La eficacia de los programas de cumplimiento: propuesta de herramientas para su valoración

I. El defecto de organización como fundamento de la responsabilidad penal de las personas jurídicas

Hace ya algún tiempo, me llamó la atención la lectura de esta breve afirmación del Prof. Miller en uno de sus trabajos más conocidos¹: “Seguramente puedan desarrollarse argumentos de política criminal sólidos tanto a favor como en contra de la creación de una causa de exclusión de la responsabilidad (affirmative defense) para los programas de cumplimiento eficaces. No obstante, considerando todos los argumentos en juego, probablemente sea preferible que el legislador no proporcione una affirmative defense, sino que tenga en cuenta la existencia de un programa de cumplimiento eficaz en relación con cuestiones como la acusación, los acuerdos y la determinación de la pena”.

Estas palabras aluden al debate existente en los Estados Unidos sobre el lugar que deben ocupar los programas de cumplimiento normativo en el marco de la responsabilidad penal de las personas jurídicas y muestran una de sus conclusiones principales: el rechazo a considerarlos como uno de los ejes de la infracción cometida por la persona jurídica a través de la construcción una affirmative defense. Desde hace ya más de un siglo, el sistema norteamericano continúa siendo fiel al modelo de la vicarious liability y en lugar de otorgar relevancia a los programas de cumplimiento  en el marco de la imputación a la persona jurídica, les confiere importancia en tres momentos diferentes: en primer lugar, los fiscales los utilizan en  el inicio del proceso penal como criterio para acusar a la persona jurídica conforme al principio de oportunidad; en segundo, también los fiscales lo utilizan para llegar a algún tipo de acuerdo procesal en el marco de un sistema de probation; finalmente, y en tercer lugar,  son relevantes tras el juicio, en la fase de determinación de la pena, a través de las Sentencing Guidelines². Entre medias, es decir, durante la fase de instrucción y el juicio oral, el programa de cumplimiento desaparece, no es objeto ni de investigación, ni de prueba, pues es ajeno al modelo de imputación escogido.

En países de la UE, como Holanda o Francia la opción resulta similar. En Holanda, la imputación se conforma de conforme a un modelo básicamente vicarial, y la importancia de los programas de cumplimiento se abre paso a través de los acuerdos procesales con la fiscalía³. La Loi Sapin II, en Francia, de un lado, ha convertido los programas de cumplimiento en una pena para la persona jurídica, que tiene que implementarlos bajo la atenta supervisión  de la Agencia Anticorrupción, de otro, forman parte del contenido de los acuerdos procesales (convention judiciaire d’interêt public) contemplados en el art. 41-1-2 y 180 del Código de procedimiento penal⁴. El modelo de imputación francés, como es conocido, sigue anclado fundamentalmente en la heterorresponsabilidad.

Frente a estas diversas formas de integrar los programas de cumplimiento normativo en la responsabilidad penal de las personas jurídicas, en Italia a través del D . Leg. 231 se implanta a comienzos de siglo un nuevo modelo de imputación (autorresponsabilidad) en donde, como ha señalado uno de sus ideólogos principales, Enrico Paliero⁵, el programa de cumplimento se constituye en el epicentro el punto central de la responsabilidad penal – “la centralità tipizzante del Modello de Organizacione” -. Chile, después España, y a continuación otros países de Latinoamérica⁶ se han sumado a este modelo.

En una tierra intermedia entre el “modelo italiano” y la heterorresponsabilidad más extrema se encontraría el “modelo germánico” procedente de los §§ 30 y 130 OWiG, acogido en Austria mediante la Verbandsverantwortlichkeitgesetz y por prelegislador alemán a través del non nato Proyecto de 2020⁷. En ambos ordenamientos el programa de cumplimiento/defecto de organización se vincula con un fallo de supervisión por parte de la dirección o de alguna persona encargada específicamente de un control, en el caso de delitos cometidos por empleados. Cuando el delito es realizado por un alto directivo, representante o miembro del órgano de dirección, la organización responde de manera automática. Ahora bien, frente al “modelo italiano” y acercándose a lo que ocurre en EEUU, Francia o Holanda,  la ley austriaca prevé la suspensión de la ejecución de la pena, a cambio de la imposición de un programa de cumplimiento_⁸, a lo que se suma el proyecto alemán de 2020⁹.

En el futuro, sería tan interesante como necesario comprobar cuál de las diversas posibilidades en liza – la procesal, la tipificante, la penológica- resulta más eficaz a la hora de cumplir con el objetivo final de la responsabilidad penal de las personas jurídicas, que es motivar a los entes a que implanten mecanismos de prevención y detección de comportamientos delictivos cometidos por sus agentes y que colaboren en su descubrimiento. Dedicaré, sin embargo, este trabajo a un fin menos evaluativo y más dogmático. Reflexionar sobre uno de los problemas más importantes, en realidad el más, que tiene el “modelo italiano” de la autorresponsabilidad: la determinación de la eficacia del programa de cumplimiento o, dicho de otro modo, la relación que debe existir entre el defecto de organización y el delito cometido por la persona jurídica. A diferencia de lo que ocurre en el resto de los ordenamientos examinados, Italia y España se sitúan en una situación muy peculiar, absolutamente opuesta a las consideraciones de Miller con que abríamos este trabajo: el programa de cumplimiento cumple sus funciones principales en la atribución de responsabilidad.  

Resolver esta cuestión es importante obviamente por muchos motivos; pero destacaré fundamentalmente dos. El primero es de índole constitucional. La responsabilidad penal de las personas jurídicas siempre ha levantado sospechas desde el punto de vista de los principios constitucionales: culpabilidad, ne bis in idem, personalidad de las penas. A estas alturas del debate estas objeciones se han superado ya. Además, y en su mayoría, todos los reproches esgrimidos han jugado únicamente en el terreno del law in books. La compatibilidad de la responsabilidad penal de las personas jurídicas con los principios constitucionales no se planteado ni ante los tribunales supranacionales, como el TEDH o el TJUE, ni ante la justicia constitucional nacional¹⁰. En lo que conozco sólo la Corte Constitucional Colombiana se ha ocupado de esta cuestión¹¹.

Ahora bien, este hecho no significa que el “modelo italiano” no tenga problemas de constitucionalidad. Existe a mi juicio una grave fricción con el principio de determinación. Acogiendo la versión más generosa del principio de determinación, que es la elaborada por el TEDH, la previsibilidad puede conseguirse tanto a través del texto de la ley, como a través de una práctica judicial reiterada¹². Pues bien, ni las leyes penales que establecen la responsabilidad, ni la doctrina jurisprudencial han aclarado hasta ahora en qué consiste un programa de cumplimiento eficaz o, desde el reverso de la moneda, cuál es exactamente la relación entre el defecto de organización y la infracción cometida por la persona física.

Al lado de este primer problema, existe otro de índole práctico. El “modelo italiano”, a diferencia del norteamericano, resulta más complejo de gestionar en el proceso penal. En la fase de instrucción se debe investigar y en el juicio oral debatir y probar la eficacia del programa de cumplimiento. Ello supone un incremento de la carga de trabajo para jueces y fiscales, que pueden acabar considerando – me temo que esto está ocurriendo ya de algún modo – la responsabilidad penal de las personas jurídica como un estorbo.

En este punto el “modelo americano”, seguido en Francia y Holanda, pero también parcialmente en Austria, que incentiva a la autorregulación preventiva a través de estímulos colocados en el derecho procesal y la determinación de la pena, parece a priori más adecuado. El principio de determinación tiene un papel mucho menos relevante en la determinación de la pena, donde se admite un grado de discrecionalidad mayor, e igualmente no es relevante en el marco del derecho procesal. Por otro lado, desde un punto de vista práctico o procesal, la responsabilidad penal de la persona jurídica se ha acabado conformando por los fiscales americanos como una herramienta que ayuda a mejorar la persecución de las personas físicas responsables, a través de lo que se ha dado en llamar la super-colaboración. Incluso los fiscales, a través de los acuerdos procesales con las empresas, tienen cierto poder para configurar mediatamente, a través del nombramiento de un supervisor, el programa de cumplimiento que la entidad ha de implantar¹³. Este tipo de intervención pública en la empresa, está también presente en Francia, a través de la Agencia Anticorrupción, y en Austria a través de las órdenes consistentes en la implementación de medidas preventivas.

Entre nosotros, el problema de la eficacia/determinación del programa de cumplimiento constituyó uno de los ejes de la reforma del 2015, donde se intentó aquilatar la expresión “debido control”, adoptando, por no decir copiando, el sistema italiano. No obstante, como muestra lo acaecido en Italia, también aquí dista de estar claro determinar qué es un programa de cumplimiento eficaz que evite la responsabilidad ex crime de la persona jurídica. Muestra de ello es el debate que se ha suscitado en Italia a partir de la reciente sentencia Impregilo, el leading case de la Corte de Casación en esta materia¹⁴.

En algunos países seguidores del modelo italiano, se han ensayado diversas formas de resolver este problema. En Perú, por ejemplo, la capacidad de autorregulación de cada organización a la hora de dotarse de su propio programa de cumplimiento se ha convertido en “autorregulación hiperregulada”. El legislador peruano ha completado la norma que establece la responsabilidad penal de la persona jurídica con un reglamento en el que desarrolla con detalle los diversos elementos de un programa de cumplimiento, que se coordina con  una condición objetiva de procedibilidad¹⁵.  Antes del inicio del proceso penal era de obligado cumplimiento que la Superintendencia de Valores se pronunciara acerca de la idoneidad del programa. Si su juicio era positivo no cabía iniciar el proceso penal, si la Superintendencia consideraba en cambio que el programa de cumplimiento no se ajustaba a las exigencias del Reglamento de la ley, la vía del proceso quedaba abierta. Esta solución, en lo que atañe a la intervención de la Superintendencia, plateó dudas de constitucionalidad desde un principio; su compatibilidad con los principios del proceso justo era dudosa. Por esta razón el legislador peruano la ha derogado recientemente¹⁶. No obstante, la técnica legislativa empleada – la “hiperrergulación regulada” – para remediar la falta de taxatividad continua vigente como solución. En Argentina, aunque a través de un texto de soft law, se ha seguido un camino similar¹⁷.

