jueves, 26 de enero de 2017

Compliance en la persona jurídica y las tres líneas de defensa


Resumen: La función de Compliance  en las organizaciones no vive aislada de las áreas de negocio, como encerrada dentro de una burbuja, ni asume toda la responsabilidad de cumplimiento de la persona jurídica. Veremos en este artículo el modo de poner orden a estas ideas. Todo lo aquí indicado es aplicable a cualquier área de práctica, basada en el riesgo, como puede ser la seguridad de la información.


 
Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

26 de enero de 2017




Índice

1. ESTRUCTURA DE RIESGO Y CONTROL
2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA
2.1 Primera línea de defensa. Áreas de negocio
2.2 Segunda línea de defensa. Compliance
2.3 Tercera línea de defensa. Auditoría interna
2.4 Cuarta línea de defensa
3. RELACIONES O INTERFACES ENTRE LÍNEAS
4. PRÁCTICAS RECOMENDADAS
5. TABLA RESUMEN
6. BIBLIOGRAFÍA CONSULTADA
7. CONTROL DE CAMBIOS DEL ARTÍCULO
8. DERECHOS DE AUTOR



1. ESTRUCTURA DE RIESGO Y CONTROL

Como dice el Instituto de Auditores Internos (IIA -por sus siglas en inglés-) [1], en cualquier organización  hay diversos roles colaborando en la gestión del riesgo  y el control interno, en diferentes ámbitos empresariales. Cada uno de estos roles, en su especialidad, tiene una perspectiva única y habilidades específicas que pueden ser relevantes para la organización, pero las responsabilidades están cada vez más distribuidas en múltiples áreas funcionales y divisiones, lo que puede provocar solapamientos, o lo que es peor, zonas oscuras.

En consecuencia, deben coordinarse y distribuirse estos roles de manera  que se logre una cobertura homogénea, sin brechas ni solapamientos, en sus funciones y ámbitos de responsabilidad. Es importante disponer de una parcela de responsabilidad clara para que puedan encajar  los diferentes roles en la estructura general de gestión del riesgo y control de la organización.



2. EL MODELO DE LAS TRES LÍNEAS DE DEFENSA

Agrupando esta estructura de gestión del riesgo y control, en base al modelo de las tres líneas de defensa, se obtiene una manera simple y efectiva de mejorar el conjunto, al quedar explícitamente determinadas las funciones y responsabilidades esenciales de cada línea.



En base al principio de segregación de funciones, se define la incompatibilidad de que un mismo rol pueda pertenecer simultáneamente a más de una línea.

El modelo de las Tres Líneas de Defensa, como su nombre indica,  distingue tres líneas, o agrupaciones funcionales, de gestión del riesgo y control:
  • Línea 1: Las propias áreas de negocio, entendidas como la gestión operativa de la empresa. Es dónde se encuentran los propietarios de los riesgos.
  • Línea 2: La función de Compliance, y otras funciones de control, inspección y cumplimiento, que supervisan los riesgos.
  • Línea 3: La función de auditoría interna, que proporciona verificación y aseguramiento independiente.

 

2.1 Primera línea de defensa. Áreas de negocio

La primera línea de defensa está formada por las diferentes áreas operativas o de negocio. Son los Directores de éstas los encargados, directamente o delegando, de colaborar en la apreciación de los riesgos (identificación, análisis y evaluación –Vid. ISO 31000:2009- ). En consecuencia serán habitualmente propietarios de esos riesgos y se responsabilizarán de la correcta implantación de los controles o acciones de tratamiento que se hayan podido determinar.

Debe matizarse que su función no es identificar esos riesgos unilateralmente, sino en colaboración con la segunda línea de defensa, que dispone de mayores conocimientos técnicos respecto a los posibles riesgos que puedan afectar a la organización, aunque a menudo en abstracto, concretándolos en la realidad y determinando los controles adecuados de mitigación, caso de ser necesario, conjuntamente.

La dirección velará permanentemente para que se continúen aplicando  sin fisuras esos controles, o acciones de tratamiento, que se hayan podido determinar. A su vez, se responsabilizará de la implantación de posibles acciones correctivas, a partir de interacciones con las otras dos líneas de defensa, respecto a la modificación de los procedimientos operativos y controles existentes o la creación de nuevos.

