Responsabilitat penal de persones jurídiques en el nou Codi Penal. Compliment normatiu (compliance). Delictes informàtics comesos per les empreses.

El dret penal espanyol es regia pel principi “societas delinquere non potest”, conforme al qual es considerava que la persona jurídica no podia ser objecte de sanció penal. Quan s’utilitzava una empresa per cometre un delicte, eren responsables els seus administradors, i l’empresa responia civilment. Aquest principi ha canviat en els últims anys, i en l’actualitat les persones jurídiques poden ser condemnades penalment.

Les successives reformes del Codi Penal aprovades des de l’any 2010 han anat configurant en el nostre dret positiu els criteris d’atribució de responsabilitat penal a persones jurídiques, així com les circumstàncies eximents i atenuants d’aquesta responsabilitat. Després de l’entrada en vigor, el passat 1 de juliol, de la Llei Orgànica 1/2015, les empreses espanyoles s’estan obligant a la realització d’auditories de risc penal, imprescindibles per establir els models d’organització i gestió adequats per impedir la comissió de delictes que poden comportar la condemna de la persona jurídica.

Tot i que la major part dels delictes que poden ser comeses per empreses afecten a casos de corrupció, resulta curiosa la obsessió del legislador amb els delictes informàtics. Crida poderosament l’atenció que a més a més de delictes greus que van des del tràfic d’òrgans i tràfic d’essers humans fins als múltiples suposats de delictes societaris i contables, contra la seguretat social i contra drets de treballadors, suborn, frau en subvencions públiques, aixecament de béns, blanqueig de capitals i delicte fiscal, entre d’altres, el legislador hagi inclòs a la reforma, com delictes que poden ser comesos per persones jurídiques, la gran majoria dels delictes que es poden cometre a través d’internet.

Pornografia infantil, estafes, intrusions i danys informàtics, delictes contra la propietat intel·lectual i industrial, contra el mercat i els consumidors, així com la falsificació de targetes de crèdit, són delictes que poden ser comesos per persones jurídiques, i que en conseqüència poden comportar condemnes penals que estableixin inclús la dissolució de l’empresa o la suspensió de les seves activitats.

Perquè una empresa pugui resultar condemnada com autora d’un delicte, es necessari que es donin les circumstàncies exigides per l’article 31 bis del Codi Penal, i molt especialment que el delicte s’hagi comés en benefici directe o indirecte de l’empresa. La persona jurídica serà responsable pels delictes comesos en nom d’aquesta pels seus representants legals, per aquells autoritzats per prendre decisions en nom seu, o que ostentin facultats d’organització i control, o per aquells sotmesos a la seva autoritat que realitzin els fets d’incomplir els deures de supervisió, vigilància i control de la seva activitat ateses les concretes circumstàncies del cas.

De conformitat amb l’article 33.7 del Codi Penal, les penes aplicables a les persones jurídiques, que tenen tota la consideració de greus, són les següents:

  1. Multa per quotes o proporcional.
  2. Dissolució de la persona jurídica. La dissolució produirà la pèrdua definitiva de les seves personalitats jurídiques, així com la de la seva capacitat d’actuar de qualsevol forma en el tràfic jurídic, o dur a terme qualsevol classe d’activitat, encara que sigui lícita.
  3. Suspensió de les seves activitats per un termini que no podrà excedir de cinc anys.
  4. Clausura dels seus locals i establiments per un termini que no podrà excedir de cinc anys.
  5. Prohibició de realitzar en el futur les activitats en l’exercici que s’hagin comés, afavorint o encobrint el delicte. Aquesta prohibició podrà ser temporal o definitiva. Si fos temporal, el termini no podrà excedir de quinze anys.
  6. Inhabilitació per obtenir subvencions i ajudes públiques, per contractar amb el sector públic i per gaudir de beneficis i incentius fiscals o de la Seguretat Social, per un termini que no podrà excedir de quinze anys.
  7. Intervenció judicial per salvaguardar els drets dels treballadors o dels creditors pel temps que es cregui necessari, que no podrà excedir de cinc anys.

La prevenció del delicte informàtic no es senzilla, per la facilitat amb la que es poden destruir les proves d’aquest i el relatiu anonimat del que gaudeix l’autor. Per poder excloure la responsabilitat de l’empresa en la comissió de delicte s’han d’adoptar models d’organització i gestió dirigits a impedir-ho. És el que es coneix amb l’anglicisme de ‘compliance’, que es poden traduir al castellà com compliment normatiu.

