Dentro del amplio espectro del alcance de las responsabilidades civiles, el relativo al de la culpa in vigilando es uno de los más desconocidos por aquellos que pueden caer en la comisión de este tipo de responsabilidades. Y no solamente por ellos, sino por las aseguradoras que suscriben con sus asegurados las correspondientes pólizas de seguro para tener cubiertas las responsabilidades civiles de personas jurídicas y/o instituciones que pueden caer en la obligación de tener que vigilar en su ámbito de actuación que no se sucedan determinados eventos dañosos de los que debe responder. No solamente el que debía vigilar que un determinado acto o evento no ocurriera, sino también la aseguradora que tiene concertada la correspondiente póliza de seguro de responsabilidad civil.
Pero, en principio, es preciso fijar con claridad los fundamentos de la culpa in vigilando, y que descansan en la responsabilidad que se tiene o adquiere respecto de aquellas personas con las que existe un vínculo causal de unión fijado en el art. 1903 CC, y que entre otros supuestos aglutina, como recoge el Tribunal Supremo, Sala Primera, de lo Civil, Sentencia de 30 marzo 2007, rec. 4169/1999, la infracción del deber de cuidado reprochable al empresario o responsable en la selección de subordinados dependientes o en el control de la actividad por estos desarrollada.
Lo que se crea es una derivación de responsabilidad más allá del autor propio del evento dañoso, creando un litisconsorcio pasivo necesario entre la persona causante del daño y aquella otra que tenía una directa obligación de vigilar que el causante del daño debía tener una conducta correcta en su actuación, siendo la inexistencia de ese control la razón directa o indirecta de la causación del daño. Y decimos directa o indirecta porque no hace falta que el superior haya tenido intervención directa en el daño, sino que es su posición pasiva la que ha hecho nacer la responsabilidad civil. Y precisamente, lo que a continuación comprobaremos, lo que se permite, o mejor dicho se exige, al demandado es que esté en condiciones de acreditar que ha tenido una actuación positiva, o de acción, probando en el proceso civil que ha vigilado a las personas que de él dependen, y que si aun así se ha ocasionado el daño no puede imputarse en su debe que el evento dañoso se causó por esta omisión en la implementación de las medidas de vigilancia adecuadas.
De alguna manera, esta filosofía es la que ha impregnado la inclusión en el Código Penal de la responsabilidad penal de las personas jurídicas en el art. 31 bis CP –EDL 1995/16398– por la LO 5/2010, de 22 junio , ya que se obliga a los directivos responsablesa de estas a establecer los patrones de códigos de conducta y formativos en la evitación de la comisión de hechos delictivos para trasladar el Estado a las personas jurídicas esta obligación de control y vigilancia de las personas que para ellos trabajan en sus relaciones con terceros. Ello ha provocado la necesidad en estas de introducir la figura, ya extendida en el derecho anglosajón, del «keeping track» o encargado de llevar a cabo la labor de supervisión de los empleados. Se trata de una nueva figura que en el caso de que concurra algún tipo de evento dañoso la empresa estará en la obligación de acreditar no solo la existencia de esta figura, sino que medidas y patrones de implantación de las medidas de vigilancia exigibles ha incluido en su persona jurídica, con lo que son dos elementos de prueba los que deberá aportar la empresa, y, sobre todo, la implementación de estos programas de control, no solo su existencia física.
La reforma del art. 31 bis del CP no altera el sistema establecido en 2010 de supeditar la responsabilidad penal de la persona jurídica a su expresa previsión en los correspondientes tipos de la parte especial del Código. Tras la reforma, la responsabilidad de las personas jurídicas se circunscribe, a los efectos de mi querella, a delitos del Código Penal, de Descubrimiento y revelación de secretos, art. 197, al que hay que añadir el delito contra los derechos de los trabajadores, conforme dispone el art. 318 CP:
Con respecto al catálogo previo a la reforma, se incorporan los nuevos delitos de frustración de la ejecución (arts. 257, 258 y 258 bis), de financiación ilegal de los partidos políticos (art. 304 bis) a los que se añaden los delitos contra la salud pública no relacionados con el tráfico de drogas (arts. 359 a 365) y los de falsificación de moneda (art. 386), para los que con anterioridad no se contemplaba el régimen del art. 31 bis sino el del art. 129. Se incorporan igualmente los delitos de odio y enaltecimiento (art. 510, con la errata en el art. 510 bis de la referencia a los “dos artículos anteriores” en lugar de al “artículo anterior”).
