You can run but you can´t hide: investigaciones internas y legítima defensa corporativa contra la explotación infantil en la empresa

I. Apunte preliminar

A continuación se reproducen las notas emitidas por el DOJ, el DOL y el ICE, relativas a tres casos de empresas, un hospital -caso 1-, un hotel -caso 2-, y varias chocolaterías transnacionales -caso 3-,  vinculadas con la explotación de niñas y niños en la pornografía, el turismo sexual y la esclavitud^{1 [1]}. Estos reportes^{2 [2]} servirán de base para determinar qué rol pueden jugar las investigaciones internas corporativas de cara a prevenir, o por lo menos reaccionar, frente a casos graves que atentan en contra de la dignidad, la libertad sexual y el libre desarrollo de la personalidad de la infancia^{3 [3]}. Así mismo, mediante estos casos se mostrará que las personas jurídicas están en condiciones de ejercer la legítima defensa organizacional.

Caso 1. Pornografía infantil (caso del pediatra)

OVERLAND, KANSAS, USA. (14 de mayo de 2025). Un médico pediatra de Overland Park, Kansas, ha sido condenado en un Tribunal Federal por producción y posesión de pornografía infantil. Brian Aalbers, de 51 años, fue condenado por el juez del Tribunal de Distrito de EE. UU. Brian C. Wimes a 25 años de prisión federal sin libertad condicional. El tribunal también ordenó que Aalbers cumpliera libertad supervisada de por vida tras su encarcelamiento. Aalbers, neurólogo pediátrico del Overland Park Regional Hospital, se había declarado culpable de utilizar cámaras de vídeo ocultas para grabar en secreto a 13 víctimas infantiles con el fin de producir pornografía infantil durante un periodo de tres años. Aalbers también admitió que estaba en posesión de pornografía infantil.

Tanto el FBI como la Fiscalía recibieron información preocupante sobre la posible victimización de pacientes de la consulta pediátrica de Aalbers. Durante la investigación, se determinó que no había pruebas que indicaran que Aalbers hubiera victimizado a ningún paciente actual o anterior. Según el acuerdo de culpabilidad, agentes de policía de Kansas City, investigaron los hechos referidos en un reporte que reportaba cámaras de vídeo ocultas que se habían encontrado el 28 de octubre de 2023. Más tarde, un testigo se puso en contacto con los agentes para informar que Aalbers estaba enviando mensajes de texto suicidas. Los agentes de policía de Lenexa, Kansas, localizaron a Aalbers y lo trasladaron a un hospital local para que recibiera tratamiento voluntario de salud mental. El hospital tomó posesión de dos ordenadores portátiles, dos tabletas iPad y un teléfono móvil que estaban dentro de una mochila que Aalbers llevaba consigo cuando entró en el centro. Los investigadores obtuvieron órdenes de registro de esos dispositivos, así como de otras cámaras y dispositivos electrónicos propiedad de Aalbers. Los investigadores encontraron más de 50.000 archivos de vídeo asociados a las cámaras de vídeo ocultas utilizadas por Aalbers, incluidos más de 1.000 vídeos que contenían representaciones pornográficas de las 13 víctimas infantiles. Los investigadores también obtuvieron una orden de registro para la cuenta de iCloud de Aalbers, que contenía 1.000 imágenes adicionales y 163 vídeos adicionales de pornografía infantil, que incluían vídeos de las víctimas infantiles identificadas que habían sido producidos por Aalbers. Este caso fue procesado por la fiscal federal adjunta Maureen A. Brackett. Fue investigado por la Oficina Federal de Investigación, el Departamento de Policía de Kansas City, Missouri, y el Departamento de Policía de Lenexa, Kansas^{4 [4]}.

Caso 2. Turismo sexual con niños (Caso del child sex tour operator)

WASHINGTON, DC, (USA). (11 de agosto de 2023). La sección de lo criminal del DOJ emitió la guía relativa a la Ley Federal para sancionar la Explotación Sexual Extraterritorial de Niños. Conforme a la sección 2423 (d) se impondrán sanciones graves al “child sex tour operator” que facilite o ayude a ciudadanos de los Estados Unidos de América, o residentes legales permanentes en el país, a viajar con la finalidad de tener relaciones sexuales ilícitas con niños^{5 [5]}. Este es el caso del Hotel Ho Chi Minh (Vietnam), donde según reportes del ICE^{6 [6]} un ciudadano norteamericano de 64 años sostuvo diversas relaciones sexuales con niños de entre 11 y 12 años.

Caso 3. Esclavitud de las infancias (caso de las chocolaterías)

ARLINGTON, VIRGINIA, USA (mayo de 2024). Un reporte rendido ante el Departamento del Trabajo de los Estados Unidos de América, evidencia que niñas y niños de entre 5 y 15 años son sometidos a explotación en el trabajo forzado y condiciones similares a la esclavitud en Ecuador, Brasil e Indonesia. Esta modalidad de explotación de niñas y niños se verifica en la cosecha del cacao que sirve para la elaboración de chocolate para grandes transnacionales como Nestlé, Mars, Hershey´s y Ferrero. El reporte señala que en la cadena de suministro del cacao a las grandes empresas participan organizaciones locales y extranjeras. Este procedimiento se inicia con la cosecha del cacao, ejecutada materialmente por los niños que los cortan con machetes, los ponen en cestas y los cargan en la espalda hasta los camiones. Todo culmina con el traslado del producto hasta las grandes fábricas de chocolate en los Estados Unidos de América, Suiza y Holanda, por ejemplo^{7 [7]}.

II. Crimen organizado corporativo y explotación de las infancias

En cada uno de los tres casos de explotación arriba indicados han intervenido diversas personas jurídicas. No se trata solamente de las empresas directamente involucradas en los hechos -el hospital o el hotel, por ejemplo-, sino también de aquellas que hacen posible que esos hechos sucedan: desde las empresas que comercian las aplicaciones digitales^{8 [8]} utilizadas para gestionar los hechos brindando vías de comunicación entre quienes explotan a la persona humana, hasta aquellas que transportan a los autores y a las víctimas al lugar donde se materializan los hechos^{9 [9]}.

