en el modelo de responsabilidad penal que se ha desarrollado en los últimos años.

II.1 Responsabilidad por la gestión de riesgos: la lógica de precaución del modelo organizacional

En primer lugar, constituye la evolución de la responsabilidad desde la gestión de riesgos. El derecho penal liberal clásico se basaba en el tipo ideal del delito de comisión de un hecho y de la violación de las reglas de prohibición, respecto del cual la omisión o violación de las reglas de mando representaba una excepción. Este modelo ha sido progresivamente suplantado por un derecho penal en el que es imprescindible identificar centros de imputación, sujetos competentes respecto de los riesgos identificados: la responsabilidad penal deriva de la gestión incorrecta del riesgo, creación o incremento de riesgo ilícito.

El modelo del compliance sitúa dentro del órgano colectivo al sujeto designado para dotarse de una organización adecuada para controlar el riesgo empresarial: de esta manera la empresa resalta aún más su carácter de institución reconocida por la ley para la correcta gestión del riesgo sistémico que la actividad desarrollada implica. Cuanto mejor compliance implemente la empresa, más oportunamente será posible detectar fallas en el sistema organizacional que permiten la comisión de delitos, y por tanto evitar la responsabilidad de las personas físicas garantes de la prevención (compliance como gestión del riesgo empresarial en función de prevención). El modelo organizativo del Decreto Legislativo 231/2001 se inspira en gran medida en la lógica del principio de precaución¹⁶: no se trata sólo de prevenir los riesgos de delito, sino incluso antes de disponer precauciones que contengan los riesgos producidos por la actividad empresarial¹⁷. El principio de precaución inspira también el papel del odv, obligado a verificar que el modelo es adecuado y sigue siendo adecuado, proponiendo actualizaciones si ya no lo es: la idoneidad de las precauciones debe entenderse en sentido preventivo, incluso frente a riesgos sólo hipotéticos sobre los cuales es posible un mero pronóstico de duda¹⁸.

II.2 No punibilidad del ente colectivo

En segundo lugar, como consecuencia del primer aspecto, la empresa que adopta compliance programs que sean eficaces en sentido preventivo queda eximida de responsabilidad por los delitos previstos en el Decreto Legislativo 231/2001 (compliance como causa de no sanción de la empresa por delitos cometidos por personas naturales).

Sobre este perfil ya se ha escrito mucho.

II.3 Descentralización de la protección: el paradigma de la autorregulación

En tercer lugar, los compliance programs representan una expresión de la difusión del modelo de autorregulación, cuya disposición regulatoria no es impuesta por el sistema legal, sino adoptada como una norma de comportamiento autónoma, en particular como un protocolo de reglas y procedimientos conformes con un paradigma de prevención¹⁹.

Expresión de la pérdida del carácter público de la regulación, este fenómeno emblemático del derecho moderno (penal y no solamente), remite al ente privado la elección de las medidas preventivas más eficaces, de las sanciones por sus violaciones, de los procedimientos para imponerlas: la idea inspiradora  según la cual la agency que puede tomar las mejores decisiones de prevención es la que está más cerca de las situaciones de riesgo concretas.

Se conocen los temas críticos que se han identificado respecto a este fenómeno.

La autorregulación significa que la misma empresa – su empresario, sus administradores – puede establecer medidas para exonerarse de responsabilidad (a través de la previsión de un sistema aparente de responsabilidad) e incluso para echar la responsabilidad a niveles diferentes de la organización empresarial, es decir, para entrelazar redes de la llamada “irresponsabilidad organizada”.

Además, no se puede pasar por alto el riesgo de fomentar fenómenos de competencia desleal, tal vez promovidos por grandes grupos de presión, que pueden aprovechar la difusión de modelos cada vez más costosos de autorregulación privada para desalojar a las empresas que no pueden hacer frente a costes tan elevados²⁰.