En otras palabras, la dirección de las áreas operativas es responsable de mantener un control interno efectivo en su área de competencia,  velando  para que se ejecuten los procedimientos de control sobre los riesgos que puedan estar presentes en su día a día.

La dirección de área operativa y sus empleados, especialmente el Front-Office, serán el frente de guerra con el riesgo, las trincheras, la primera línea de defensa.

2.2 Segunda línea de defensa. Compliance

Se trata de la función de Compliance, que puede constituirse como un único órgano consolidado de todas las posibilidades de cumplimiento y control de la organización o repartirse áreas de especialización según los riesgos (penales, PRL, de calidad, ambientales, de PBCyFT para sujetos obligados, etc.).

Su función principal es supervisar los diferentes riesgos, ya sean éstos transversales a la organización o específicos de las áreas operativas, y el desempeño de los controles implantados, reportándolo a la Alta Dirección o a los órganos de Gobierno Corporativo.

También asiste a las áreas operativas, colaborando con ellas en la apreciación del riesgo, en la definición de la exposición tolerable al mismo (apetito de riesgo) y en la determinación de controles adecuados para mitigar esos riesgos. Evidentemente supervisará el desempeño de esos controles.   

Es importante recalcar la función de formación y concienciación a las áreas operativas respecto a los posibles riesgos identificados o coordinados desde la segunda línea y respecto a cumplimiento.

La segunda línea debe reportar al más alto nivel en la organización, para preservar su independencia. Debe tener un canal directo con los órganos de gobierno corporativo.

2.3 Tercera línea de defensa. Auditoría interna

La auditoría interna proporciona garantía sobre la eficacia y eficiencia de la gestión de riesgos y los controles internos, incluyendo la manera en que las dos primeras líneas de defensa logran sus objetivos.

No debe sorprender que la tercera línea de defensa audite a la función de Compliance de la segunda línea, ya que ésta no debe considerarse custodia del Santo Grial. Es necesario auditar de forma independiente al propio modelo de prevención implantado en la organización. Si se basa en la norma ISO 19600:2014, recordaré que en su apartado 9.2 “Auditoría interna” se señala: “La organización debería llevar a cabo auditorías internas a intervalos planificados para proporcionar información acerca de si el Sistema de Gestión de Compliance:
a) Cumple los requisitos propios de la organización para su Sistema de Gestión de Compliance y los requisitos de esta norma internacional.
b) Se implementa y mantiene eficazmente.
Se pueden realizar auditorías adicionales en caso de que sea necesario”.

Pongo de manifiesto que la tercera línea es la que tiene una menor capacidad de reacción, ya que habitualmente la función de auditoría interna audita una única vez al año, salvo que haya habido cambios sustanciales en la organización.

Al igual que la segunda línea, debe reportar a alto nivel para ser capaz de desempeñar sus funciones de manera independiente. Debe tener un canal directo con los órganos de gobierno corporativo.

2.4 Cuarta línea de defensa

Si bien no cabe hablar de una cuarta línea en el modelo de las tres líneas de defensa, sí que puede llegar a darse.

En última instancia, siempre están los Reguladores y las Autoridades de Control con capacidad de supervisión, y la propia Administración de Justicia, erigiéndose como cuarta línea de defensa, no de la propia organización en este caso, sino de la sociedad en general.


No obstante, debe tenerse en cuenta que existe la función de auditoría externa (o de tercera parte), que no está bajo el control de la organización y deberíamos considerarla cuarta línea de defensa. En el mundo de las normas ISO, interviene cuando se desea certificar el Sistema de Gestión por una entidad independiente acreditada para ello. En este sentido recordaré que no todas las normas ISO son certificables. Habitualmente lo son aquellas que terminan en “1”, por lo que, referido al Compliance,  la norma ISO 19600:2014 “Sistemas de Gestión de Compliance” no es certificable, pero la futura UNE 19601:2017 “Sistemas de Gestión de Compliance Penal”, sí que lo será.

3. RELACIONES O INTERFACES ENTRE LÍNEAS

Los que actuamos como Experto Externo para auditar sujetos obligados por la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, conocemos las recomendaciones del SEPBLAC [2] sobre las medidas de control interno,  dónde se apunta a que la función de Compliance no debe aislarse de las áreas operativas aunque, en este caso, con alcance circunscrito a la PBCyFT.