Pero donde se evidencia de manera más clara la ejecución del delito entre tres o más empresas es en la explotación del trabajo forzado y la esclavitud de niños^{10 [10]} por parte de las empresas que producen chocolate. Casos como este -que no son aislados^{11 [11]}-, muestran que el crimen organizado corporativo^{12 [12]} no sólo es una realidad, sino que este fenómeno criminal se expande en el marco de la globalización^{13 [13]}. Las empresas chocolateras no sólo tienen conocimiento de la explotación en la que ellas incurren, sino que facilitan ese sometimiento de las infancias y lo promueven^{14 [14]}.

La Convención de Palermo contra la delincuencia organizada transnacional sentó las bases para su aplicación a las personas jurídicas que ajustan su funcionamiento a fenómenos como los que se han descrito hasta ahora. Así, por ejemplo, desde el artículo 2.a se habla de “personas” -sin distinguir entre físicas y jurídicas-, mientras el artículo 10 tiene por objeto a los entes colectivos: “responsabilidad de las personas jurídicas”, y establece: 1. Cada Estado Parte adoptará las medidas que sean necesarias, de conformidad con sus principios jurídicos, a fin de establecer la responsabilidad de personas jurídicas por participación en delitos graves (…)^{15 [15]}.

Si los tres casos referidos en los apuntes preliminares evidencian la gravedad de los delitos en que incurren las personas jurídicas, -cuyas sanciones debieran ser graves de conformidad con el artículo 10.4 de la CCDOT-, entonces parece sostenerse la afirmación relativa a que las facultades para prevenir e investigar el delito en el interior de la organización debieran ser, por lo menos, amplias. Esto no significa relajar garantías ni limitar derechos de las personas, sino reconocer que la salvaguarda de la dignidad y libertad de las infancias frente a la explotación en la pornografía, el turismo sexual^{16 [16]} y la esclavitud -por hacer referencia tan sólo a los ejemplos aquí utilizados-, exigen mecanismos tan profesionales como eficaces en el interior de la empresa.

La expedición de la ISO 37008 en materia de investigaciones internas es un alivio para las empresas comprometidas con el compliance. Como se verá a continuación, este documento ofrece certeza a aquellas organizaciones en busca de prevenir el delito corporativo y sancionar a las personas responsables de las acciones de noncompliance. De esto nos ocupamos a continuación.

III. La ISO 37008 en materia de investigaciones internas

Emitida en el mes de julio de 2023, la Internal Investigations of organizations – Guidance tiene un origen e influencia claramente estadounidense pues hasta antes de su publicación, no se había elaborado un estándar internacional que contemplara la posibilidad de ejecutar injerencias de gran calibre en el interior de la organización- y tan precisas como las emitidas por el DOJ en sus guidelines– en el interior de la organización^{17 [17]}. La ISO 37008 contiene diversos apartados de interés en la materia. Voy a enfocarme, sin embargo, tan sólo en los rubros relativos a la obtención de prueba, no sólo porque ahí se describen las facultades más amplias de la organización sobre bienes jurídicos de terceras personas -con especial referencia a la intimidad-, sino también porque esta temática se conecta directamente con los casos 1 y 2 (parcialmente también con el 3), expuestos en los apuntes preliminares.

Ya desde el inicio, el apartado 8.8.1 (document collection and review)^{18 [18]} establece una base plausible para lo que más adelante se traducirá en el secuestro y análisis de dispositivos en poder del personal de la empresa o persona investigada. Así, se destaca que el equipo de investigación deberá tomar todas las medidas necesarias para obtener, de manera segura y bien organizada, toda la documentación recolectada de agentes internos y externos, lo que pone en evidencia que un protocolo relativo a esta temática es indispensable. No puede ser de otra manera, puesto que del apartado 8.8.2 se desprende la facultad de la organización de recopilar “datos electrónicos” de aparatos resguardados o secuestrados. Esto último, parece claro, sin el consentimiento o la voluntad de quien estaba en su poder o previamente asignado.

Pero es el “Anexo A” de la ISO 37008 (Guidance on the use of this document) el que establece las posibilidades de mayor injerencia organizacional sobre bienes jurídicos. Así, por ejemplo, el apartado A.7.6.2.2 contempla la “recuperación” (por parte de la empresa) de computadoras, teléfonos móviles y otros dispositivos electrónicos que contengan datos para ser “revisados”. De hecho, en “casos de emergencia” se indica que el equipo de investigación debe recuperar inmediatamente las laptops, teléfonos móviles y otros dispositivos. Es importante destacar que aquí se hace referencia a las “subject persons”, sin que se especifique que los dispositivos “recuperados” sean sólo aquellos propiedad de la empresa. Esto se confirma cuando en el mismo apartado se habla de “some other electronic devices”, lo que a mi entender abre la puerta a la posibilidad de que la unidad de investigaciones internas pueda hacerse de dispositivos electrónicos que sean propiedad del personal de la organización^{19 [19]}.

En torno al procedimiento de “forensic data collection” (apartado A.7.6.2.4) la ISO 37008 señala -expresamente-, que el equipo de investigación deberá decidir cómo ejecutar el análisis de los datos, partiendo de las siguientes hipótesis o mecanismos -cuya capacidad de injerencia es considerable-: a) Recopilación remota de datos, para los casos en que quien tenga la computadora objeto de injerencia continúe trabajando, de tal forma que se accede al dispositivo sin que la persona lo note. b) Recopilación de datos en vivo, para los casos en que el dispositivo siga operando. En este caso se puede obtener la información de la memoria RAM, descifrar aplicaciones y passwords. c) Recopilación de datos fuera de línea, mediante la cual se obtiene una imagen completa y se resguarda la cadena de custodia. d) Recopilación de datos del correo electrónico, mediante la cual el equipo de investigación, con la ayuda de expertos, recopila una copia del correo electrónico de la organización otorgado al personal de la empresa.

Las posibilidades de injerencia en los dispositivos y el acceso a la información de éstos son, como se aprecia claramente, considerables. Pero eso no es todo. De conformidad con el apartado A.7.6.2.5. (Forensic analysis), el análisis forense puede realizarse teniendo en cuenta lo siguiente: a) el historial de acceso a la internet, b) el listado de archivos a los que se ha accedido recientemente, además de los modificados y creados. c) el historial de USB, incluyendo un listado de archivos que han sido copiados a dispositivos externos de almacenamiento. d) el historial del servidor en la nube y sus actividades. e) la recuperación de archivos eliminados f) el récord de mensajería instantánea descifrada, f) el acceso a metadatos.