II.4 La ética de la información como base de la actividad empresarial

En cuarto lugar, un aspecto destacable nos parece el retorno a un derecho penal basado en protocolos éticos, aunque desde la perspectiva utilitarista de evitar consecuencias desfavorables para la empresa²¹. El modelo de derecho penal de la modernidad basado en la clara distinción entre delitos morales y actos legalmente ilícitos  (y distinción aún más decisiva respecto a los delitos penales, debido a su naturaleza de extrema ratio) ha sido cuestionado durante mucho tiempo por concepciones funcionalistas que subrayan la función igualmente confirmatoria del derecho y de la moral respecto de la identidad de la sociedad, negando por ingenua la idea de una autonomía absoluta de las elecciones del legislador respecto de los modelos morales que se establecen a nivel social. Pero la evolución hacia la afirmación del compliance añade algo muy diferente y más concreto: en el momento en que la normativa favorece la autoorganización por parte de las empresas dirigida no sólo a la prevención, sino a conductas endocorporativas compliant, respetuosas de las normas éticas incluso antes que las legales, parece claro que la base ética vuelve a ser el fundamento del delito a nivel preventivo. Evidentemente, se trata de comprobar la conformidad de las actividades y, antes aún, de las situaciones con respecto a los procedimientos, no directamente a las normas éticas; pero entre estos procedimientos también cobran importancia los controles relativos al cumplimiento e interpretación del Código Ético.

Es cierto que se trata de una «responsabilidad modelada y justificada con criterios preventivos o cautelares, por tanto de manera eminentemente funcional”²², pero no parece preciso afirmar que está desligada de cualquier reproche ético, porque en el marco de la filosofía del compliance la prevención (ex ante) o la reparación (ex post) de los delitos de las personas físicas que son supuestos para la responsabilidad del colectivo pasa por un control de la eficacia del sistema con respecto a los comportamientos no conformes con las medidas estándares y buenas prácticas. Y los compliance programs prevén mecanismos disciplinarios para sancionar conductas de incumplimiento de las medidas allí previstas, aunque no tan relevantes como las infracciones penales o administrativas, pero sí prodrómicas o funcionales a la comisión de uno de los delitos determinantes: la prevención «primaria». El sistema establecido por el modelo organizativo expresa la subsidiariedad de la intervención penal.

Esencialmente las empresas tienen que internalizar estándares éticos y legales²³.

El behavioral compliance es un mecanismo de naturaleza ética-conductual, “de formación de la conciencia moral y de generación de hábitos de conducta virtuosa en los empleados y directivos, al menos en lo relativo a la ética de los negocios”²⁴.

Y el espacio cada vez mayor asignado a las investigaciones conductuales (behavioural science, y especialmente behavioural ethics) representa un reconocimiento de la importancia de mecanismos éticos (como los nudges) en el marco de la compliance²⁵.

Además, es esencial que el management mantenga un comportamiento conforme incluso cuando exprese comunicaciones formales e informales.

En el sistema establecido por el Decreto Legislativo 231/2001, entre las tareas del odv cabe destacar la de difundir una cultura de legalidad en todos los niveles de la empresa²⁶: en particular, debe impartir formación específica sobre riesgos penales a todos los empleados del ente, asumiendo una función claramente pedagógica²⁷.

Esta cultura de la legalidad se expresa, en primer lugar, en la adopción e implementación efectiva de modelos organizativos adecuados (el llamado compliance preventivo); luego, una vez cometido el delito determinante, en la adopción por parte de la empresa de medidas de reintegración del delito, compensación y reorganización (el llamado compliance reactivo)²⁸. Programación y, cuando el resultado sea desfavorable, reprogramación del sistema de prevención.

Por lo tanto, la cultura corporativa no se limita al mero cumplimiento formal de normas incriminatorias, sino a un proceso más amplio de adaptación -o reorganización post delictum– a modelos empresariales virtuosos²⁹.

En particular, se ha subrayado con razón que una prevención eficaz del delito requiere necesariamente «la construcción ‘virtuosa’ de flujos de información»³⁰.

La actividad compliant del ente colectivo consiste en organizar correctamente la prevención (el punto de apoyo de la culpa para la organización de la empresa), pero, incluso antes, en «compartir el konw-how pertinente para la evaluación y prevención de los riesgos que aún no se han materializado plenamente”³¹. Un know-how a menudo superior del que disponen las agencies públicas de control: y precisamente por eso el legislador ha asignado un papel central a la autoorganización de la empresa a través de compliance programs³².

II.5 Un nuevo modelo de supervisión: control del riesgo sistémico

Por último, el compliance implica una reescritura del papel del gatekeeper: el modelo del responsable de cumplimiento, que inspira la disposición del odv del Decreto Legislativo 231/2001, tiene características muy diferentes del consejo de vigilancia o del comité de auditores, o del “collegio sindacale” en Italia³³. Es el concepto mismo de vigilancia el que cambia completamente: ya no es una actividad de supervisión sobre el agente individual, o sobre las actividades de sectores más o menos grandes de la empresa, sino el control sobre la eficacia duradera del sistema de compliance.