En la página 5 del documento señala:  Es importante tener claro que la prevención, al igual que otras obligaciones relacionadas con la clientela, no es algo que sea tarea exclusiva de las unidades técnicas de prevención, sino que es una función consustancial a las unidades comerciales, a las redes de negocio (minorista, corporativa, banca privada, banca de negocios, etc.) o a las distintas líneas de actividad, porque son las áreas de negocio las que se relacionan con los clientes, y las que aplican las medidas de diligencia debida con ellos, por lo que deben implicarse muy activamente en la función de prevención. El primer filtro del sistema de prevención del sujeto obligado se sitúa en el establecimiento de la relación con los clientes y esa relación es responsabilidad de las unidades de negocio que actúan como primera línea de defensa ante el BC/FT”.

Tras esta ratificación de conceptos, sigue diciendo: Los sujetos obligados tendrán que establecer un cauce o procedimiento ágil de retroalimentación, comunicación o “feed-back” entre sus órganos de prevención y las unidades de negocio, en relación con aquellos riesgos en los que puedan estar incurriendo en función de la actividad desarrollada, estableciendo asimismo las medidas necesarias para mitigarlos”.

Con esto está abriendo una interfaz bidireccional entre la primera y la segunda líneas de defensa.

Entre la tercera u las otras dos, también está clara la relación, ya que la función de auditoría recibe información al auditarlas y luego les notifica los hallazgos mediante el correspondiente Informe de Auditoría. A su vez ambas líneas auditadas elaborarán un Plan de Acciones Correctivas (PAC) que facilitarán a la tercera línea.

4. PRÁCTICAS RECOMENDADAS

Basándonos en las apreciaciones del Instituto de Auditores Internos (IIA) [1], desde una perspectiva general deben considerarse las siguientes recomendaciones:
  • 3 líneas de defensa: Los procesos de riesgo y control deben ser estructurados de acuerdo con el Modelo de las Tres Líneas de Defensa.
  • Mantener la estructura: Las líneas de defensa, pese a existir interfaces entre ellas, no deberían mezclarse de forma que pueda verse comprometida su independencia.
  • Definición de políticas: Cada línea de defensa debería apoyarse en procedimientos y políticas específicas.
  • Roles: Deberán definirse claramente las funciones de los roles relevantes para cada línea.
  • Coordinación: Debe existir una adecuada coordinación entre las distintas líneas de defensa, compartiendo conocimiento, para fomentar la eficacia y la eficiencia y tender hacia un mejor cumplimiento.
  • Si se mezclan líneas: Aunque debe evitarse, en las situaciones en que las funciones de las diferentes líneas se mezclen, los Órganos de Gobierno deben ser informados de la débil estructura y su impacto. La Alta Dirección y/o los Órganos de Gobierno deberán explicar y dar a conocer a las partes interesadas porqué han considerado esa estructura como suficiente para el aseguramiento de la eficacia del gobierno de la organización y de la gestión del riesgo y control interno.

5. TABLA RESUMEN

Sin que pretenda ser una lista exhaustiva, se puede considerar las siguientes responsabilidades de cumplimiento para cada una de las tres líneas de defensa:

Responsabilidades de cumplimiento de cada línea de defensa
1ª Línea
2ª Línea
3ª Línea
§  Identificar y Evaluar los riesgos de las diferentes operaciones en su área de negocio.
§  Controlar y mitigar los riesgos de sus operaciones.
§  Implementar y adaptar los controles, manteniendo su eficacia en el tiempo.
§  Asegurar el cumplimiento de las normas internas y legislación aplicable a sus operaciones.
§  Ejecutar análisis y evaluaciones de los riesgos de los que son propietarios.
§  Implementar procedimientos que le permitan cumplir las normas de Compliance que le afecten.
§  Informar a la segunda línea las variaciones en el riesgo o en las circunstancias de control.
§  Elaborar el marco para la gestión del riesgo en la organización.
§   Promover y ayudar en la gestión del riesgo de toda la organización.
§  Verificar que las acciones para mitigar los riesgos se apliquen con eficacia.
§  Asesorar a los propietarios de los riesgos a definir el apetito de riesgo en las operaciones.
§  Ayudar a crear los controles de la primera línea de defensa.
§  Monitorizar los controles de gestión operativa.
§  Asegurar que la primera línea de defensa está bien diseñada e implantada, y que su desempeño es el adecuado.
§  Gestionar de manera especializada los riesgos transversales de la organización.
§  Monitorear la implementación de los controles para tratamiento de los riesgos transversales.
§  Otras funciones según el alcance definido (Compliance Penal, PRL, Privacidad…)
§  Colaborar a asegurar el gobierno corporativo, la gestión del riesgo y el control interno.
§  Evaluar la forma en que la primera y segunda línea de defensa operan.
§  Informar a la primera y segunda  líneas del resultado de las evaluaciones.
§  Asegurar que se estén cubriendo adecuadamente las responsabilidades de la primera y segunda línea de defensa.
§  Revisar la gestión de los riesgos más relevantes de la organización.
§  Asesorar a los órganos de gobierno de la organización respecto la gestión de los riesgos.
§  Revisar el Plan de Acciones Correctivas (PAC) aportado por los auditados.



