La exención de pena por cumplimiento normativo

ÍNDICE

  1. Introducción 3
  2. Premisas de partida: la regulación legal y técnica de los programas de compliance 5

2.1.        Regulación jurídico-penal de los programas de compliance 6

2.2.        La regulación técnica de los programas de compliance penales 9

  1. Los programas de compliance en la jurisprudencia de la Sala de lo Penal del Tribunal Supremo 12

3.1.        “La Bisiesta” y su aportación a la discusión sobre la exención por cumplimiento normativo: naturaleza, carga de la prueba y fundamento 16

3.1.1.     La naturaleza jurídica de la exención por cumplimiento normativo y su relevancia para determinar la titularidad de la carga de la prueba 18

3.1.2.     El fundamento de la exención por cumplimiento normativo y su relevancia para determinar el objeto de la carga de la prueba 20

3.2.        Los programas de compliance en la jurisprudencia del Tribunal Supremo 23

4. Tendencias jurisprudenciales en torno a la exención por cumplimiento: a propósito de algunas resoluciones de la Audiencia Nacional 25

5. Conclusión 30

ABSTRACT:

El presente trabajo constituye una reflexión sobre las condiciones de idoneidad de los programas de compliance. En concreto, se analiza la exención de pena por cumplimiento normativo del art. 31 bis 2 CP, desde el punto de vista legal y jurisprudencial.

La STS 154/2016, de 29 de febrero encendió el debate en torno a: i) La naturaleza jurídica de la exención del art. 31 bis 2 CP; ii) La carga de la prueba respecto de dicha exención de pena; y iii) La posibilidad o no de que el fundamento de la exención radique, además de en el la eficacia de las concretas medidas de gestión y prevención (compliance), en la cultura de cumplimiento.

Tras abordar las dos primeras cuestiones, frente a las que ya existe cierto consenso, la parte final del trabajo se centra en la relevancia de la cultura de cumplimiento o cultura ética para lograr una exención de pena. A partir del estudio de la jurisprudencia del Tribunal Supremo y de algunas resoluciones de la Audiencia Nacional, se constatará que, además de la idoneidad preventiva del programa de compliance, está siendo decisiva la capacidad de reacción desde la persona jurídica al concreto ilícito detectado/investigado. Y la cultura de cumplimiento a que se refieren, entre otras, la STS 154/2016, la ISO 37.301 y la UNE 19601, es una “condición de posibilidad” para que la persona jurídica implemente con eficacia los mecanismos preventivos y reactivos en compliance.

PALABRAS CLAVE:

Compliance; Modelos de organización y gestión de riesgos; Programa de cumplimiento; Eximente; Cultura de cumplimiento; UNE 19601; Idoneidad preventiva; Idoneidad reactiva; Carga de la prueba.

1.            Introducción

Es probable que quienes tuvieron la suerte de escuchar al Excmo. Sr. D. José Manuel Maza Martín en relación con el régimen de responsabilidad penal de las personas jurídicas del art. 31 bis del Código penal (en adelante, CP), recuerden el modo en el que se auto-retrataba quien fuera el ponente de una de las sentencias de nuestro Alto Tribunal más icónicas en dicha materia: “Soy un converso entusiasta. Me caí del caballo, como San Pablo”.

El Excmo. Sr. D. José Manuel Maza Martín se valió de esa imagen para explicar por qué de perseguir a los defensores de un modelo de autorresponsabilidad, pasó a comulgar con la idea de sustentar la interpretación del art. 31 bis CP en un delito y culpabilidad propias de la persona jurídica. Y, con independencia de que uno comparta o no la aproximación epistemiológica que el Excmo. Magistrado defendió con verdadero arrojo y determinación paulinas, resulta innegable que la sola actitud de estar abierto a un cambio de premisas constituye un valioso legado al mundo del Derecho; Casi tan importante como cada uno de los fallos judiciales que —en esta y en otras tantas materias— inmortalizó su avezada pluma.

La ingente actividad judicial y doctrinal de los últimos doce años en torno al régimen de responsabilidad penal corporativa da fe de que se trata de una materia repleta de claroscuros. Y como ocurre en cualquier terreno por el que uno solo puede caminar a tientas, lo más sabio es dejarse guiar por quien sabe y estar dispuesto a cambiar el rumbo si se cree que el camino correcto no es aquel en el que nuestros pies están más seguros. Esto es precisamente lo que hizo el Excmo. Sr. D. José Manuel Maza Martín en materia de responsabilidad penal de personas jurídicas. Supo dejar a un lado la comodidad que le podría haber proporcionado su toga, para zambullirse en la lectura y el estudio de topoi sin precedentes en nuestro ordenamiento jurídico-penal, como los programas de compliance, la cultura corporativa fiel al Derecho o el defecto de organización. Y con ello dio muestra de la honestidad intelectual y la solidez argumentativa con las que la Sala Segunda viene despejando los abrojos que los art. 31 bis y ss. CP plantean a quien se enfrenta con la difícil (y apasionante) tarea de interpretarlos y/o aplicarlos[1].

En este sentido, y como ponen de manifiesto los más de doce años que el art. 31 bis CP carga sobre sus espaldas, en materia de responsabilidad penal de personas jurídicas, es especialmente acertado aquello de: “caminante no hay camino, se hace camino al andar […]”. Y es que —sin desconocer que el autor de estos versos estaba muy lejos de relacionarlos con el delito corporativo— el devenir con el que la responsabilidad penal de las personas jurídicas viene presentándose en el escenario judicial, da fe de que pocas veces se ha hecho tanto caso a la poesía.

Muestra de ello es el hecho de que el eje sobre el que parece pivotar todo el mecanismo de atribución de responsabilidad penal a las personas jurídicas sea, precisamente, algo que el legislador de 2010 apenas sí mencionó y que todavía hoy continúa perfilándose, casi a golpe de sentencia: los modelos de organización y gestión o compliance programs. A ellos se dedicará la presente contribución. En concreto, en las páginas que siguen, se abordará una de las preguntas más repetidas desde la entrada en escena de dichos instrumentos de autorregulación regulada: ¿Sirve realmente un programa de compliance para eximir de pena a las personas jurídicas? Y, en tal caso, ¿Con qué naturaleza jurídica? ¿Con qué requisitos sustantivos y procesales? A fin de responder a la difícil cuestión de la eficacia eximente de los programas de compliance, el análisis atenderá a la legislación vigente, pero desde una óptica que trasciende a la mera lectura de la Ley. En cambio, tratará de abordarse el tema desde lo que ha ido esclareciendo la jurisprudencia. Con ello, pretende mostrarse ya desde el comienzo, que el cumplimiento normativo no es una cuestión de mínimos. En cambio, como la propia praxis ha ido demostrando, un programa de compliance que aspire a desvincular a la persona jurídica del delito cometido por la persona física debe encarnar algo más que un listado de requisitos más o menos definidos en la ley, en las normas técnicas de desarrollo y/o en las best practices. El programa de compliance que abra la vía a la exclusión del castigo corporativo no compra la impunidad de la persona jurídica, sino que acredita la falta de necesidad de pena. Refleja una determinada identidad corporativa que se opone a las razones sustantivas y político-criminales que, de otro modo, fundamentarían el castigo corporativo.

Así, en las páginas que siguen se tratará sobre la eficacia eximente de los programas de compliance del siguiente modo[2]. En primer lugar, a modo de introducción, se repasará sucintamente la regulación penal de los modelos de organización y gestión, haciendo mención a algunas de sus normativas de desarrollo más significativas (II). Posteriormente, se atenderá a lo que la jurisprudencia del Tribunal Supremo ha establecido en materia de compliance (III). Se concluirá que, si bien el Alto Tribunal ha proporcionado las herramientas para interpretar el art. 31 bis CP, todavía no ha tenido oportunidad de pronunciarse en concreto sobre las condiciones de idoneidad de un determinado programa de compliance. Por ello, se analizará lo que a este respecto viene sosteniendo la jurisprudencia menor, que sí ha podido fallar sobre tal cuestión (IV). Se cerrará este artículo con un apartado de recapitulación y conclusiones (V).

2.            Premisas de partida: la regulación legal y técnica de los programas de compliance

Cuando se introdujo la responsabilidad penal de las personas jurídicas en el Código penal español en el año 2010, solo se hizo una referencia genérica a los programas de cumplimiento normativo como factor de atenuación de la pena corporativa. Una lectura razonable de la legislación ya evidenciaba que para eximir a una empresa que tuviera un compliance con anterioridad al delito no hacía falta explicitarlo legalmente: sencillamente, era un caso atípico. Entre otras cosas, porque el fundamento de la responsabilidad penal corporativa era y ha sido siempre un defecto de organización en la persona jurídica, manifestado o bien en una dirección corporativa contraria a la legalidad (actual art. 31 bis 1 a) CP), o bien en omisión de los deberes de supervisión, vigilancia y control a los empleados (actual art. 31 bis 1 b) CP). Pero, aunque la doctrina se mostró unánime en proponer como causa de exclusión de la responsabilidad penal la adopción ex ante de los programas de compliance[3], ello no tuvo un reflejo tan sólido en la jurisprudencia. El hecho de que la Ley no explicitara si y cómo un programa de compliance podía servir para eximir de responsabilidad a la empresa eventualmente responsable, tiñó el sistema de una incertidumbre dificultó su aplicación por parte de los tribunales. Al menos, así parece corroborarlo el hecho de que entre 2010 y 2015 no hubiera ningún fallo por parte del Tribunal Supremo en esta materia y fueran pocas las empresas que se dotaron de mecanismos preventivos, de vigilancia y control[4].

Por ello, apenas un lustro después de estrenar la responsabilidad penal corporativa, la Ley Orgánica 1/2015 de reforma del Código penal[5] tuvo que aclarar que el fundamento último de la responsabilidad penal corporativa es el déficit de organización conforme a la legalidad. O, dicho de otra manera, que su finalidad es la promoción del cumplimiento normativo desde la empresa. Y lo hizo aprobando los arts. 31 bis 2 y 4 CP, en los que se dota a los programas de compliance no solo del efecto atenuante que ya tenían ex art. 31 quáter d) CP (antiguo 31 bis 4 CP), sino explicitando su eficacia eximente si se instauran con anterioridad a la comisión del hecho delictivo por parte de la persona física.

2.1.       Regulación jurídico-penal de los programas de compliance

En primer lugar, debe destacarse que el Código penal español ha querido seguir la estela del Decreto Legislativo italiano 231/2001 de 8 de junio y ha optado por referirse a los programas de cumplimiento como «modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para la prevención de delitos» (art. 31 bis 2. 1ª, 4 y 5 CP), aunque también emplea la expresión «modelos de organización y prevención» (art. 31 bis 2. 2ª CP). Con ello, se ha querido incidir en que lo relevante para lograr la exención de responsabilidad penal de personas jurídicas no es la adopción de cualquier clase de modelo de organización, sino de uno que se centre en las medidas de vigilancia y control para la prevención de delitos[6].

Desde esta perspectiva, los elementos más básicos que deben integrar cualquier programa de cumplimiento penal en aras de una exención o atenuación de la responsabilidad penal corporativa se encuentran listados en el art. 31 bis 5 CP, en unos términos bastante similares o equiparables a los de otros ordenamientos jurídicos como EE.UU[7] o Italia[8]. Concretamente, y sin ánimo de una explicación detallada que nos apartaría del objeto del presente trabajo, paso a referir los elementos (mínimos) con los que debe contar un programa de compliance que aspire a ser calificado de eficaz en términos penales[9].

El primero de los requisitos del art. 31 bis 5 CP se refiere a la identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Normalmente, suele coincidir con la primera fase de cualquier programa de compliance, conocida como risk assesment o análisis de riesgos. Su objetivo principal es detectar los sectores de la actividad con mayor riesgo y, en general, la mayor o menor eficacia de las medidas de control existentes en la empresa. Todo ello, a fin de advertir eventuales deficiencias sustantivas u organizativas y proponer correcciones de modo que aquéllas no deriven en la comisión de un delito del que puedan responderla entidad, por un lado, y/o sus directivos, por el otro. Se trata de una suerte de “autodiagnóstico”, a base de entrevistas, sesiones de trabajo, examen de la documentación corporativa, etc., para los que se recomienda contar con instrumentos de análisis de inteligencia artificial y big data actualizados[10], así como con el asesoramiento de un especialista. Especialmente, teniendo en cuenta le relevancia que en materia de compliance comienzan a tener las propuestas de abordar la prevención de riesgos desde un enfoque multidisciplinar, en el que se tengan en cuenta los aportes de otras ciencias sociales y experimentales, distintas de la visión estrictamente jurídica[11]. Asimismo, atendiendo al sector y al perfil de la persona jurídica, es recomendable extender el análisis de riesgos más allá de los delitos que generan responsabilidad penal a la persona jurídica ex art. 31 bis CP.

