El acceso a nuestros artículos es gratuito para nuestros Suscriptores del Newsletter. Regístate gratis y obtén acceso inmediato a miles de artículos de El Mundo del Abogado. Además recibe en tu correo un resumen semanal de las mejores notas del mes.
En México, la responsabilidad penal de las personas jurídicas —o responsabilidad penal de las empresas, como popularmente se le ha conocido— se introduce a partir de la entrada en vigor del Código Nacional de Procedimientos Penales (CNPP) en marzo de 2014; no obstante, esta legislación procesal que, entre otras cosas, estableció plenamente las reglas del sistema acusatorio en nuestro país, sufrió una importante modificación a su articulado el 17 de junio de 2016, cambiando prácticamente la totalidad de las normas que existían entonces para procesar penalmente a personas jurídicas (artículos 421 al 425), e introduciendo, de manera clara y contundente, la necesidad para las empresas de contar, en su seno organizacional, con un programa de cumplimiento normativo (compliance) que le permita excluir la responsabilidad penal que de manera directa y autónoma ahora pueden asumir los entes colectivos.
Veamos lo que dispone al respecto el artículo 421, párrafo primero, del CNPP, el cual constituye el fundamento del compliance penal en México.
“Capítulo II. Procedimiento para personas jurídicas
”Artículo 421. Ejercicio de la acción penal y responsabilidad penal autónoma.
”Las personas jurídicas serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización. Lo anterior con independencia de la responsabilidad penal en que puedan incurrir sus representantes o administradores de hecho o de derecho”,
De lo transcrito se desprenden los dos grandes requisitos que deberán cumplirse para formular una imputación en contra de una persona moral; a saber:
a) Que el delito que se le atribuye se hubiera cometido a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen.
b) Y que además, se haya determinado que existió inobservancia del debido control en la organización de la persona moral.
Respecto del primer requisito no nos ocuparemos en este trabajo,1 sino más bien centraremos nuestros esfuerzos en el segundo requisito, referente a la necesaria inobservancia del debido control en la organización de que se trate, pues merced a éste es que en México ahora tiene impacto la implementación de un compliance program, o programa de cumplimiento normativo, en el seno de las empresas, que tenga como finalidad, entre otras, la exclusión o atenuación de la responsabilidad penal en caso de que se hubiera cometido un delito en el seno de la persona jurídica.
Con base en lo anterior, al tenor del requisito dispuesto en el CNPP, tenemos entonces que el núcleo de la responsabilidad penal de la persona jurídica sería precisamente la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos, que evidencien una voluntad seria de la empresa de cumplir con las normas internas y externas, independientemente de aquellos requisitos más concretados legalmente en forma de las denominadas criminal compliances o "modelos de cumplimiento criminal".
Al respecto, resulta pertinente traer a colación lo expresado por la sala de lo penal del Tribunal Supremo de España en sentencia dictada en 2016: “Núcleo de la responsabilidad de la persona jurídica que, como venimos diciendo, no es otro que el de la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos, que evidencien una voluntad seria de reforzar la virtualidad de la norma, independientemente de aquellos requisitos, más concretados legalmente en forma de las denominadas compliances o ‘modelos de cumplimiento’ , exigidos para la aplicación de la eximente que, además, ciertas personas jurídicas, por su pequeño tamaño o menor capacidad económica, no pudieran cumplidamente implementar”.2
En ese tenor, tenemos que los programas de cumplimiento normativo se reflejan en instrumentos de distintas índole, desde circulares internas que establecen criterios de actuación, pasando por manuales operativos, hasta protocolos unificados para la toma de decisiones que establecen tramos de responsabilidad bien definidos. Estos materiales son parte importante de un programa de cumplimiento normativo, pues las reglas de operación empresarial se establecen por escrito y son sujetas a revisión y actualización. Su elaboración, además, debe dejarse en manos de expertos en las diferentes materias o áreas que comprenda.3
Ahora bien, una vez explicada la necesidad que tendrán ahora las personas morales de contar con un programa de cumplimiento normativo que les permita excluir —o atenuar— su responsabilidad penal, es menester aclarar que en la normatividad mexicana actual existe un claro vacío legal respecto de qué forma y contenido debería tener un compliance program para que pueda alcanzar, en un proceso penal, plenos efectos exoneratorios para la persona jurídica.
En ese tenor, en la actualidad tenemos que existe ese vacío normativo merced a que el legislador ha omitido establecer normas o parámetros que señalen con nitidez cómo deben ser esos planes de prevención de delitos para las empresas, qué forma deben adoptar y cuál tiene que ser su contenido para excluir la responsabilidad penal de la persona jurídica, lo que nos sitúa en un ámbito de inseguridad jurídica.