6. BIBLIOGRAFÍA CONSULTADA

- [1] Instituto de Auditores Internos (IIA). “Las tres líneas de defensa para una efectiva gestión de riesgos y control”. Enero de 2013.


- [2] SEPBLAC. “Recomendaciones sobre las medidas de control interno para la prevención del blanqueo de capitales y de la financiación del terrorismo”. 4 de abril de 2013.




7. CONTROL DE CAMBIOS DEL ARTÍCULO

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
26/01/2017
Redacción inicial del artículo
Autor


















8. DERECHOS DE AUTOR

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog. Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.





domingo, 1 de enero de 2017

El Derecho procesal penal, los artículos 31 CP - 31 bis CP y el Administrador de la PJ


Resumen: La STS 4728/2016, de 3 de noviembre, obliga a perfilar aspectos muy interesantes respecto al tratamiento procesal que debe darse a la conjunción de los artículos 31 CP y 31 bis CP, lo que en su día decidí designar como “El triángulo de responsabilidad penal en la persona jurídica” a modo de introducción didáctica. La sentencia obliga a repasar diferentes principios del Derecho, especialmente el principio acusatorio y el principio non bis in ídem.  Este último ya se trató en la STS 3322/2010, de 30 de junio. Estamos viviendo el inicio de la jurisprudencia en España respecto a RPPJ, lo que provoca ir adaptando las interpretaciones sentencia a sentencia.

Autor del artículo
Colaboración
José Luis Colom Planas

Actualizado

1 de enero de 2017


Índice
1. Introducción
2. Diferentes principios a tener en cuenta
2.1 El principio de non bis in idem
2.2 El principio acusatorio
3. El triángulo de responsabilidad penal en la persona jurídica
3.1 El Administrador y la teoría del delito
3.2 El Administrador y el principio acusatorio
3.3 El Administrador y el principio ‘non bis in idem’
3.4 La imputación automática del Administrador
4. Conclusiones
5. Bibliografía consultada
6. Control de cambios del artículo
7. Derechos de autor

1. Introducción

Recordaré que el artículo 31 bis de nuestro vigente Código Penal distingue dos vías claramente diferenciadas para transferir responsabilidad penal a la persona jurídica (en adelante RPPJ):





  • Por un lado, se parte de los delitos cometidos en nombre o por cuenta de la PJ, y en su beneficio directo o indirecto, por sus representantes legales o por quienes estén autorizados para tomar decisiones en nombre de la persona jurídica u ostenten facultades de organización y control dentro de la misma. Entre estos se encuentra el Administrador de la sociedad.
  • Por otro, se parte de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de la PJ, por quienes, estando sometidos a la autoridad de las PF mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad.

En este artículo estudiaremos ambos casos centrándonos en analizar qué le puede ocurrir, en lo sustantivo y en lo adjetivo, a la figura del Administrador, incluso cuando éste es también el Representante legal de la PJ.


2. Diferentes principios a tener en cuenta

De los muchos principios que intervienen en Derecho penal, repasaré dos de ellos por ser determinantes en este estudio.