El segundo de los requisitos del art. 31 bis 5 CP indica que los programas de compliance «establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos». Este requisito se vincula con el aparato regulatorio de la persona jurídica, consistente en protocolos y procedimientos de naturaleza preventiva y reactiva, que permitan documentar los procesos de decisión en el marco de la persona jurídica. Aunque el legislador no lo ha explicitado, es preciso que sean protocolos o procedimientos escritos y que abarquen tanto aspectos sustantivos, como organizativos[12].

El tercero de los requisitos del art. 31 bis 5 CP requiere contar con los recursos financieros adecuados para impedir la comisión de delitos que deben ser prevenidos. Con ello, se hace referencia a la necesidad de contar con una dotación presupuestaria adecuada para posibilitar la materialización de los objetivos de cumplimiento penal. De hecho, es frecuente que en procedimientos penales en los que la persona jurídica figure como investigada y esté tratando de hacer valer una exención por compliance, se haga referencia al volumen de inversión de la entidad en mejorar sus herramientas de monitorización, en la contratación de personas vinculadas al cumplimiento normativo o en la formación a empleados.

El art. 31 bis 5.4º CP exige que los programas de prevención obliguen a informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Con ello se determina la centralidad que en cualquier programa de compliance eficaz deben tener los canales de denuncia. Se trata de algo que viene discutiéndose largamente en los últimos años, a propósito de la Directiva europea de protección al denunciante. Y, si bien ello ha permitido avanzar en la concienciación sobre la importancia del whistleblowing, aún no se han abordado algunas cuestiones que en la práctica comparada están demostrando ser cruciales[13].

Por su parte, el el artículo 31 bis 5.5º CP establece que los programas de prevención establecerán un sistema disciplinario que sancione su incumplimiento. Se trata de un requisito que debe estar en armonía con la legislación laboral vigente y con el convenio colectivo aplicable al concreto sector de la actividad. En principio, la legislación española reconoce el poder disciplinario del empresario frente a los incumplimientos laborales de sus trabajadores (arts. 45.1.h) y 58 ET), siendo que el incumplimiento del programa de compliance podría entenderse como un quebranto de la buena fe contractual (art. 54.2.d) ET). Pero, como ha matizado la jurisprudencia menor, para ello será preciso que su contenido haya sido aceptado por los trabajadores o que se haya incorporado al convenio colectivo[14].

Finalmente, el artículo 31 bis 5.6.º exige una verificación periódica del programa de compliance, así como su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada. Al respecto, la doctrina ha distinguido entre los procesos de monitorización y las auditorías legales. Mientras que los primeros son revisiones de seguimiento, las auditorias legales[15] incluyen una evaluación del status de la empresa según la ley aplicable y los estándares éticos, recomendaciones de acciones correctivas y consejos para prestar más atención a los riesgos de delitos que se han detectado. Se trata de algo especialmente importante a la luz de prácticas que ya comienzan a generalizarse, como las Due Diligence penales en procesos de transformación societaria o de relaciones comerciales con posible afectación a los derechos humanos.

Como puede observarse, el Código penal contiene una regulación de los «modelos de organización y prevención» que permite conocer los elementos mínimos con los que una persona jurídica debe contar para prevenir delitos con eficacia. No obstante, ya desde la reforma de la LO 5/2015 quedó evidenciada la necesidad de completar la legislación penal con normativa sectorial o incluso con otra clase de cuerpos normativos no necesariamente jurídicos, como las normas técnicas provenientes de la autorregulación[16].

2.2.       La regulación técnica de los programas de compliance penales

En 2017 se publicó en España el estándar UNE 19601, como fruto de un proceso de normalización para establecer bases homogéneas de comunicación de lo que es un sistema de gestión de compliance penal. En palabras del propio Maza Martín, “aunque el régimen actual sobre responsabilidad penal de la persona jurídica mejora al introducido en el año 2010, sigue siendo excesivamente somero para diseñar programas de compliance robustos”[17]. Y con la aprobación del estándar UNE 19601 quedaron fijadas una serie de pautas de actuación (o de diligencia) que, pese a no ser jurídicamente vinculantes, aspiran a incorporar las mejores prácticas internacionales en esta materia. Con ello, el parámetro empresarial de la diligencia debida corporativa podría incluso llegar a ser más estricto que el que resultaría de la exclusiva consideración de la norma jurídicamente vinculante. Así ocurre, por ejemplo, en materia de diligencia debida empresarial en el ámbito de los derechos humanos, respecto de cuyo desarrollo cada vez existen más instrumentos regulatorios internacionales que, sin embargo, todavía hoy se mueven en el ámbito del soft law internacional[18].

Pues bien, a los efectos que aquí interesan, debe remarcarse que mediante el desarrollo técnico de los programas de compliance a través de los foros de normalización, el estado de la lex artis en España se sitúa más allá de lo específicamente previsto en el Código penal. Se tiende a considerar que el compliance guarda mayor relación con la generación, mantenimiento y mejora de una cultura adecuada, que con las técnicas de vigilancia y control[19]. De modo que los programas de compliance que se están elaborando en nuestro país[20] cuentan con elementos no mencionados en el art. 31 bis 5 CP y que, sin embargo, revisten una importancia crucial para que la persona jurídica acceda a una exención de pena ex art. 31 bis 2 ó 4 CP. Es el caso, por ejemplo, de la definición del estatuto jurídico del compliance officer, de la formación a los empleados y directivos o de las investigaciones internas. Ante la falta de regulación de cuestiones tan cruciales, muchas empresas se han servido de las directrices de los estándares internacionales y de normativas sectoriales, así como de la experiencia comparada y de la labor de asociaciones profesionales especializadas para incluir dichas cuestiones en sus programas de cumplimiento normativo.

Ello nos pone frente a la interesante y difícil cuestión de hasta qué punto son pautas o estándares exigibles para el reconocimiento de la eficacia eximente de los programas de compliance. Se trata, en último término, de valorar si para acceder a la exención de pena basta con acreditar lo que exige el Código penal o, en cambio, debe prestarse atención a toda una cultura de cumplimiento. Como se tratará a continuación, en la Sentencia del Tribunal Supremo 154/2016, de 29 de febrero, la Sala Segunda se mostró dividida en este punto. Pero la posición de una ajustada mayoría favorable a entender que debe acreditarse una cultura de cumplimiento ha servido de base o de refuerzo a estándares posteriores, como la UNE 19601. En esta norma, se insiste en que tanto el Tribunal Supremo como la Fiscalía General del Estado se han pronunciado a favor de reconocer la importancia de una cultura corporativa de cumplimiento y lo regula como uno de los “elementos de apoyo” de la organización en compliance, enumerando hasta once cuestiones que las empresas deberían tomar en consideración[21]. Con ello, se ha querido remarcar que debe promocionarse una organización ética, que vaya más allá de la vigilancia y el control.

Consciente de la importancia que tal cuestión reviste para la adecuada organización de las empresas, aquí se cuestionará que la materialización de valores, ética y creencias en procesos, dinámicas y protocolos corporativos sea un requisito en sí mismo determinante para obtener la exención de compliance. Comparto la visión de la UNE 19601, favorable a conceptualizar la idoneidad del compliance más allá de la vigilancia y el control. Y creo que “la Bisiesta” tuvo el mérito de tratar de mostrar que para quedar exento de pena no basta con tener una serie de protocolos. Los programas de compliance no son una suerte de patente de corso, destinados a hacerse valer en Sala para comprar la impunidad. Sin embargo, entiendo que la referencia genérica a una “cultura de cumplimiento” no mencionada expresamente en el Código penal está demostrando no ser el criterio más idóneo para obtener o argumentar en torno a la exención de pena. Lo cual, sin embargo, no debe entenderse en el sentido de que la cultura de cumplimiento no tenga ninguna relevancia. La tiene, y mucha.

Como trataré de mostrar en las páginas que siguen, en una línea que podría recordar a los motivos que inspiraron a los autores de la UNE 19601, los Tribunales están concediendo mucha importancia a la capacidad preventiva de los sistemas de organización de gestión, pero también a su idoneidad reactiva. Es este segundo ámbito, el de la capacidad de un programa de compliance para encauzar la reacción frente a un ilícito intra-empresarial, el que está demostrando ser decisivo para decidir sobre el archivo respecto de personas jurídicas imputadas. Ello no será posible si las dinámicas y procedimientos de la entidad no están informados por una cultura de cumplimiento. Pero un perito o un abogado de la defensa de la persona jurídica deba dirigirse a un Tribunal debe hacer referencia a la concreta idoneidad preventiva y reactiva de un compliance y no a la cultura de cumplimiento general de la empresa. Defenderé que la cultura de cumplimiento a que se refieren, entre otras, la STS 154/2016 y la UNE 19601 es una “condición de posibilidad” para que la persona jurídica implemente con eficacia los mecanismos preventivos y reactivos en compliance. Pero es la operatividad en concreto de dichos mecanismos de prevención y de reacción la que justifica la exención de cumplimiento ex art. 31 bis 2 y 5 CP[22].

Comenzaré con un análisis de los pronunciamientos del Tribunal Supremo en materia de compliance. Y como se verá en las páginas que siguen, aunque la Sala Segunda aún no se ha pronunciado directamente sobre la exención o no de pena a una persona jurídica por contar con un programa de compliance con anterioridad al delito de la persona física, ha posibilitado que otros tribunales menores lo hagan, al haber ahondado en los fundamentos de la responsabilidad penal corporativa y en las garantías que deben informar el proceso contra las personas jurídicas. Además de ocuparse de la cuestión del papel que la cultura de cumplimiento. Así, el Alto Tribunal se ha pronunciado (en abstracto) sobre la idoneidad exoneratoria de los programas de compliance. También ha ahondado en el modo en el que debe practicarse la prueba del compliance. Además, el Tribunal Supremo ha sido pionero al pronunciarse sobre la falta de necesidad de un programa de compliance en entidades sin una mínima complejidad estructural o al reconocer que, además de evitar el delito de la persona jurídica (compliance ad extra), los programas de compliance pueden ser igualmente eficaces para combatir el fraude interno (compliance ad intra).

3.            Los programas de compliance en la jurisprudencia de la Sala de lo Penal del Tribunal Supremo

La primera sentencia del Tribunal Supremo que hizo referencia a la responsabilidad penal corporativa fue la STS 514/2015, de 2 de septiembre (ponente: Marchena Gómez). Pese a que el tema central de la Sentencia no es la responsabilidad penal de las personas jurídicas, por primera vez se aludió al sistema del 31 bis. En concreto, se anunció la intención del Alto Tribunal de salvaguardar las garantías propias del proceso penal en los procesos que en el futuro se condujesen contra personas jurídicas. Y, como se ha podido constatar a lo largo de todos estos años, dicha intención ha quedado reflejada en la cuidada motivación de los pronunciamientos de la Sala Segunda relativos a la responsabilidad penal de las personas jurídicas. De hecho, si hubiera que definir un hilo conductor común a toda la jurisprudencia del alto Tribunal en relación con los arts. 31 bis y ss. CP sería la preocupación por perfilar y definir las condiciones que legitiman el castigo a las corporaciones —o que avalan su exención—, desde el punto de vista sustantivo[23] y procesal[24]. Con ello, han tratado de paliarse las deficiencias de un Código penal no siempre taxativo, así como de una ley procesal antropomórfica. Y, aunque a veces tal proceder ha sido tildado de «creación judicial» del Derecho penal[25], lo cierto es que en un ámbito como este lo más respetuoso con el Estado de Derecho es que los jueces no sean la «boca muerta de la ley»: las múltiples preguntas que plantea la responsabilidad penal de las personas jurídicas, no admiten una alternativa más garantista que la de bucear en su propio telos.