Este artículo aborda el tema sobre el papel que juega el organismo supervisor (“odv”) en el sistema jurídico italiano, en el que la función de supervisión del riesgo sistémico de comisión de delitos se encomienda a una estructura organizativa específica, el odv – que representa a la entidad encargada de evaluar la idoneidad de la estructura corporativa expresada en el Modelo Organizativo³⁴.

El tercer apartado de esta contribución está dedicado a la función desempeñada y a la responsabilidad del odv en el sistema italiano.

III. El odv del sistema italiano: la vigilancia sobre el compliance program

III.1 El compliance en el sistema de responsabilidad del ente colectivo por delito

El art. 6 del Decreto Legislativo 231/2001 exige que exista y funcione en la práctica un organismo «dotado de poderes autónomos de iniciativa y control» y al que se le ha confiado «la tarea de supervisar el funcionamiento y la observancia de los modelos y de asegurar su actualización».

El odv no tiene poderes directos para prevenir o reaccionar directamente ante cualquier delito cometido dentro de la empresa.

Además, no se le otorgan facultades de intervención directa sobre el modelo de organización, ni en la fase de solicitud ni en la sancionadora en caso de incumplimiento, siendo estas tareas competencia exclusiva del órgano de administración.

Las evaluaciones del odv no inciden directamente en las decisiones de la dirección (respecto de las cuales el órgano de control debe respetar estrictamente la prohibición de injerencia), pero que proporcionan asesoramiento y apoyo al órgano de administración con vistas a las consiguientes actividades de actualización del documento 231 o de apertura de procedimientos disciplinarios contra sus transgresores.

El odv previsto por el art. 6, co. 1, lett. b), del Decreto Legislativo 231/2001 es una peculiar estructura de control independiente³⁵ y autónoma, normalmente de carácter colegiado³⁶ (a menudo basada en el comité de control interno o en el Internal Auditing³⁷): las decisiones colectivas adoptadas dentro del mismo, que producen efectos jurídicos fuera del organismo y puede dar lugar a un reproche por posibles consecuencias penales³⁸.

En particular, el odv tiene la tarea de supervisar de manera continua³⁹ el funcionamiento, la idoneidad preventiva y la observancia de los modelos de organización y de gestión y de garantizar su actualización: la obligación de vigilancia se limita, por tanto, a la gestión sistémica del riesgo de delito, es decir, a la monitorización  de la adecuación, eficacia y correcta aplicación de los modelos organizativos y de su observancia (necesarios para la exención de responsabilidad de la persona jurídica). Una tarea de seguimiento constante de las áreas de riesgo y del funcionamiento efectivo de esta herramienta que en realidad tiene tres vertientes: verificar la idoneidad concreta del modelo para la prevención de delitos; asegurarse de que esté actualizado en relación con cambios normativos, violaciones significativas de las prescripciones allí previstas, variaciones en las estructuras de la empresa (cambios de organización o actividad); supervisión continua del cumplimiento dentro de la empresa de las precauciones aprontadas por el propio modelo. La función del odv se expresa, por tanto, a través de una actividad de consultoría independiente, destinada a mejorar la eficacia de la organización empresarial, que parece similar al modelo del internal auditing.

A esta competencia está ligada la facultad de realizar controles e informar de sus resultados a los órganos administrativos y al “collegio sindacale” (órgano interno de vigilancia sobre la conformidad de los actos de la empresa con la ley y el estatuto): con este último en particular debe haber un flujo recíproco constante de información. Con carácter general, el Modelo deberá prever «obligaciones de información hacia el Organismo encargado de supervisar el funcionamiento y observancia de los Modelos».

Tomemos ahora en consideración dos sectores paradigmáticos: el de los delitos ecológicos y el de los abusos de mercado.

III.1.1 Compliance y delitos contra el medio ambiente

Con respecto a los delitos ecológicos⁴⁰, la responsabilidad penal de las entidades se introdujo con considerable retraso, unos diez años después del Decreto Legislativo n. 231/2001, dado que la primera intervención legislativa ha sido el Decreto Legislativo n. 121/2011⁴¹: este se adoptó en cumplimiento de las directivas comunitarias sobre protección penal del medio ambiente (2008/99/CE) y de contaminación causada por los buques (2009/123/CE) que exigían la introducción también de la responsabilidad de entes colectivos distintos del Estado y entidades públicas no económicas por los nuevos delitos contra el medio ambiente, cuando se cometan en su beneficio por una persona que ocupe un puesto destacado en el seno de la persona jurídica, individualmente o como parte de un órgano de la entidad (art. 6 de la Directiva 2008/99/CE)⁴².