En efecto, la reforma penal que introduce la responsabilidad penal de las personas jurídicas no ha venido acompañada de la necesaria regulación sobre la forma que deberían adoptar los planes de compliance penal, así como tampoco ha incorporado una norma positiva que señale con nitidez si será bastante con la adopción de un código de conducta escrito por parte de la empresa, o un sistema interno de denuncias anónimas, o bien si además hará falta un responsable de cumplimiento y prevención penal (compliance officer), entre otros aspectos no menos importantes.
Y es que, en realidad, dicho vacío legal no es un tema menor, ya que únicamente podrá ser a partir de la adopción de directrices claras para las empresas, la manera como éstas adquirirán seguridad jurídica a la hora de elaborar un programa de criminal compliance, circunstancia que obligará a que sea, a través de la doctrina, la experiencia práctica y la jurisprudencia que emane de ésta, como se vayan definiendo esas directrices en tanto no se cuente con normas claras y específicas que las señalen.
Por ejemplo, en Estados Unidos el compliance tiene antecedentes en la incorporación de la idea del good corporate citizenship (“buen ciudadano corporativo”) que tiene su génesis normativa en la Foreign Corrupt Practices Act estadounidense de 1977. Sin embargo, un punto de quiebre en aquel país lo constituyó el primer borrador de los “Principles of Corporate Governance and Structure: Analysis and Recommendations” elaborado por el American Law Institute en 1982 y que generó un impacto significativo en la comunidad empresarial norteamericana que veía cómo un grupo de profesores de Derecho establecía estándares legales para la gestión de la empresa.4
Más recientemente se ha aprobado también, en diciembre de 2014, la norma ISO-19600, denominada “Compliance Management Systems Guidelines”, la cual contiene directrices y metodologías para definir, implantar, mantener y mejorar un programa de compliance en el interior de una organización, por lo que se convierte en un marco internacional de referencia que incide en la importancia del compromiso que deberán asumir las empresas al momento de elaborar un programa de cumplimiento normativo.
Así, dada la ausencia de parámetros normativos en la legislación mexicana, nos permitiremos sugerir algunos lineamientos básicos que han sido emitidos en otros países para la elaboración de un compliance program, el cual pueda resultar eficaz para la exclusión de la responsabilidad penal de las personas jurídicas. Algunas líneas básicas que debe contemplar en su elaboración son las siguientes:
a) identificación de las áreas de actividad en el seno de la persona moral, de las cuales pudiera derivarse la comisión de delitos (evaluación del riesgo penal);
b) adopción de protocolos y políticas de prevención interna del delito;
c) compromisos de los órganos directivos de la persona jurídica para destinar los recursos financieros idóneos para la prevención de delitos;
d) formación del personal (administradores, representantes y empleados) en el ámbito de la prevención de delitos;
e) delegación, supervisión y revisión eficaz de los programas de prevención de delitos;
f) implementación de sistemas disciplinarios efectivos que permitan sancionar internamente el incumplimiento de las medidas de prevención, así como, por el contrario, incentivar el debido cumplimiento;
g) flujo de información dinámico a través de canales de información anónima hacia el órgano encargado del control y supervisión de la prevención penal, sobre conductas cometidas por miembros de la persona jurídica que pudieran conducir a la comisión de delitos (whistleblowing).
Asimismo, en la elaboración del programa de cumplimiento normativo deberá atenderse al ordenamiento jurídico mexicano vigente referente a ciertos sectores donde ya se imponen a la empresa obligaciones específicas que, en caso de ser incumplidas, pudieran derivar en la comisión de delitos, como sucede, por ejemplo, en el caso de la Ley General del Equilibrio Ecológico y la Protección al Ambiente, o bien, en la Ley para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita.
De igual manera, en el ámbito internacional existen parámetros referenciales que podrían servir para la elaboración de un programa de cumplimiento normativo adecuado, como la mencionada norma ISO-19600, o bien la diversa ISO-37001 relativa a sistemas de dirección anticorrupción (anti-bribery management systems), la cual atiende a directrices establecidas en la Convención de las Naciones Unidas contra la Corrupción, de la que nuestro país es parte. Más recientemente, se publicó en España la norma UNE-19601 sobre sistemas de gestión de cumplimiento penal, cuyo principal objeto reside en facilitar el diseño y la evaluación de sistemas de gestión de compliance penal a todo tipo de organizaciones, con independencia de su tamaño, tipo, naturaleza o actividad.