Analitzem a continuació com opera el ‘compliance’ per excloure la responsabilitat penal d’empreses. Les circumstàncies eximents per persones jurídiques estan regulades a l’apartat 2 de l’article 31 bis. Perquè una empresa no sigui condemnada hi han d’haver les condicions següents:

1.ª l’òrgan d’administració ha adoptat i executat amb eficàcia, abans de la comissió del delicte, models d’organització i gestió que inclouen les mesures de vigilància i control idònies per prevenir delictes de la mateixa naturalesa o per reduir de forma significativa el risc de la seva comissió;

2.ª la supervisió del funcionament i del compliment del model de prevenció implantant ha estat confiada a un òrgan de la persona jurídica amb poders autònoms d’iniciativa i de control o que tingui encomanada legalment la funció de supervisar l’eficàcia dels controls interns de la persona jurídica;

3.ª els autors individuals han comés el delicte eludint fraudulentament els models d’organització i de prevenció i

4.ª no s’ha produït una omissió o un exercici insuficient de les seves funcions de supervisió, vigilància i control per part de l’òrgan al que es refereix la condició 2.ª

En els casos en que les anteriors circumstàncies només poden ser objecte d’acreditació parcial, aquesta circumstància serà valorada als efectes d’atenuació de la pena. Les circumstàncies atenuants es regulen a l’article 31, que estableix el següent:

Només podran considerar-se circumstàncies atenuants de la responsabilitat penal de les persones jurídiques haver realitzat, amb posterioritat a la comissió del delicte i a través dels seus representants legals, les següents activitats:

  1. Que hagués procedit, abans de conèixer que el procediment judicial es dirigeixi contra ella, a confessar la infracció a les autoritats.
  2. Que hagués col·laborat en la investigació del fet aportant proves, en qualsevol moment del procés, que fossin noves i decisives per aclarir les responsabilitats penals provinents dels fets.
  3. Que hagués procedit en qualsevol moment del procediment i amb anterioritat al judici oral a reparar o disminuir el dany causat pel delicte.
  4. Que hagués establit, abans del inici del judici oral, mesures eficaces per prevenir i descobrir els delictes que en el futur poguessin cometre amb el medis o sota la cobertura de la persona jurídica.

Es poden observar, a partir del exposat, que l’adopció de models de prevenció -compliance- no es obligatoria, però si altament recomanable per excloure un risc que pot comportar la dissolució de l’empresa, entre d’altres penes. Els requisits dels mateixos estan establerts a l’apartat 5 de l’article 31 bis:

1.º Identificaran les activitat on en el seu àmbit poden ser comesos els delictes que s’han de prevenir.

 2.º Establiran els protocols o procediments que concretin el procés de formació de la voluntat de la persona jurídica, d’adopció de decisions i d’execució d’aquestes amb relació a aquells.

3.º Disposaran de models de gestió dels recursos financers adequats per impedir la comissió dels delictes que han de ser previnguts.

4.º Imposaran l’obligació d’informar de possibles riscos i incompliments a l’organisme encarregat de vigilar el funcionament i control del model de prevenció.

5.º Establiran un sistema disciplinari que sancioni adequadament l’incompliment de les mesures que estableix el model.

6.º Realitzaran una verificació periòdica del model i de la seva eventual modificació quan es constatin infraccions rellevants de les seves disposicions, o quan es produeixin canvis a l’organització, a l’estructura de control o a l’activitat desenvolupada que els facin necessaris.

Fins aquí el que inclou al Codi Penal. Per adoptar en una empresa aquests models de gestió es necessari l’auxili professional, col·laborant estretament amb experts en gestió empresarial, poden detectar els riscos penals en funció de les activitats de l’empresa i establir els protocols de prevenció adequats. En els suposats delictes que poden cometre per internet, és indiscutible que també hauran de participar informàtics en el disseny dels models de prevenció.

Prevenir i evitar la comissió de delictes dins de l’empresa és la millor manera de garantir la seva imatge de marca i una bona reputació empresarial davant de clients i tercers. En un medi tan exposat com és internet, cada vegada és més complicat: les auditories de riscos laborals, de protecció de dades i de compliment normatiu en la legislació d’internet, ara es sumen les auditories de risc penal com garantia de qualitat empresarial.

Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS

PROFESSIONALS EN PROTECCIÓ DE DADES