Desde esta perspectiva, los primeros pronunciamientos del Tribunal Supremo en materia de responsabilidad penal corporativa se orientaron de modo claro a sentar las bases interpretativas del modelo de responsabilidad penal de personas jurídicas instaurado en el Código penal. De ahí que los primeros fallos del Alto Tribunal en esta materia dedicaran la mayor parte de la argumentación a justificar si el modelo era uno de autorresponsabilidad o de hetero-responsabilidad. Tal división trae causa de que el legislador no ha dejado claro qué sistema de responsabilidad es el que rige para las personas jurídicas. Así, aunque resulta claro que lo que se imputa a la persona jurídica son delitos cometidos por sus directivos y empleados —lo cual es un elemento de “hetero-responsabilidad”—, el castigo solo es posible si se acredita un déficit de control por parte de la persona jurídica y desaparece si la persona jurídica hubiera implementado un adecuado sistema de cumplimiento —elemento de “autorresponsabilidad”—.

Actualmente, a partir del ya abundante número de fallos en materia de responsabilidad penal corporativa[26], puede afirmarse que la mayor parte de los integrantes del Alto Tribunal han acogido la interpretación que concibe el sistema de atribución de responsabilidad del art. 31 bis CP como uno de autorresponsabilidad (con matizaciones). Pero, incluso quienes disienten de esta visión, coinciden con el resto de los Magistrados de la Sala Segunda en dos cuestiones. Por un lado, la responsabilidad penal corporativa debe ser por un injusto propio, consistente en que el delito de la persona física haya sido facilitado o posibilitado por la ausencia de mecanismos adecuados de prevención y gestión de riesgos en la estructura corporativa, de los cuales es garante la persona jurídica[27]. Por otro lado, las garantías básicas del proceso penal deben mantenerse, con las modulaciones oportunas, allí donde la naturaleza de las personas jurídicas lo permita.

A la vista de ello, el propio Presidente de la Sala de lo Penal del Tribunal Supremo afirmó hace ya casi un lustro que[28]:

“La responsabilidad penal de las personas jurídicas ya ha sido abordada por la jurisprudencia del Tribunal Supremo en distintas resoluciones que hoy permiten considerar plenamente consolidado un modelo de autorresponsabilidad, distante de las notas que definen el sistema vicarial alternativo. La responsabilidad penal de la persona jurídica no puede explicarse, por tanto, como la simple derivación o transferencia de los efectos del acto ilícito imputable a la persona física. Es algo más. Y lo es tanto en el plano sustantivo, en el que puede llegar a proclamarse un injusto y una culpabilidad por el hecho propio, como en el plano procesal, en el que su presencia en el proceso le atribuye todos los derechos predicables de su condición de parte”.

Así, existe jurisprudencia consolidada en cuanto a cuáles son los elementos que necesariamente han de concurrir para enervar el derecho a la presunción de inocencia de las personas jurídicas. Esto es, qué debe probarse para poder imputar responsabilidad penal a una persona jurídica. Y, en síntesis, puede decirse que son los siguientes tres requisitos, de forma cumulativa: a) la actuación delictiva en representación de la persona jurídica; b) que dicha actuación haya sido en beneficio o provecho para la entidad; y c) inexistencia de un efectivo sistema de control para anular o disminuir el riesgo en el seno de la persona jurídica[29].

Como se viene refiriendo, en las páginas que siguen, dedicaremos el análisis de la jurisprudencia de la Sala Segunda a este último requisito. Ya desde la STS 154/2016, de 29 de febrero, el Excmo. Sr. D. José Manuel Maza Martín quiso remarcar el papel nuclear que los sistemas internos de gestión y prevención de riesgos (programas de compliance) despliegan en la atribución de responsabilidad a las personas jurídicas. Algo que, como se mostrará a continuación, ha suscitado un interesante (y aún no cerrado) debate de tinte dogmático, con importantes consecuencias sustantivas y procesales. En concreto, se discute si la exención prevista en el art. 31 bis 2 y 4 CP es una causa de atipicidad, una eximente de la culpabilidad o una suerte de eximente procesal. Y, como la Sala Segunda ya supo plasmar en “la Bisiesta”, de la respuesta que se dé a tal cuestión se hacen depender cuestiones tan importantes como la titularidad y el objeto de la carga de la prueba del compliance[30].

Pues bien, el consenso existente en el Alto Tribunal respecto de que el defecto estructural en los modelos de gestión, vigilancia y supervisión constituye el fundamento de la responsabilidad del injusto corporativo, ha derivado en pronunciamientos que alertan a las empresas de la extrema conveniencia de adoptar un programa de compliance.

3.1.       “La Bisiesta” y su aportación a la discusión sobre la exención por cumplimiento normativo: naturaleza, carga de la prueba y fundamento

Como es conocido, la STS 154/2016, de 29 de febrero, abogó por una interpretación favorable al modelo de autorresponsabilidad. El fallo fue suscrito por ocho Magistrados y cuestionado por un Voto particular que firmaron siete Magistrados. En síntesis, “la Bisiesta” estima parcialmente un recurso de casación interpuesto por tres mercantiles condenadas en primera instancia a penas de disolución y multa por un delito contra la salud pública[31]. Y, sabedores de que este fallo marcaba un hito jurídico, los integrantes del Pleno de la Sala Segunda optaron por pronunciarse sobre los fundamentos del (entonces) nuevo modelo de responsabilidad penal corporativa. Para la mayoría del Tribunal, el art. 31 bis CP responde al modelo de autorresponsabilidad de la persona jurídica, en el que a las empresas se les castiga por sus propios delitos. De modo que el delito de la persona física sería solo el presupuesto, pero no el fundamento de dicha responsabilidad. En cambio, el fundamento de la responsabilidad penal corporativa sería doble: la ausencia de medidas de control de riesgos penales y la falta de una cultura de cumplimiento de la legalidad. Es decir, para castigar a las empresas sería preciso acreditar la ausencia de un programa de compliance y también la falta de una cultura corporativa de cumplimiento del Derecho. De las muchas consecuencias que se derivan de tal posición, el Tribunal insistió en el reconocimiento de derechos fundamentales y garantías procesales a las empresas en los mismos términos que a los individuos, correspondiendo la carga de la prueba sobre la eficacia del programa de compliance a la acusación. En concreto, y contrariamente a lo afirmado tan solo unas semanas antes por la Fiscalía General del Estado[32], se afirmó que:

“[…] más allá de la existencia de modelos de organización y gestión que, cumpliendo las exigencias concretamente enumeradas en el actual art. 31 bis 2 y 5, podrían dar lugar, en efecto, a la concurrencia de la eximente en este precepto expresamente prevista, de naturaleza discutible en cuanto relacionada con la exclusión de la culpabilidad, lo que parece incorrecto, con la concurrencia de una causa de justificación, o más bien, con el tipo objetivo, lo que sería quizá lo más adecuado puesto que la exoneración se basa en la prueba de la existencia de herramientas de control idóneas y eficaces cuya ausencia integraría, por el contrario, el núcleo típico de la responsabilidad penal de la persona jurídica, complementario de la comisión del ilícito por la persona física”.

El Voto Particular quiso llamar la atención sobre las peligrosas consecuencias que la resolución del Pleno podía acarrear en este punto. En un apartado al que tituló «La ausencia de una cultura de control como elemento del tipo objetivo», criticó la probatio diabólica que parecía suscribir “la Bisiesta”, al hacer recaer en la acusación la prueba de un elemento negativo del tipo y cortar con la larga tradición jurisprudencial del Alto Tribunal favorable a asignar la carga probatoria de las eximentes a quien las aduce.

En concreto, el Voto particular se opuso frontalmente a admitir que exista algo así como un delito corporativo consistente en la falta de un compliance y de una cultura corporativa que deban ser probadas por la acusación. En cambio, en opinión de quienes suscribieron este Voto, únicamente debe probarse la concurrencia de programas de compliance idóneos para integrar las circunstancias de exención de responsabilidad de los arts. 31 bis 2 y 4 CP. Tal circunstancia, entienden los firmantes del Voto, debe ser probada por la propia defensa de la empresa, pues lo contrario supondría admitir un «modelo probatorio excepcional y privilegiado para las personas jurídicas».

Como es de ver, tres fueron —como mínimo— las cuestiones relativas a la exención por cumplimiento normativo que, de modo absolutamente pionero, la STS 154/2016 supo aportar a la discusión judicial y doctrinal: i) La naturaleza jurídica de la exención del art. 31 bis 2 CP, como elemento del tipo objetivo, como eximente de la culpabilidad o como eximente procesal; ii) La carga de la prueba respecto de dicha exención de pena; y iii) La posibilidad o no de que el fundamento de la exención radique, además de en el la eficacia de las concretas medidas de gestión y prevención (compliance), en la cultura de cumplimiento.

3.1.1.   La naturaleza jurídica de la exención por cumplimiento normativo y su relevancia para determinar la titularidad de la carga de la prueba

En lo que se refiere a la titularidad de la carga de la prueba del compliance, la doctrina favorable al modelo de autorresponsabilidad consagrado por “la Bisiesta” ha desarrollado una “propuesta integradora”[33], encaminada a salvaguardar la lógica de la STS 154/2016, pero alejándola de los peligros acertadamente advertidos por los autores del Voto particular. De acuerdo con Gómez-Jara, tal propuesta integradora consistiría en dividir el hecho propio de la persona jurídica a que se refirió “la Bisiesta” en dos grupos. Por un lado, los hechos concretos/delito concreto objeto de imputación, cuya prueba corresponde a la acusación (prueba del tipo/injusto). Por otro lado, el funcionamiento del sistema de gestión de compliance penal, cuya prueba corresponde a la defensa (prueba de la culpabilidad/eximente). Aunque no es posible detenerse ahora en la detallada discusión que requiera dicha postura, lo que sí es cierto es que casa perfectamente con el sistema de defensas afirmativas y negativas del Derecho angloamericano, en el que nacieron los programas de compliance. Y permite encontrar un punto de diálogo entre los defensores del modelo de autorresponsabilidad de las personas jurídicas y quienes, sin ser partidarios de un (constitucionalmente cuestionable) modelo vicarial puro, entienden que no es posible imputar delitos culpables a las personas jurídicas. Desde esta perspectiva, y con independencia de la aproximación epistemiológica de la que se parta al interpretar el modelo de responsabilidad del art. 31 bis CP, parece razonable exigir la prueba a la acusación del estado de cosas peligroso de favorecimiento de delitos de los integrantes de la entidad (defensa negativa). En cambio, la prueba de la existencia de las condiciones procedimentalizadas de permisión del riesgo representado por la persona jurídica (defensa positiva) le corresponde a la defensa[34].

De hecho, esta ha sido la línea seguida por la jurisprudencia del Tribunal Supremo, tal y como puso de manifiesto la segunda sentencia del Tribunal Supremo en materia de responsabilidad penal corporativa STS 221/2016, de 16 de marzo (ponente: Marchena Gómez), que se dictó apenas unas semanas después de “la Bisiesta”. En síntesis, la STS 221/2016, de 16 de marzo, concluye que la responsabilidad penal de las personas jurídicas conlleva la imposición de verdaderas penas (no medidas de seguridad), que deben ir revestidas de las garantías que la concreta naturaleza corporativa admita como aplicables. Así, se pronuncia expresamente en favor de reconocer a las personas jurídicas el derecho a la presunción de inocencia en los mismos términos que a las personas físicas, de modo que solo se podrá castigar a la corporación por un injusto propio que deberá ser probado por la acusación. A saber: la existencia de un defecto estructural en los modelos de gestión, vigilancia y control (compliance) de la persona jurídica. Lo cual condiciona el proceso dirigido contra la empresa: además de que deberá tomarse declaración a su representante procesal (no representante legal), la imputación y consiguiente averiguación propia de la fase de Instrucción debe centrarse en los elementos organizativo-estructurales que hayan permitido un déficit de prevención en los sistemas de compliance existentes en la empresa.