También es conocida la solución que la Ley Chilena arbitró para solucionar este problema: la certificación del modelo. Pese a haber dado lugar a una potente industria certificadora, son muchas las críticas que ha despertado. Por esta razón un nuevo proyecto de Ley, que modifica ampliamente la regulación chilena suprime las certificaciones de la regulación penal¹⁸.

Planteada la cuestión, en lo que sigue intentaré mostrar las diferentes posibilidades de entender y solucionar el problema de la eficacia de los programas de cumplimiento, en el marco de un modelo que decide conformarlos como el epicentro de la responsabilidad penal de la persona jurídica. La proximidad léxica de los textos nacionales, a uno y otro lado del Atlántico, inspirados en el art. 6 del D. Leg 231, permite construir esta pieza clave de la teoría jurídica del delito de la responsabilidad penal de la persona jurídica en clave comparada.

II. Eficacia prospectiva y retrospectiva

La valoración de la eficacia de un programa de cumplimiento depende, en primer término, de la finalidad de esa valoración. Y en este punto debemos distinguir entre dos perspectivas diversas. La primera de ellas es la valoración retrospectiva, que atiende a la efectividad del programa de cumplimiento en relación con el momento en que se han cometido los hechos, con el fin de valorar si la organización en este preciso momento disponía de controles eficaces para evitar el delito realizado por la persona jurídica. La valoración retrospectiva mira al pasado y no le importa si después del momento de comisión de delito el programa de cumplimiento mejoró o empeoró. Su objetivo es establecer si la persona jurídica resulta responsable por no resultar el programa eficaz. La evaluación retrospectiva es parte fundamental – o, mejor dicho, es la parte fundamental – de la teoría jurídica del delito corporativo.  Se trata de un aspecto que necesariamente debe ser objeto de investigación en la fase de instrucción, de prueba en el marco del juicio oral y sobre el cual debe pronunciarse la sentencia.

El segundo tipo de valoración de la eficacia es la prospectiva. Tiene una naturaleza distinta, valora si el programa de cumplimiento es eficaz para prevenir y detectar comportamientos futuros. Por ello necesariamente su objetivo es más amplio. Se valora la totalidad del programa de cumplimiento o la eficacia del programa en relación a un tipo de delitos (cohecho, corrupción, medio ambiente), sin vinculación con un hecho concreto. La valoración prospectiva, por tanto, tiende a ser global, de la totalidad del programa, mientras que la retrospectiva, tiende a ser concreta, pues debe darle importancia a cómo han actuado controles determinados en relación con el hecho cometido.

La valoración prospectiva tiene también importancia en el marco de la responsabilidad penal de la persona jurídica. Por ejemplo, en el sistema español y en otras legislaciones pertenecientes al “modelo 231” sirve para elegir el tipo de sanción¹⁹. Existen sanciones como la interdicción de actividades, el cierre de la empresa, de sus locales etc. que sólo pueden imponerse si existe el riesgo de que la empresa en el futuro vuelva a cometer hechos delictivos, es decir, sea considerada una empresa peligrosa. El elemento peligrosidad, en empresas de economía legal, viene determinado fundamentalmente por la presencia de un programa de cumplimiento eficaz, que elimine en el futuro el riesgo de reiteración.

En el modelo norteamericano se utiliza una valoración prospectiva cuando se decide si se procesa a la organización. La peligrosidad/ausencia de programa de cumplimiento eficaz es un criterio que forma parte de la discrecionalidad de los fiscales, como se desprende de todos los Memoranda que se han ido editando. También la valoración prospectiva es clave para someter a la empresa a un régimen de probation  o cuando sobre la empresa pesa algún tipo de supervisión judicial, con el fin de que implante un programa de cumplimiento para poner fin a la misma²⁰.

Metodológicamente, la valoración prospectiva requiere del juez una prognosis, un juicio de valor sobre un acontecimiento futuro, cuya naturaleza jurídica es diferente a la de un elemento típico. Las prognosis relativas a la peligrosidad del autor, sea persona física o jurídica, no pueden ser elementos típicos en un derecho penal del hecho, pues sitúan como elementos típicos elementos de la personalidad y, sobre todo en nuestro caso, porque no resultan compatibles con el principio de determinación.  Por el contrario, cuando el juez realiza una valoración retrospectiva, metodológicamente realiza una subsunción, comprueba si el modelo de organización con que contaba la empresa en el momento del hecho se corresponde con el elemento típico “defecto de organización”, cualquiera que sea la expresión que cada ordenamiento emplee para determinarlo²¹.

A diferencia de lo que ocurre con la valoración retrospectiva, que tiene sentido sólo en el marco de la asignación de responsabilidad, la valoración prospectiva de la eficacia tiene también gran importancia fuera del proceso penal. Por ejemplo, se realiza una valoración prospectiva en la legislación de contratos públicos cuando se valora el programa de cumplimiento como criterio para la adjudicación²² o para decidir si la empresa debe seguir estando sujeta a un régimen de debarment²³. Igualmente se efectúa también esta evaluación en el ámbito privado, cuando se analiza la idoneidad de los programas de cumplimiento de un proveedor o socio de negocio. La valoración prospectiva, y subrayar este aspecto resulta especialmente importante a los efectos de lo que después se indicará, resulta determinante en el seno de la propia empresa, si es que quiere mejorar y optimizar su programa de cumplimiento.

Uno de los problemas que hasta ahora ha tenido, a mi juicio, la discusión sobre la eficacia de los programas de cumplimiento es que no se ha subrayado suficientemente a este doble criterio de valoración. Algunos estándares pretenden tener validez en ambos contextos. Estos dos tipos de valoración se confunden, por ejemplo, en los documentos elaborados por el Departamento de Justicia de los Estados Unidos, donde de manera unitaria pretende dar criterios para la evaluación de la eficacia del programa por el delito cometido, pero también para que los fiscales decidan acerca de si presentar o no cargos contra la empresa atendiendo a la eficacia futura o prospectiva del programa de cumplimiento.

Las normas de certificación, por el contrario, son fundamentalmente prognosis, certifican un estado de cosas correcto, pronosticando que su correcto funcionamiento permitirá en el futuro una mejor gestión de riesgo legales. La certificación no resulta un factor decisivo para juzgar la eficacia retrospectiva, donde se trata de vincular un estado de cosas (un defecto de organización) con un hecho. Por esta razón, las certificaciones de la ley chilena no han resultado a la postre un camino del todo útil a la hora de proporcionar seguridad jurídica.

Tras cuanto se lleva dicho resulta claro que, en primer término, es necesario establecer dos criterios diferentes de medir la eficacia de cumplimiento, con retos diferentes. La evaluación retrospectiva tiene como principales retos responder a las altas cotas de seguridad jurídica que requiere el principio de determinación, y además permitir investigar, debatir y probar de manera realista en el singular marco del proceso penal los diversos componentes de una tarea tan compleja como es la prevención de hechos delictivos. La evaluación prospectiva, por su parte, debe fomentar la innovación, de tal modo que se tienda a la mejor prevención al menor coste; debe por ello huir de la uniformidad, con el fin de permitir a cada empresa según su tamaño, actividad etc. desarrolle controles propios originales, sin que suponga un riesgo desmedido el apartarse de la media. Lógicamente para ello es necesario contar con un cumplimiento normativo basado en datos empíricos, en métricas que permita comprobar qué funciona y lo qué no; o como recientemente se ha apuntado se trata de que el cumplimiento deje de ser un arte para convertirse en una ciencia²⁴.

III. Metodologías para comprobar la eficacia retrospectiva de los programas de cumplimiento

1. El método check list

Ya se haga con ánimo fundamentalmente retrospectivo o con criterio prospectivo, el método más usual para establecer la eficacia de los programas de cumplimiento es la confección de check lists. Los estándares ISO sobre cumplimiento normativo o los documentos de evaluación del DOJ siguen esta metodología. Ambos se construyen a partir de una serie de criterios generales, que después se van dividiendo en subcriterios. En cada uno de estos apartados se formulan una serie de preguntas que responden a un modelo de cumplimiento ideal, teóricamente común para cualquier empresa, que además no siempre se explicita completamente. Muchas de estas preguntas se basan además en parámetros cuantitativos – ¿cuántas horas de formación?, ¿cuántas denuncias recibió su canal? – por lo que dan a entender que, a partir de la repetición de una determinada conducta o control, se alcanza el ideal requerido por el modelo.

Como señalaba, los documentos de evaluación que en los últimos años ha publicado el DOJ responden a este modelo²⁵. Curiosamente, en su introducción advierten que no representan ninguna fórmula, ni un check list: «Los ejemplos de temas y preguntas que figuran a continuación no constituyen un checklist ni una fórmula. En algún caso en concreto, es posible que no todos los temas y preguntas que se exponen a continuación sean pertinentes, y que otros sean más destacados dados los hechos particulares en cuestión y las circunstancias de la empresa”. Pero esta consideración representa más una suerte de disclaimer que otra cosa, pues también se reconoce que las preguntas que se realizan suponen elementos comunes a cualquier programa de cumplimiento.