El régimen del art. 129 CP se aplica a los delitos previstos para las personas jurídicas cuando se hayan cometido en el seno, con la colaboración, a través o por medio de entes carentes de personalidad jurídica, y se contempla también para los siguientes delitos:
Las personas físicas capacitadas para transferir la responsabilidad penal a la persona jurídica de la letra a) del artículo 31 bis.1
El art. 31 bis continúa sin facilitar una definición de la persona jurídica penalmente responsable. Tampoco lo hace ningún otro precepto del Código Penal, lo que exige acudir a las previsiones de la normativa civil y mercantil, en los términos que ya analizaba la Circular 1/2011 (II.1). El precepto sí introduce en la letra a) del apartado primero una significativa modificación en la definición de las personas físicas idóneas para que la persona jurídica responda penalmente, consistente en la sustitución de los “administradores de hecho o de derecho” por “aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.”
Cabe preguntarse por las razones de este cambio que, en una primera lectura, parece una simple mejora técnica. El Preámbulo no explica los motivos de la nueva redacción. En realidad, es discutible que el nuevo texto mejore el anterior pues, en contraposición a la nueva y compleja redacción, administrador de derecho y administrador de hecho eran términos ya consolidados en la legislación penal y mercantil y su alcance había sido reiteradamente interpretado por la Sala Segunda, particularmente en el ámbito de los delitos societarios.
La modificación, no obstante, sí tiene cierto calado, pues produce una ampliación del círculo de sujetos capacitados para transferir la responsabilidad penal a la persona jurídica en el primer nivel del art. 31 bis.1, que queda así integrado por los tres grupos de personas físicas de los cuales nos interesa, por la obligación que tiene el responsable último quienes “ostentan facultades de organización y control”.
La expresión engloba a un potencialmente alto número de cargos y mandos intermedios que tengan atribuidas tales facultades, entre ellas las medidas de vigilancia y control para prevenir delitos. Esta nueva redacción amplía y define mejor la posición de garante en la empresa, utiliza un lenguaje más adecuado a las categorías de imputación y establece con mayor precisión el hecho de conexión que genera la responsabilidad penal de la persona jurídica lo que permite, como consecuencia más relevante, incluir en la letra a) del art. 31 bis.1 al propio oficial de cumplimiento (compliance officer).
El incumplimiento grave de los deberes de supervisión, vigilancia y control de la letra b) del artículo 31 bis 1.
La LO 1/2015 sustituye la condición de que el autor del delito haya podido cometerlo por no haberse ejercido sobre él “el debido control” por el menos exigente requisito de “haberse incumplido gravemente los deberes de supervisión, vigilancia y control”. Como se ha dicho, estos deberes son exigibles a las personas a que se refiere la letra a) y no directamente a la persona jurídica. Se trata por tanto de un incumplimiento de las personas físicas, por dolo o imprudencia grave, y no una culpabilidad por “defecto de organización” de la persona jurídica.
Bajo la anterior regulación, esta conclusión, que viene a definir el modelo de responsabilidad indirecta o vicarial de la persona jurídica suscitaba la objeción de que los representantes legales y administradores, dada su posición jerárquica en la empresa, no están en posición de ejercer un control real y efectivo sobre los subordinados. La ampliación de los sujetos responsables en la letra a), junto a la exigencia de que la deficiencia en el control sea grave, permite corregir este reparo, por otra parte solo predicable de las grandes empresas, con un gran número de mandos intermedios.