De este modo, la STS 221/2016, de 16 de marzo, marcó un nuevo hito en la jurisprudencia del Tribunal Supremo relativa a la responsabilidad penal de las personas jurídicas: esclareció que debe velarse por el reconocimiento de las garantías penales y procesales a las personas jurídicas, con independencia de la interpretación que se haga de la fundamentación de dicha responsabilidad.

Ahora bien, la Sala Segunda aún no ha concretado cuál es el estándar de prueba que se requiere tanto en el caso de la prueba del defecto de organización (que recae en la acusación), como en el de la prueba de la existencia de un compliance eficaz (que recae en la defensa). Al respecto, en la doctrina parece existir cierto consenso en rebajar el estándar de prueba respecto de la acreditación de la eficacia preventiva de un programa de cumplimiento por parte de la defensa. Así, algunos autores proponen recurrir al estándar de prueba preponderante (preponderance of evidence), en cuya virtud sería suficiente con conseguir acreditar más la existencia de un elemento que su inexistencia. Así ha venido operándose respecto de la prueba de las circunstancias que sirven de base a una eximente de la responsabilidad penal: atribuyen a la defensa una carga de alegación razonable[35], suficiente para suscitar la duda en el tribunal sobre si el acusado, en virtud de tal eximente, queda o no exonerado de responsabilidad penal. Será la acusación quien deba demostrar que tal eximente no concurre en el hecho o en su responsable[36].

Además, otros autores incluso abogan por rebajar el estándar de prueba también en el caso de la prueba por parte de la acusación de los elementos tendentes a desvirtuar la presunción de inocencia[37]. Entienden que la prueba del defecto de organización no debe ser por encima de toda duda razonable (beyond any reasonable doubt), pues conlleva una dificultad que pone en jaque las ambiciones de prevención que impulsaron a introducir el castigo corporativo en el art. 31 bis CP. Así, en aras de la eficacia del propio sistema y de que no están en juego penas de prisión, parte de la doctrina entiende que debería bastar con la regla de la prueba clara y convincente (clear and convincing evidence)[38].

En cualquier caso, como se ha explicado, lo que sí parece ya bastante asentado es que la acusación debe probar la existencia de un injusto y la defensa la existencia de medidas de gestión idóneas que alegue en su defensa. Supondría un matiz importante a “la Bisiesta”, sin contradecirla. Ahora bien, las conclusiones de “la Bisiesta” en torno la determinación del objeto de la prueba de compliance han demostrado ser más discutibles. Como se verá, la referencia a que la exención puede operar incluso al margen del art. 31 bis 2 CP si se acredita la existencia de una «cultura de cumplimiento» no parece haber tenido eco en la jurisprudencia posterior de la Sala. Sin embargo, en la práctica del asesoramiento jurídico en compliance, en la doctrina y en la propia defensa procesal de personas jurídicas, es frecuente que los programas de cumplimiento se asocien a la ética corporativa. Y ello podría dar pie a conclusiones —equivocadas— de que una persona jurídica que, en general, cumpla con el Derecho puede no ser castigada; o que hay que probar una ética empresarial para acceder a la exención ex art. 31 bis CP. De ahí, que sea necesario dilucidar cuál es el verdadero papel que la cultura de cumplimiento desempeña en la exención por cumplimiento normativo.

3.1.2.   El fundamento de la exención por cumplimiento normativo y su relevancia para determinar el objeto de la carga de la prueba

El Fundamento de Derecho Octavo de la STS 154/2016 quiso remarcar la relevancia de la cultura de cumplimiento en la determinación de la responsabilidad penal de las personas jurídicas:

“la determinación del actuar de la persona jurídica […] ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran […] independientemente incluso del cumplimiento estricto de los requisitos previstos en el Código penal de cara a la existencia de la causa de exención de responsabilidad a la que alude el apartado 2 del actual artículo 31 bis CP”.

Sin embargo, como se apuntó anteriormente, el Voto particular criticó dicha afirmación, porque el legislador no exige para la condena de las personas jurídicas acreditar la inexistencia de una cultura de cumplimiento. Cuestión distinta es que se ofrezca a las personas jurídicas la posibilidad de acceder a una exención de pena si se cumplen los requisitos del art. 31 bis 2, 4 y 5 CP. Pero son estos, y no el concepto metalegal de “cultura de cumplimiento”, los requisitos que habrían de probarse para acceder a la exención de pena.

Es cierto que la Circular FGE 1/2016 empleó la noción de “cultura de cumplimiento” de forma reiterada, con expresiones como “cultura ética empresarial”, “cultura corporativa de respeto a la ley” o “cultura de cumplimiento”[39]. Con ello se trató de concretar los requisitos que permiten acceder a la exención de responsabilidad penal por cumplimiento normativo. Sin embargo, a diferencia de lo que ocurre en otros ordenamientos jurídicos como el estadounidense, en el caso del Código penal español ni siquiera existe una referencia a tal noción[40]. Es más, parte de la doctrina se ha mostrado crítica —a mi modo de ver, acertadamente—, con admitir una exención sustentada sobre dicha base, por entender que constituye un reverso positivo del concepto de culpabilidad por conducción de la vida y una extensión de las teorías éticas de la virtud para personas físicas a quienes, como las personas jurídicas, carecen de agencia moral (ni penal) propia[41].

Consciente de los problemas que conlleva la fundamentación de la responsabilidad penal corporativa en algo no exigido por el Código penal, el Alto Tribunal parece haber acogido en este punto la tesis defendida en el Voto particular y ha tendido a restringir el núcleo de imputación corporativa a los defectos en el sistema de control, sin mencionar la exigencia de elemento cultural alguno[42].

Así se apreció en la segunda sentencia del Tribunal Supremo en materia de responsabilidad penal corporativa, a la que acaba de hacerse referencia. En la STS 221/2016, de 16 de marzo (ponente: Marchena Gómez), el Tribunal Supremo se pronuncia en contra de la Circular FGE 1/2016 en dos puntos clave: i) mantiene el criterio en el sentido de atribuir la carga de la prueba de la insuficiencia de las medidas de control sobre la acusación; y, a los efectos que ahora interesan, ii) exige que, una vez probada la autoría de la persona física, se pruebe también el nexo causal entre delito y defecto de organización en el seno de la persona jurídica. Es decir: el núcleo de la conducta por la que castigar a la empresa es el incumplimiento grave de sus deberes de supervisión, no la inexistencia genérica de una “cultura de cumplimiento”.

Ahora bien, como trataré de mostrar más adelante, será difícil que una persona jurídica pueda estar en condiciones de acceder a la exención del art. 31 bis CP si con anterioridad al delito no cuenta con una estructura de cumplimiento sólida, dotada de procedimientos y mecanismos de prevención, detección y reacción frente a eventuales ilícitos. De modo que, si bien no puede sostenerse legalmente que la ausencia de cultura de cumplimiento integre el injusto propio de la persona jurídica, su existencia sí opera, de facto, como una “condición de posibilidad” para la exención. Solo esa organización en compliance permitirá que la persona jurídica cuente con pruebas suficientes respecto de cada uno de los elementos del art. 31 bis 2 y 4 CP y que reaccione frente al delito en el tiempo y forma que exigen las atenuantes del art. 31 quáter CP. Así, por ejemplo, difícilmente podrá “aportar al procedimiento pruebas nuevas y decisivas” la persona jurídica que carezca de una política de investigaciones internas y de canal de denuncias, de unos protocolos de asignación de responsabilidades o de una política de conservación de documentos. El Código penal no exige tal cultura corporativa (argumento de taxatividad). Y, en opinión de un sector no pequeño de la doctrina, no podría hacerlo sin incurrir en el error de atribuir agencia a quien no puede delinquir al margen de las personas físicas que la integran (argumento epistemiológico)[43]. Sin embargo, el Código penal (des)valora las situaciones creadas en el entorno de la persona jurídica[44] y, en lo que aquí interesa, beneficia aspectos cuya alegación exitosa dependerá, en no pocos casos, de la preexistencia de toda una cultura de cumplimiento en la empresa. Y, desde esta perspectiva, la STS 154/2016 supo intuir que la exención por cumplimiento va más allá de contar con un programa de compliance.

Como se expuso anteriormente, a fecha de escribir la presente contribución no existe un pronunciamiento del Tribunal Supremo que directamente haya debido pronunciarse sobre la concurrencia de la exención de compliance prevista en los arts. 31 bis 2 y 4 CP. Sin embargo, además de consolidar su opinión en torno al modo en el que debe practicarse la prueba del compliance, el Tribunal Supremo ha sido pionero al pronunciarse sobre la falta de necesidad de un programa de compliance en entidades sin una mínima complejidad estructural, en distinguir la exención por cumplimiento de las actuaciones post-delictivas de la entidad o al reconocer que, además de evitar el delito de la persona jurídica (compliance ad extra), los programas de compliance pueden ser igualmente eficaces para combatir el fraude interno (compliance ad intra).

3.2.        Los programas de compliance en la jurisprudencia del Tribunal Supremo

En primer lugar, debe destacarse que el Tribunal Supremo ha reconocido en abstracto el valor de descargo que podría tener un programa de compliance que hubiera sido adoptado en los términos exigidos por los arts. 31 bis 2 y 4 CP. Por ejemplo —como se vio anteriormente a propósito de los fundamentos del sistema—, al exigir que la concurrencia virtualmente exoneratoria de un programa de compliance sea acreditada por la defensa (quedando la prueba de su ausencia incriminatoria en manos de la acusación). Ahora bien, aún permanece abierta la discusión en torno a la naturaleza jurídica de dicha exención. El art. 31 bis 2 CP se refiere a “quedar exenta” la responsabilidad y se discute sobre si constituye una verdadera circunstancia eximente de la culpabilidad cuya apreciación corresponde al Tribunal sentenciador, o si más bien es una circunstancia objetiva de la tipicidad valorable por el Órgano Instructor.

Asimismo, el Tribunal Supremo se ha pronunciado sobre el compliance en sentido negativo; es decir: sobre la no concurrencia de medidas de gestión y control idóneas en los términos del art. 31 bis 2 CP. Por ejemplo, para distinguir la concurrencia de factores con virtualidad exoneratoria de otras circunstancias que, si bien pueden conducir a una atenuación de la pena ex art. 31 quáter CP, no muestran una gestión y control de riesgos suficientemente eficaz como para su exención ex art. 31 bis 2 y 4 CP. Esto es, precisamente, lo que ocurrió en el caso en el que se confirmó la condena del club de fútbol RAYO VALLECANO SAD. La Sentencia del Tribunal Supremo casa y anula parcialmente el fallo objeto de recurso y condena a la entidad por un delito contra la Hacienda Pública en relación con el pago del IRPF durante el cuarto trimestre de 2010. Lo interesante del fallo a efectos de la exención de compliance, es que el Tribunal Supremo rechazó que las acciones post-delictivas encaminadas a confesar, colaborar y reparar el daño pudieran equipararse a las medidas eficaces para prevenir y detectar delitos que exigen los arts. 31 bis 2, 4 y 5 CP o, en su defecto, el art. 31 quáter CP.

Asimismo, el Tribunal Supremo ha rechazado que la concurrencia de un programa de compliance pueda servir como prueba de descargo para la responsabilidad civil derivada del delito ex art. 120.4 CP[45]. Esta forma de responsabilidad de basa en la teoría del riesgo ajena a la culpa y, pese a que puede generar consecuencias negativas para las empresas, no puede ser enervada mediante la prueba de un compliance eficaz.

Igualmente, el Tribunal Supremo ha desarrollado una interesante doctrina sobre lo que ha denominado “compliance ad intra” y “compliance ad extra[46]. El compliance ad extra se refiere a los mecanismos de compliance para evitar la responsabilidad penal de la persona jurídica, en el sentido del art. 31 bis 2 y 4 CP. Pero, en opinión del Tribunal Supremo, el compliance también sirve para evitar que la propia empresa sea víctima de los delitos de sus directivos. Así, los programas de compliance no solo es un tema relacionado con responsabilidad penal de las personas jurídicas por delitos «desde dentro hacia fuera» sino «desde dentro hacia dentro». De este modo, entiende el Alto Tribunal que el fraude interno se posibilita y permite si no hay compliance o si los directivos con mando en la empresa no lo conocen.

