Delitos informáticos cometidos por empresas
- Por:
Cumplimiento normativo (compliance) y responsabilidad penal de personas jurídicas en el nuevo Código Penal
Tradicionalmente el derecho penal español se regía por el principio ‘societas delinquere non potest’, conforme al cual se consideraba que la persona jurídica no podía ser objeto de sanción penal. Cuando se utilizaba una empresa para cometer un delito, eran responsables sus administradores, y la empresa respondía civilmente. Este principio ha cambiado en los últimos años, y en la actualidad las personas jurídicas pueden ser condenadas penalmente.
Las sucesivas reformas del Código Penal aprobadas desde el año 2010 han ido configurando en nuestro derecho positivo los criterios de atribución de responsabilidad penal a personas jurídicas, así como las circunstancias eximentes y atenuantes de dicha responsabilidad. Tras la entrada en vigor, el pasado 1 de julio, de la Ley Orgánica 1/2015, las empresas españolas se están viendo compelidas a la realización de auditorías de riesgo penal, imprescindibles para establecer los modelos de organización y gestión adecuados para impedir la comisión de delitos que puedan dar lugar a la condena de la persona jurídica.
Si bien la mayor parte de los delitos que pueden ser cometidos por empresas afectan a casos de corrupción, resulta curiosa la obsesión del legislador con los delitos informáticos. Llama poderosamente la atención que además de delitos graves que van desde el tráfico de órganos y trata de seres humanos hasta los múltiples supuestos de delitos societarios y contables, contra la seguridad social y contra derechos de trabajadores, cohecho, fraude en subvenciones públicas, alzamiento de bienes, blanqueo de capitales y delito fiscal, entre otros, el legislador haya incluido en la reforma, como delitos que pueden ser cometidos por personas jurídicas, la gran mayoría de los delitos que pueden cometerse a través de internet.
Pornografía infantil, estafas, intrusiones y daños informáticos, delitos contra la propiedad intelectual e industrial, contra el mercado y los consumidores, así como la falsificación de tarjetas de crédito, son delitos que pueden ser cometidos por personas jurídicas, y que en consecuencia pueden dar lugar a condenas penales que establezcan incluso la disolución de la empresa o la suspensión de sus actividades.
Para que una empresa pueda resultar condenada como autora de un delito, es necesario que se den las circunstancias exigidas por el artículo 31 bis del Código Penal, y muy especialmente que el delito se haya cometido en beneficio directo o indirecto de la empresa. La persona jurídica será responsable por los delitos así cometidos en nombre o por cuenta de las mismas por sus representantes legales, por aquellos autorizados para tomar decisiones en su nombre, o que ostenten facultades de organización y control, o por aquellos sometidos a su autoridad que realicen los hechos por haberse incumplido gravemente los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
De conformidad con el artículo 33.7 del Código Penal, las penas aplicables a las personas jurídicas, que tienen todas la consideración de graves, son las siguientes:
a) Multa por cuotas o proporcional.
b) Disolución de la persona jurídica. La disolución producirá la pérdida definitiva de su personalidad jurídica, así como la de su capacidad de actuar de cualquier modo en el tráfico jurídico, o llevar a cabo cualquier clase de actividad, aunque sea lícita.
c) Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
d) Clausura de sus locales y establecimientos por un plazo que no podrá exceder de cinco años.
e) Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito. Esta prohibición podrá ser temporal o definitiva. Si fuere temporal, el plazo no podrá exceder de quince años.
f) Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social, por un plazo que no podrá exceder de quince años.
g) Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores por el tiempo que se estime necesario, que no podrá exceder de cinco años.
La prevención del delito informático no es sencilla, dada la facilidad con la que se pueden destruir las pruebas del mismo y el relativo anonimato del que goza el autor. Para poder excluir la responsabilidad de la empresa en la comisión del delito deben adoptarse modelos de organización y gestión dirigidos a impedirlo. Es lo que se conoce con el anglicismo de ‘compliance’, que puede traducirse al castellano como cumplimiento normativo.
Veamos a continuación cómo opera el ‘compliance’ para excluir la responsabilidad penal de empresas. Las circunstancias eximentes para personas jurídicas están reguladas en el apartado 2 del artículo 31 bis. Para no ser condenada una empresa deben darse las siguientes condiciones:
1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;
2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;
3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y
4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª
En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena. Las circunstancias atenuantes se regulan en el artículo 31 quater, que establece lo siguiente:
Sólo podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las siguientes actividades:
a) Haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades.
b) Haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos.
c) Haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito.
d) Haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.
Puede observarse a partir de lo expuesto que la adopción de modelos de prevención –compliance- no es obligatoria, pero sí altamente recomendable para excluir un riesgo que puede dar lugar a la disolución de la empresa, entre otras penas. Los requisitos de los mismos vienen establecidos en el apartado 5 del artículo 31 bis:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
Y hasta aquí lo dispuesto en el Código Penal. Para adoptar en una empresa estos modelos de gestión es necesario el auxilio profesional de abogados penalistas que, colaborando estrechamente con expertos en gestión empresarial, puedan detectar los riesgos penales en función de las actividades de la empresa y establecer los protocolos de prevención adecuados. En los supuestos de delitos que pueden cometerse a través de internet, es indudable que también deberán participar informáticos en el diseño de los modelos de prevención.
Prevenir y evitar la comisión de delitos en el seno de la empresa es la mejor forma de garantizar su imagen de marca y forjarse una buena reputación empresarial ante clientes y terceros. En un medio tan expuesto como es internet, lanzar una startup cada vez es más complicado: a las auditorías de riesgos laborales, de protección de datos y de cumplimiento normativo en legislación de internet, ahora se suman las auditorías de riesgo penal como garantía de calidad empresarial.