La clara disminución de la intervención punitiva que comporta la introducción del adverbio “gravemente” permite dejar fuera del ámbito penal aquellos incumplimientos de escasa entidad, de acuerdo con una razonable aplicación del principio de intervención mínima. Tales incumplimientos deberían ser objeto de corrección por la correspondiente normativa administrativa y mercantil. En todo caso esta remisión a la normativa extrapenal es obligada desde el momento en que la exigencia de que la deficiencia en el control haya sido grave excede de las previsiones sectoriales que se contienen en todas las Decisiones Marco y, más recientemente, Directivas de la Unión Europea. En ellas se establece sistemáticamente la obligación de que las personas jurídicas sean sancionadas cuando exista una “falta de supervisión o control”, que nunca adjetiva como grave. Las sanciones no tienen que ser necesariamente penales, bastando con que sean “efectivas, proporcionales y disuasorias”, pero, como atinadamente advierte el Consejo de Estado en su Dictamen al Anteproyecto, si las sanciones penales se limitan a los incumplimientos graves, los incumplimientos de menor entidad deberán ser castigados administrativamente para cubrir la totalidad del reproche que establece la normativa comunitaria.
Cabría pensar en otra alternativa al referido doble sistema sancionador, penal para incumplimientos graves y administrativo para el resto de incumplimientos. La brinda la regla 2ª del art. 66 bis CP que establece que “cuando la responsabilidad de la persona jurídica, en los casos previstos en la letra b) del apartado 1 del art. 31 bis, derive de un incumplimiento de los deberes de supervisión, vigilancia y control que no tenga carácter grave, estas penas tendrán en todo caso una duración máxima de dos años.” Toda vez que la gravedad del incumplimiento es precisamente el presupuesto para que nazca la responsabilidad de la persona jurídica en el referido criterio de imputación de la letra b), parece claro que el principio de tipicidad penal impide observar esta regla penológica introducida por la LO 1/2015.
En tanto que la exigencia de un incumplimiento grave del deber de control supone una restricción del reproche penal, la sustitución del “debido control” por “los deberes de supervisión, vigilancia y control”, si no amplía, al menos sí precisa mejor el contenido del deber, viniendo los términos “supervisión” y “vigilancia” a enfatizar que ese control o fiscalización es externo y superior respecto de las tareas encomendadas o a cargo de otros y a definir también más adecuadamente los deberes de los nuevos sujetos que, como el oficial de cumplimiento, se han incorporado al apartado primero a).
La cuestión ha sido abordada por la Sala Segunda del Tribunal Supremo que, en las SSTS nº 257/2009, de 30 de marzo y 234/2010, de 11 de marzo, examina la posición de garante y la comisión por omisión en relación con la responsabilidad por la conducta de terceros subordinados al omitente o, al menos, terceros sobre los que el omitente ejerce una cierta autoridad y tiene la posibilidad de vigilancia que le permite evitar el resultado, cuando la actividad de aquellos sea considerada como una fuente de peligro para intereses ajenos. Sobre la responsabilidad por omisión en estructuras organizadas, la STS nº 1193/2010, de 24 de febrero, advertía que “no existe ninguna razón de peso para excluir la responsabilidad penal del superior que conoce la ejecución del acto antijurídico del inferior, cometido, tanto dentro del ámbito de las funciones de este último como de las facultades de supervisión del superior, y, pudiendo hacerlo, no ejerce sus facultades de control o no actúa para evitarlo. Dicha responsabilidad penal se extiende a aquellas “actividades o actuaciones que ordinariamente no generan peligro para terceros, si en el caso concreto, el directivo conoce la existencia del riesgo generado y la alta probabilidad de que supere el límite del riesgo jurídicamente permitido,” concluyendo la citada sentencia que “el directivo que dispone de datos suficientes para saber que la conducta de sus subordinados, ejecutada en el ámbito de sus funciones y en el marco de su poder de dirección, crea un riesgo jurídicamente desaprobado, es responsable por omisión si no ejerce las facultades de control que le corresponden sobre el subordinado o no actúa para impedirla”.