En esta línea, el Tribunal Supremo ha esclarecido que, si bien los programas de compliance y los informes forensic son un instrumento útil para detectar el fraude interno y los abusos de confianza, su ausencia no supone una autopuesta en peligro de la empresa-víctima suficiente como para negar el carácter típico del engaño propio del delito de estafa[47]. Lo cual, aunque la Sala Segunda no lo diga expresamente, permite afirmar que el compliance no es algo obligatorio, pero sí muy recomendable. Lo cual, podría hacerse extensivo, mutatis mutandis, a otros delitos por los que responsabilizar a personas físicas y/o a personas jurídicas distintos de la estafa. Por ejemplo, para negar que la ausencia de un programa de compliance sea per se una conducta de administración desleal del art. 252 CP, por la que castigar a los administradores de una empresa.

Ahora bien, sin perjuicio de estas cuestiones, y en la línea de cuánto se viene apuntando, es preciso reiterar que en la jurisprudencia del Tribunal Supremo aún quedan por determinar importantes cuestiones en relación con la responsabilidad penal de las personas jurídicas y, en lo que aquí interesa más, respecto de la eficacia exoneratoria de los programas de compliance. ¿Qué contenido concreto debe tener tal programa para ser considerado eficaz? ¿Es preciso acreditar una cultura de cumplimiento? ¿Cómo debe concretarse el cumplimiento normativo real (y no puramente cosmético)? Algunos de estos interrogantes han sido abordados por la jurisprudencia menor. Por eso, en las líneas que siguen, se ofrecerá una síntesis de algunas resoluciones dictadas en la Audiencia Nacional, que son muy ilustrativos respecto de cuál es la tendencia jurisprudencial en materia de compliance.

4.            Tendencias jurisprudenciales en torno a la exención por cumplimiento: a propósito de algunas resoluciones de la Audiencia Nacional

Como se viene exponiendo en este trabajo, existe un considerable desacuerdo, tanto a nivel doctrinal como judicial, en torno al fundamento de la exención por cumplimiento normativo del art. 31 bis 2 y 4 CP. En concreto, se discute el papel de la cultura ética o cultura de cumplimiento como elemento de atribución o de exención de responsabilidad penal a las personas jurídicas. La discusión que a tal efecto introdujo “la Bisiesta” entre los Magistrados de la Sala Segunda ha tenido eco en la jurisprudencia menor, que también se encuentra dividida. A fin de ilustrarlo, se hará referencia a algunos fallos de distintas secciones de la Audiencia Nacional[48]. Como se verá, la acreditación de una “cultura de cumplimiento” no ha demostrado ser suficiente para acceder a la exención de pena ex art. 31 bis 2 CP.

Comenzaré por el Auto de la sección 4ª de la Audiencia Nacional de 8 de julio de 2021 (ponente: Martel Rivero), confirmando el sobreseimiento provisional de la causa seguida contra la empresa INDRA, S.A., que fue acordado mediante auto de 23 de marzo de 2021 (ponente: Manuel García Castellón).

La referida mercantil estaba imputada por un presunto delito de cohecho ex art. 427 bis CP, por su pretendida implicación en las presuntas conductas de sus directivos, consistentes en corromper con dádivas por importe de 10.000 euros a cargos políticos, a cambio de adjudicaciones de contratos o servicios públicos.

En dicha resolución se confirma la decisión de instancia, por la que el Juez Central de Instrucción, había acordado el sobreseimiento provisional y archivo de la causa respecto de la corporación, con base en los arts. 641.1 y 779.1. 1º LECrim. El Auto es interesante, a los efectos de este texto, por dos motivos. Por un lado, porque ratifica —con base en la jurisprudencia del Tribunal Supremo explicada supra[49]—que el Juez de Instrucción es perfectamente competente para valorar la procedencia o no de la exención del art. 31 bis 2 CP, sin necesidad de esperar al juicio oral. Por otro lado, el Instructor entendió que la empresa había actuado con la diligencia exigible y que, por el contrario, no había quedado debidamente justificado su incumplimiento grave de los deberes de supervisión y control. De este modo, el Auto de la Sección 4ª de la Audiencia Nacional volvió a resolver a favor de la empresa INDRA, convirtiendo tal pronunciamiento en uno de los primeros en apreciar la eficacia de un programa de compliance ex art. 31 bis 2 CP.

Ahora bien, a los efectos de la presente investigación, interesa especialmente detenerse en la argumentación de la mentada resolución. Y es que, contrariamente a lo que pudiera parecer, el razonamiento de la Sección 4ª de la Sala de lo Penal de la Audiencia Nacional cifra la diligencia debida en la reacción de la empresa. De modo que la idoneidad de un programa de compliance no radicaría tanto (o no únicamente) en la prevención, sino que una gran parte de su “eficacia” debería cifrarse en el modo de gestionar la respuesta al ilícito. Concretamente, señala el Auto:

“[…] se ha acreditado la real existencia de un programa de cumplimiento normativo en el seno de Indra Sistemas S.A. que permitía prevenir y reaccionar frente al delito de cohecho que provisionalmente se venía achacando a la entidad, que mostró su eficacia con la expulsión de los empleados que, siempre con el carácter provisorio que define los resultados de la instrucción, presuntamente cometieron los hechos falsarios, defraudatorios y depredatorios que son objeto de investigación”.

En consecuencia, la resolución, sin mayor análisis, considera eficaz el modelo de cumplimiento normativo de la corporación, a la que exonera de responsabilidad penal, con independencia de la que pueda aplicarse a sus empleados (debería decir exdirectivos). Precisamente, haber puesto el acento en la reacción corporativa es uno de los motivos que explicaría por qué no se accedió a practicar las diligencias instructoras solicitadas como imprescindibles por el Ministerio Fiscal. A saber, la declaración del responsable de cumplimiento normativo y la ratificación de los firmantes de las certificaciones de expertos independientes elaboradas por DLA Piper y Aenor, evaluando precisamente la eficacia del programa de cumplimiento normativo de INDRA. T

Por su parte, el Auto del Juzgado Central de Instrucción nº 6, de 29 de julio de 2021 (ponente: García Castellón), acordó el sobreseimiento y archivo respecto de CAIXABANK y REPSOL, por presuntos delitos de cohecho y revelación de secretos ex arts. 427 bis y 197 quinquies CP (Pieza separada proyecto Wine del denominado “caso Villarejo”). Pero el núcleo de la argumentación fue distinto al que acaba de analizarse. En este caso, el Instructor sustentó su decisión sobre la valoración de los informes periciales que las entidades aportaron en fase de instrucción, relativas a las medidas de prevención de delitos y la cultura ética y de cumplimiento normativo. Así, en la misma línea que se hiciera en la “sentencia Bisiesta”, atribuyó un papel central a la cultura de cumplimiento normativo y entendió que de la documentación aportada se podía inferir la eficacia de los programas de cumplimiento, pues estos existían antes de cometerse el presunto hecho punible, y desde entonces sendas corporaciones contaban con la oportuna cultura y políticas aptas para evitar los delitos imputados[50].

Ahora bien, pese al meritorio esfuerzo argumentativo de dicha resolución —que constituye una de las primeras en evaluar la eficacia de los modelos de compliance—, el razonamiento no se centra en el modo en el que los elementos de la cultura corporativa demuestran la concurrencia de los elementos del art. 31 bis 2 CP, que es donde debe cifrarse la exención de responsabilidad penal. Se constata la existencia de un programa de compliance con los elementos exigidos por el art. 31 bis 5 CP. Sin embargo, eso es solo el primero de los requisitos del art. 31 bis 2 CP para eximir de responsabilidad penal. Junto a ello, como determina la Ley, hay que acreditar la existencia de un órgano encargado de la supervisión del modelo, la elusión fraudulenta del mismo y la no omisión por parte del órgano de cumplimiento de sus deberes de supervisión, vigilancia y control[51]. Pero, por ejemplo, el Auto no explicó en su resolución por qué consideraba idónea la documentación aportada, como por ejemplo, el mapa de riesgos o los resultados de la investigación interna.

Por este motivo, dicha decisión fue revocada mediante Auto nº 51/2022, de 7 de febrero, dictado por la Sección 3.ª de la Sala de lo Penal de la Audiencia Nacional. En él, se entiende que el sobreseimiento a las entidades REPSOL, S.A. y CAIXABANK, S.A sería prematuro, al persistir indicios de que los respectivos programas de cumplimiento normativo no fueron debidamente aplicados, siendo necesarias diligencias de investigación adicionales.

En el mismo sentido se pronunció la Sección 4.ª de la Sala de lo Penal de la Audiencia Nacional en su Auto de 14 de marzo de 2022, al denegar el sobreseimiento respecto de la auditora Deloitte en el “caso Abengoa”. Gráficamente, señala la mentada resolución que:

“Los programas de cumplimiento no implican por sí mismos una patente de corso; su mera existencia, ni exime, ni atenúa la responsabilidad penal, sino que debe expresar necesariamente un compromiso corporativo que realmente disuada de conductas criminales (certificaciones de calidad de los programas). […] Una vez acreditada su existencia, los esfuerzos deben ir dirigidos a acreditar su eficacia y utilidad, es decir, su aptitud para minimizar en términos razonables el riesgo de incumplimiento por la persona jurídica”.

Pues bien, como puede apreciarse, aún queda mucho por esclarecer en cuanto a si y en qué supuestos los programas de compliance sirven para eximir de responsabilidad penal. Lo que sí parece claro, es que la cultura de cumplimiento, además de resultar un criterio conflictivo, no suple la necesidad de que el programa de compliance haya sido idóneo a nivel preventivo y también reactivo. Es decir, la empresa deberá reaccionar al delito detectado con medidas que impidan desvalorar su entorno organizativo (o, en terminología del modelo de autorresponsabilidad: que acrediten una voluntad de cumplimiento incuestionable). Y, entre dicha reacción, parece que está la de colaborar con las autoridades judiciales, mediante la aportación al procedimiento de pruebas que sirvan para esclarecer responsabilidades.

De hecho, la Pauta 9ª de la Circular de Fiscalía General del Estado de la importancia de estas actuaciones post-delictivas para obtener la exención de pena[52].  Línea argumental que acogió el Ilustre representante del Ministerio Fiscal en el entonces escrito de acusación relativo a la salida a bolsa de BANKIA (cuya absolución se ha confirmado recientemente)[53]. Concretamente, respecto de las personas jurídicas hasta entonces imputadas, se concluyó lo siguiente:

“El comportamiento de BFA / BANKIA como corporación acredita el compromiso de sus dirigentes con una cultura ética empresarial, a partir de los siguientes hechos:

– (…)  promovió (…)  un cambio de gobierno corporativo, con el nombramiento de un Consejo de Administración (…).

– (…) ha colaborado con la investigación judicial en las presentes Diligencias Previas, aportando con diligencia la documentación que le ha sido requerida pese a ostentar la condición de imputada/investigada en el procedimiento.

– (…) puso en marcha una investigación para aclarar la entrega y el uso de tarjetas de crédito por consejeros y miembros de la Comisión de Control y directivos de Caja Madrid y BANKIA (…).

– (…) procedió (…) a devolver el importe íntegro de su inversión inicial a todos los accionistas minoristas que acudieron a la salida a bolsa (…).

La conducta corporativa de BANKIA demuestra el compromiso de sus actuales dirigentes con una cultura de cumplimiento corporativo que alcanza a la exención de la pena que pudiera corresponderle de conformidad con lo dispuesto en el art. 31 bis CP”.

Se trata de un criterio extra legem que, amplía la exención del 31 bis 2 CP con las atenuantes postdelictivas (confesión, colaboración, reparación) del art. 31 quáter CP[54]. En sentido estricto, la reparación del daño, la colaboración con la instrucción, etcétera, son aportaciones posteriores al delito, y, por lo tanto, deberían tener únicamente efectos en la atenuación de la pena. Pero, a la vista de la jurisprudencia analizada, puede afirmarse que la propia lógica del sistema avala consideraciones favorables a la exoneración de responsabilidad penal, si queda acreditado que la entidad no puede ser vinculada al hecho delictivo de sus integrantes.