Respecto a lo arriba indicado hay que coincidir con González, en el sentido de que “cuando se trata de semejantes medidas de injerencia, debe acudirse a parámetros tales como la necesidad, la proporcionalidad o la idoneidad de la medida en cuestión”^{20 [20]}. Pero ¿qué sucede en los casos límite en los que aplicar el protocolo de investigaciones internas se traduciría -debido a los tiempos y procesos protocolarios- en la lesión del bien jurídico? Piénsese en el caso 1(caso del pediatra), relativo a la recopilación de pornografía infantil generada en el hospital, o la necesidad de impedir la explotación sexual de los niños en el caso 2 (caso del child sex tour operator). Imagínese, también, que mediante una actuación -ajena al protocolo de investigaciones internas-, la organización puede detener la explotación o esclavitud de niños en la cosecha y traslado del cacao (caso 3 relativo a las chocolaterías). Estas son hipótesis que no se pueden descartar, pues como se desprende de los casos referidos, éstos son reales, no producto de la imaginación.

Efectivamente, la implementación de un protocolo de investigaciones internas es indispensable en el marco de la teoría y la práctica del criminal compliance, ya que mediante su operación no sólo puede detectarse a las personas responsables de hechos de explotación infantil, sino también obtener material sensible para soportar la acusación del Ministerio Fiscal. Piénsese, por citar un ejemplo, en el siguiente caso -relacionado con pornografía infantil de niñas y un miembro del FBI- que denominamos caso del “Polígrafo”^{21 [21]} y que pone de resalto el valor y la eficacia de las investigaciones internas:

“La oficina del inspector general del DOJ inició una investigación con base en información recibida por parte de la Dirección de Inspección del FBI, advirtiendo que un analista del área de supervisión de inteligencia del FBI admitió, en el marco de una entrevista realizada después de haber pasado por el polígrafo, haber visto y descargado pornografía infantil. Específicamente, en el marco de una acción de contrainteligencia rutinaria, los datos mostraron sobresaltos en los resultados del polígrafo, por lo que el operador de éste decidió realizar una entrevista al investigado. El entrevistado aceptó haber visitado y, sin duda alguna, haber visualizado pornografía infantil de niñas de entre 9 y 17 años. En un inicio, el entrevistado afirmó que le gustaba ver a niñas de esa edad, pero después dijo que prefería ver a aquellas niñas que empezaban a mostrar signos de maduración y entonces se masturbaba. El investigado firmó de consentimiento para que el DOJ asumiera la custodia de sus computadoras y teléfono, de donde se obtuvieron 183 imágenes que fueron etiquetadas con bandera roja”.

Las investigaciones internas son una herramienta muy poderosa frente al crimen, pero no siempre hay condiciones -ni tiempo- para enfrentarlo mediante una investigación interna. Los tres casos expuestos en los apuntes preliminares dan cuenta de ello: o se repele la agresión en el momento o el bien jurídico será lesionado. Para esos casos, como sostengo aquí, es necesario explorar la posibilidad de que la persona jurídica reaccione frente al agresor en legítima defensa. De esto me ocupo a continuación. 

IV. Legítima defensa corporativa: nota preliminar

Contrario a lo que pudiera pensarse, ya desde larga data la literatura da cuenta de casos en los que -aparentemente- se ha ejercido la defensa legítima por personas jurídicas. Me refiero a situaciones en que organizaciones buscan repeler agresiones ilegítimas en protección de sus bienes jurídicos. Los casos más antiguos de los que se tiene noticia han sido estudiados por la doctrina italiana bajo el rubro de “offendicula”-término asumido por la doctrina española^{22 [22]}-, mientras que en Alemania un par de artículos^{23 [23]}, así como una amplia bibliografía hasta la actualidad, se refiere a éstos como “Selbstschutzanlagen, Selbstshutzvorrichtungen o Selbtschutzmecanismen” -o bien, en términos de Roxin/Greco, “Selbstschutzmaßnahmen^{24 [24]} (mecanismos, instalaciones o medidas de autoprotección).

Por mecanismos de autoprotección se entiende “un medio vivo o artificial, con capacidad lesiva autónoma, implementado anticipadamente para la salvaguarda de un bien jurídico”^{25 [25]}. En esta concepción antigua de “defensa legítima” mediante mecanismos predispuestos entrarían diversos medios de autoprotección: algunos muy rústicos, como vallados electrificados colocados en las bardas perimetrales para impedir el acceso al inmueble de la empresa, autodisparadores instalados en defensa de la propiedad, pero también otros más modernos, como virus o mecanismos informáticos previamente instalados para reaccionar frente al ataque, tal y como se desprende del siguiente ejemplo:

“Key.2.Audio” es un sistema anticopia instalado en discos compactos para impedir actos de piratería. Al ser instalado en un CD el disco no puede ser leído en una PC y, al intentar realizar una copia en un aparato reproductor, causa graves daños irreparables a éste. Si el CD es introducido en un ordenador Macintosh, además de no poder ser leído, el CD no podrá ser expulsado, siendo necesario desarmar el ordenador. Las empresas como Sony Music, que protegen sus productos con este sistema, advierten en las carátulas de sus CD´S de la existencia de este sistema de protección con la siguiente leyenda: si se introduce este CD-ROM en un ordenador, puede provocar graves daños al mismo”.^{26 [26]}

A pesar de los esfuerzos de la doctrina dominante en Italia, Alemania y España^{27 [27]} para justificar las lesiones causadas por estos mecanismos de autoprotección, pronto se vio que el destino de esa postura era el fracaso. De forma resumida podemos decir que no se pudieron solventar dos grandes desafíos dogmáticos de la legítima defensa mediante este tipo de mecanismos: la eliminación del disvalor de acción y la racionalidad de la defensa^{28 [28]}.

Efectivamente, este tipo de mecanismos predispuestos por las organizaciones -como Sony Music-, son instalados previamente a la verificación de un agresión, por lo que el defensor no tiene conocimiento (elemento subjetivo de la causa de justificación) del presupuesto objetivo de la causa de licitud, es decir, la agresión, pues ésta simplemente no existe. Dicho con otras palabras: quien no conoce la agresión de que es víctima no puede “actuar en defensa” y, por lo tanto, tampoco puede “repeler” absolutamente nada, de tal forma que deja subsistente el disvalor de acción.