Después, el art. 1, párrafo 8 de la ley 22 de mayo de 2015, n. 68 – de conformidad con la Directiva 2008/99/CE sobre la protección penal del medio ambiente – ha añadido al catálogo de los llamados delitos supuestos de responsabilidad penal de los entes colectivos (art. 25-undecies Decreto Legislativo nº 231/2001)los delitos de contaminación ambiental (art. 452-bis) y desastre ambiental (art. . 452-quater), incluso negligente (art. 452-quin¬quies); tráfico y abandono de material altamente radiactivo (art. 452-sexies); así como las faltas de matanza, destrucción, captura, recolección, posesión de especímenes de especies animales o vegetales silvestres protegidas (art. 727-bis) y destrucción y deterioro de hábitats dentro de un sitio protegido (art. 733-bis).

En este sector los compliance programs no deben estar dirigidos simplemente a gestionar los riesgos para el medio ambiente, sino a la prevención específica de los delitos medioambientales que pueden cometerse en interés o ventaja de la entidad, identificando los sectores empresariales «débiles» en riesgo de cometer delitos, llevar a cabo la evaluación de riesgos con respecto a las necesidades de eliminación de residuos, prever medidas adecuadas en sentido profiláctico con respecto a los daños ecológicos y las infracciones sectoriales, establecer un odv y establecer un sistema sancionador adecuado, mediante una planificación financiera ad hoc y un seguimiento periódico con vistas a su actualización.

En cuanto a las funciones del odv, hay que distinguir entre las actividades de control que deben realizarse antes de la comisión de un delito, que se refieren al ejercicio «fisiológico» de la empresa⁴³; y actividades de restauración que ocurren después de la comisión del delito, por lo tanto, en una fase patológica⁴⁴.

III.1.2 Compliance y abusos de mercado

Respecto a los modelos de prevención de delitos de market abuse, entre las tareas del odv adquieren especial importancia: garantizar el cumplimiento del procedimiento de gestión de información privilegiada; supervisar el cumplimiento de los procedimientos de autorización relativos a operaciones con instrumentos financieros, también mediante muestreo y verificación de las mismas operaciones; monitorear y promover cualquier actualización de las áreas de riesgo delictivo en materia de abuso de mercado tanto por cambios organizacionales como en relación con cambios en los procesos de la empresa; promover actividades específicas de información y formación en materia de abuso de mercado; evaluar y gestionar las denuncias de hechos relevantes mediante la activación del procedimiento de whistleblowing⁴⁵.

III.2 La vigilancia mediada del riesgo delictivo: el odv no es garante respecto a los delitos que se cometen en el marco de la actividad empresarial

Hay que tener en cuenta la peculiar fisonomía del órgano de control, cuyo carácter “ancipital” ha sido subrayado en ocasiones, suspendido entre dos modelos heterogéneos de supervisión: el paradigma funcional del ‘compliance Officer‘⁴⁶, con capacidad de asesoramiento e información, y el institucional-corporativo del órgano de control, caracterizado por funciones de inspección (y típico, por ejemplo, del “collegio sindacale” en las sociedades de capital)⁴⁷, evidentemente aún más marcado cuando en realidad coincide con el órgano de control (“collegio sindacale”) de la empresa⁴⁸: a la luz de esta consideración esencial es necesario evaluar en primer lugar si los miembros de este órgano pueden ser considerados como sujetos que asumen una  una posición de garante respecto de la comisión de aquellos delitos que constituyen un requisito previo para la responsabilidad del órgano colectivo⁴⁹.

La hipótesis, ciertamente minoritaria, de un poder de impedimento «mediado» de los miembros del odv suele basarse en la orientación preventiva del modelo organizativo sobre el que dicho órgano ejerce su supervisión: la conexión con fines de protección respecto de la finalidad del delito y el seguimiento de la eficacia del programa designado al efecto calificarían a los miembros del odv como garantes⁵⁰. Sin embargo, este enfoque ignora que el control relativo a la observancia de las precauciones previstas por el modelo es funcional para apreciar su correcta aplicación en la realidad empresarial, y no para censurar conductas no conformes: y en cualquier caso, sí es cierto que el odv tiene la facultad prospectiva de evaluación y aprobación del funcionamiento de los procedimientos preventivos vinculados a los modelos organizativos y de información de infracciones a los órganos superiores del ente colectivo, la normativa vigente no prevé facultades fácticas de impedimento respecto de eventos individuales⁵¹.