La estructura de los documentos del DOJ conforme a lo que acaba de indicarse parten del análisis de tres cuestiones generales²⁶, para a continuación, descomponer cada una de ellas en una serie ulterior de subcuestiones²⁷. En relación a cada una de ellas, tras una breve introducción general, se formulan una serie de preguntas; es fácil que el documento del DOJ contenga más de un centenar.  Estas preguntas son en realidad la clave del documento porque son las que aportan los detalles, las que al final indican “cómo quiere el DOJ” que sea el programa de cumplimiento de una empresa. Por ello, se quiera o no, estas preguntas funcionarán como un check list, que utilizarán las empresas en el momento de diseñar su programa de cumplimiento, como también se supone hará la fiscalía cuando posteriormente lo examine tras la comisión de un hecho delictivo en la empresa.

Las normas ISO tienen una estructura similar a los documentos del DOJ, aunque no se formulen sobre la base de preguntas. Divididas en varios apartados, tras una explicación general en la que se exponen los objetivos o la “filosofía” que subyace a un determinado aspecto del programa de cumplimento, se establece una amplia serie de puntos sobre los que se verificará si se ha cumplido o no los criterios generales. Por ejemplo, en el punto 5.1 de la ISO-UNE 19601, acerca de la atribución de responsabilidades, se trata de concretar en qué consiste para la norma de estandarización el famoso tone from the top (liderazgo y compromiso), disertando sobre la importancia de la involucración de los órganos de dirección. Esta máxima general después se concreta en criterios específicos en relación a la alta dirección, órgano de gobierno y función de compliance. Para cada uno de estos niveles se ofrecen múltiples y detallados criterios indicando en qué consiste su función. 

El check list constituye, como indicaba, la metodología de evaluación más utilizada, y ello porque resulta probablemente la más sencilla de utilizar²⁸. Los estándares y certificaciones basados en esta metodología suelen ser los más demandados por los profesionales del cumplimiento normativo, en cuanto que aparentemente proporciona una mayor seguridad jurídica: si se cumple con los distintos ítems, se asegura la ausencia de responsabilidad. Permite además a los órganos de cumplimiento exponer con claridad a la dirección de las empresas los recursos que necesitan o las exigencias que deben cumplir.

Pese a estas ventajas, también plantea problemas. En primer lugar, no es un criterio adecuado para evaluar la eficacia retrospectiva. Los modelos check list hacen referencia genérica a los aspectos transversales del programa de cumplimiento, pero, como no es su finalidad, se desentienden de comprobar cómo funcionaron los controles en relación al hecho concreto. Los documentos de evaluación del DOJ contienen algún indicador de este tipo, pero simplemente lo hacen para indicar, primero, que de la comisión de un delito no puede derivarse de manera automática que el programa de cumplimiento no sea eficaz y, segundo, que es una señal de un programa de cumplimiento implementado correctamente el que la organización haya descubierto el delito, corregido sus defectos y denunciado (self reporting). La parte del documento del Evaluación del DOJ que se dedica a comprobar si el programa de cumplimiento efectivamente funciona está fuertemente orientado a la denominada reactive fault²⁹, al comportamiento reactivo de la organización buscando poner remedio a la infracción.

Esta carencia de interés puede encontrar explicación en que su orientación es en el fondo más prospectiva que retrospectiva, como ocurre con las normas ISO. No obstante, y con independencia de esta circunstancia, lo que interesa destacar ahora es que el “método del check list” no supone una metodología correcta para medir la eficacia retrospectiva del programa de cumplimiento. No aporta, ni puede aportar, seguridad jurídica. Para ello habría que responder a preguntas que no tienen demasiado sentido: ¿cuántos errores o faltas debe tener el modelo de cumplimiento en el check list para qué sea considerado no eficaz?, ¿tienen todos los errores el mismo valor? Me temo que estas preguntas podrían ser contestadas en unos casos de manera muy rigurosa y en otras de manera muy laxa, dependiendo de los tribunales³⁰

En lo que alcanzo, la interpretación del art. 31 bis conforme a la metodología del check list no encuentra expresamente partidarios en la doctrina, a diferencia de lo que ocurre en algunos ordenamientos de Latinoamérica (Perú y Argentina) donde, conforme hemos visto anteriormente, la existencia de una “autorregulación hiperregulada” conduce a entender la eficacia eximente de los programas de cumplimiento como un sistema de valoración tabulada³¹. En cierto modo, el tenor literal del art. 31 bis, especialmente el taxativo art. 35 bis 5 – “los modelos de organización deberán cumplir”- podría conducirnos a mantener esta interpretación, de modo tal que la presencia de todos los elementos conduzca automáticamente a la exculpación y la ausencia de alguno o algunos a la atenuación o a la responsabilidad plena de la persona jurídica. Este entendimiento, no obstante, carecería de sentido.

En primer lugar, porque, a diferencia de lo que ocurre en algunos ordenamientos latinoamericanos, el art. 31 bis 5 tiene un mero carácter orientativo, ni siquiera puede entenderse como un contenido de mínimos³². El art. 31 bis, al igual que su antecedente el art. 6 del D. Leg. 231 italiano, resulta incompleto a la hora de señalar los elementos de un programa de cumplimiento. Ni todos los elementos que se citan son siempre relevantes (por ejemplo, los controles de los flujos financieros), pues ello depende del tipo de delitos³³, ni contiene elementos que se consideran absolutamente esenciales como los códigos de conducta o los canales de denuncia³⁴. Por esta razón parece más que razonable huir de una interpretación según la cual la ausencia por ejemplo de uno de los elementos allí indicados (o su ineficacia), o por el contrario la presencia de todos, llevarán automáticamente a excluir la responsabilidad o a afirmarla. Frente a esta interpretación, resulta más correcto entender, como veremos,  que el art. 31 bis, con términos como “incumplido gravemente…los deberes de supervisión, vigilancia y control atendiendo las circunstancias del caso”, “adecuado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido” o “reducir de forma  significativa el riesgo de comisión”, nos remite a un modelo de valoración global del programa de cumplimiento, que nada tiene que ver con la metodología del check list. La existencia de una circunstancia atenuante, peculiaridad del art. 31 bis del CP español frente a otros ordenamientos que siguen el “modelo 231”, lo que pone precisamente de manifiesto es que el defecto de organización representa una magnitud graduable, lo que conecta con el carácter graduable del injusto y la culpabilidad individuales que representan las causas de justificación o exclusión de la culpabilidad incompletas³⁵.

Pero la falta de idoneidad del método check list afectan también a su capacidad para evaluar la eficacia prospectiva. El principal defecto que tiene esta metodología es que induce a un modelo de cumplimiento normativo reglamentista – similar a la solución que hemos visto adopta el legislador peruano –  y que acaba con la innovación, con el esfuerzo que ha de hacer cada organización por encontrar su propia solución, que resulte la más eficiente de acuerdo con sus necesidades. Como se ha repetido muchas veces, el cumplimiento normativo se basa en la autorregulación, una estrategia legislativa contraria al command and control, que pretende alentar a las organizaciones para que cada una de ella busque su propio camino a la hora de conseguir un determinado objetivo. El ofrecer unos parámetros generales y después dar libertad a los destinatarios para articular sus propias soluciones ahorra costes, elimina controles innecesarios y, permite una adaptación con independencia del tamaño de la empresa, sector en el que opere, etc.

El método check list al final provoca efectos similares a una detallada regulación administrativa: todas las empresas adoptan los mismos controles sean o no las más eficientes o no para ellas. La “industria del cumplimiento” coopera muy activamente en este proceso. Los consultores acaban implantando programas que representan un sumatorio de todos los controles previstos en las distintas guías, estándares, etc. Esto induce a un cumplimiento cada vez más caro y complejo, pero no necesariamente eficiente. 

Especialmente disfuncional resulta el método check list cuando se acompaña de métricas cuantitativas, en que los criterios de calidad se miden por preguntas como ¿cuántas horas de formación se han impartido?, ¿cuántas denuncias se han recibido?, ¿cuántas veces ha comunicado la alta dirección a los empleados la importancia del cumplimiento normativo?, etc. Aparte de que los criterios cuantitativos pueden ser falseados con facilidad, no tienen por qué aportar ningún criterio definitivo de calidad.

2. Método económico de valoración

Un criterio innovador e interesante de evaluar la eficacia de un programa de cumplimiento es el método económico propuesto por Geoffrey Miller³⁶. Su gran mérito es que su punto de partida coincide con los objetivos de política criminal que se pretenden conseguir a través de la responsabilidad penal de personas jurídicas. Se trata de alcanzar una producción socialmente eficiente por parte de las empresas, lo que exige que estas asuman en su producción al menos una parte del coste económico que supone para el estado la prevención y detección de que hechos delictivos que tienen lugar en su interior. Según Miller, a través de las multas fijadas en relación con cada infracción, el legislador debe orientar a las empresas acerca de cuál es la inversión que espera de ellas en sus programas de cumplimiento normativo. Allí dónde el sistema de prevención y detección público o estatal puedan descubrir sin excesivos costes las infracciones, las multas no deberían ser excesivas, pues de otro modo se induce a las empresas a utilizar fondos en tareas preventivas, que estarían mejor empleados en otros objetivos.

Las multas a las personas jurídicas, siempre según Miller, deberían calcularse sobre un doble criterio: los costes sociales que genera la infracción – parte retributiva -, multiplicado por un coeficiente que sería el grado de inversión que el legislador desea conseguir de la empresa en cumplimiento normativo. Conforme a esta lógica, la eficacia del modelo de prevención requiere fundamentalmente de un cálculo económico: un modelo de prevención resulta eficaz cuando sus costes son similares a la sanción calculada conforme a estos dos parámetros.

El modelo económico propuesto por Miller tiene la ventaja de que, como ya he subrayado, se ajusta a los objetivos de política criminal que se persiguen a través de la responsabilidad penal de la persona jurídica. Aparentemente proporciona además seguridad jurídica: lo importante sería desarrollar un buen análisis de costes – contabilidad de costes – en materia de cumplimiento normativo y mostrar que lo invertido se corresponde con la multa esperada. Tampoco acaba con la innovación: dentro de los fondos que las empresas deben asignar al cumplimiento, lo lógico es que cada organización tenga interés en desarrollar los controles más eficaces, al mínimo coste económico. De este modo, incita a la creación de métodos novedosos y eficientes, que finalmente pueden ser aprovechados por el resto de las organizaciones.

