El pasado 30 de marzo de 2015, se publicaba en el BOE la última reforma del Código Penal español, que entrará en vigor el 1 de julio de este mismo año.

Entre otras muchas cuestiones que introduce el texto, asistimos a una innovadora modificación de tipos delictivos ya existentes, con incidencia directa en una figura que va cobrando cada vez más fuerza, el Compliance.

A través de su exposición de motivos, la nueva ley señala que, entre otras muchas reformas, el texto ha querido incorporar “una mejora técnica” en la regulación de la responsabilidad penal de las personas jurídicas, introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio.

Y ello, con el objetivo de dibujar una adecuada delimitación del contenido del “debido control”, cuya no observancia permite fundamentar la responsabilidad penal de las personas jurídicas.

Así, de manera general, el alcance de las obligaciones que este deber de control lleva asociado, se condiciona a las dimensiones de la persona jurídica.

El órgano de administración responsable del control y prevención, pasa a formar parte de un sistema razonable y adecuado para evitar la comisión de delitos que, el nuevo Código Penal considera suficiente para evitar la responsabilidad de la persona jurídica. Y ello, aunque finalmente no pueda evitarse la comisión del delito.

Por otra parte, se extiende el régimen de responsabilidad penal a las sociedades mercantiles estatales que ejecuten políticas públicas o presten servicios de interés económico general, con penas que tienen la consideración de graves.

Con estas novedades se pone fin, dice el nuevo texto legal, a las dudas interpretativas que había planteado la anterior regulación, que desde algunos sectores se tomaba como un régimen de “responsabilidad vicarial”, es decir, en este caso la responsabilidad de la persona jurídica dependería de que el sistema de prevención consiga evitar la comisión de delitos.

Además, se recogen algunas recomendaciones de organizaciones internacionales, en este sentido.

El artículo 31 bis del nuevo Código Penal establece que podrá imputarse responsabilidad penal a las personas jurídicas, desde una doble vertiente:

  • Por los delitos cometidos en nombre o por cuenta de las personas jurídicas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
  • Por los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las personas jurídicas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el caso anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad.

Es evidente que el debido control,  por su falta de regulación expresa, sigue siendo un concepto jurídico indeterminado, si bien en esta reforma, como ya señalábamos, se está haciendo referencia y poniendo en valor la adopción de aquellas medidas que consigan el objetivo pretendido, es decir, evitar la materialización del riesgo o la comisión del hecho delictivo.

Ahora bien, la siguiente cuestión que se lanza entre diferentes fuentes jurídicas pasaría por analizar hasta dónde debe llegar la persona jurídica para garantizar una debida diligencia.