A la luz del Código Penal, como persona jurídica, la empresa responde penalmente por los delitos cometidos:
a) En nombre o por cuenta de la misma y en su beneficio, directo o indirecto, por sus representantes legales o aquellos que estén autorizados para tomar decisiones en su nombre u ostenten facultades de organización y control.
b) En el ejercicio de actividades sociales y por cuenta y en su beneficio, directo o indirecto, por quienes, estando sometidos a la autoridad de los mencionados, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control.
Con base en ello, es evidente el interés de la empresa en buscar formas de implantar protocolos para evitar la comisión de delitos, pues queda exenta de responsabilidad penal si, antes de la comisión del hecho delictivo, tiene implantado un programa de cumplimiento o modelo de prevención de conductas punibles, evitando mayores daños reputacionales para la compañía.
Su establecimiento y la supervisión del funcionamiento e implementación del mismo por parte del compliance officer son, precisamente, medidas que permiten prevenir y descubrir delitos en el seno de la entidad. La cuestión que aquí se plantea es si, llegado el caso, cabría imputar a aquel responsabilidad penal.
En principio, más allá de la responsabilidad disciplinaria, la sola infracción de los deberes de control y vigilancia del compliance officer no genera dicha responsabilidad penal. El quid es si esa omisión contribuyó a la no evitación del delito. En tanto el compliance officer es un sujeto autorresponsable, con una esfera de competencia propia que ha incumplido, sería posible su imputación, como partícipe en comisión por omisión del delito cometido a partir de la actividad empresarial.
La Fiscalía General del Estado ha señalado que, con su actuación, puede transferir la responsabilidad penal a la persona jurídica si omitió gravemente el control del subordinado, y llevarle a él mismo a ser penalmente responsable del delito cometido por el subordinado.
Su exposición al riesgo penal es superior a la de otros directivos, por el hecho de que puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos, especialmente dada su responsabilidad en relación con la gestión del canal de denuncias y siempre que la denuncia se refiera a hechos que se están cometiendo y que, por tanto, el oficial de cumplimiento pueda impedir con su actuación.
No resulta problemática la participación del compliance officer con intención delictiva (dolo), sino las conductas imprudentes. A estos efectos, cabe plantearse, partiendo de una participación en comisión por omisión, su participación imprudente en un delito doloso o su participación imprudente en un delito imprudente.
Si se trata de un delito que solo se castiga en su modalidad dolosa, la participación imprudente en el mismo es impune. Pero si el delito admite la modalidad imprudente, la participación imprudente en el mismo es punible.
Por ejemplo, cabría castigar al compliance officer que incumple su deber de forma negligente en relación con cierto sector de actividad de la empresa de alto riesgo medioambiental que, también por imprudencia, no es gestionado correctamente por la persona competente, derivándose de ahí un delito ecológico.