Además, la supervisión omitida, deficiente o negligente del modelo organizativo por parte del odv tiene como consecuencia la posibilidad de imputar al ente colectivo el delito que se cometa, quedando excluida la exención de responsabilidad prevista por el art. 6 Decreto Legislativo 231/2001; en cambio, no comporta responsabilidad penal para los miembros del órgano, quienes no están obligados a prevenir el delito en sí, pero serán responsables en el plano civil, si la sanción sufrida por el órgano constituye un daño que debe imputarse causalmente a un incumplimiento de los deberes de control del odv, en cuyo caso la empresa podrá emprender acciones civiles para obtener una indemnización por responsabilidad contractual⁵².

Es la falta de desempeño de la propia tarea lo que da lugar a la sanción para la entidad, daño por el que ésta pide una indemnización: existe, por tanto, una perfecta superposición entre las tareas del miembro del odv y el objeto de la responsabilidad contractual. ejecutado contra él por la entidad.

La doctrina mayoritaria excluye la posibilidad de que se pueda configurar una posición de garante por los miembros del odv: el art. 6 del Decreto Legislativo 231/2001 no contempla ningún poder de impedimento, ya que el órgano de control no puede prohibir o conformar de ninguna manera el comportamiento de los altos directivos ni sustituirlos, ni ostenta ningún poder que le permita interferir en las elecciones del empresario sobre los métodos de gestión de la empresa⁵³; sólo puede verificar la idoneidad de los modelos organizativos y su correcta aplicación, velar por su actualización e informar de sus evaluaciones al consejo de administración y al “collegio sindacale”⁵⁴.

La vigilancia es ejercida por el odv no como un control detallado y minucioso sobre las actividades concretas que tienen lugar en el contexto interno corporativo con vistas a prevenir delitos específicos, sino más bien como una comprobación de la idoneidad del modelo para prevenir o minimizar el riesgo. de verificación del delito⁵⁵.

Ni siquiera respectoa la responsabilidad de la entidad por delitos de lesiones personales y homicidio por imprudencia por infracción de las normas de protección de la seguridad y salud de los trabajadores (art. 25-septies del Decreto Legislativo 231/2001) quedan dudas sobre la posibilidad de si se pueden configuran como garantes -además del empresario, el directivo, el responsable y el encargado del servicio de prevención y protección-, también los miembros del odv: el art. 16, co. 3, el Decreto Legislativo 81/2008 establece que la obligación del empleador de supervisar el correcto desempeño por parte del delegado de las funciones transferidas se considera cumplida en caso de adopción y aplicación efectiva del modelo de verificación y control a que se refiere el art. 30, co. 4⁵⁶. La efectiva ejecución y la idoneidad son verificadas por el odv, aunque no le corresponde ocuparse del control que corresponde del delegante al delegado en el marco de la delegación de funciones: la norma parece referirse, con delinear una forma correcta de desempeño de la supervisión de la parte que delega, a un conjunto de mecanismos de control encargados de prevenir cualquier resultado nocivo resultante de riesgos relacionados con la violación de las normas sobre seguridad en el trabajo, del cual el odv también forma parte (junto con el experto en seguridad y el Responsable del servicio de prevención y protección), pero, en lo que a él respecta, únicamente con competencias relativas a la supervisión de la implantación y mantenimiento de la idoneidad del modelo en materia de prevención de delitos de homicidio y lesiones por imprudencia conforme al art. 25-septies del Decreto Legislativo 231/2001⁵⁷.

En definitiva, el odv no tiene asignada ninguna tarea de controlar las acciones de gestión ni de impedir actividades criminalmente relevantes por parte de los representantes de la empresa. La dotación funcional de este órgano, limitada a realizar controles sobre la eficacia y los modelos organizativos y su conformidad dentro de la empresa, así como a informar a los órganos sociales competentes de posibles deficiencias y comportamientos no conformes, parece, por tanto, más limitada que la de los miembros del órgano de control “collegio sindacale”⁵⁸.