El principal –y decisivo– problema que este sistema plantea es, como ya se habrá adivinado, que depende de complicados cálculos económicos que han de realizar tanto el legislador como las empresas, ¿cómo distinguir, por ejemplo, entre la parte de la multa que tiene que ver con el coste social y aquella que atiende a la inversión esperada? Igualmente, no hace referencia al hecho concreto cometido por la persona jurídica, lo que es fundamental en el modelo de responsabilidad basado en el defecto de organización. La pretensión de realizar los cálculos que requiere este método en relación a los distintos delitos a prevenir, en los distintos procesos o actividades de la entidad, complicaría aún más su aplicación.   

3. La teoría de la imputación objetiva como modelo a seguir

En la doctrina española³⁷ y muy especialmente la italiana³⁸ una importante corriente doctrinal –y como veremos en Italia también jurisprudencial– ha elaborado un modelo retrospectivo de eficacia fundamentado en la teoría de la imputación objetiva. Ello conecta con la opinión también extendida de considerar que el delito cometido por la persona jurídica equivale a una infracción imprudente³⁹ o, en ocasiones, a la participación imprudente en el hecho de otra persona⁴⁰.

Para esta posición, la valoración de la eficacia del programa de cumplimiento debe atender fundamentalmente a cómo el correcto diseño y ejecución de los diversos componentes del programa de cumplimiento han influido causalmente en la comisión del delito que en concreto se ha cometido. El juicio de eficacia no pretende comprobar la virtualidad del modelo en su conjunto, sino de las reglas de prevención vinculadas con el delito que en concreto se ha cometido⁴¹. Con ello, según se indica también, se trata de respetar el principio de responsabilidad por el hecho y alejarse de fórmulas vinculadas al derecho penal de autor⁴². En Italia, recientemente la Corte de Casación, en su sentencia 1321/21 de 11.11.2021, Impregilo, ha acogido también la estructura del delito imprudente y la imputación objetiva como forma de abordar la existencia de un defecto de organización⁴³.

Aunque entre los diversos autores que siguen esta línea existan matices considerables, la eficacia del programa de cumplimiento se comprueba siguiendo el procedimiento característico de la teoría de la imputación objetiva. Primero, se constata la creación de un riesgo jurídicamente desaprobado, que se produciría cuando no existe una medida de prevención o esta no se ha diseñado, actualizado o implementado del modo que exige la norma de cuidado. Esta norma podía determinarse de varios modos, bien podría hacerlo el legislador a través de normas administrativas, bien podrían ser estándares privados, como las normas ISO-UNE, o bien las best practices que se desprende de lo que hacen empresas similares. En esta concepción de la culpa de organización, la labor del juez, como ocurre en con la imprudencia individual, consistirían en encontrar la norma que determina el deber objetivo de cuidado⁴⁴.

Seguidamente, se trata de ver si este riesgo es el que se ha realizado en el resultado. En este punto cabría utilizar dos herramientas distintas. Una primera sería el fin de protección de la norma. De este modo, si el control o controles que no han funcionado adecuadamente en el caso concreto tienen como finalidad la evitación de ese tipo de comportamientos, puede afirmarse que el delito es expresión de la realización del riesgo que se pretende evitar a través de la norma de cuidado expresada en el mecanismo de control en cuestión. No obstante, a la hora de comprobar este segundo tramo de la imputación objetiva, la fórmula que se ha impuesto, sobre todo en la doctrina y jurisprudencia italiana, es la del comportamiento alternativo ajustado a derecho.

Conforme a este modo de proceder, la organización no resulta responsable si: (a) tenía los controles exigidos y estos han funcionado correctamente en el caso concreto; en este caso, el delito de la persona física sería una suerte de caso fortuito, que caería dentro del riesgo permitido; (b) no ha existido un control adecuado, pero la implantación del control correcto no hubiera evitado tampoco la realización del hecho delictivo o, en la variante roxiniana de este criterio, que la no implantación del control correcto no aumentara significativamente el riesgo de aparición del comportamiento ilícito no deseado.

En la doctrina española, algunos autores partidarios de la bipartición entre injusto y culpabilidad en el marco de las personas jurídicas, consideran que el juicio de eficacia, atendiendo al modelo de la teoría de la imputación objetiva, representa, precisamente, el injusto cometido por la persona jurídica. Pero, al igual que ocurre con las personas físicas, restaría por analizar el tramo de la culpabilidad. Y en este punto, consideran que lo que ha de examinarse es la existencia de una cultura de la legalidad en la empresa⁴⁵. La idea de los dos tramos – aunque sin identificarlos con el injusto y la culpabilidad – está también muy presente en la STS 154/2016⁴⁶. Asimismo, otras propuestas inspiradas en la imputación objetiva introducen un segundo tramo basado en la idea de exigibilidad⁴⁷.

La aplicación de la teoría de la imputación objetiva tiene a mi juicio importantes virtudes para la valoración retrospectiva de los programas de cumplimiento. En primer lugar, pone el foco sobre el delito concretamente cometido, que desaparece en las otras propuestas de valoración que se han examinado. El CP español, al igual que todas las legislaciones inspiradas en el modelo italiano, requiere de una relación específica entre el ilícito cometido y el modelo de organización. Ello se observa claramente en el caso de que el delito sea cometido por un administrador o alto directivo, a través del requisito de la elusión fraudulenta (art. 31 bis 1, a) y art 31 bis 2 3ª), pero también en el caso de los subordinados, pues se exige que la realización del hecho derive de un incumplimiento de los deberes de supervisión por parte de los administradores o la alta dirección  y que el modelo de organización sea apto para prevenir delitos de la misma naturaleza del que ha sido cometido (art. 31 bis b) y 4 . La referencia al hecho concreto, en el terreno procesal, permite optimizar el principio acusatorio, en cuanto que este modo de proceder concreta el objeto de la acusación a la persona jurídica. Una visión global del funcionamiento del programa de cumplimiento equivaldría a abrir una “causa general” contra la empresa.  Finalmente, la utilización de la imputación objetiva facilita y racionaliza la labor judicial, permite un proceso penal más mesurable y manejable, en cuanto que señala al juez qué debe investigar y probar. En la determinación del riesgo permitido el método de prueba idóneo sería, por ejemplo, la utilización de periciales, que mostraran cuál eran las normas de cuidado más usuales en empresas del sector en el momento en que sucedieron los hechos.

No obstante, pese a sus notables méritos, la aplicación de la teoría de la imputación objetiva genera numerosos problemas.

El problema esencial que debe resolver la evaluación retrospectiva es decidir en qué medida la prevención eficaz del hecho delictivo depende en exclusiva de la existencia y la correcta ejecución de una serie de controles específicos o de factores más amplios, que podríamos agrupar genéricamente bajo el término de cultura de la legalidad. Los partidarios del “método de la imputación objetiva” ponen su foco en el funcionamiento de un determinado control en el momento de la comisión del delito, pero parece que les es indiferente, desde el punto de la eficacia, si la organización meses antes de la comisión del delito hizo grandes inversiones en cumplimiento, se esforzó por comunicar su importancia, sus líderes dieron diversas charlas recorriendo las distintas sede de la organización etc.., es decir, dentro de su análisis de eficacia deciden no considerar los factores que determinan una buena cultura de la legalidad o ética empresarial como elementos de control⁴⁸.

Ambos aspectos son, sin embargo, necesarios. La prevención de un concreto hecho delictivo no depende en exclusiva de cómo haya funcionado un determinado control en el instante preciso de haberse realizado un hecho delictivo o de si éste ha sido diseñado con acierto o no. Esto desde luego es importante, pero no decisivo, pues también el nivel ético de la entidad constituye un factor preventivo que no puede dejarse de lado. La prevención de comportamientos delictivos en una organización es una operación más compleja que la relación entre la imprudencia de conductor y la muerte en un accidente de tráfico. Las explicaciones basadas en la causalidad resultan válidas para poner en relación un comportamiento humano con una modificación del mundo exterior, pero no son válidas a la hora de explicar por qué surge un determinado comportamiento (pagar un soborno) o como podría haberse evitado, en el marco de una organización dotada de un amplio margen de discrecionalidad a la hora de diseñar su sistema preventivo⁴⁹.

Por esta razón, la teoría de la imputación objetiva y, en general, la teoría del delito imprudente no pueden ser la herramienta metodológica a utilizar para medir la eficacia de un programa de cumplimiento. En realidad, y como vengo defendiendo desde hace tiempo, el defecto de organización tiene una estructura temporal distinta a la de la infracción del deber de cuidado en el seno del delito imprudente⁵⁰. Este último, si se quiere utilizar el símil, es una fotografía que se toma en el momento del hecho, mientras que el defecto de organización es una película, donde debe atenderse a un espacio de tiempo más amplio y a una red más compleja de actividades de prevención.

Los elementos del programa de prevención (desde el análisis de riesgos hasta la imposición de sanciones disciplinarias) forman un todo y funcionan como un todo, por lo que su eficacia no puede determinarse por separado, ni puede tenerse en cuenta para apreciar el defecto de organización sólo una de las partes del programa o un determinado control, sino que debe comprobarse de manera global⁵¹. Para la prevención de la corrupción, tener un canal de denuncias que funcione correctamente y que no sea un mero apartado en la web de la empresa es tan importante como los controles específicos que se diseñen para el control de la gestión de los recursos financieros; e igualmente lo es que los empleados sepan que las infracciones al Código Ético no se toleran, sino que se investigan y sancionan; de gran importancia es también la implicación de los directivos y que los encargados de supervisar si los controles se aplican tengan los poderes y la autoridad suficientes. Por esta razón, no puede considerarse que los elementos transversales o comunes del programa constituyen simplemente el entorno de los verdaderos controles que son los referidos al hecho concreto y son los que únicamente debe valorarse.