La nueva exigencia de que el incumplimiento del deber de control haya sido grave determina que, junto a la persona jurídica, el omitente del control también pueda responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que traslada la conducta a la letra a). Se origina así la simultánea concurrencia de los dos criterios de atribución de responsabilidad a la persona jurídica: por un lado, el de la letra b), por el delito cometido por el subordinado, y, por otro, el de la letra a), por el delito implícito en el incumplimiento grave de sus deberes por las personas incluidas en este apartado. La extensión de la expresión “delitos cometidos” permite esta doble posibilidad de transferencia de responsabilidad a la persona jurídica, lo que tiene cierta trascendencia a la hora de apreciar la exención de responsabilidad penal dado el diferente régimen de exención de los dos títulos de imputación. Si bien en estos casos el autor en sentido estricto será el subordinado (letra b), en tanto que la persona incluida en la letra a) tendría la consideración de mero partícipe del delito cometido por este, lo cierto es que la conducta del encargado del control aparece como la realmente determinante de la transferencia de responsabilidad a la entidad, ya sea de manera directa en el caso de la letra a) ya indirecta, pues sin su infracción grave la conducta delictiva del subordinado deviene irrelevante. Por ello, en estos casos de concurrencia los Sres. Fiscales dirigirán la imputación a la persona jurídica por los dos títulos, sin necesidad de optar por uno u otro.
En cuanto a los delitos que provocan la responsabilidad de la persona jurídica, deben haber sido cometidos por los sujetos sometidos a la autoridad de las personas físicas mencionadas en la letra a) del apartado 1, siendo suficiente que operen en el ámbito de dirección, supervisión, vigilancia o control de estas. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidos autónomos o trabajadores subcontratados, siempre que se hallen integrados en el perímetro de su dominio social.
El régimen de responsabilidad penal de personas jurídicas que establece el Código Penal Español excluye, desde sus inicios, a personas jurídicas de Derecho Público. Cabe decir que el actual artículo 31 quinquies de esta Ley es ligeramente distinto al original: en su primera redacción, dada por la Ley Orgánica 5/2010, el que fuera el artículo 31 bis.5 CP indicaba que “Las disposiciones relativas a la responsabilidad penal de las personas jurídicas no serán aplicables al Estado, a las Administraciones Públicas territoriales e institucionales, a los Organismos Reguladores, las Agencias y Entidades Públicas Empresariales, a los partidos políticos y sindicatos, a las organizaciones internacionales de derecho público, ni a aquellas otras que ejerzan potestades públicas de soberanía, administrativas o cuando se trate de Sociedades mercantiles Estatales que ejecuten políticas públicas o presten servicios de interés económico general”. Ley Orgánica 7/2012, de 28 de diciembre eliminó la referencia a los partidos políticos y sindicatos.
A día de hoy, esta imposibilidad de imputación únicamente se extiende al Estado, a las Administraciones públicas territoriales e institucionales, a los Organismos Reguladores, las Agencias y Entidades públicas Empresariales, a las organizaciones internacionales de derecho público, ni a aquellas otras que ejerzan potestades públicas de soberanía o administrativas. Además, a las Sociedades mercantiles públicas que ejecuten políticas públicas o presten servicios de interés económico general, solamente les podrán ser impuestas las penas de multa y, a discrecionalidad del organismo juzgador, de intervención judicial.
Jurisprudencialmente, encontramos un pronunciamiento en este sentido en el Auto de la Audiencia Provincial de Ceuta 276/2016, de 02 de enero de 2017, Fundamento Jurídico 4. En este caso, la querella se dirigía contra un funcionario de la Dependencia de Gestión Tributaria de Ceuta y contra este mismo organismo. Si bien el Tribunal admite la imputación de la persona física, en relación a esta entidad indica que: “…lo expuesto no es predicable de ambos querellados, sino sólo de la persona física a la que se atribuyen los hechos delictivos objeto de la querella, dado que el art. 31 quinquies del Código Penal excluye expresamente de la responsabilidad penal de las personas jurídicas, entre otras, al Estado, a las Administraciones públicas territoriales e institucionales…, de manera que la Dependencia de Gestión Tributaria de Ceuta carece de aptitud para ser sujeto activo de un delito”.
Queda vuestro.