El segundo desafío que hizo fracasar a la doctrina mayoritaria de la “legítima defensa mediante mecanismos predispuestos de autoprotección” se deriva del primero: si no se tiene conocimiento de la agresión, entonces no se puede graduar -de conformidad con la racionalidad-, la respuesta defensiva: el vallado electrificado o el autodisparador reaccionan igual frente al potencial asaltante o secuestrador que intenta ingresar al inmueble, como frente al niño que salta la barda para rescatar su pelota.

La ubicación sistemática de los mecanismos predispuestos de autoprotección no es entonces la antijuridicidad, sino la tipicidad, con especial referencia al resultado: si éstos se instalan con base en los estándares regulatorios previamente establecidos, entonces se crea un riesgo permitido que excluye la imputación al tipo objetivo. Esto significa que ni siquiera es necesario analizar las causas de justificación.

Pero este tipo de mecanismos ha evolucionado y actualmente operan de forma diferente en la empresa. A diferencia del Key.2 Audio de nuestro ejemplo que inició operaciones en el mercado hace más de veinte años, ahora se aplican sistemas más modernos y bajo circunstancias que, en mi opinión, permiten afirmar una verdadera legítima defensa corporativa, no sólo para casos relativos a la defensa frente a ataques cibernéticos, sino también para casos como los expuestos aquí desde un principio: el caso 1 (pediatra), el caso 2 (child sex tour operator) y el caso 3 (chocolaterías).

Me refiero a lo que Broeders -y buena parte de la literatura norteamericana-, denomina ACD (Active Cyber Defense), al señalar que “el Center for Cyber and Homeland Security define la defensa activa como un espectro de medidas proactivas de seguridad ubicadas entre la tradicional defensa pasiva y la ofensiva”. Este espectro incluye interacciones técnicas entre defensor y agresor, así como operaciones que facultan a los defensores a recolectar datos de inteligencia relacionada con agentes peligrosos^{29 [29]}.

De conformidad con lo anterior -afirma Broeders-“algunas de las acciones comprendidas en ACD son las siguientes: “Botnet takedowns” que se traduce en intervenir computadoras y tomar control de servidores ajenos”; White hat ransomware que utiliza programas malignos para encriptar archivos en la computadora de un tercero que contenga información robada y contaminar su sistema”. En estos casos, se le informa a la persona afectada que ha sido intervenida por poseer información robada la cual deben regresar para que les sea permitido el acceso a sus archivos. También incluye “Rescue Missions” consistentes en el uso de técnicas de hackeo para infiltrar la red de computadoras de un agresor que ha robado información con la finalidad de impedir el acceso a la información e intentar recuperarla”^{30 [30]}.

IV.I. Algunos interrogantes

Son varios los factores que se cruzan en esta temática, por lo que quizás sea mejor plantearlos desde un inicio mediante interrogantes, y previamente a plantear una respuesta a la aplicación, o no, de una causa de justificación a favor de la organización. En primer lugar se plantea la cuestión del bien jurídico solidaridad ¿qué pasa si la persona jurídica puede intervenir para evitar la distribución del material de pornografía infantil -y así evitar mayor exposición y victimización de las niñas videograbadas en el hospital (caso1 relativo al pediatra)-, pero no lo hace inmediatamente, sino que da cause al protocolo de investigaciones internas, razón por la cual el material es exhibido y los dispositivos ocultados por el autor material?  En segundo lugar, se plantea el desafío de determinar si, ante un caso como el referido, se puede atribuir a la empresa un delito de omisión de auxilio, o incluso, un encubrimiento en caso de no actuar, pudiendo hacerlo, para evitar la lesión al bien jurídico.

En tercer lugar, se plantea la posibilidad de exigir la actuación empresarial en legítima defensa de terceros para evitar -por ejemplo- la explotación de los niños en el Hotel Ho Chi Minh (caso 2 relativo al child sex tour operator) y la violación sexual que su ingreso al inmueble supone ¿En un caso así, la organización puede omitir la actuación protocolaria y repeler la agresión contra los niños mientras al mismo tiempo, por ejemplo, priva de la libertad al cliente-explotador? ¿Se puede derivar, de casos como los descritos, un deber de enfrentar el peligro a cargo de la organización?

En los tres casos ejemplificados en el apunte preliminar se verifica una puesta en peligro directa en contra de bienes jurídicos de primer orden de la infancia, pero también se materializa su lesión: en el caso 1, relativo a pornografía infantil (caso del pediatra), se atenta en contra de la dignidad y el libre desarrollo de la personalidad de las víctimas, mientras que en el caso 2, relativo a turismo sexual con niños (caso del child sex tour operator), se vulnera la libertad sexual. Finalmente, en el caso 3, en el que se esclaviza a las infancias (caso de las chocolaterías), se lesiona también el libre desarrollo de la personalidad.

Por su parte, las causas de justificación pueden ser explicadas desde distintos enfoques, como el criminológico, el dogmático o el político-criminal. Pero independientemente del ángulo desde el cual se miren, parece claro que su edificación está dirigida, precisamente, a evitar que casos como los señalados se materialicen en el ámbito forense. De ahí que entrar al estudio de una probable actuación en legítima defensa corporativa resulte de especial interés^{31 [31]}.

IV.II Los elementos de la legítima defensa

a) La agresión

Por agresión se entiende la puesta en peligro de un bien jurídico^{32 [32]}, lo que se traduce en que no es necesario esperar a que el objeto jurídico sea lesionado para repeler el ataque, por ejemplo, esperar a que el pediatra del caso 1 distribuya el material pornográfico, o que los niños sean penetrados en el interior del hotel en el caso 2 del child sex tour operator, o bien,contemplar a la niñez explotada y esclavizada en el caso 3 de las chocolaterías. De ahí que el primer elemento de la justificante no represente un desafío mayúsculo para configurar la eximente, pues repeler una agresión significa que quien ejerce la defensa necesaria -sea una persona física o jurídica-, puede hacerlo desde que el sujeto activo inicia los actos ejecutivos tendientes a la comisión del delito y mientras el peligro perdure todavía.