2.1 El principio de non bis in idem

El principio general del Derecho non bis in ídem implica una doble interpretación, según adoptemos un punto de vista material o procesal. [3]:
  • Desde el punto de vista material, se interpreta como la prohibición de que ante un sujeto que haya cometido un acto delictivo, éste resulte sancionado más de una vez por el mismo hecho. Puede llegar a entenderse como un concurso aparente de normas penales que impide se imponga duplicidad de sanciones en los casos en que concurra identidad de sujeto, hecho y fundamento. Esto es válido incluso aunando sanciones de dos jurisdicciones diferentes, como pueden ser la penal y la administrativa.
  • Desde el punto de vista procesal cabe interpretarlo como la prohibición de iniciar un  nuevo proceso contra el mismo sujeto y por la misma cosa juzgada, tras una sentencia, ya sea esta absolutoria o condenatoria. De forma todavía más restrictiva, como que un mismo hecho no pueda ser objeto de dos procesos distintos, impidiendo la dualidad de procedimientos, como pueden ser administrativo y penal. Por esta razón, cuando se abre un proceso penal, como última ratio que es, se detiene el administrativo hasta que el penal no se resuelva (Vid. Art. 10.2 LOPJ). Este último aspecto del principio de non bis in ídem se recoge en la doctrina del Tribunal Europeo de Derechos Humanos (TEDH) impidiendo, como regla general, que un mismo hecho delictivo sea susceptible de ser sancionado administrativa y penalmente. [4] Además, el 28 de septiembre de  2009 España ratificó el Protocolo 7 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de Estrasburgo (CEDH), cuyo artículo 4.1 dispone: “Nadie podrá ser inculpado o sancionado penalmente por un órgano jurisdiccional del mismo Estado, por una infracción de la que ya hubiere sido anteriormente absuelto o condenado en virtud de sentencia definitiva conforme a la ley y al procedimiento penal de ese Estado”.

Aprovecharé para justificar en este principio del Derecho la redacción del nuevo artículo 31 ter 1 CP en la reforma del año 2015. Dicho artículo señala “(…) Cuando como consecuencia de los mismos hechos se impusiere a ambas [PJ y PF] la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos”.

Queda claro que la sanción económica puede llegar a afectar dos veces a la Persona Física (PF), como es el caso de sociedades de carácter unipersonal, [5] por lo que el art. 31 ter 1 CP viene a evitar el incumplimiento del principio de non bis in ídem en estos supuestos.

2.2 El principio acusatorio

El llamado principio acusatorio supone la existencia de una serie de factores limitadores y garantistas que la jurisprudencia constitucional recoge basándose en el derecho de todo sujeto a un proceso justo y a su defensa en él.

Entre esos factores cabe citar: que exista una vinculación entre la sentencia de un tribunal y la petición punitiva reclamada por la acusación en base a los hechos; que no pueda agravarse la pena por un tribunal de apelación cuando sea únicamente el encausado quien recurra; etc.

Otra de esas garantías, en que apoyaré los planteamientos de este artículo, es la que impide la condena de una persona sin haber sido formalmente acusada.

3. El triángulo de responsabilidad penal en la persona jurídica

En un artículo anterior, publicado el 1 de septiembre de 2016, ya introduje el concepto que se me dio por designar como “el triángulo de responsabilidad penal en la persona jurídica”.  [2]

En síntesis pretende demostrar, de forma didáctica, una relación transitiva entre el delito cometido por la PF, la consecuente transferencia de responsabilidad penal a la PJ y cómo ésta provoca que el Administrador también sea penalmente responsable como si hubiera sido sujeto activo del delito. Veremos más adelante como este planteamiento no es automático, está sometido a matizaciones y a su vez modulado por los principios del Derecho a que me he referido anteriormente.

Mientras que el artículo 31 bis CP es conocido, y está muy manido a nivel de literatura jurídica, el artículo 31 CP no lo está tanto,  por lo que voy a refrescarlo aquí. Señala: “El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se den en la entidad o persona en cuyo nombre o representación obre”.

Recordaré que se entiende por Administrador a aquel sujeto que, desde las esferas más altas de la organización, dirige o gestiona la actividad empresarial. Digamos que tiene implícitas las competencias de dirección y control de las actividades de la organización. Lo mismo cabría decir del Representante de la organización matizando, sin embargo, que el Administrador focaliza en la gestión interna y el Representante en la externa o de representación y que, habitualmente, suelen coincidir en la misma PF.

3.1 El Administrador y la teoría del delito

Por delito común se entiende aquel que puede ser realizado por cualquier persona, sin exigírsele ninguna condición natural o jurídica al presunto autor, mientras que por delito especial se entiende aquel que solo puede ser realizado por algunas personas en particular, exigiéndose en este caso al sujeto determinada condición natural o jurídica.