La decisión de la Corte Suprema italiana en el caso Impregilo muestra de manera muy clara los resultados insatisfactorios a los que conduce utilizar el modelo del delito imprudente y la teoría de la imputación objetiva como forma de establecer la falta de eficacia del programa. Especialmente se constata el error metodológico que ello supone cuando la sentencia analiza la idoneidad del Órgano de Vigilancia de Impregilo. La Corte reprocha a la empresa el deficiente diseño de su órgano de vigilancia, pero al final tiene que admitir, situada en el terrero de la relación de la imputación objetiva, que tener un mejor órgano de vigilancia nunca va a ser determinante en relación al concreto resultado. El delito también se hubiera realizado aunque el Órgano de Vigilancia se hubiera conformado de una manera óptima. Si el Órgano de Vigilancia, como se señala en la sentencia, tiene como cometido la supervisión general y en abstracto de los controles, el que sus miembros tengan una mayor profesionalidad o independencia no puede ser relevante normalmente para la imputación objetiva, ni aun asumiendo las fórmulas más laxas del incremento del riesgo⁵².

Reducir la eficacia del programa de cumplimiento al funcionamiento de un control o controles determinados en el momento de la infracción desconoce, además, el paradigma dominante que hoy opera en el control interno, el modelo COSO⁵³. Desde hace años, los expertos en control interno señalan que, para la prevención de la corrupción, tan importante resultan los controles financieros, diseñados según los cánones de la auditoria clásica, como el denominado ambiente de control (cultura de la legalidad), para lo que es determinante por ejemplo el compromiso de los dirigentes, la formación, la imposición de sanciones disciplinarias como respuesta a las violaciones del código ético, etc. De este modo, la ausencia de controles específicos sobre una determinada transacción o actividad puede compensarse por la existencia de un adecuado ambiente de control o cultura de la legalidad. La reforma que se operó en las Organizational Sentencing Guidelines en 2004, tras los escándalos de Enron, WorldCom, Tyco, etc., estuvo motivada precisamente por las deficiencias que presentaba el hasta el momento paradigma dominante en el cumplimiento normativo basado en el control y la supervisión. La cultura ética, la denominada infraestructura ética, pasó a considerarse una parte esencial del cumplimiento normativo. Desde entonces, las Directrices hablan de “Compliance and ethics programs» . Los programas de cumplimiento deben (a) “ejercer la diligencia debida para prevenir y detectar comportamientos, pero también” (b) “promover de otro modo una cultura de la organización que fomente el comportamiento ético y el cumplimiento con la legalidad”⁵⁴.

Lo que la crítica al modelo de la imputación objetiva pone de relieve es que la toma en consideración de disciplinas como el control interno, la psicología o la sociología, tal como propone el denominado behavioral compliance, no puede dejarse de lado a la hora de evaluar la eficacia de los programas de cumplimiento. Todas estas disciplinas nos indican que la labor de prevenir delitos es una tarea mucho más compleja, que, pongamos por caso, el funcionamiento del “control de firmas” en una determinada operación. Obviamente, y como después veremos, utilizar un sistema más sofisticado y completo de evaluación de la eficacia retrospectiva de los programas de cumplimiento debe evitar también el riesgo de incluir demasiados componentes; cualquier propuesta que se realice debe aspirar al sano objetivo de reducción de la complejidad que caracteriza a los sistemas jurídicos, pero lo que en modo alguno puede hacer es cerrar los ojos ante las evidencias empíricas, relativas al control y prevención de comportamientos,  y reducir la eficacia del programa de cumplimiento a un problema de imputación objetiva.

Finalmente, y a la hora de diseñar un modelo de evaluación de la eficacia retrospectiva de los programas de cumplimiento, debe tenerse presente que la eficacia del programa debe acometerse desde una perspectiva personal o subjetiva de su idoneidad o eficacia. Se trata de una nueva diferencia esencial con el delito imprudente y la imputación objetiva. En este ámbito, la construcción del deber objetivo de cuidado tiene como función determinar normas de comportamiento que supongan criterios de prudencia generales, pues de otro modo el injusto dejaría de cumplir su función orientadora de comportamientos. Situado en el ámbito de la culpabilidad, el deber subjetivo de cuidado tiene en la actualidad un papel muy marginal en la imprudencia, y además su función principal consiste en determinar en qué medida el autor puede cumplir con el estándar general⁵⁵.

En el caso de la responsabilidad de los entes, la necesidad de personalizar -subjetivar – es mayor. El programa de cumplimiento construye sus controles a partir del análisis de riesgos, con el fin de que cada empresa determine dónde, cuándo y cómo establecerlos. Los modelos de organización se conforman de acuerdo con el principio de proporcionalidad en atención a los riesgos concretos de cada organización⁵⁶. Por ello, el primer paso que debe realizarse para su implantación es el análisis de riesgos, que se centra en analizar los riesgos, que resultan específicos en relación a cada empresa y, aún más concretamente, en relación a cada una de sus actividades. Una vez analizado los riesgos la empresa diseñará sus propios controles en atención a los mismos.

El que el análisis de riesgos deba ser el motor o, mejor, el cerebro de todo el programa de cumplimiento tiene que ver con la técnica de regulación elegida por el legislador: la autorregulación. Con ella, precisamente, lo que se pretende es que cada organización diseñe controles, técnicas de prevención, a su medida. Se trata de evitar así los costes de las técnicas tradicionales de regulación, en las que se establecen normas generales que todos han de cumplir. En la autorregulación el legislador quiere que las empresas innoven, generen sus propias normas, porque es consciente de que proporcionar estándares generales es disfuncional. Cada destinatario, dentro de la metarregulación que le ha proporcionado el legislador, es competente para analizar sus riesgos y a partir de aquí, de manera proporcional, establezca sus propios controles. La opción por la autorregulación se trata también de una necesidad que deriva en virtud. El actual estado de la “ciencia del cumplimiento normativo” no es capaz de producir normas de cuidado, estándares generalizables, por esta razón el legislador, más allá de producir una vaga metarregulación, renuncia a legislar y deja en manos de las organizaciones que ellas se doten de las cautelas y procedimientos adecuados. A la autorregulación se recurre cuando el legislador es incapaz técnicamente de legislar⁵⁷.

Esta técnica de regulación que toda a las organizaciones de un ámbito muy relevante de discrecionalidad requiere de una aproximación diversa a la teoría de la imputación objetiva. Se trata de un control más metodológico y procedimental que de controles que respondan a estándares generales, cercano como veremos a la business judgment rule que opera en el derecho de sociedades para establecer la responsabilidad de los administradores en decisiones discrecionales⁵⁸. Todo esto no quiere decir que los estándares no sean útiles en materia de cumplimiento normativo, pero a diferencia de lo que ocurre en la determinación del deber objetivo de cuidado su función es más indiciaria. Ello exige que el juez motive especialmente por qué en el caso concreto no los considera adecuados, pero no queda atado a su contenido⁵⁹.

Expresado en términos dogmáticos tradicionales: el delito imprudente está basado en un modelo de cumplimiento normativo clásico, construido sobre la base de normas de que prescriben o ordenan comportamientos determinados. El deber objetivo de cuidado y la teoría de la imputación objetiva sirven para establecer la responsabilidad. La responsabilidad penal de las personas jurídicas está basada en un modelo de cumplimiento normativo distinto, el de la autorregulación o autorregulación regulada. Dentro de este modelo de delito el epicentro del injusto es la construcción de un deber subjetivo de cuidado que cada destinatario establece de acuerdo con la metarregulación aportada por en su caso por el legislador.

4. Propuesta de test de eficacia retrospectivo

La teoría de la imputación objetiva y del delito imprudente, como acabamos de ver, supone un método inadecuado, incapaz de captar lo que se quiere expresar con la expresión defecto de organización o ineficacia del modelo de cumplimiento. La aplicación de la lógica causal jibariza los programas de cumplimiento, reduciendo su examen al control más cercano al autor individual del delito. El checklist como método de evaluación tiene el inconveniente contrario: contempla el programa de cumplimiento como un sumatorio de controles, procedimientos y buenas prácticas que tiende al infinito. En principio, además, cada componente del checklist tiene una importancia similar. No permite, por ejemplo, una ponderación entre diversos elementos.

La propuesta de test retrospectivo de eficacia que a continuación va a realizarse pretende: primero, hacer de la evaluación de los programas de cumplimiento una tarea factible dentro del marco del proceso penal, sin caer en el reduccionismo de la teoría de la imputación objetiva; segundo, proporcionar a los jueces, fiscales o autoridades administrativas, un procedimiento para llevarlo a cabo con diversas fases y señalando la actividad básica que han de desarrollar en cada una de ellas (ponderar, comprobar cuestiones procedimentales, etc..); tercero, tener en cuenta las singularidad que representa la autorregulación basada en la evaluación del riesgo como forma de establecer estándares de cuidado; cuarto, y no menos importante, que se corresponda con el tenor literal del art. 31 bis.  

Metodológicamente estos objetivos pueden conseguirse si la evaluación de la eficacia adopta la técnica de un test, compuesto de una serie de tramos secuenciales, que han de cumplirse en un orden determinado. Se trata en realidad de un modelo de argumentación judicial, que indica qué aspectos deben comprobarse y da orientaciones acerca del peso que cada uno de estos elementos debe tener en la resolución final. 