Y esto es precisamente lo que sucedió en uno de los casos que nos ocupa. Si se observa con atención, aunque el resumen de los hechos redactados por el DOJ no lo señala expresamente, sí advierte que “el hospital tomó posesión (“The hospital took possession”) de dos ordenadores portátiles, dos tabletas iPad y un teléfono móvil que estaban dentro de una mochila que Aalbers llevaba consigo cuando entró en el centro”. Esto es: el hospital dispuso de la propiedad del agresor, que éste llevaba en una mochila, para después entregar esos bienes materiales a los agentes de la policía. “Tomar posesión de” o “disponer de” los dispositivos electrónicos del agresor sin su consentimiento puede constituir un delito -robo o abuso de confianza, por citar sólo dos ejemplos-, si dicha acción no está amparada por una causa excluyente del delito; -en nuestro caso-, una causa de justificación.  ¿Cómo justificar el acceso a la mochila, obtener los dispositivos y disponer de ellos entregándolos a los agentes de la policía?  ¿Cómo es que los agentes de la policía de Kansas legitimaron la ausencia de una cadena de custodia relativa a la obtención de los dispositivos? Es cierto que más tarde los investigadores obtuvieron órdenes judiciales de registro de esos dispositivos, así como de otras cámaras y dispositivos electrónicos propiedad de Aalbers y encontraron 50.000 archivos de vídeo asociados a las cámaras de vídeo ocultas utilizadas por el agresor, incluidos más de 1.000 vídeos que contenían representaciones pornográficas de las 13 víctimas infantiles, pero nada de eso incluye la obtención potencialmente ilícita de los dispositivos.

Mi parecer es que la actuación del hospital relativa a “tomar posesión” de los dispositivos sólo pudo legitimarse mediante un acto de legítima defensa (ejercida por el hospital) a favor de terceros (las niñas y niños videograbados), que recae sobre la propiedad (ordenadores, tabletas y teléfono móvil) del agresor (pediatra) y motivada por la advertencia -lanzada por los agentes de la policía que lo trasladaron al hospital-, en el sentido de quién era el paciente y los hechos de pornografía infantil que se le atribuían. Esto justificaría la ausencia de un modelo de cadena de custodia en la obtención de los dispositivos hasta el momento de su entrega a los agentes de la policía, así como la innecesaria aplicación del protocolo de investigaciones internas.

Aunque en un contexto diverso, me parece que a esa solución llegaría también Alcácer, quien deja entrever una actuación corporativa a escala de un estado de necesidad justificante: “Ese acceso podrá también ser legítimo cuando, pese a existir, por ejemplo, permiso para el uso con fines privados, resulte imprescindible la injerencia a fin de prevenir o reaccionar ante indicios de un delito. Aquí es donde entrará en juego la ponderación inherente al principio de proporcionalidad, pudiendo sacrificarse el derecho fundamental cuando estemos ante un fin legítimo -como lo es la persecución de delitos graves que puedan afectar a intereses de la empresa-, cuando la medida sea idónea para conseguir tal finalidad, cuando resulte imprescindible al no existir otras medidas menos gravosas, y cuando el grado de sacrificio del derecho sea el mínimo posible. Para que la injerencia sea legítima en estos casos, la balanza deberá caer claramente en favor de las necesidades de investigación empresarial”^{33 [33]}.

Algo similar sucedería en el caso 2, relativo a turismo sexual con niños (caso del child sex tour operator) donde para repeler la agresión en contra de los niños explotados sexualmente, el hotel Ho Chi Minh (Vietnam), donde un ciudadano norteamericano de 64 años tuvo relaciones sexuales con niños, hubiese retenido por la fuerza al agresor, salvaguardando así la integridad y libertad sexual de los niños victimizados, para después poner a disposición de las autoridades al agresor.

Finalmente, en el caso 3, en el que se esclaviza a las infancias (caso de las chocolaterías), también la persona jurídica podría actuar al amparo de una causa de justificación. Piénsese en el caso de que el socio comercial que explota a las infancias recogiendo el cacao en condiciones de esclavitud, oculta dolosamente esta información al momento de que es objeto de un due diligence por parte de Hershey´s. Ésta, sin embargo, en el marco de una visita para efectos de auditoría advierte la explotación y esclavitud de las infancias, rescata a las víctimas irrumpiendo en diversas áreas de la empresa explotadora (agresora) y da aviso a la policía. La irrupción en las diversas áreas de la organización agresora sólo puede estar justificada por legítima defensa corporativa en favor de los niños explotados, excluyendo de esta forma la necesidad de aplicar el protocolo de investigaciones internas, pues eso provocaría tolerar la explotación infantil que debe ser detenida de inmediato.

b) Real y actual

Abordo ambos elementos de forma conjunta porque separar su análisis tornaría la explicación innecesariamente compleja. Y es que una agresión es real, en primer lugar, cuando no es producto de la imaginación del defensor, pero también cuando es actual y no pasada o futura. Con otras palabras: una agresión es real y actual cuando, de no actuar, el bien jurídico sería lesionado. En términos de Fletcher, lo es cuando “The time for defense is now”^{34 [34]}. Estas circunstancias se verifican en los tres casos tomados como ejemplos desde un principio. Por un lado, en el caso 1 relativo a pornografía infantil (caso del pediatra), la agresión inicia -ciertamente- antes del momento en que el hospital “toma posesión” de los ordenadores, las tablets y el teléfono, pues la ejecución del hecho inició desde el momento en que el pediatra colocó las cámaras en el hospital, videograbó a las víctimas para más tarde resguardar el material en los dispositivos y ser trasladado al hospital por los policías, fases en las que la agresión sigue siendo actual, no sólo por la posesión del material pornográfico, sino por su potencial exhibición o envío a los consumidores. De ahí que durante todas estas fases del hecho se pueda reaccionar en defensa legítima, pues la puesta en peligro del bien jurídico sigo siendo actual^{35 [35]}.