Entre los delitos especiales puede distinguirse, a su vez, entre delitos especiales propios, que son aquellos que sólo se han previsto para sujetos cualificados y no pueden existir al margen de éstos, y delitos especiales impropios, que son aquellos que, junto a una modalidad para sujetos cualificados, admiten otra para sujetos que no lo son.

Para aclarar conceptos, si nos referimos a la conducta delictiva de hurto (Art. 234 CP), nos encontramos ante un delito común ya que puede ser realizado por cualquier persona. Sin embargo, la conducta delictiva de malversación de caudales públicos  (art. 432 CP), que únicamente puede ser realizada por autoridades o funcionarios públicos, coincidirá en algunos casos con la de hurto si dicha malversación es en beneficio propio.

El Administrador es la figura que adquiere mayor relevancia en el ámbito de la criminalidad en las organizaciones. No obstante, en el marco de los delitos comunes, únicamente cabe imputar responsabilidad penal a los Administradores de la empresa que hayan intervenido, directa o indirectamente, en la realización del hecho delictivo, no siendo necesario ni posible recurrir al art. 31 CP, reservado para los delitos especiales. Luego en este tipo de delitos comunes la atribución de responsabilidad penal al administrador no es automática sino que está regida por las reglas generales de imputación de responsabilidad penal, siendo en este caso irrelevante su estatus de Administrador.

La STS 1828/2002, de 25 de octubre, [8] en el fundamento jurídico 2º señala: “El art. 31 CP establece las condiciones de la responsabilidad de los órganos o representantes de las personas físicas o jurídicas en los delitos especiales propios, pero no cumple función alguna en el resto de delitos en los que el sujeto no cualificado puede ser autor por sí mismo: "la aplicación de este precepto requiere que el tipo penal subsumible a los hechos prevea en su redacción típica la concurrencia de unos elementos especiales de autoría" (STS de 23 de enero de 2001; cfr. STS de 18 de diciembre de 2000)”.

Luego únicamente recurriremos al art. 31 CP, para que el Administrador sea penalmente responsable, en los delitos especiales propios, pero no en los delitos comunes o especiales impropios.

En los delitos especiales, el elenco de posibles autores queda delimitado por el propio Código Penal. Es decir, únicamente los sujetos cualificados que reúnan las condiciones exigidas por determinado tipo penal, podrán ser considerados autores. Así, si consideramos un delito de falseamiento de cuentas anuales o incluso que afectara a la propia PJ sin identificarse a ninguna PF materialmente autora, como sería el delito contra el medio ambiente, siempre que se establezca su intervención material en el hecho, incluso por omisión del deber de garante o control, se podría aplicar el art. 31 CP.

3.2 El Administrador y el principio acusatorio

Pese a la claridad de lo dispuesto por el art. 31 CP cuando se trata de un delito especial propio, veremos a partir del análisis de la STS 4728/2016 [1], de 3 de noviembre, que al señalarse “responderá personalmente” no se está refiriendo a una aplicación automática del precepto y deberá ser ésta siempre demandada. Concretamente, señala la sentencia en su fundamento jurídico segundo:

“1. Una persona que actúa en la condición de imputado (ahora investigado) como representante legal de la sociedad querellada no puede ser condenada con carácter individual.

2. El art. 31 CP determina expresamente la responsabilidad penal del administrador. Aunque no se haya derogado la posibilidad de que un administrador pueda actuar como persona física, ello ha de quedar delimitado en todo momento conceptualmente.

El principio acusatorio impide la condena de una persona sin haber sido formalmente acusada, como es el caso”.

En otras palabras, viene a decir que si no se indica lo contrario, en base al principio acusatorio, la Sala interpreta que el Administrador únicamente actúa en calidad de legal representante de la PJ encausada. En consecuencia, para que le sean de aplicación los efectos del referido artículo 31 CP debe demandarse de inicio por parte de la acusación particular, de existir, o del Ministerio Fiscal.

3.3 El Administrador y el principio ‘non bis in idem’

En el supuesto de que la PF que ha cometido el delito que ha ocasionado RPPJ haya sido el propio Administrador, podría llegar a plantearse un caso con dos vías de punibilidad, si no fuera por la modulación que estamos viendo en la aplicabilidad del artículo 31 CP:
  • Por un lado la responsabilidad penal derivada del hecho propio, motivada por la conducta delictiva del propio sujeto.
  • Por otro, cabría estudiar la responsabilidad derivada a través del artículo 31 CP, por el hecho de ser responsable la PJ a la que administra en base al artículo 31 bis CP, con todas las matizaciones que veremos a continuación.