4.1 La previsibilidad subjetiva del ilícito a partir del análisis de riesgos

El primer tramo del test es la previsibilidad del delito cometido por la persona física para la organización. Para ello debe atenderse fundamentalmente al análisis de riesgos⁶⁰. Como hemos indicado, a diferencia de lo que ocurre con la imprudencia, donde el juicio de previsibilidad es objetivo y se recurre al hombre medio dotado con los conocimientos del autor, en el caso de la responsabilidad penal de la persona jurídica la previsibilidad es subjetiva y fuertemente procedimental: lo importante es que la empresa haya evaluado con una metodología correcta sus riesgos. Si la metodología utilizada es correcta, el juez debe admitir el juicio de previsibilidad que contiene el análisis de riesgos⁶¹.

En este punto, debe tenerse presente la revisión periódica del programa de cumplimiento a que hace referencia nuestro Código penal, al igual que el resto de los textos legales pertenecientes al “modelo 231”. La revisión de un programa de cumplimiento consiste fundamentalmente en la revisión o ampliación del análisis de riesgos realizado en el momento inicial del programa. En este punto, resulta imprescindible, para considerar que la revisión es correcta, no sólo atender a una periodicidad en la misma, sino también a otros criterios que normalmente suelen establecerse para determinar cuándo procede una revisión, como la detección de una irregularidad en un determinado proceso, etc⁶².

Un programa de cumplimiento orientado al riesgo y proporcional implica que necesariamente deben existir delitos para los que no se prevea control alguno, pues tienen un riesgo de acaecimiento muy bajo para la entidad. Igualmente, una orientación al riesgo exige que se discrimine entre actividades. El riesgo de corrupción, por ejemplo, puede estar presente en unas actividades sí y en otras no resultar previsible. Las formas en que la infracción puede presentarse son además diversas en relación a cada actividad, por lo que los controles son y deben ser diversos. El juez, fiscal etc. puede por tanto dar por bueno un programa de cumplimiento, aunque la entidad no establezca ningún tipo de control, si ello resulta razonable y explicado adecuadamente en el análisis de riesgos.

Como puede apreciarse, el documento donde se plasma el análisis de riesgos o sus revisiones, se explica su metodología, se dan cuenta de la idoneidad de los controles existentes y se recomienda, en su caso, la implantación de nuevos controles de manera proporcional al riesgo, constituye el documento más trascendente tanto para la acusación como la defensa de la persona jurídica. Esta afirmación contrasta notablemente con la praxis en nuestro país, donde el análisis de riesgos es un documento oculto que las organizaciones protegen por el temor a que en el transcurso de la investigación pueda caer en manos de jueces o fiscales, por ejemplo, a través de la entrada y registro.

Un derecho procesal adaptado a la responsabilidad penal de las personas jurídicas debería reconocer lo que en la doctrina americana se denomina el self evaluating o self-audit privilege y que permite precisamente a las organizaciones analizar sus puntos débiles y sus riesgos sin temor a que estos documentos sean utilizados posteriormente en su contra. Resulta una contradicción desde el punto de vista de la presunción de inocencia pedir que una organización produzca documentos en los que debe poner de manifiesto sus debilidades, y después pretender tener un acceso ilimitado a los mismos en el marco del proceso penal⁶³.

La persona jurídica conforme a este tipo de secreto profesional debería ser dueña de la decisión relativa a si le conviene aportar en su totalidad el análisis de riesgos, o si, por el contrario, y como será lo habitual, entregar aquellas partes del mismo relacionadas con la infracción. Igualmente puede decidir excluir partes del informe que le perjudiquen. Si, por ejemplo, la organización a través de sus canales de alerta detectó una serie de irregularidades previas, que investigó, subsanó, y le llevó a reforzar sus controles, el derecho a no autoincriminarse le permite no aportar esta parte del informe. Conforme a este derecho, al igual que ocurre con el derecho a no autoinculparse, el hecho de presentar un informe de riesgos efectuado ad hoc para el proceso penal el juez no debería extraer ningún indicio negativo acerca de la seriedad de la evaluación del análisis de riesgos de la organización. La seriedad y calidad con la que se efectuó el análisis de riesgos puede además probarse de otras maneras, como a través de la declaración de los especialistas que lo realizaron. Por otro lado, que el ente sea el principal interesado en aras a articular su defensa en demostrar la corrección de su análisis de riesgos, no empece en absoluto que, de acuerdo con el principio de presunción de inocencia, sea la acusación quien deba demostrar o bien que el análisis de riesgos no se efectúo, o que este no se efectuó correctamente.

En suma, conforme a esta primera parte del test, existe un déficit de organización cuando una empresa no realizó el análisis de riesgos, no revisó oportunamente el nivel de riesgo existente, o realizó esta actividad de manera defectuosa. El análisis de riesgos ocupa un lugar prominente, como ya se ha explicado, para la consecución de los objetivos de política criminal que se pretenden alcanzar mediante la responsabilidad penal de las personas jurídicas, y constituye además el fundamento de un modelo de prevención basado en la autorregulación, de ahí su carácter determinante a la hora de evaluar la eficacia.

4.2 La eficacia de los controles

La segunda parte del test, conforme a lo que acaba de indicarse, tiene lugar en aquellos casos en los que la empresa ha superado con éxito el examen relativo a la evaluación de su análisis de riesgos. Su punto de partida es que, tal como señalamos anteriormente, el programa de cumplimiento como herramienta de control, es un conjunto, una unidad, donde la cultura empresarial o el ambiente de control y los controles específicos que la empresa haya previsto operan conjuntamente en la prevención de infracciones.

(a) El ambiente de control o infraestructura ética

Por esta razón, a la hora de evaluar la eficacia de los controles, el primer paso consiste en determinar cuál es el ambiente de control. Para ello, pueden utilizarse un serie de parámetros – infraestructura ética – que, según los conocimientos actualmente existentes, determinan la cultura de la legalidad en una organización. Esencialmente podría atenderse a los siguientes criterios⁶⁴: (a) Implicación de los directivos y órganos de dirección en el cumplimiento normativo (tone from the top)⁶⁵; (b) legitimidad del programa de cumplimiento, analizando la participación de los afectados por ella en la implementación y supervisión (procedural justice)⁶⁶; (c) independencia y formación de los responsables de cumplimiento, lo que incluye desde luego la conformación del órgano de vigilancia; (d) vigencia de las normas del programa (funcionamiento del canal de alertas, imposición de sanciones tras la pertinente investigación interna, formación y difusión); (e) comportamiento post-delictivo, en cuanto que la reactive fault o culpabilidad reactiva conforma un buen indicador de cuál es la cultura de la legalidad en una organización⁶⁷.

(b) El funcionamiento de los controles

Medido el ambiente de control, a través de los componentes de infraestructura ética que se consideren relevantes, es preciso atender a los controles específicos que la organización había establecido para prevenir los comportamientos del tipo que se ha producido en la actividad o sector de la empresa donde ha tenido lugar. También aquí el análisis de riesgos efectuado por la empresa constituye el punto del que debe partir el juez. Como señalaba anteriormente, la intensidad de los controles depende de la intensidad del riesgo, tal como ha sido valorado mediante el risk assessment. Por esta razón si la metodología ha sido correcta a la hora de elegir e implementar los controles, el juez debe partir de su idoneidad. El juicio del juez debe hacerse desde la valoración subjetiva que la entidad ha realizado del riesgo y de los controles que ha diseñado a partir de esta propia valoración. La única excepción a esta subjetivización se produce en aquellos casos en los que el control responde a una obligación legal. Como he señalado en varias ocasiones, cuando existe una normativa administrativa que desarrolla un determinado control (vgr. blanqueo) el programa de cumplimiento se comporta como una ley penal en blanco⁶⁸.

Acomodar los controles que haya elegido la empresa a los estándares de normalización existentes o a las best practices es, como ya señalábamos, sólo un indicio de que los controles son acertados, pero sólo un indicio, la organización puede innovar, buscar los controles más eficientes a su nivel de riesgos y a sus características. Desde luego, esta tarea exige motivar por qué los controles elegidos se han considerado suficientes, pero esta forma de proceder es coherente con la promoción de la capacidad de innovación que la autorregulación busca. Admitir que los estándares o best practices constituyen, tomando la terminología del delito imprudente, el deber objetivo de cuidado conduce a la petrificación de las reglas de prevención.

A la evaluación del diseño en abstracto del control y la cultura de cumplimiento debe seguirle el examen de cómo se ha comportado éste en el caso concreto.

En este punto el análisis depende de quién haya sido el autor individual. Una de las mayores originalidades – y a mi juicio aciertos – del “modelo 231” es que establece exigencias diversas dependiendo de si el delito ha sido cometido por una persona perteneciente a la alta dirección o a los órganos de administración (art. 31 bis 1 a) o si por el contrario es una persona subordinada a los anteriores (art. 31 bis 1 b).

En este último caso, a la organización le es más sencillo distanciarse del comportamiento delictivo realizado, cuando demuestra que efectivamente existía un control adecuado (atendiendo al análisis de riesgos) y que la persona encargada de ponerlo en marcha disponía de la formación y los medios necesarios. Desde luego, si el control ha obstaculizado la realización del comportamiento delictivo, obligando al autor-subordinado a su “elusión fraudulenta” su idoneidad y eficacia estará probada. No obstante, y a diferencia de lo que ocurre con los controles que el programa de cumplimiento debe prever para la alta dirección, en el caso de los subordinados no es necesario demostrar que el autor tuvo que desplegar una actividad adicional con el fin de eludir el control. Por estas razones, habrá que considerar generalmente que el control era idóneo si el delito quedó en grado de tentativa, precisamente por el funcionamiento de un control, o si se trata de una infracción continuada, cuando esta ha sido descubierta con prontitud por la empresa. Por el contrario, la eficacia del funcionamiento del control en concreto queda desmentida cuando la infracción se ha prolongado en el tiempo o está muy extendida dentro de la empresa, siendo por ejemplo muchas las personas o departamentos implicados en ellas⁶⁹.