También en el caso 2, relativo a turismo sexual con niños (caso del child sex tour operator) se verifica una agresión actual que pone en peligro la libertad sexual de los niños victimizados. Pensar en que la persona jurídica inicie una investigación interna para determinar si existe o no una acción de non compliance parece inadecuado ante la presencia del sujeto, en el lobby del hotel, que pide una habitación en compañía de niños de 8 a 12 años. Demorar una acción defensiva por parte de la organización para salvaguardar la integridad de la infancia explotada sexualmente no sólo resulta inadecuado e ineficaz, sino más bien una clara omisión de auxilio, cuando no un encubrimiento. Más claro todavía, no bastaría con “negarle el servicio” al cliente explotador. De ahí que, hasta este momento en el marco del estudio de los elementos de la eximente, la privación de la libertad del sujeto es legítima de cara a repeler la agresión real y actual que despliega en agravio de los niños explotados.

Finalmente, en el caso 3, en el que se esclaviza a las infancias (caso de las chocolaterías), donde se lesiona directamente el libre desarrollo de la personalidad, parece claro que (por lo menos hasta este momento) una actuación en legítima defensa de terceros es factible ante la agresión real y actual que se materializa en la esclavitud de la niñez, sometida a trabajos forzados para recolectar el cacao. Mi parecer es que en casos como este -recurrentes en África y Latinoamérica-, además de justificar la actuación defensiva a cargo de la organización (por lo menos hasta este momento en que se confirma la existencia de una agresión, real y actual), resulta indispensable simultáneamente operar un intenso esquema de due diligence de cara a futuras alianzas empresariales a cargo de la organización, pues la explotación humana en este contexto es mundialmente conocida^{36 [36]}. Parece que implementar investigaciones internas en esta dimensión empresarial es una desafío permanente e ineludible, si es que no se quiere formar parte de una cadena criminal de explotación de las infancias.

c) La necesidad de la defensa corporativa

La necesidad de la defensa se divide en dos dimensiones: la necesidad abstracta y la necesidad concreta. La primera se actualiza ante la presencia de una agresión real y actual, en el sentido de que “ya es procedente ejercer una defensa del bien jurídico puesto en peligro”, sea éste propio o de un tercero. Pero con eso no basta para justificar la reacción defensiva -por lo menos hasta este momento del estudio de la causa de licitud-, pues aún existe el desafío consistente en determinar cómo y en qué grado puede la persona jurídica responder en defensa legítima^{37 [37]}. Esta pregunta se responde al momento de estudiar la necesidad concreta, al afirmar que la reacción defensiva debe ser racional ¿Y qué se entiende por un defensa racional? Una defensa es racional cuando en el marco de su ejercicio se hace todo lo necesario para defender el bien jurídico de la forma menos lesiva para el agresor.

Como se observa, se trata de una fórmula dual de la racionalidad, en el marco de la cual la primera parte de ésta -hacer todo lo necesario para defender el bien jurídico-, faculta al defensor a ejercer una simple defensa de protección (Schutzwehr) hasta una defensa de reacción (Trutzwehr) cuyo efecto más contundente puede ser la muerte del agresor^{38 [38]}. Pero un resultado como este no parece necesario en el marco de los casos que nos ocupan. Así, en el caso 1, relativo a pornografía infantil (caso del pediatra), resultó una defensa perfectamente adecuada y racional -incluso requerida (geboten)^{39 [39]} si es que se quiere utilizar la regulación alemana-, “tomar posesión” o “disponer de” los dispositivos en que se resguardaban las imágenes y vídeos pornográficos de las niñas^{40 [40]} y niños victimizados, lo que se efectuó mientras se atendía al agresor al interior del hospital.

Tan adecuado parece el estándar expuesto aquí, que el ejercicio de una potencial defensa legítima organizacional en el caso 2 confirmaría la solidez de la propuesta, pues ante la presencia del agresor en el lobby del hotel -caso del child sex tour operator-, acompañado de niños de entre 8 y 12 años de edad con quienes pide una habitación para violarlos, parece del todo adecuado privarlo de la libertad, salvaguardar la integridad de las niñas y niños, mientras al mismo tiempo se da aviso a la policía para poner al agresor a disposición de la autoridad. Decantarse por una opción diversa a las aquí expuesta, afirmando, por ejemplo, que lo procedente es iniciar una investigación interna y no ejercer la defensa legítima corporativa en favor de los niños victimizados, sería insostenible y llevaría a la persona jurídica a ser imputada, en el mejor de los casos, por omisión de auxilio, y en el peor, por encubrimiento o complicidad de la violación de los niños^{41 [41]}.

En el caso 3, en el que se esclaviza a las infancias (caso de las chocolaterías), nos encontramos también ante un agresión real y actual de extrema gravedad, que exige el despliegue impostergable de una defensa necesaria. La esclavitud infantil no es un “caso de laboratorio”, sino una realidad evidenciada por el DOJ frente a la cual se puede reaccionar de diversas formas^{42 [42]}. Sin embargo, si como se expone aquí, sucediese que, en el marco de una visita a las instalaciones enmarcada en la práctica de un due diligence, se estuviese en la presencia de niñez esclavizada, nada impediría legitimar el ejercicio de una defensa racionalmente necesaria frente a la explotación humana. Por eso hay que afirmar que rescatar a los niños victimizados -irrumpiendo en diversas áreas o locales de la organización agresora-, encuadra perfectamente en la racionalidad de la legítima defensa corporativa^{43 [43]}.

Dejo hasta aquí las referencias a la legítima defensa corporativa, pues no resulta necesario continuar con el último elemento de ésta, referente a la “falta de provocación suficiente por parte del defensor”. Esto se debe a que en los tres casos expuestos estamos ante hipótesis de una legítima defensa -ejercida a favor de niños víctimas de explotación en la pornografía, el turismo sexual y la esclavitud-, donde las personas jurídicas (hospital, hotel y chocolatería) se enfrentan a agresiones desplegadas por terceros que en ningún caso fueron provocadas por las organizaciones^{44 [44]}.

V. Los criminal compliance programs como mecanismos de protección de la infancia

Implementar programas de compliance en el interior de las empresas ha sido objeto de fuertes críticas. Entre otras descalificaciones, se les atribuye el hecho de ser un muy buen negocio para las firmas de abogados que los diseñan, mientras que a éstas se les atribuye el hecho de impulsar modelos de responsabilidad penal corporativa en Iberoamérica para después ofrecer los programas de compliance como medicina. En torno a esto se puede argumentar a favor o en contra. Lo que parece difícil, sin embargo, es negar los efectos que los verdaderos criminal compliance programs tienen en relación con la protección de bienes jurídicos de las personas humanas vinculadas a la organización.