Evidentemente, entramos de lleno en los supuestos necesarios para invocar el principio de non bis in idem, al concurrir identidad de sujeto, hecho y fundamento.

No obstante, si como hemos visto en el apartado anterior no se demanda la aplicación del artículo 31 CP, cabría considerar que ya no concurren los supuestos que ocasionan dicha incompatibilidad.

3.4 La imputación automática del administrador

Si bien se refieren a delitos comunes,  en algunas sentencias del Tribunal Supremo no se comparte la idea de una imputación directa del Administrador, por el mero hecho de serlo, en los delitos con RPPJ. Concretamente la STS 607/2010, [6] de 30 de junio de 2010,     señala en su fundamento del Derecho 2º: “El art. 31 no puede servir como criterio de atribución de responsabilidad penal por sí mismo en lo delitos empresariales. Esto es si se constata que en la empresa se ha cometido un delito no puede concluirse, sin más, que el responsable sea el administrador. El art. 31.1 CP, no regula la responsabilidad de los administradores por delitos que se cometan en la empresa, únicamente pretende que no exista una laguna de punibilidad en casos en que, en el delito especial propio, la calificación de la autoría recaiga en una persona jurídica. Este modo de operar lo que provocaría es la creación de una inaceptable responsabilidad objetiva por el cargo, una responsabilidad por la mera circunstancia de ser administrador y no una responsabilidad por el hecho, única que debe aceptarse, conforme al principio de culpabilidad”.

Lo que viene a decir es que, para la atribución de responsabilidad penal al administrador de la PJ por los delitos comunes, se requiere que el delito cometido se justifique, en términos de imputación objetiva, por la conducta realizada por el administrador.

La no aplicación automática del artículo 31 CP se basa en que no puede incorporarse una responsabilidad penal objetiva del Administrador por los hechos de la PJ representada, ya que sería una interpretación contraria al principio de culpabilidad y en absoluto coincidente con la finalidad del artículo 31 CP. En este sentido se ha pronunciado la jurisprudencia (Vid. STS 607/2010) y abundante doctrina del Tribunal Constitucional (Vid. STC 159/1989 y STC 253/1993), que insiste en que dicho artículo no introduce una regla de responsabilidad objetiva de aplicación automática en todos los casos, considerando también que sería contraria al principio de culpabilidad.

La ratio legis del artículo 31 CP persigue evitar la impunidad de las actuaciones delictivas perpetradas por PF individualizables, que sean miembros de la PJ y se amparen en ella, cuando se cometa un delito especial propio, cuya autoría exija necesariamente la presencia de ciertas características que únicamente concurran en la PJ y no en las PF que la integran. Con la incorporación del art. 31 CP se supera el inconveniente formal de tener que aplicar estrictamente el principio de legalidad en los casos en que “no concurran las condiciones, cualidades o relaciones que la figura típica requiere” para poder imputar la autoría, haciendo que en esos casos sea penalmente responsable el Administrador.

La STC 253/1993, de 20 de julio, [9] señala en su fundamento jurídico 3º: “3. A fin de apreciar la alegación del recurrente se impone una inicial consideración sobre el mencionado precepto. Su incorporación al Código Penal, en efecto, no vino en modo alguno a introducir una regla de responsabilidad objetiva que hubiera de actuar, indiscriminada y automáticamente, siempre que, probada la existencia de una conducta delictiva cometida al amparo de una persona jurídica, no resulte posible averiguar quiénes, de entre sus miembros, han sido los auténticos responsables de la misma, pues ello sería contrario al derecho a la presunción de inocencia y al propio tenor del precepto. Lo que el mismo persigue, por el contrario, es obviar la impunidad en que quedarían las actuaciones delictivas perpetradas bajo el manto de una persona jurídica por miembros de la misma perfectamente individualizables, cuando, por tratarse de un delito especial propio, es decir, de un delito cuya autoría exige necesariamente la presencia de ciertas características, éstas únicamente concurrieren en la persona jurídica y no en sus miembros integrantes. La introducción del art. 15 bis C.P. tuvo el sentido de conceder cobertura legal a la extensión de la responsabilidad penal en tales casos, y sólo en ellos, a los órganos directivos y representantes legales o voluntarios de la persona jurídica, pese a no concurrir en ellos, y sí en la entidad en cuyo nombre obraren, las especiales características de autor requeridas por la concreta figura delictiva. Mas, una vez superado así el escollo inicialmente existente para poderles considerar autores de la conducta típica, del citado precepto no cabe inferir que no hayan de quedar probadas, en cada caso concreto, tanto la real participación en los hechos de referencia como la culpabilidad en relación con los mismos. Así lo declaramos, por lo demás, en un supuesto semejante (STC 150/1989), donde estimamos vulnerado el derecho a la presunción de inocencia por haberse impuesto al gerente de una empresa una condena a título de falta de imprudencia con resultado de daños, sin que en ningún momento hubiese quedado acreditado que la producción de los mismos fuera consecuencia, directa o indirecta, de la omisión por el condenado de la debida diligencia para impedirlos o de una actuación imprudente por su parte, ni se hubiese hecho razonamiento alguno encaminado a fundamentar la convicción alcanzada por los órganos judiciales respecto de su participación en los mismos”.