III.3 Participación activa de miembros del órgano de control en delitos ocurridos en el ámbito de la entidad por aprobación de modelos inadecuados o información inadecuada

Sin embargo, debe considerarse la posibilidad de que los miembros del órgano de control puedan, en el ejercicio de sus funciones fiscalizadoras, implementar actividades que integren aportes de participación en delitos ocurridos en el contexto societario, por lo que la entidad está llamada a responder conforme al Decreto Legislativo 231/2001.

En el contexto de un sistema penal italiano como el italiano, que adopta el modelo unitario de participación, se trata de evaluar qué conductas pueden enmarcarse en el tipo del “concorso doloso” (art. 110 código penal) o de la “cooperazione colposa”, cooperación en el delito imprudente (art. 113).

Así, en materia de seguridad en el trabajo, aunque se tenga que excluir la responsabilidad del miembro del odv por omisión de impedimento, pero sí hay que preguntarse si es posible un aporte de cooperación por imprudencia conforme al art. 113 c.p. en el hecho de los responsables del control de la seguridad (empleador, directivo, responsable y responsable del servicio de prevención y protección): problema sin embargo de carácter general, porque la conducta negligente del organismo de control – conducta que se desarrolla en un contexto estructuralmente multipersonal como es lógicamente la realidad societaria – bien puede integrar la violación de un deber relacional de cuidado hacia el comportamiento de otros.

Cabe señalar que, ante una actividad (negligente) del odv, que normalmente es un órgano colegiado (problema del “concorso di persone”), el caso de la cooperación imprudente adquiere una triple estructura, debido a la necesaria presencia del modelo organizativo como requisito previo para la conducta: una resolución de tomada de manera imprudente por un órgano colegiado; esta resolución constituye un aporte imprudente al hecho de algún sujeto responsables del control de la seguridad; pero además el efecto ejercido por el aporte imprudente hacia el delito está mediado por la interposición del modelo incluso antes de la conducta de los demás.

Se puede describir la siguiente estructura.

a) Los miembros del odv, con decisión colegiada, expresan una valoración negligente (o con falta de pericia) sobre la idoneidad y eficacia actual del modelo organizativo, valoración que resulta en violación de deberes relacionales de cuidado respecto de la conducta de los demás; o proporcionan información incorrecta sobre los mecanismos preventivos previstos por el propio modelo.

b) El modelo organizativo no resulta adecuado para prevenir la comisión del delito supuesto de responsabilidad del ente colectivo.

c) El delito lo comete alguien -por ejemplo, integrante de la alta dirección de la empresa- aprovechando la laguna o el déficit preventivo del protocolo; o confiando imprudentemente en la información inadecuada recibida del organismo de control.

Podemos hablar de una responsabilidad (por violación de los deberes relacionales de cuidado) mediada a diferentes niveles: a nivel personal por la actividad de los individuos que operan en la empresa y en primer lugar por el voto expresado por los demás miembros del órgano colegiado odv; a nivel funcional, por el modelo organizativo.

La primera cuestión que hay que abordar es la de evitar «que lo que se dejó salir por la puerta vuelva por la ventana»: es decir, utilizar el mecanismo del tipo de la cooperación en el delito imprudente – y, en particular, de la cláusula general del art. 113 c.p. – para legitimar, contra legem, la incriminación de conductas que impliquen omisión de impedimento, aunque sea en ausencia de poderes impeditivos. De hecho, hay que reiterar que la neutralización de las actividades delictivas de los actores empresariales no entra dentro del ámbito de competencia del odv: el único deber legal de este órgano sigue siendo el de supervisar la implementación y adecuación de los protocolos preventivos de los compliance programs, que se extienden a tareas de información y audit sobre el funcionamiento del sistema de delegación; mientras que se excluyen las actividades de supervisión directa de los comportamientos individuales efectivamente realizadas en los distintos servicios de la empresa, por ser ajenas a sus funciones, así como la realización de controles técnicos sobre las elecciones y acciones del delegado⁵⁹.

Además, hay que considerar que, como bien se ha subrayado, la prevención actuada por el modelo organizativo no se dirige a actos delictivos individuales o a hechos nocivos individuales (por ejemplo, respecto de los delitos de homicidio y lesiones por negligencia resultantes de la violación de las normas de seguridad en el trabajo), sino a clases de eventos normativos, respecto de los cuales el compliance program prepara reglas generales de cuidado que luego deben especificarse⁶⁰: correspondientemente, la actividad de supervisión del odv toma la forma de un control sobre la organización para la gestión de riesgos⁶¹, y no en la prevención de conductas delictivas individuales contrarias al modelo (que constituyen una simple condición para que el ente colectivo sea responsable del delito según el Decreto Legislativo 231/2001)⁶².