Efectivamente, ahí donde se han diseñado e implementado cuidadosamente se han podido constatar sus efectos, con especial referencia a la protección de los derechos de las personas ubicadas en categorías sospechosas. Si se observa con atención, los tres casos abordados en este breve artículo se enfocan en el binomio persona jurídica-infancia y en los mismos tres casos se ha propuesto la posibilidad de ejercer la legítima defensa corporativa frente a fenómenos de explotación infantil: pornografía, turismo sexual y esclavitud. Lo importante es determinar qué pasaría si en las tres organizaciones vinculadas con estos casos -no necesariamente como autoras o partícipes-, se hubiese implementado un programa de compliance eficaz.

Efectivamente, de haber sucedido lo antes señalado, el diagnóstico de riesgos penales del programa, sus matrices, los protocolos de actuación empresarial y el entrenamiento brindado al personal habrían evitado, desde un inicio, las acciones riesgosas de los agresores: seguramente en el hospital no se habrían podido colocar libremente cámaras para videograbar desnudas a las niñas, ni en la cosecha de cacao se habrían utilizado, explotado y esclavizado a niñas y niños como es evidente que se sigue ejecutando ahora mismo.

Una referencia especial merece el caso 2 relativo al “child sex tour operator”. Me refiero al asunto del Hotel Ho Chi Minh (Vietnam), donde según reportes del ICE un ciudadano norteamericano de 64 años sostuvo diversas relaciones sexuales con niños de entre 11 y 12 años. Frente a casos como este -por poner sólo un ejemplo-, el Gobierno de la Ciudad de México reformó la Ley de Turismo para contribuir a la prevención y persecución de la explotación sexual infantil en la industria hotelera. Esto, de conformidad con el artículo 60 bis que ahora establece^{45 [45]}:

Artículo 60 Bis. Todos los prestadores de servicios que brinden el servicio de hospedaje y estancia temporal, además de las obligaciones establecidas en la presente ley, deberán implementar medidas de seguridad para la protección de niñas, niños y adolescentes, previa prestación del servicio. Para tal efecto, deberán al menos, realizar lo siguiente:
 
I. Solicitar la exhibición de credencial de elector o de cualquier otro documento oficial que demuestre la mayoría de edad;
 
II. Autorizar el ingreso de niñas, niños y adolescentes a las habitaciones o inmuebles de uso habitacional destinado a la prestación del servicio de hospedaje o estancia turística eventual, exclusivamente en compañía de quien acredite mediante documento idóneo tener parentesco, o ser quien ejerza la patria potestad, tutela o guarda y custodia; y
 
III. Notificar a las autoridades correspondientes, en caso de advertir la posible comisión de un delito.

Esto no significa un paso agigantado contra la explotación de la infancia, pero hay que aceptar que un criminal compliance program implementado eficazmente en el interior de un hotel en la Ciudad de México, tomaría esta política y la haría evidente, clara y pública, de tal forma que inhibiría el uso de sus instalaciones por parte de clientes explotadores de la infancia. Si esto fuese así, entonces la postura defendida en este artículo relativa al ejercicio de la legítima defensa empresarial tampoco sería necesaria: el hotel dejaría claro que de ninguna manera permitiría ser instrumentalizado para la explotación sexual de la infancia.

Por último, en relación con el caso 3 (caso de las chocolaterías), conforme al cual hay evidencia que niñas y niños de entre 5 y 15 años son sometidos a explotación en el trabajo forzado y condiciones similares a la esclavitud en Ecuador, Brasil e Indonesia, no sólo debo reiterar lo dicho en relación con la protección de las infancias frente a la explotación sexual -en el sentido de que el criminal compliance program funge como mecanismo de protección de la niñez-. Además, y aquí en armonía con Santacruz Larrea^{46 [46]}, sostengo que los compliance programs son un derecho de los trabajadores.

VI. Bibliografía

Alcácer Guirao, Rafael; “Dimensiones constitucionales de las investigaciones internas corporativas: expectativas de privacidad en la empresa e ilicitud de la prueba obtenida por particulares”; REDEPEC (Revista de Derecho Penal Económico y Compliance), Volumen No. 4, junio 2024.

Ann Drobac, Jennifer; Sexual Exploitation of Teenagers; The University of Chicago Press, USA, 2016.

Ballesteros Sánchez, Julio; “Responsabilidad penal y eficacia de los programas de cumplimiento normativo en la pequeña y gran empresa”; Tirant lo Blanch, México, 2021.

Broeders, Dennis; Private Active Cyber Defense and (international) Cyber Security -pushing the line?; Journal of Cybersecurity, 2021.

Carranza Figón, Luis: “Crimen organizado empresarial: indispensable cambio del sujeto de derecho; https://dialnet.unirioja.es/servlet/articulo?codigo=8905336 ^[48]

Cuerda Riezu; José Antonio/ Tenorio Sánchez, Pedro; “La problemática jurídico-penal de los offendicula”, en Revista de la Facultad de Derecho de la Universidad Complutense de Madrid; 1974.

Engle Merry, Sally; “The Seductions of Quantification. Measuring Human Rights, Gender Violence, and Sex Trafficking”; the University of Chicago Press, USA, 2016.

Feijoo Sánchez; Bernardo; Cuestiones Actuales de Derecho Penal Económico; Editorial BdeF; Buenos Aires, 2009.

Fletcher, George, “Domination in The Theory of Justification of Excuse”; en University of Pittsburgh Law Review; No. 57, 1996.

Gilmartin, Pat; Rape, Incest and Child Sexual Abuse. Consequences and Recovery. Library of Congress Cataloging-in-Publication Data; DC, 1994.

Goger, Thomas; “Missbrauchs Darstellungen un Sexueller Missbrauch im Netz; en; Peters, Kristina; “Cyberkriminalität: Aktuelle Herausforderung für Polizei, Staatsanwaltshaften, Gerichte und Wisenschaft; LMU-Múnich; 2022.

Gómez-Jara Díez, Carlos; Feijoo Sánchez, Bernardo y Tejada Plana, Daniel; “La irrupción de la inteligencia artificial en las Guidelines de compliance del departamento de justicia americano”; REDEPEC (, Volumen N°5, diciembre 2024.

