El Auto de fecha 11 de mayo de 2017 dictado por el Juzgado Central de Instrucción nº4 de la Audiencia Nacional aborda numerosas cuestiones, a pesar de que en este artículo nos vayamos a centrar únicamente en la fase de instrucción de los programas de Compliance, y ello, al tratarse de una de las primeras resoluciones que aborda esta cuestión, entre otras cosas, porque la gran parte de los procedimientos penales contra personas jurídicas que hasta ahora se han producido han implicado entidades con nula o mínima estructura organizativa.

    Así, con independencia de la ausencia citas a las resoluciones del máximo intérprete de la legalidad ordinaria, resulta evidente que el Instructor adopta la perspectiva estructural en el análisis del delito corporativo imputado originariamente a la persona jurídica, y determina que no hay indicios suficientes para encausar a la persona jurídica lo que resulta plenamente coherente con las directrices establecidas por la Sala II del Tribunal Supremo. Así las cosas, la parte relevante del Auto de 11 de mayo de 2017 es la siguiente:

    “QUINTO.- Por último, procede atender, en sentido estimatorio, la solicitud formulada por la representación procesal de DELOITTE, SL de sobreseimiento de las actuaciones penales que se le han venido atribuyendo, si bien deberá permanecer como parte en el proceso, en calidad de responsable civil, al amparo de lo dispuesto en los artículos 109 y siguientes del Código Penal y del artículo 11 de la Ley de Sociedades Profesionales, que dispone que: «de las deudas sociales que se deriven de los actos profesionales propiamente dichos responderán solidariamente la sociedad y los profesionales, socios o no, que hayan actuado, siéndoles de aplicación las reglas generales sobre la responsabilidad contractual o extracontractual que correspondan»

    En cuento a la exigencia de responsabilidad penal, se debe partir de la base prevista en el artículo 31 bis del Código Penal, que exige para poder atribuir a una persona jurídica la responsabilidad penal derivada de la comisión de un delito:

    — Que el tipo delictivo cuya comisión se le atribuya se encuentre dentro de los que el propio Código Penal declara como susceptibles de ser cometidos por personas jurídicas.

    — Que no concurran las condiciones que suponen una exención de responsabilidad penal para la persona jurídica, y que se concretan en:

    1.ª Que el órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

    2.ª La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

    3.ª Que los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

    4.ª Que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.a

    Y en el presente caso la representación procesal de DELOITTE SL ha aportado a la presente causa la documentación que acreditar sobradamente que la misma cuenta con un «Manual de Compliance» que cumple con los requisitos expuestos, así como que para su gestión se cuenta con las suficientes herramientas, políticas y protocolos, que componen el llamado «Sistema de Control de Calidad» adecuado para exigir al personal de la misma el cumplimiento de las normas profesionales, estableciendo medidas de vigilancia y control idóneas para evitar la comisión de ilícitos.

    Además, de forma muy especial en el presente caso y como ha quedado expuesto, debe tenerse en cuenta que DELOITTE SL es una Sociedad Profesional, regida por la Ley 2/2007, de 15 de marzo, de forma y manera que la actuación profesional de los Socios que la integran se rige, por mandato legal, por los principios de absoluta autonomía e independencia de criterio en el desempeño de su trabajo de auditoría, autonomía e independencia con la que habría contado el Socio D. Francisco CELMA; quien es el responsable de firmar el Informe de Auditoría que acompañaba al Folleto de Emisión depositado en la Comisión Nacional de Mercado de Valores por parte de BANKIA para su salida a Bolsa, y sobre el que la firma de la que es Socio no interviene, ni puede intervenir, de forma que la responsabilidad que pudiera recaer por dicha actuación auditora lo será sobre el Socio Auditor, y no sobre la firma o sociedad profesional a la que aquel pertenece.”

    Lo cierto es que, lo fácil y sencillo para cualquier órgano instructor hubiera sido relegar a la fase de enjuiciamiento todas las cuestiones relativas a los sistemas de Compliance de las personas jurídicas. En cambio, ello no sólo resultaría conforme a Derecho teniendo en cuenta las diversas resoluciones del Tribunal Supremo en la materia, sino que, adicionalmente, resultaría contraproducente desde la perspectiva de la política criminal que se persigue con la instauración de la responsabilidad penal de las personas jurídicas.

    Así, no puede desconocerse que el ordenamiento jurídico estadounidense que más experiencia tiene con la responsabilidad penal de las personas jurídicas ha tratado, en la medida en la que lo permite su marco legal y jurisprudencial, de valorar qué relevancia debe otorgarse a los sistemas de Compliance en este ámbito. Así, en un primer momento, en 1991 las Directrices para imponer sentencias a las organizaciones, incluyendo personas jurídicas, estableció que los sistemas de Compliance eran una circunstancia atenuante de la responsabilidad, por tanto, sólo valorables una vez condenada la persona jurídica. No obstante, poco después, en 1999, el Fiscal General del Estado consideró necesario promulgar una Circular vinculante para todos los Fiscales Federales en el que determinaba que, a la hora de tomar la decisión de imputar o acusar a una persona jurídica, debía valorarse si la persona jurídica disponía de programa de Compliance eficaz independientemente del delito cometido por la persona física.

    De hecho, a raíz del conocido caso Andersen, han comenzado a proliferar en dicha jurisdicción los acuerdos para evitar o diferir la imputación. Y es que, no se pueden desconocer los costes reputacionales que soportan determinadas personas jurídicas con una presencia notoria en la sociedad. En el caso de Andersen, antes de que la Corte Suprema pudiera pronunciarse sobre la sentencia de instancia, dicha entidad había desaparecido por el efecto reputacional del procedimiento penal y no por la condena impuesta, que en términos económicos era algo perfectamente asumible financieramente por la citada compañía: una multa de 500.000 Dólares.

    El Auto comentado no viene a refrendar una suerte de carta blanca para las personas jurídicas que tengan un sistema de Compliance, sino que avanza en la dirección marcada por el Tribunal Supremo. Los Instructores deben valorar las medidas de vigilancia y control de las personas jurídicas de tal forma que si éstas son idóneas no se puede encausar a una persona jurídica al no concurrir indiciariamente un defecto estructural en los mecanismos de prevención y control. En justa correspondencia, se obliga a la acusación a acreditar indiciariamente, en fase de instrucción, que las medidas de vigilancia y control no eran idóneas.

    De esta forma, el mensaje político criminal resulta evidente: las personas jurídicas, con independencia de supervisar el correcto funcionamiento de su sistema de Compliance, tendrán especial celo en revisar adecuadamente sus riesgos penales y las medidas de vigilancia y control respecto de los mismos, puesto que sólo así podrán acreditar la inexistencia de un injusto típico del delito corporativo y solicitar el sobreseimiento por falta de tipicidad de los hechos.

    Ref. La Ley Digital