La distancia a nivel del espectro del deber de cuidado que existe entre este peculiar paradigma de vigilancia y el delito que, al ocurrir, produce la responsabilidad del ente es la misma razón que excluye poder calificar el odv como garante respecto de hechos delictivos individuales que ocurren en el contexto de la empresa: la actividad llevada a cabo por los miembros del odv es en la realidad un meta-control ⁶³ que se refiere únicamente a la idoneidad de los procedimientos preventivos previstos por el modelo y la conformidad de la organización respecto del modelo mismo.

Por lo tanto, la «imprudencia» de los miembros del órgano de control no puede estar en conexión específica con los delitos individuales que se cometerán.

Esta premisa, necesaria para evitar que se acabe legitimando en el nivel de responsabilidad por imprudencia la incriminación de hechos cuya relevancia penal queda excluida conforme al art. 40, co. 2, C.P., permite identificar de forma complementaria los límites de la responsabilidad conforme al art. 113 C.P.⁶⁴.

Se considera cooperación por imprudencia cada vez que la actividad de evaluación de riesgos, de idoneidad del modelo, de control de su correcta ejecución, desempeñada por el odv, pueda ser calificada de negligente o de falta de pericia, por haber avalado negligentemente un sistema de compliance ineficaz y por tanto haber de facto dado aprobación a un instrumento peligroso para la empresa, tal que pueda dar lugar a una confianza errónea en su eficacia y capaz de inducir comportamientos potencialmente perjudiciales en los garantes de la empresa⁶⁵.

También deben considerarse las actividades de información que los miembros del odv deben realizar en relación con situaciones de riesgo de las que toman conocimiento en el ejercicio de sus competencias específicas: conocimientos que, en un contexto con una estructura multipersonal compleja, excluirá lógicamente la posibilidad de invocar la regla del principio de confianza, ya que el odv ciertamente no puede confiar en las actividades de neutralización de otros sujetos de la empresa, cuando no hayan recibido información adecuada del mismo odv.

Por ejemplo, ya se ha hablado de la tarea de actualizar los modelos conforme al art. 6, co. 1, lett. b), Decreto Legislativo 231/2001: es claro que, al no tener el odv competencias ni poderes de gestión ni en ningún caso de modificación directa del modelo, que son prerrogativa exclusiva del órgano de administración, esta obligación de diligencia termina en una actividad consultiva y de sugerencias. Si el incumplimiento negligente de este deber induce a los sujetos empresariales competentes a omitir, no actualizar, eliminar precauciones o introducir otras inadecuadas o incluso contraproducentes, los miembros del órgano de control pueden ser responsables de cooperación por imprudencia⁶⁶.

Además, si el odv detecta incumplimientos de las prescripciones del modelo organizativo, está obligado a informar a los órganos sociales.

Obligaciones de interlocución con la dirección sobre posibles déficits en la estructura de la empresa, de mantener relaciones de información constante con los garantes de la seguridad en el trabajo de la empresa sobre la posible ocurrencia de accidentes de conformidad con el art. 30, co. 1, lett. e) y g)⁶⁷, generalmente son competencia del odv.

La falta de información, su contenido inadecuado, incompleto o erróneo sobre tales situaciones -información que siempre tiene una dimensión estratégica en el contexto de una organización compleja⁶⁸– constituye la violación de una de esas obligaciones relacionales de cuidado dirigidas a contener un riesgo organizacional en el que conectarse de manera estereotipa la actividad reconociblemente imprudente o ilícita de otros («obligaciones accesorias»)⁶⁹.

Por último, se puede imaginar incluso un aporte de “concorso doloso” según el art. 110 código penal de los miembros del odv: se integrará en los casos en que los propios miembros realicen acciones deliberadas para asegurar una desvinculación intencionada en el ejercicio de su función y, por tanto, conductas colusorias con la alta dirección de la empresa que favorezcan la adopción de modelos que, lejos de ‘identificar las «zonas de riesgo», se construyen precisamente para impedir o retrasar en la medida de lo posible la aparición y el descubrimiento de conductas delictivas⁷⁰.