González Uriel, Daniel; “Las investigaciones internas y la responsabilidad penal de las personas jurídicas: aspectos teóricos y consecuencias prácticas”; REDEPEC (Revista Electrónica de Responsabilidad Penal de Personas Jurídicas y Compliance); Volumen número 4, 2023.

Grosso, Carlo Federico; “Difesa legittima e stato di Necessitá”, Universitá Degli Studi Di Urbino, Facoltá di Giurisprudenza; Dott. A., Giuffré-Editore, Milán, 1964.

Heinrich, Manfred; “Die Verwendung von Selbstschutzanlagen im Lichte des Strafrechts; Zis-online, 2010; https://zis-online.com/dat/artikel/2010_3_424.pdf ^[49]

Hoffman Wyatt/Levite Ariel: “Rethinking Corporate Active Cyber Defense”; Lawfare; 2017.

Jakobs, Günther; Derecho Penal. Parte General. Fundamentos y teoría de la imputación. Traducción de Joaquín Cuello Contreras y José Luis Serrano González de Murillo, 2ª edición, corregida, Marcial Pons, Madrid, 1997.

Jiménez de Asúa, Luis; Tratado de Derecho Penal, T IV, 3ª edición, Losada, Buenos Aires, 1961, p. 244.

“Kinderarbeit und Sklaverei im Kakaoanbau” emitido por el “Menschensrechtrat” de Model United Nations Baden-Würtemberg,; https://guide.dmun.de/content/files/2025/02/BW25_MRR_1_Kinderarbeit-im-Kakaoanbau.pdf ^[50]

Kindhäuser, Urs/Zimmerman, Till; Derecho Penal. Parte General. Traducción de Italo Reyes Romero y Lucía Solavagione; Tirant lo Blanch, Valencia, 2024.

Kleemans R. Edward / Smit, Monika; Human Smuggling, Human Trafficking, and Exploitation in the Sex Industry; en; Paoli, Letizia; The Oxford Handbook of Organized Crime; Oxford University Press, NY, 2014.

Mañalich R, Juan Pablo; “La responsabilidad penal de las entidades corporativas. Una defensa filosófica del modelo de la culpabilidad por el carácter”; REDEPEC (Revista Electrónica de Derecho Penal Económico y Compliance), Volumen N° 5, diciembre 2024.

Miller C. Joseph; Domiciled and Dominated; en; Campbell, Gwyn, Miers, Suzanne y Miller, Joseph; Women and Slavery. The Modern Atlantic, Volume Two; Ohio University Press, Ohio, 2008.

Milller Sommerville; Diane; “I was very much wounded”. Rape Law, Children, and the Antebellum South; en, Smith; D. Merril; Sex Without Consent. Rape and Sexual Coercion in America; New York, University Press; 2001.

Mokhiber, Russell/Weissman, Robert; Corporate Predators. The Hunt for mega-Profits and the Attack on Democracy; Common Courage Press; Monroe, Maine, USA, 1955, p. 184.

Ontiveros Alonso, Miguel; “Die freie Entfaltung der Persönlichkeit. Ein würdevolles Rechtsgut in einem Rechtsstaat, p. (.); en; Strafrecht als Scientia Universalis; Festschrift für Claus Roxin zum 80 Geburtstag; Manfred Heinrich/Christian Jäger/Hans Achenbach/Knut Amelung/Wilfried Bottke/Bernard Haffke/Bernd Schünemann/Jügen Wolter (coordinadores); De Gruyter; Berlín, 2011.

Ontiveros Alonso, Miguel; Legítima defensa e imputación objetiva (especial referencia a los mecanismos predispuestos de autoprotección); Ubijus, México, 2019.

Rafferty, Yvonne; “Ending Child Trafficking as a Human Rights Priority: Applying the Spectrum of Prevention as a Conceptual Framework”; Sigal, Janet A/Denmark, Florence A; Violence Against Girls and Women -International Perspectives-; Vol 1; Santa Barbara, California, 2013.

Revello, Adam J; The Trafficking Victims Protection Reauthorization Act (TVPRA) and Civil Liability for Forced Labor in Global Supply Chains”; New York University Law Review; Diciembre, 2024.

Robles Planas, Ricardo; “Legítima defensa, empresa y patrimonio”; Polit. Crim. Vol. 11, N° 22 (Diciembre 2016), Art. 11.

Rotering; “Über die Verantwortlichkeit durch Aufstellungvon Schutzmaßregeln”, en, Goltdammer´s Archiv für Strafrecht; Bd. XXX, 1882.

Roxin, Claus/Greco, Luís; Strafrecht. Allegemeiner Teil, Band I. Grundlagen. Der Aufbau der Verbrechenslehre; 5ª edición; Beck, Múnich, 2020.

Santacruz Larrea, Eduardo; Compliance programs: un derecho de los trabajadores; Criminalia, Vol. 91, Núm 2, 2024; online: https://www.criminalia.com.mx/index.php/revista/article/view/232 ^[47]

Schoults/Flyghed; “From we Didn´t Do it to “We´ve Learned Our Lesson: Development of a Typology  of Neutralizations of Corporate Crime; en; Critical Criminology (2020), Springer.

Silva Sánchez, Jesús-María; Derecho Penal. Parte General; Aranzadi La Ley, S.A.U., Madrid, 2025.

Sommerlad; “Über die Ausübung des Notwehrrechts durch Veranstaltung von Schutzvorrichtungen”; en, Der Gerichtsaal, Bd. XXXIX, 1887.

von Rooij, Benjamin/Sokol, Daniel; “The Cambridge Handbook of Compliance”; Cambridge University Press, Mayo, 2021.

Wagner en; “The Corporate Right to Bear Arms”; en, William & Mary Business Law Review, Volumen 15 (2023-2024), fascículo 2, artículo 4.

Welzel, Hans; Derecho Penal Alemán; Traducción de la 11ª edición a cargo de Juan Bustos Ramírez y Sergio Yáñez Pérez, Editorial Jurídica de Chile, Santiago, 1976.

Wood, James M y AA.VV; Child Sexual Abuse Investigations. Lessons Learned from the McMartin and other Daycare Cases; Bottom´s Bette L; Najdowski, Cynthia J; Goodman Gail, S; Children as Victims, Witnesses, And Offenders; Psychological Science and The Law; The Gilford Press, NY, NY, 2009.