Con lo dicho anteriormente, lo que debe quedar claro es que, dependiendo del giro a que se dedique la empresa, será el parámetro normativo que deberá tomarse en cuenta para la elaboración del programa de cumplimiento, siendo importante considerar que en la función del compliance penal no sólo suelen englobarse las leyes y las directrices de Derecho positivo vigente y de cumplimiento obligatorio para los sujetos afectados, sino también las recomendaciones y los estándares que pudieran ser de voluntaria adopción para éstos.5
En cuanto a la supervisión interna de los programas de cumplimiento normativo, se sugiere para pequeñas, medianas y grandes empresas designar a un “responsable de cumplimiento y prevención penal” (compliance officer) que dependa directamente del órgano de administración y cuyas funciones sean, entre otras:
- Implementación del programa.
- Seguimiento y control de la efectividad del programa.
- Proposición de mejoras o modificaciones.
- Reporte periódico y efectivo al órgano de administración sobre el programa.
Dado lo anterior, debe señalarse que la mayoría de las ocasiones resulta difícil encontrar en el interior de la empresa, sobre todo si ésta es pequeña o mediana, un perfil capaz de desempeñar la función de verificación de cumplimiento normativo en forma correcta, por lo cual la persona que sea designada como compliance officer debe estar en condiciones de demostrar que tiene la suficiente experiencia profesional para poder evaluar los riesgos de incumplimiento, así como disponer de conocimientos específicos de las actividades empresariales desarrolladas por la entidad.
Encontrar en el personal de una empresa a una persona capaz de cumplir estos requisitos no siempre será tarea fácil, en cuyo caso en ocasiones será necesaria la contratación de una persona que se encargue de desempeñar el rol,6 lo que en el caso de México resultará complicado, pues, como hemos visto, la necesidad de implementar un programa de cumplimiento normativo en el interior de las empresas se introduce recientemente, por lo cual los profesionales capacitados en este rubro escasean en la actualidad.7
En el caso especial de las grandes empresas, también resulta recomendable reforzar la estructura constituyendo un Comité de Cumplimiento y Prevención Penal, que podría estar compuesto por los siguientes miembros:
- El administrador o un miembro del órgano directivo.
- El compliance officer.
- Un representante por cada área de actividad que pueda representar una actividad de riesgo (financiera, contable, legal; medio ambiente, compras y ventas, etcétera).
Lo señalado antes, a reserva de que, en un futuro, a través de la reforma de los códigos penales y de la normatividad secundaria que incida en el ámbito de la empresa (según sea el caso) se establezcan obligaciones claras y consistentes a éstas que debieran ser incluidas en sus respectivos programas de compliance penal, pues lo que desde ahora debe quedar muy claro es que las empresas en México deberán prevenir —y prevenirse— de cara a la posibilidad de ser enjuiciadas por la vía penal.
* Profesor de Derecho penal y amparo y socio del despacho Aguirre, Coaña y Sánchez Gil Abogados.
1 Para un análisis más detallado de la regulación en México relativa a la responsabilidad penal de las personas jurídicas, puede revisarse Luis David Coaña Be, La responsabilidad penal de las empresas, 2ª ed., México, Centro de Estudios Carbonell-INACIPE, 2017.
2 Tribunal Supremo, sala de lo penal, sentencia 154/2016, 29 de febrero de 2016, ponente: Excmo. Sr. D. José Manuel Maza Martín.
3 Miguel Ontiveros Alonso, Derecho penal. Parte general, UBIJUS-INACIPE, México, 2017, p. 149.
4 Luis Miguel Reyna Alfaro, “Implementación de los compliance programs y sus efectos de exclusión o atenuación de responsabilidad penal de los sujetos obligados”, en Lavado de activos y compliance. Perspectiva internacional y Derecho comparado, Kai Ambos, Dino Carlos Caro Coria y Ezequiel Malarino (coords.), CEDPAL-CEDPE, Lima, 2015, p. 459.
5 En el caso de España, por ejemplo, la ISO-19600 sobre sistemas de gestión de compliance indica en su texto introductorio que “un sistema de gestión de compliance eficaz y que abarque a toda la organización, permite que la organización demuestre su compromiso de cumplir con la normativa, incluyendo los requisitos legales, los códigos de la industria y los estándares de la organización, así como con los estándares de buen gobierno corporativo, las mejores prácticas, la ética y las expectativas de la comunidad en general”.
6 Carlos Alberto Sáiz Peña (coord.), Compliance. Cómo gestionar los riesgos normativos en la empresa, Thomson Reuters-Aranzadi, Pamplona, 2015, p. 65.
7 En el caso de España, tenemos que recientemente se ha creado Cumplen (Asociación Nacional de Profesionales de Cumplimiento Normativo), la cual es una asociación sin fines de lucro cuya finalidad fundamental es, partiendo de la experiencia adquirida en materia de compliance, contribuir al desarrollo, difusión y profesionalización de éste, abarcando un enfoque multidisciplinar que intensifique la toma de conciencia e importancia de lo que significa el compliance. Véase Carlos Alberto Sáiz Peña (coord.), Compliance…, op. cit., p. 52.