NOTA DEL EDITOR: La STC 253/1993 se refiere al art. 15 bis CP del Código Penal de 1973, precursor del actual art. 31 CP procedente del vigente Código penal de 1995 y reformado en 2015, todos con muy parecido redactado.

4. Conclusiones

Cuando hablamos del triángulo de responsabilidad penal de la persona jurídica debe matizarse que, para la aplicación del artículo 31 CP, se requiere: [7]
  • Que el hecho delictivo se materialice en el marco de un delito especial que requiera ciertas condiciones, cualidades o relaciones para la autoría.
  • Que el sujeto activo sea Administrador, de hecho o de derecho, de una PJ, o Representante de la misma.
  • Que el Administrador o Representante realice, directa o indirectamente, la conducta material que constituye el núcleo de la figura típica.
  • La ausencia de los requisitos típicos para ser autor.

5. Bibliografía consultada

[1]  Tribunal Supremo. “STS 4728/2016, de 3 de noviembre”. Resolución 827/2016. Ponente José Ramón Soriano. 3 de noviembre de 2016.

 [2] José Luis Colom.  El triángulo de responsabilidad penal en la persona jurídica”. 1 de septiembre de 2016. Blog “Aspectos profesionales”. Introducción didáctica.

[3] Juan Manuel Trayter Jiménez. Sanción penal - sanción administrativa: el principio non bis in idem en la Jurisprudencia”. Revista del Poder Judicial, número 22. 1991.

[4] José Vicente Gimeno Sendra. “Los principios de legalidad y non bis in ídem en la Doctrina del Tribunal Constitucional”. Diario La Ley nº 6735, 14 de junio de 2007.

[5] Adán Nieto Martín. “La responsabilidad penal de las personas jurídicas: un modelo legislativo”. Ed. IUSTEL. Madrid, 2008.


[6] Tribunal Supremo. "STS 3322/2010, [6] de 30 de junio". Ponente Juan Ramon Berdugo Gomez de la Torre. 30 de junio de 2010.
STS 3322/2010 

[7] Coordinadores: Ignacio Ayala Gómez e Íñigo Ortiz de Urbina Gimeno. “Penal Económico y de la Empresa”. Memento Práctico Francis Lefebvre. 2016-2017.

[8] Tribunal Supremo. “STS 1828/2002, de 25 de octubre”. Ponente Julián Sánchez Melgar. 25 de octubre de 2002.

[9] Tribunal Constitucional. “STC 253/1993, de 20 de julio”. Presidente D. Miguel Rodríguez-Piñero y Bravo-Ferrer. 20 de julio de 1993.

[10] Jordi Gimeno Beviá. “Compliance y proceso penal. El proceso penal de las personas jurídicas”. CIVITAS. Thomson Reuters. 2016.

6. Control de cambios del artículo

Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.

Fecha
Cambio
Responsable
01/01/2017
Redacción inicial del artículo
Autor


















7. Derechos de autor

Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.

Tablas creadas por el autor.



La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.



Sobre el autor:



José Luis Colom Planas Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).

A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).

Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es vocal de la Junta Directiva - miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo), asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de ENATIC (Asociación de expertos nacionales de la abogacía TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. Ha obtenido, junto a algunos miembros de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT), un premio compartido otorgado por la AEPD.