Y esto, no se logra solo con una cultura de cumplimiento preexistente al delito. Ante un riesgo cero que ningún programa de compliance, por acertado que sea, puede conseguir, la entidad debe estar en condiciones de acreditar la idoneidad preventiva y también reactiva se sus procedimientos de gestión y control de riesgos. Los delitos los cometen personas físicas y lo que la exención del art. 31 bis 2 CP exige acreditar se orienta a demostrar que quien delinquió se apartó fraudulentamente de los procesos existentes. Ello no se prueba solo con los mecanismos preventivos implementados con anterioridad al delito. Además, hace falta que existan mecanismos reactivos que permitan expresar la condena del delito por parte de la propia persona jurídica, así como facilitar el castigo a los verdaderos responsables.

5.            Conclusión

Actualmente, una de las cuestiones que, en términos prácticos, está más necesitada de un pronunciamiento jurisprudencial inequívoco por parte del Alto Tribunal en materia de responsabilidad penal de las personas jurídicas son las condiciones de idoneidad de los programas de compliance.

Como se ha puesto de manifiesto en este trabajo, la STS 154/2016, de 29 de febrero tuvo el mérito de apuntar la centralidad de los programas de compliance en todo el sistema de atribución de responsabilidad penal a las empresas y, en concreto, encendió a nivel jurisprudencial el debate —ya existente en la doctrina— en torno a: i) La naturaleza jurídica de la exención del art. 31 bis 2 CP, como elemento del tipo objetivo, como eximente de la culpabilidad o como eximente procesal; ii) La carga de la prueba respecto de dicha exención de pena; y iii) La posibilidad o no de que el fundamento de la exención radique, además de en el la eficacia de las concretas medidas de gestión y prevención (compliance), en la cultura de cumplimiento.

Asimismo, la jurisprudencia posterior de la Sala Segunda del Alto Tribunal ha concretado importantes cuestiones en relación con los programas de compliance. Como se ha detallado, el Alto Tribunal se ha pronunciado (en abstracto) sobre la idoneidad exoneratoria de los programas de compliance. También ha ahondado en el modo en el que debe practicarse la prueba del compliance. Además, el Tribunal Supremo ha sido pionero al pronunciarse sobre la falta de necesidad de un programa de compliance en entidades sin una mínima complejidad estructural y al reconocer que, además de evitar el delito de la persona jurídica (compliance ad extra), los programas de compliance pueden ser igualmente eficaces para combatir el fraude interno (compliance ad intra).

No obstante, aún quedan por determinar importantes cuestiones en relación con los programas de compliance, que ni el Código penal ni la Ley de Enjuiciamiento Criminal han acertado a concretar. Una de ellas ha sido tratada extensamente en este trabajo. A saber, la relevancia de la cultura de cumplimiento o cultura ética, como elemento separado de la concreta operatividad en concreto del programa de compliance. Una ajustada mayoría del Tribunal Supremo en la STS 154/2016 se mostró favorable incluso a considerar su ausencia como un elemento incriminatorio. La Sala Segunda no parece haber secundado tal criterio en sus pronunciamientos posteriores. Sin embargo, en algunos pronunciamientos de la Audiencia Nacional, se ha aludido expresamente a la cultura de cumplimiento normativo como elemento fundamentador de la exención de responsabilidad penal. La revocación de las decisiones sustentadas sobre dicha base podría sugerir que no es un criterio, en sí mismo, determinante. En cambio, sí podría serlo la acreditación de procedimientos idóneos desde un punto de vista preventivo y también reactivo.

A lo largo de estas páginas ha tratado de mostrarse que, a la hora de decidir sobre la exención de responsabilidad, está siendo decisiva la reacción desde la persona jurídica al ilícito detectado/investigado. En una línea que recuerda a los motivos que inspiraron la ISO 19.600 (actualmente ISO 37.301) y la UNE 19.601, los Tribunales están concediendo mucha importancia a que los programas de compliance no sean un mero formalismo y están atendiendo (sin denominarlo así) a su capacidad preventiva y reactiva. En concreto, la capacidad de un programa de compliance para encauzar la reacción frente a un ilícito intra-empresarial está demostrando ser decisiva para decidir sobre el archivo respecto de personas jurídicas imputadas. Y ello no será posible si las dinámicas y procedimientos de la entidad no están informados por una cultura de cumplimiento. Por este motivo, aquí se ha defendido que la cultura de cumplimiento a que se refieren, entre otras, la STS 154/2016, la ISO 37.301 y la UNE 19601, es una “condición de posibilidad” para que la persona jurídica implemente con eficacia los mecanismos preventivos y reactivos en compliance. Pero es la operatividad y la eficacia en concreto de dichos mecanismos de prevención y reacción la que justifica la exención de cumplimiento ex art. 31 bis 2 y 5 CP. Por ende, aunque una opinión pericial pueda hacer referencia a la cultura de cumplimiento (pues no entra a valorar cuestiones jurídicas, sino el cumplimiento de un estándar), los Tribunales deberán interpretar si tal cultura se tradujo en una idoneidad preventiva y reactiva en los términos del art. 31 bis 2, 4 y 5 CP.

Como el Excmo. Sr. D. José Manuel Maza Martín supo comprender bien, la novedad y la complejidad de la responsabilidad penal de las personas jurídicas exige mirar más allá de la concreta regulación penal. Es preciso interpretar la legislación vigente desde su verdadero telos. Y para ello, conviene atender a los fines del sistema y a las best practices a nivel internacional, en aras de promover un verdadero y eficaz cumplimiento normativo en y desde las organizaciones.

Bibliografía

Aguilera Gordillo, Manual de Compliance penal en España, Thomsom Reuters, Aranzadi, 2.ª ed, 2022.

ASCOM/CEOE /IEE, Estudio sobre la función del compliance en las empresas españolas, 2020, pp. 1-38.

Bajo Fernández/Feijóo Sánchez/Gómez-Jara Díez, Tratado de responsabilidad penal de las personas jurídicas, 2ª ed., Aranzadi, Cizur Menor, 2016.

Bonatti Bonet (coord..) et al., Memento Sistemas de Gestión Compliance: Normas ISO y UNE 19601, Francis Lefebvre, Madrid, 2017.

Brown/Kandel/Gruner, The Legal Audit: Corporate Internal Investigation, Thomsom West, Rochester (NY), 2003, passim.

Casanovas Ysla, Compliance penal normalizado. El estándar UNE 19601, Aranzadi, Cizur Menor, 2017, p. 89.

Cigüela Sola y Ortiz de Urbina Gimeno, «Responsabilidad penal de las personas jurídicas», en Silva Sánchez (dir.)/Robles Planas (coord..), Lecciones de derecho penal económico y de la empresa, Atelier, Barcelona, 2019, pp. 82 y 83.

Cigüela Sola, Compliance más allá de la ciencia penal, InDret, 2019, passim.

Cigüela Sola, InDret. Revista crítica de jurisprudencia penal, 1 (2021), pp. 638 ss.

Circular FGE 1/2016

Coffee Jr., Corporate Crime and Punishment, Berrett-Koehler Publishers, Oackland (CA) Estados Unidos, 2020.

Consejo de Derechos Humanos de las Naciones Unidas, Principios Rectores sobre las Empresas y los Derechos Humanos, de 7 de abril de 2008: (https://www.ohchr.org/sites/default/files/documents/publications/guidingprinciplesbusinesshr_sp.pdf).

Cuerda Riezu, «La prueba de las eximentes en el proceso penal: ¿obligación de la defensa o de la acusación?», InDret, 2/2014, 19 páginas.

De Erice Aranda, «¿El fin de la impunidad? Análisis de la nueva iniciativa del Parlamento Europeo respecto a Derechos Humanos y empresas», Revista de Estudios Europeos, 2022, vol. 79, pp. 473-497.

Del Moral García, «A vueltas con los programas de cumplimiento normativo y su trascendencia penal», en Revista de Jurisprudencia, octubre, 2017, versión online.

Dennis, The law of evidence, 6th edition, Sweet & Maxwell, London, 2017.

Gallego Soler, «Criminal Compliance y Proceso penal: reflexiones iniciales», en Mir Puig/Corcoy Bidasolo/Gómez Martín (dirs.) y Hortal Ibarra/Valiente Iváñez (coords.), Responsabilidad de la empresa y Compliance. Programas de prevención, detección y reacción penal, BdeF, Montevideo, Buenos Aires, 2014, pp. 195-230.

Goena Vives, Responsabilidad penal y atenuantes de la persona jurídica, Marcial Pons, Madrid, 2017, passim.

Gómez-Jara Díez, «La culpabilidad penal propia de la persona jurídica: reto para la teoría, necesidad para la práctica», en Silva Sánchez/Miró Llinares (dirs.) La teoría del delito en la práctica penal económica, La Ley, Madrid, 2013, pp. 503-541.

Gómez-Jara Díez, El Tribunal Supremo ante la Responsabilidad penal de las personas jurídicas. El inicio de una larga andadura, 2ª edición, Aranzadi, 2019.

González Cussac, «La eficacia eximente de los programas de prevención de delitos», Estudios Penales y Criminológicos, (39), 2019, pp. 593 ss., pp. 643 ss., con referencias.

Jiménez-Gusi/Pol, «El anteproyecto de reforma del Código penal: un paso de gigante hacia una cultura de compliance y la lucha contra la corrupción», AJA núm. 867, 4 de julio de 2013, p. 9.

Lascuraín Sánchez, «¿Cuánto hay que probar el incumplimiento?» en el blog Almacén de Derecho. Texto disponible en: https://almacendederecho.org/cuanto-hay-que-probar-el-incumplimiento/ (última consulta: 2 de diciembre de 2022).

Marchena Gómez, «La contribución del Magistrado José Manuel Maza a la consolidación de un modelo de autorresponsabilidad penal de las personas jurídicas», en VV.AA. Gómez-Jara Díez (dir.), La responsabilidad penal de las personas jurídicas. Homenaje al Excmo. Sr. D. José Manuel Maza Martín, Aranzadi, Cizur Menor (Navarra), 2018, pp. 253 ss.

Maza Martín, «Presentación», en Casanovas Ysla, Compliance penal normalizado. El estándar UNE 19601, 2017, pp. 15 ss.

Montaner Fernández, «¿El compliance como termómetro de la diligencia penalmente exigible a las empresas?», La Ley Compliance Penal, n. 1, 2020, pp. 1-18.

Montaner Fernández, «Compliance», en Silva Sánchez(dir.) /Robles Planas (coord.), Lecciones de Derecho penal económico y de la empresa, Atelier, Barcelona, 2020, pp. 97 ss.

Muñoz de Morales, «Vías para la responsabilidad de las multinacionales por violaciones graves de Derechos humanos», Polít. Crim., vol. 15, n. 30, 2020, pp. 948-992.

Nieto Martín, Manual de cumplimiento penal en la empresa, Tirant lo Blanch, Valencia, 2015; Mir Puig/Corcoy Bidasolo/Gómez Martín (dirs.) y Hortal Ibarra/Valiente Iváñez (coords.), Responsabilidad de la empresa y Compliance. Programas de prevención, detección y reacción penal, BdeF, Montevideo, Buenos Aires, 2014.

Ortiz de Urbina Gimeno, «Trayectoria y cultura corporativa en la exención por cumplimiento normativo: ¿hacia una teoría aretéica de la responsabilidad penal de los entes colectivos?», en García Cavero/Chinguel Rivera, Derecho penal y persona. LH a Jesús-María Silva Sánchez, Ideas, Lima, 2019, pp. 867 ss.

Ortiz de Urbina Gimeno, Ética empresarial y códigos de conducta, p. 126; Silva Sánchez, Fundamentos de Derecho penal de la empresa, 2015, pp. 411 ss.

Pérez Arias, Creación judicial del Derecho Penal. (La responsabilidad penal corporativa. Interacción legal y jurisprudencial), Dykinson, Madrid, 2022, pp. 137-147.

Sánchez-Ostiz, «Las normas de las personas jurídicas: ¡Cómo es que responde penalmente quien no puede delinquir!» en Bacigalupo/Feijóo/Echano (eds.), 2ª ed., Estudios de Derecho penal. Homenaje al profesor Miguel Bajo, Ramón Areces, Madrid, 2016, pp. 609 ss., p. 618.

Silva Sánchez, «El debate sobre la prueba del modelo de Compliance: Una breve contribución», InDret, 1 (2020), 2020, pp. iii-v.