En el caso de los subordinados, además del funcionamiento concreto del control, el art. 31 bis b) obliga a examinar también el sistema de supervisión que ha creado la organización con el fin de asegurar su eficacia. A este elemento, básico en un programa de cumplimiento en cuanto que es consecuencia de las cadenas de delegación⁷⁰, se refiere específicamente el art. 31 bis cuando menciona que, en el caso de los subordinados, debe atenderse a si ha existido una infracción grave del deber de supervisión por parte de los superiores jerárquicos. La correcta interpretación de esta previsión debe entenderse a la luz de cómo en el derecho penal entendemos la supervisión dentro de la teoría de la delegación de funciones. Los máximos dirigentes de la entidad están obligados a realizar, como es lógico, una supervisión directa «por encima del hombro» de los subordinados. Ello haría inútil la delegación y sería de todo punto incomprensible desde la lógica de la organización de la empresa.

La supervisión, en el caso de los subordinados, se efectúa también a través de una cadena de delegaciones que parte del órgano de administración, que llega a aquellas personas que se consideran “dueños del control” y que deben precisamente velar por la efectividad y la eficacia de los distintos controles. En esta cadena de delegaciones es donde aparece la figura del delegado de cumplimiento – nombre que resulta más descriptivo y exacto que el de Compliance officer – y que en realidad es un delegado de supervisión, en el sentido de que tiene que ocuparse, entre otras cosas, en nombre del órgano de administración, que existe un correcto sistema de información de la empresa, que asegura que la alta dirección tenga un conocimiento razonable de la efectividad de los diversos controles previstos del programa de cumplimiento. Este sistema de supervisión de “arriba abajo” equivale funcionalmente al que ha de realizar el órgano de vigilancia en relación a los controles de los administradores.

Precisamente, en este punto radica la necesidad de contar con dos órganos de supervisión dentro del programa de cumplimiento normativo. De un lado, un sistema de supervisión independiente (OdV), que supervisa la idoneidad y funcionamiento de los controles que afectan a las personas físicas incluidas en el “club” del 31 bis 1 a) y, por otro lado, una supervisión de “arriba a abajo”, en la que se inserta la figura que conocemos normalmente como compliance officer o delegado de cumplimiento, entre cuyas funciones, entre otras, se encuentra asegurarse la efectividad en el día a día, y como delegado de los órganos de administración, de la aplicación de los controles que afectan a los subordinados⁷¹.

El examen del funcionamiento del control en el caso de que el delito sea cometido por una persona perteneciente al art. 31 bis) 1 a) es, como se desprende de cuanto acaba de decirse, sustancialmente distinto al anterior. Es mucho más exigente; a la organización se le exige mucho más para distanciarse del delito cometido por personas pertenecientes al órgano de administración o a la alta dirección. El diseño del 31 bis, en este caso, exige una mayor atención al funcionamiento de los controles en concreto que al correcto diseño del programa de cumplimiento, y a su ejecución, o a la cultura de cumplimiento de la corporación. Si parte esencial de la cultura de cumplimiento es el liderazgo o el tone from the top, es lógico que se dude de su existencia cuando el delito se comete precisamente por uno de los líderes de la organización.

La importancia del funcionamiento del control, en relación al hecho concreto realizado por la persona física que ocupa una posición directiva, viene remarcada por el requisito de “elusión fraudulenta” del control (art. 31 bis 2. 3º)⁷². Este elemento implica dos cosas: la primera, que a la hora de diseñar los controles del programa de cumplimiento para la alta dirección debe tenerse presente que, por ejemplo, este tipo de controles deben suponer una especie de “marcaje al hombre”, no pueden tener por ejemplo carácter aleatorio, y han de operar antes de la actividad objeto de control. La jurisprudencia italiana ha tenido ya la oportunidad de aquilatar el significado de este elemento indicando. La elusión del control significa que el autor del delito además de realizar el comportamiento típico, como autor o cómplice, debe también llevar a cabo una actividad específica destinada a evitar el control.

Finalmente, en el caso del delito cometido por altos directivos, debe atenderse a en qué medida el órgano de vigilancia ha supervisado los controles que afectan a este grupo de personas. Como bien ha aclarado la jurisprudencia italiana recientemente, la naturaleza de este control no es una supervisión efectiva y directa del alto dirigente en el caso concreto. Ello supondría una alteración del sistema de gobierno corporativo, que convertiría al órgano de vigilancia en un órgano societario por encima de los órganos de administración. La supervisión de este órgano que debe centrarse en la idoneidad de los controles y en que estos efectivamente son operativos, pero no exige un control sobre la actividad del alto directivo⁷³.

(c) La ponderación global de la eficacia

Tras analizar la infraestructura ética – ambiente de control – y el funcionamiento de los controles específicos, el juez debe realizar una ponderación global de la eficacia de los controles. Aunque esta es una cuestión a la que habrá que prestar atención en el futuro, con el fin de aquilatar el diferente peso que tienen en la ponderación los diferentes componentes que acaban de señalarse, es posible ya dar una serie de indicaciones al respecto.

Como ya se ha apuntado, a medida que sube el nivel jerárquico tanto en el autor individual como del “dueño del control”⁷⁴, la parte del test que se fija en el funcionamiento en concreto del control específico adquiere una mayor importancia. De algún modo podría decirse que, cuando el autor o el dueño del control pertenece a la alta dirección o al órgano de administración, los aspectos del programa de cumplimiento que más pesan son los controles que en concreto se haya establecido, mientras que a medida que se desciende en la escala jerárquica va cobrando importancia la infraestructura ética. La elusión fraudulenta del control, a la que hace referencia tanto la normativa española como la italiana, apunta correctamente que cuando el autor del delito pertenece a la alta dirección, la cultura de la legalidad o el ambiente de control no tienen igual peso.

La infraestructura ética resulta, por el contrario, más importante no sólo cuando el comportamiento se realiza por subordinados, sino también cuando existen niveles de estandarización menor, es decir, cuando no existen criterios claros acerca de qué controles deben utilizarse para prevenir determinados hechos delictivos o la forma de prevención se sitúa exclusivamente en elementos que pertenecen a la infraestructura ética⁷⁵. En este caso, conforme a la evaluación de riesgos realizada por la organización, puede considerar que ante determinados riesgos, no demasiado relevantes, la existencia de normas generales, por ejemplo, en el código ético, más una formación resultan controles suficientes combinados con el ambiente de control.

En suma, lo importante en este juicio de ponderación es que el juez tenga presente que la cultura de la legalidad o ambiente de control y los controles específicos pueden compensarse entre sí, en el caso en que el delito haya sido cometido por subordinados y tanto más a medida que desciende el nivel jerárquico y la intensidad del riesgo.

4.3 Exigibilidad

La última parte del test viene marcada por el criterio de la exigibilidad. El principio de exigibilidad es un principio regulador común a todo el derecho penal⁷⁶, por lo que debe ser de aplicación también en el caso de personas jurídicas. Pese a que se considere que la empresa no supera el test de eficacia podría optarse excepcionalmente por considerar que en razón a este principio no puede hablarse de un defecto de organización reprochable o, dicho de otro modo, que la persona jurídica no debe ser sancionada.

La idea de exigibilidad es útil sobre todo para tener en cuenta el factor tiempo. A diferencia de lo que ocurre con los comportamientos individuales, donde las normas de comportamiento prohíben o exigen comportamientos humanos específicos, la organización e implementación de un modelo preventivo no puede realizarse de la noche a la mañana. En diversas situaciones, por falta de tiempo, la organización, pese a la voluntad y empeño de sus directivos no le será posible la implantación de un programa de cumplimiento eficaz o de los controles relacionados con el riesgo relacionado con el comportamiento delictivo⁷⁷.

Sería el caso por ejemplo de la persona jurídica que adquiere o se fusiona con otra que carecía de programa de cumplimiento y en cuyas estructuras todavía sin transformar se produce un comportamiento delictivo al poco tiempo. Igualmente, la aparición de nuevos riesgos, derivados de un cambio legislativo reciente, no siempre pueden solventarse en el corto periodo de vacatio legis que suele dejar la reforma de código penal⁷⁸.

IV. La valoración de la eficacia prospectiva: algunas propuestas metodológicas

Aunque la finalidad de este trabajo era principalmente contribuir al debate sobre la eficacia de los programas de cumplimiento en relación al delito cometido dentro de la organización, este último apartado está dedicado a reflexionar acerca de la medición de la eficacia prospectiva. Y en este punto lo que urge es implantar una cultura de la evaluación en materia de cumplimiento normativo, que promueva la innovación y evite la petrificación y la acumulación de controles y medidas innecesarias. Como habíamos señalado, este es un peligro que se deriva de la utilización de metodologías basadas en el checklist⁷⁹, pero que también tiene que ver con el desarrollo de un cumplimiento normativo basado en evidencias empíricas (Evidence based approach to Compliance programs)⁸⁰. Sin una evaluación que nos indique qué funciona y qué no, resulta complejo desarrollar un modelo de programa de cumplimiento basado en controles y sanciones, pero también en infraestructuras éticas. La evaluación del programa ético conforme a una metodología como la que aquí va a proponerse debiera constituir además un elemento más a la hora de valorar su eficacia, en cuanto que lo legitima empíricamente.

La metodología que va a proponerse está basada en la desarrollada desde hace años en la evaluación de políticas públicas⁸¹. La coincidencia no es casual. La finalidad político criminal de la responsabilidad penal de las personas jurídicas es que estas colaboren con el estado en la ejecución de una política pública como es la prevención y detección de hechos delictivos. La responsabilidad penal de la personas jurídicas representa una delegación de este política pública, con el fin de que particularmente las empresas asuman los costes de la prevención e investigación de las irregularidades generadas por su funcionamiento. Puesto que se trata de ejecutar una política pública, tiene sentido que la forma de evaluación sea similar a la que emplean – o, más bien, debieran emplear – las administraciones públicas⁸².