REAL DECRETO 2200/1995, de 28 de diciembre, por el que se publica la Norma UNE 19601 de Sistemas de gestión de compliance penal.

US Sentencing Commission, Federal Sentencing Guidelines Manual (2021), relativo a los programas de compliance. Texto disponible en: https://www.ussc.gov/guidelines/2015-guidelines-manual/archive/2011-8b21

Velasco Núñez, «Responsabilidad penal de la persona jurídica: reciente jurisprudencia de la Audiencia Nacional (año 2021)», La Ley compliance penal, 8 (2022), pp. 1-4.

[1] Para una acertada visión panorámica y también a futuro de dicha cuestión, indispensable: Gómez-Jara Díez, El Tribunal Supremo ante la Responsabilidad penal de las personas jurídicas. El inicio de una larga andadura, 2ª edición, Aranzadi, 2019.

[2] A fin de poder abordar el tema con la mayor profundidad posible, se ha optado por agotar en el desarrollo de los argumentos la extensión de caracteres permitida, limitando las referencias bibliográficas a lo imprescindible.

[3] Para confrontar las distintas vías por las que se llegaba a la misma conclusión con anterioridad a que la ley lo señalase expresamente, cfr. por ejemplo, Gallego Soler, «Criminal Compliance y Proceso penal: reflexiones iniciales», en Mir Puig/Corcoy Bidasolo/Gómez Martín (dirs.) y Hortal Ibarra/Valiente Iváñez (coords.), Responsabilidad de la empresa y Compliance. Programas de prevención, detección y reacción penal, BdeF, Montevideo, Buenos Aires, 2014, pp. 195-230; Gómez-Jara Díez, «La culpabilidad penal propia de la persona jurídica: reto para la teoría, necesidad para la práctica», en Silva Sánchez/Miró Llinares (dirs.) La teoría del delito en la práctica penal económica, La Ley, Madrid, 2013, pp. 503-541, especialmente pp. 535 ss.; Ortiz de Urbina Gimeno, Ética empresarial y códigos de conducta, p. 126; Silva Sánchez, Fundamentos de Derecho penal de la empresa, 2015, pp. 411 ss.

[4] Cfr. Jiménez-Gusi/Pol, «El anteproyecto de reforma del Código penal: un paso de gigante hacia una cultura de compliance y la lucha contra la corrupción», AJA núm. 867, 4 de julio de 2013, p. 9.

[5] Cfr. BOE-A-2015-3439, Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. En la Exposición de Motivos, el legislador se expresó en los siguientes términos: «La reforma lleva a cabo una mejora técnica en la regulación de la responsabilidad penal de las personas jurídicas, introducida en nuestro ordenamiento jurídico por la Ley Orgánica 5/2010, de 22 de junio, con la finalidad de delimitar adecuadamente el contenido del “debido control”, cuyo quebrantamiento permite fundamentar su responsabilidad penal».

[6] Sobre la terminología adoptada por el Legislador español y la necesidad de integrar el concepto de programa de cumplimiento en uno, más amplio, de sistema de gestión y organización de riesgos, cfr. Montaner Fernández, «Compliance», en Silva Sánchez(dir.) /Robles Planas (coord.), Lecciones de Derecho penal económico y de la empresa, Atelier, Barcelona, 2020, pp. 97 ss.

[7] Por ejemplo, los criterios establecidos en la §8B.2 del Federal Sentencing Guidelines Manual (2021), relativo a los programas de compliance. Texto disponible en: https://www.ussc.gov/guidelines/2015-guidelines-manual/archive/2011-8b21 La Federal Sentencing Commission considera necesarios para un programa de compliance son la existencia de procedimientos preventivos escritos, la supervisión del programa por parte de un órgano específicamente designado para ello y la existencia de procedimientos que permitan la asignación de responsabilidades, la formación eficaz a los empleados, los mecanismos de auditoría y reporting, la existencia de una cultura de cumplimiento en toda la empresa y la existencia de mecanismos de respuesta rápida, como un sistema disciplinario. Se trata de criterios no mandatorios (cfr. caso United States v. Booker, 2005), pero que han tenido un enorme eco en la práctica. Como veremos, algunos de estos elementos no se encuentran expresamente mencionados en el art. 31 bis 5 CP, pero sí en el 31 bis 2 y 4 CP, en el 31 quáter d) CP y en la jurisprudencia.

[8] De hecho, el Legislador español se basó en el texto del DL 231/2001 de 8 de junio: el artículo 31 bis 2 se corresponde casi literalmente con el artículo 6.1 italiano; El artículo 31 bis 3 es casi idéntico al artículo 6.4 italiano (con la diferencia de que a diferencia de la norma italiana, el texto español sí regula lo que es una persona jurídica «de pequeñas dimensiones»). El artículo 31 bis 4 es una traducción literal del apartado 2 del artículo 7. Por su parte, y especialmente a los efectos que aquí interesan, nuestro artículo 31 bis 5 reproduce el artículo 6.2.

[9] Por cuestiones de espacio, no resulta posible una relación detallada de las muchísimas obras de compliance que se han escrito en nuestra lengua en los últimos años. Me permito, por tanto, citar algunas especialmente significativas, que contienen abundantes referencias: Aguilera Gordillo, Manual de Compliance penal en España, Thomsom Reuters, Aranzadi, 2.ª ed, 2022; Bonnatti Bonet (coord..) et al., Memento Sistemas de Gestión Compliance: Normas ISO y UNE 19601, Francis Lefebvre, Madrid, 2017; Bajo Fernández/Feijóo Sánchez/Gómez-Jara Díez, Tratado de responsabilidad penal de las personas jurídicas, 2ª ed., Aranzadi, Cizur Menor, 2016; Nieto Martín, Manual de cumplimiento penal en la empresa, Tirant lo Blanch, Valencia, 2015; Mir Puig/Corcoy Bidasolo/Gómez Martín (dirs.) y Hortal Ibarra/Valiente Iváñez (coords.), Responsabilidad de la empresa y Compliance. Programas de prevención, detección y reacción penal, BdeF, Montevideo, Buenos Aires, 2014.

[10] Cfr. Aguilera Gordillo, Manual de Compliance penal en España, Thomsom Reuters, Aranzadi, 2.ª ed, 2022, pp. 530 ss.

[11] Cigüela Sola, Compliance más allá de la ciencia penal, InDret, 2019, passim.

[12] Cfr. por ejemplo, Gómez-Jara Díez, en Tratado, pp. 181 ss., p. 206. El autor señala como pilar básico de un programa de cumplimiento: «La existencia de estándares y procedimientos relativos al Compliance, especialmente un código de conducta escrito» (cursiva añadida).

[13] Es el caso, por ejemplo, de los incentivos a whistleblowers. Sobre ello, muy interesante la aportación de Coffee Jr., Corporate Crime and Punishment, Berrett-Koehler Publishers, Oackland (CA) Estados Unidos, 2020.

[14] Así, por ejemplo, SAN 665/2018 (ponente: Ruiz Jarabo Quemada), sobre la fundamentación de un despido con base en la infracción de las disposiciones del código ético.

[15] Extensamente sobre esta cuestión, cfr. Brown/Kandel/Gruner, The Legal Audit: Corporate Internal Investigation, Thomsom West, Rochester (NY), 2003, passim.

[16] Montaner Fernández, «¿El compliance como termómetro de la diligencia penalmente exigible a las empresas?», La Ley Compliance Penal, n. 1, 2020, pp. 1-18.

[17] Maza Martín, «Presentación», en Casanovas Ysla, Compliance penal normalizado. El estándar UNE 19601, 2017, p. 19.

[18] Cfr. por ejemplo: Consejo de Derechos Humanos de las Naciones Unidas, Principios Rectores sobre las Empresas y los Derechos Humanos, de 7 de abril de 2008: (https://www.ohchr.org/sites/default/files/documents/publications/guidingprinciplesbusinesshr_sp.pdf). También en el marco del soft law internacional, también cabe destacar las OCDE, Líneas Directrices de la OCDE para Empresas Multinacionales, Revisión 2011 (https://www.oecd.org/daf/inv/mne/MNEguidelinesESPANOL.pdf ). Sobre el estado de la cuestión, cfr. De Erice Aranda, «¿El fin de la impunidad? Análisis de la nueva iniciativa del Parlamento Europeo respecto a Derechos Humanos y empresas», Revista de Estudios Europeos, 2022, vol. 79, pp. 473-497; Nieto Martín, «Diligencia debida en derechos humanos y cumplimiento normativo: el comienzo de una hermosa amistad», en Blog Almacén de Derecho, 2022, https://almacendederecho.org/diligencia-debida-en-derechos-humanos-y-cumplimiento-normativo-el-comienzo-de-una-hermosa-amistad , pp. 1-15 (última consulta: 2 de diciembre de 2022); Muñoz de Morales, «Vías para la responsabilidad de las multinacionales por violaciones graves de Derechos humanos», Polít. Crim., vol. 15, n. 30, 2020, pp. 948-992.

[19] Casanovas Ysla, Compliance penal normalizado. El estándar UNE 19601, Aranzadi, Cizur Menor, 2017, p. 89.

[20] A fin de conocer cómo se están implementando los programas de compliance en España, resulta muy útil el estudio elaborado por la Asociación Española de Compliance, ASCOM/CEOE /IEE, Estudio sobre la función del compliance en las empresas españolas, 2020, pp. 1-38.

[21] Cfr. UNE 19601, 2017, Apartado 3 (definiciones) y 7 (elementos de apoyo).

[22] En esta línea, Del Moral García, «A vueltas con los programas de cumplimiento normativo y su trascendencia penal», en Revista de Jurisprudencia, octubre, 2017, versión online.

[23] En lo que se refiere a los fundamentos sustantivos, desde el año 2016, el Tribunal Supremo ha ahondado en cuestiones concretas, algunas de las cuales fueron apuntadas en las dos primeras sentencias. Así, por ejemplo, se ha reconocido la posibilidad de castigar a las personas jurídicas en tentativa (STS 1077/2020, de 19 de mayo – ECLI: ES:TS:2020:1077 (ponente: Sánchez Melgar) y sin condena de la persona física (STS 742/2018, de 7 de febrero de 2019 – ECLI: ES:TS:2019:279 (ponente: Varela Castro). Se ha determinado el tratamiento de las dilaciones indebidas en el caso de penas a personas jurídicas (STS 746/2018, de 13 de febrero de 2019 – ECLI: ES:TS:2019:392 (ponente: Del Moral García) o se ha afirmado la posición de garante de la persona jurídica (STS 123/2019, 8 de marzo de 2019 – ECLI: ES:TS:2019:757 (ponente: Colmenero Menéndez De Luarca). Un comentario a esta y otras sentencias del Tribunal Supremo, desde el punto de vista del modelo constructivista de autorresponsabilidad: Gómez-Jara Díez, Actor corporativo y delito corporativo, Aranzadi, Cizur Menor (Navarra), 2021. Asimismo —y sin respaldo legislativo expreso— se ha afirmado la inimputabilidad por estructura pequeña/falta de complejidad en empresas con objeto lícito (STS 894/2022, de 16 de noviembre – ECLI:ES:TS:2022:4116 (ponente: Ángel Hurtado). El argumento ya se había planteado en las (SSTS 154/2016, de 29 de febrero, 108/2019, de 5 de marzo – ECLI: ES:TS:2019:736 (ponente: Lamela Díaz) y 534/2020, de 22 de octubre ECLI: ES:TS:2020:3430 (ponente: Polo García). Aunque, por ejemplo, en “la bisiesta” solo se dijo de forma hipotética. Igualmente, la Sala Segunda ha dictaminado que, en los casos de falta de complejidad estructural, esta sería una argumentación subsidiaria. En cambio, primaría argumentar con base en el bis in ídem y el levantamiento del velo (STS 746/2018, de 13 de febrero de 2019 – ECLI: ES:TS:2019:392 y STS 583/2017, de 19 de julio – ECLI: ES:TS:2017:3210 (en ambas, ponente: Del Moral García).

[24] En lo que se refiere a fundamentos procesales del sistema de responsabilidad penal corporativa, la Sala Segunda también ha ido sentando un cuerpo jurisprudencial sólido. Por ejemplo, en materia de derecho a la última palabra y de derechos procesales de las sociedades instrumentalizadas para la comisión de delitos (STS 583/2017, de 19 de julio – ECLI: ES:TS:2017:3210 (ponente: Del Moral García), irretroactividad de la Ley penal (STS 3201/2020, de 8 de octubre – ECLI: ES:TS:2020:3201 (ponente: De Porres Ortiz de Urbina), legitimación para pedir la condena de una persona jurídica (STS 499/2019, de 23 de octubre – ECLI: ES:TS:2019:3330 (ponente: Berdugo Gómez de la Torre), o condiciones mínimas en las que debe comparecer la persona jurídica imputada, a fin de evitar los conflictos de interés entre personas físicas y jurídicas (STS 123/2019, de 8 de marzo – ECLI: ES:TS:2019:757 (ponente: Colmenero Menéndez de Luarca).

[25] Sobre ello, cfr. Pérez Arias, Creación judicial del Derecho Penal. (La responsabilidad penal corporativa. Interacción legal y jurisprudencial), Dykinson, Madrid, 2022, pp. 137-147.

[26] A fecha de publicar esta síntesis, el Tribunal Supremo se ha pronunciado sobre la responsabilidad penal corporativa en un total de 84 resoluciones. De ellas, 75 son sentencias y 9 son Autos. Cfr. para una relación actualizada de jurisprudencia: https://personasjuridicas.es/resumen-jurisprudencia-del-tribunal-supremo/ (última consulta: 2 de diciembre de 2022).

[27] Así, por ejemplo, se afirma en la STS: “esta Sala Casacional ya ha formado un cuerpo de doctrina desde la STS 514/2015, de 2 de septiembre, que anuncia el principio de culpabilidad en materia de responsabilidad penal de la persona jurídica, siguiendo por la STS 154/2016, de 29 de febrero, con Sala formada en Pleno, que analiza los contornos de este tipo de responsabilidad, en donde ya se declara que no es posible un régimen de responsabilidad objetiva, y que su fundamento se residencia en la falta de control y de vigilancia. La STS 221/2016, de 16 de marzo, que proclama el delito corporativo, pasando por las siguientes Sentencias: STS 516/2016, de 13 de junio, con su Auto de aclaración (28-6-2016); STS 827/2016, de 3 de noviembre; STS 121/2017, de 23 de febrero; STS 583/2017, de 19 de julio; STS 260/2017, de 6 de abril; STS 455/2017, de 21 de junio de 2017; y STS 668/2017, de 11 de octubre de 2017, entre otras”. Lo refiere también Cigüela Sola, InDret. Revista crítica de jurisprudencia penal, 1 (2021), pp. 638 ss.

[28] Cfr. Marchena Gómez, «La contribución del Magistrado José Manuel Maza a la consolidación de un modelo de autorresponsabilidad penal de las personas jurídicas», en VV.AA., La responsabilidad penal de las personas jurídicas. Homenaje al Excmo. Sr. D. José Manuel Maza Martín, Aranzadi, Cizur Menor (Navarra), 2018, pp. 253 ss.

[29] Cfr. muy claramente en STS 583/2017, de 19 de julio – ECLI: ES:TS:2017:3210 (ponente: Del Moral García), FD Vigésimo Octavo.

[30] Cfr. las distintas posturas existentes en torno a la carga de la prueba del compliance en González Cussac, «La eficacia eximente de los programas de prevención de delitos», Estudios Penales y Criminológicos, (39), 2019, pp. 593 ss., pp. 643 ss., con referencias.

[31] Audiencia Nacional, Secc. 1ª, de 17 de noviembre de 2014 (JUR 2015, 107). El Tribunal Supremo estimó parcialmente el recurso, excluyendo la pena de disolución y manteniendo la pena de multa inicialmente impuesta a las mercantiles.

[32] Cfr. Circular FGE 1/2016, pp. 57 ss., apuntando que es la propia empresa quien está en mejores condiciones de probar que su programa de compliance era eficaz y cumplía con los estándares legales. Se insiste en que el TEDH ha explicitado que no se vulnera la presunción de inocencia ni se invierte la carga de la prueba cuando se exige al acusado que facilite los datos que está en condiciones de probar de forma única e insustituible para facilitar su exculpación.

[33] Cfr. Gómez-Jara Díez, El Tribunal Supremo ante la Responsabilidad Penal de las Personas Jurídicas. El inicio de una larga andadura, 2ª ed., pp. 100 y ss.

[34] Sobre ello: Silva Sánchez, «El debate sobre la prueba del modelo de Compliance: Una breve contribución», InDret, 1 (2020), 2020, pp. iii-v.

[35] Lo cual coincide con la postura del Tribunal Constitucional. Cfr. SsTC 36/1996, de 11 de marzo, FJ 5; y 87/2001, de 2 abril, FJ 10. Si bien, el Tribunal Constitucional ni siquiera considera que la apreciación de eximentes forme parte de la presunción de inocencia. Cfr. por ejemplo, STC 142/2012, de 18 de diciembre, FJ 7.

[36] Cfr. Cuerda Riezu, «La prueba de las eximentes en el proceso penal: ¿obligación de la defensa o de la acusación?», InDret, 2/2014, 19 páginas.

[37] Cfr. la propuesta de Lascuraín Sánchez, «¿Cuánto hay que probar el incumplimiento?» en el blog Almacén de Derecho. Texto disponible en: https://almacendederecho.org/cuanto-hay-que-probar-el-incumplimiento/ (última consulta: 2 de diciembre de 2022).

[38] Sobre los estándares de prueba, cfr. Dennis, The law of evidence, 6th edition, Sweet & Maxwell, London, 2017.

[39] Cfr. por ejemplo, Circular FGE 1/2016, pp. 50, 52, 53 y 63.

[40] Factor que ha sido admitido incluso por el propio Gómez-Jara, introductor del elemento de la cultura de cumplimiento en el debate del modelo dogmático de responsabilidad de personas jurídicas. Cfr. Gómez-Jara Díez, El Tribunal Supremo, 2019, pp. 101-102.

[41] Cfr. Cigüela Sola y Ortiz de Urbina Gimeno, «Responsabilidad penal de las personas jurídicas», en Silva Sánchez (dir.)/Robles Planas (coord..), Lecciones de derecho penal económico y de la empresa, Atelier, Barcelona, 2019, pp. 82 y 83.

[42] Así, por ejemplo: STS 966/2016 y STS 221/2016, ponente en ambos casos Manuel Marchena. Sobre ello, Ortiz de Urbina Gimeno, «Trayectoria y cultura corporativa en la exención por cumplimiento normativo: ¿hacia una teoría aretéica de la responsabilidad penal de los entes colectivos?», en García Cavero/Chinguel Rivera, Derecho penal y persona. LH a Jesús-María Silva Sánchez, Ideas, Lima, 2019, pp. 867 ss.

[43] Me adhiero a las conclusiones del sugerente análisis de Ortiz de Urbina Gimeno, «Trayectoria y cultura corporativa en la exención por cumplimiento normativo: ¿hacia una teoría aretéica de la responsabilidad penal de los entes colectivos?», en García Cavero/Chinguel Rivera, Derecho penal y persona. LH a Jesús-María Silva Sánchez, Ideas, Lima, 2019, pp. 867 ss.

[44] Tomo la expresión de Sánchez-Ostiz, «Las normas de las personas jurídicas: ¡Cómo es que responde penalmente quien no puede delinquir!» en Bacigalupo/Feijóo/Echano (eds.), 2ª ed., Estudios de Derecho penal. Homenaje al profesor Miguel Bajo, Ramón Areces, Madrid, 2016, pp. 609 ss., p. 618.

[45] STS 183/2021, de 3 de marzo – ECLI: ES:TS:2021:812 (ponente: Magro Servet).

[46] En este sentido, por ejemplo, la STS 470/2021, de 2 de junio ECLI:ES:TS:2021:470 y la STS 893/2021 de 18 de noviembre de 2021 – ECLI:ES:TS:2021:893 (en ambas, ponente: Magro Servet).

[47] STS 893/2021, de 18 de noviembre de 2021 – ECLI:ES:TS:2021:893 (ponente: Magro Servet).

[48] Para este apartado me he basado, entre otros, en el análisis de jurisprudencia de Velasco Núñez, “Responsabilidad penal de la persona jurídica: reciente jurisprudencia de la Audiencia Nacional (año 2021)”, La Ley compliance penal, 8 (2022), pp. 1-4.

[49] Concretamente, el Auto cita las SsTS202/2018, de 25 de abril – ECLI: ES:TS:2018:1630 (ponente: Del Moral García) y 548/18, de 13 de noviembre – ECLI: ES:TS:2018:3789 (ponente: Lamela Díaz), si bien no se trata de sentencias que específicamente se refieran al art. 31 bis 2 CP. El representante del Ministerio Fiscal había sostenido la tesis contraria. A saber, que no es en la fase de Instrucción donde hay que valorar la eficacia del programa de compliance pues la prueba sobre “elementos subjetivos del tipo” únicamente puede realizarse por el Órgano que ha de dictar sentencia tras el juicio oral.

[50]  Cfr. Velasco Núñez, La Ley compliance penal, 8 (2022), pp. 15-17. En concreto, la documentación aportada por las referidas entidades y que el Órgano Instructor analizó y consideró suficientemente acreditativa de todos los requisitos del art. 31 bis 2 CP fue la siguiente: a) Control documental (contable, societario, fiscal y registral) en la contratación con la empresa CENYT que dio origen a la revelación de secretos; b) Modelo de compliance que tenía la entidad en 2011, acreditando su mejora continua y aportando la matriz de riesgos penales e identificación concreta de riesgos sobre los delitos imputados; c) Difusión del plan de formación a empleados y directivos sobre riesgos delictivos; d) Resultados de la investigación interna corporativa hecha por la entidad; e) Modelo de compliance que tenía la entidad desde 2011; f) Acreditación de la existencia de una canal de denuncias; g) política para conformar las investigaciones internas corporativas derivadas —acompaña las de 2011 y 2012—, sistema disciplinario y de sanciones, su código ético, los principios de actuación aprobados por el Consejo de Administración y su Órgano encargado del compliance, de carácter autónomo y con su Estatuto propio; h) Certificación de AENOR sobre el modelo de cumplimiento conforme a la UNE 19.601(Compliance) e ISO 37.001 (Antisoborno); i) Informe de tercero independiente analizando las medidas preventivas de delitos corporativos y la auditoría de su modelo que concluye que no se aprecia falta de controles significativos; j) Políticas anti‐descubrimiento y revelación de secretos, de ciberseguridad y de antisoborno.

[51] Recuérdese, que el texto del art. 31 bis 2 CP, relativo a la exención de compliance va más allá de tener un compliance. En concreto, señala el texto del artículo que: “La persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: 1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión; 2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; 3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y 4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª”.

[52] En concreto, señala Circular FGE 1/2016, pauta novena (p. 55): “Las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito han de ser igualmente evaluadas para fijar la sanción. La adopción de medidas disciplinarias contra los autores o la inmediata revisión del programa para detectar sus posibles debilidades, introduciendo en su caso las necesarias modificaciones, son muestra del compromiso de los dirigentes de la corporación con el programa de cumplimiento. Del mismo modo, la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena”. Que es un criterio de interpretación que va mucho más allá de lo exigido por la ley queda evidenciado en la aseveración con la que concluye el texto citado, afirmando que: “Operarán en sentido contrario [esto es: como criterios de imputación no regulados en el art. 31 bis CP] el retraso en la denuncia de la conducta delictiva o su ocultación y la actitud obstructiva o no colaboradora con la justicia”.

[53] Puede consultarse dicho escrito a través del siguiente enlace web: https://s03.s3c.es/imag/doc/2017-06-13/Escrito-acusacion-Bankia-2.pdf (última consulta: diciembre de 2022).

[54] En concreto, dispone el art. 31 quáter: «Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades: a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades. b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos. c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito. d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica». Extensamente, sobre la idoneidad de las circunstancias del art. 31 quáter para actuar como equivalentes funcionales de la pena cuando la entidad demuestra que se encuentra desvinculada del hecho delictivo de sus integrantes: Goena Vives, Responsabilidad penal y atenuantes de la persona jurídica, Marcial Pons, Madrid, 2017, passim.