La evaluabilidad es el requisito previo de todo procedimiento evaluador. Es difícil evaluar aquello que no se diseña para ser evaluado. Y en este punto es condición imprescindible utilizar una hipótesis de trabajo que se basen en un programa teórico verificable empíricamente. Por esta razón, la evaluación prospectiva del cumplimiento normativo debe ir de la mano de la recogida de datos, empezando por los costes de los diversos controles, y la formulación de metas y objetivos, cuya consecución ha de planificarse en atención a un conjunto de intervenciones basadas en algún modelo teórico, procedente por ejemplo de las ciencias del comportamiento o la criminología.

El primer paso en el diseño de cualquier medida es cerciorarse de la necesidad de la intervención, lo que supone definir con precisión el problema que se desea solucionar (el bajo número de alertas recogidas en el canal, el escaso rendimiento de los cursos de formación de la empresa). Establecer necesidades de intervención es un complemento del análisis de riesgos. Mediante esta metodología se fijan los objetivos finales de cada entidad (la reducción del riesgo de corrupción en las interacciones entre los comerciales de la entidad y los clientes), mientras que la necesidad de intervención completaría este análisis valorando las diversas estrategias que se plantean para alcanzarlo. La teoría de la evaluación suele distinguir, en este sentido, entre metas y objetivos de la intervención. Metas son las finalidades últimas y objetivos los diferentes pasos en que se va concretando la consecución de este objetivo.

La consecución tanto de metas como de objetivos dentro de la organización constituye una intervención social y, tal como mantiene la evaluación de política públicas, toda intervención social ha de basarse explícita o implícitamente en una teoría. La teoría nos sirve, en primer lugar, para analizar el problema y conocer sus causas y para trazar un plan de intervención. La teoría nos sirve también para explicar los cambios que la intervención va a generar (teoría de impacto), pero también nos debe enseñar el cómo hacerlo (teoría procedimental), lo que implica, por ejemplo, establecer los recursos económicos que se van a asignar. Al igual que es irrisorio establecer una política pública sin asignación presupuestaria, un cumplimiento normativo objetivado y evaluable requiere también este tipo de compromisos. Para la evaluabilidad del programa resulta esencial la determinación del modelo de repercusión, o teoría en la que se sustenta el programa, con indicación de sus metas y objetivos. La ausencia de un modelo de repercusión limita enormemente la posibilidad de controlar la calidad y efectividad de un programa, e igualmente hace difícil determinar en qué falla o acierta.

Necesidad de la intervención, trazar metas y objetivos y determinar las teorías explicativas y procedimentales representan la denominada evaluación ex ante. En las políticas públicas esta fase se hace en buena medida a través de las denominadas evaluaciones de impacto. Aunque, aparentemente, en la estructura de los programas de cumplimiento normativo no hay espacio para este tipo de reflexiones, en realidad serviría para reformular y hacer más efectivo el documento en el que se plasma el análisis de riesgos de la entidad. Se trataría de incluir en él una memoria, similar a los análisis de impacto que acompañan a muchas normas, analizando estrategias, costes, etc⁸³.

El siguiente conjunto de actividades son las que se agrupan en la denominada evaluación ex post. La evaluación ex post tiene como finalidad comprobar si los presupuestos de la intervención (necesidad y teoría), tal como han sido descritos en el documento de evaluación de impacto, son correctos. Supone una revisión crítica del programa. El primer paso de la evaluación ex post es revisar la implementación de la medida de intervención. Si no se han respetado las actividades, el calendario, su presupuesto, etc., difícilmente podrá saberse si, por ejemplo, las medidas de control o la nueva forma para impartir la formación serán adecuadas. Seguidamente debe comprobarse si los resultados esperados se han obtenido, lo que implica también cerciorarse, en caso de que así sea, que estos son debidos a las medidas adoptadas y no a otro tipo de factores.

En consonancia con el modelo económico propuesto por Miller, del que antes nos hacíamos eco, una parte fundamental de la teoría de la evaluación es el análisis de costes y beneficios⁸⁴. Saber cuánto cuesta un control o una determinada medida es algo tan esencial que sorprende cómo hasta la fecha la mayor parte de programas de cumplimiento carecen de análisis de costes. La cantidad de horas y, por tanto, dinero que puede hacer perder un control mal diseñado o un programa de formación inútil pueden ser muy importantes. Un análisis sofisticado de costes requiere no sólo saber a cuánto asciende la implementación de una medida, sino comprobar cuál es su relación con los beneficios obtenidos. Estos, lógicamente, pueden tener en cuenta la reducción o evitación de una sanción, pero también la consecución de un determinado cliente, el aumento de la responsabilidad social, y el prestigio de la empresa, etc.

Si la evaluación ex ante complementa la metodología del análisis de riesgos, la evaluación ex post sirve para dar contenido y método a la revisión del programa, que constituye un elemento de los programas de cumplimiento a los que suele referirse el legislador. Hasta ahora, los criterios de revisión que se han manejado daban consejos tan genéricos como que debe revisarse el programa periódicamente, cuando haya una intervención legislativa, se hayan detectado irregularidades, etc. Someter los programas de cumplimiento a la horma de la evaluación hace de la revisión del programa una parte no sólo esencial, sino que además la enriquece con una metodología propia.

Como antes indicaba, en este lugar no es posible profundizar más en este método de evaluación prospectiva, pero de lo expuesto se desprenden una serie de conclusiones importantes. La primera es que garantiza los grandes objetivos de la autorregulación: la producción socialmente responsable. La medición de la eficacia realizada conforme a la metodología que suministra la evaluación de políticas públicas es un buen remedio para frenar el aumento progresivo de costes asociados al cumplimiento normativo y para su racionalización progresiva.

Lógicamente, y en segundo lugar, esta forma de proceder debe tener repercusión en la valoración retrospectiva de la eficacia. Tal como se expuso, el test propuesto — a diferencia de las fórmulas basadas en la imputación objetivo — hace especial hincapié en los aspectos procedimentales o metodológicos y es además eminentemente subjetivo, en el sentido que, a diferencia de lo que ocurre con la imprudencia, prefiere los estándares de cuidado personalizados a los objetivos. El juez debe respetar las valoraciones y opciones de la organización siempre que estén bien fundamentadas. Por esta razón las propuestas de evaluación prospectiva y retrospectiva que propongo se complementan y se retroalimentan. Además, como ya he señalado anteriormente, debe valorarse también cómo incrementa el cumplimiento el incremento de la legitimidad técnica que implica esta nueva forma de realizar el cumplimiento normativo.

V. Consideraciones finales

Seguramente, muchas de las afirmaciones que se hacen a lo largo de este trabajo sean equivocadas y en cualquier caso necesitan una mayor discusión. Esto resulta tan inevitable como necesario ante un fenómeno legislativo como el de la responsabilidad penal de las personas jurídicas, aun en sus comienzos, y que implica una actividad radicalmente novedosa tanto para el sistema penal como para las propias organizaciones. Resulta complejo encajar en el marco de los principios del derecho penal y en los tiempos del proceso penal la evaluación de una actividad tan compleja como es la actividad de una organización. El modelo de evaluación retrospectivo debe reducir esta complejidad, con el fin de garantizar la seguridad jurídica, pero no puede hacerlo a costa de orillar y desconocer el conjunto de esfuerzos preventivos realizados por las organizaciones. Esto implicaría un efecto desaliento similar al que producen todos los sistemas de responsabilidad objetiva. Por ello, y para encarar esta complejidad, son necesarios dos tipos de evaluación de la eficacia que se complementen, y que atiendan a sus respectivas funciones.

La mayor sofisticación de los test de eficacia que aquí se han propuesto en comparación con el método checklist o la adopción de la teoría de la imputación objetiva corresponde al signo de los tiempos, donde las empresas cada vez invierten más recursos en esta materia. Métodos dogmáticos demasiado simples de constatación de la eficacia a la larga desincentivarán el desarrollo del cumplimiento normativo. La responsabilidad penal, y el sistema de incentivos que genera, no puede desatender los cada vez mayores esfuerzos que desde las ciencias del comportamiento se están realizando para entender cómo funciona el cumplimiento normativo. Por otro lado, y tal como se exponía en el recorrido con el que se iniciaba este trabajo, el “modelo italiano” no puede desconocer las otras formas de dar relevancia a los programas de cumplimiento en el marco del sistema penal, la penológica y la procesal – que a día de hoy – hay que reconocerlo – suponen un camino más sencillo que el modelo por el que con tanto entusiasmo hemos optado y que coloca al cumplimiento normativo – un arte más que una ciencia – en el corazón de la tipicidad.

Desarrollar un cumplimiento normativo evaluable y basado en conocimientos empíricos resultará una de las tareas — sino la tarea — esencial de los departamentos de cumplimiento. Por esta razón quizás deban cambiar de perfil. De profesionales procedentes en su mayoría del mundo de derecho o de la auditoría interna, quizás convenga en completar estos perfiles con sociólogos, psicólogos, educadores sociales o, como vengo manteniendo desde hace tiempo, por una nueva generación de criminólogos centrados en el análisis y prevención de la criminalidad de empresa. La metodología de la evaluación propuesta exige también una mayor independencia de las personas llamadas a evaluar la eficacia del programa de cumplimiento. Al igual que ocurre con la evaluación de políticas públicas, quizás sea el momento de plantearse la necesidad de crear observatorios o agencias de evaluación, cuya función sería ayudar y asesorar a las organizaciones en la implantación de programas de cumplimiento basados en evidencias y por tanto evaluables, pero también efectuar las funciones de evaluación ex post⁸⁵.