El primero de abril de 2016 se promulgó la Ley Nº 30424, denominada inicialmente “Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional”. Uno de los aspectos más importantes de esta regulación es la posibilidad de eximir de responsabilidad a la persona jurídica si es que ésta, con anterioridad a la comisión del delito, adopta e implementa en su organización un modelo de prevención con medidas de vigilancia y control idóneas para prevenirlo o para reducir significativamente el riesgo de su comisión. Si la adopción e implementación del modelo de prevención tiene lugar, más bien, con posterioridad a la comisión del delito, lo que procede es una atenuación de la responsabilidad. Si bien la Ley Nº 30424 ha sufrido al día de hoy varias modificaciones sustanciales, la adopción de un sistema de cumplimiento normativo de carácter penal por parte de la persona jurídica sigue incidiendo favorablemente en las sanciones que, por la comisión de un delito, cabría imponerle. De las particularidades de esta regulación me voy a ocupar con mayor detalle en este informe nacional, dividiendo la exposición en cuatro apartados generales: el primero se ocupará de la forma en la que se introdujo la responsabilidad de la persona jurídica por la comisión de delitos, el segundo se encargará de describir de manera general cómo es el sistema de responsabilidad asumido, el tercero entrará en las exigencias que legalmente se establecen para que un modelo de prevención pueda ser considerado idóneo y el cuarto se hará cargo de algunos aspectos procesales.
Al promulgarse el Código Penal Peruano de 1991 actualmente vigente el legislador se mantuvo en la posición tradicional de negar la responsabilidad penal de las personas jurídicas. Las reformas económicas iniciadas en la década de los noventa para impulsar las actividades empresariales requerían de una legislación penal sin sanciones para las entidades corporativas. Si bien se introdujo la posibilidad de aplicar las llamadas consecuencias accesorias a las personas jurídicas (artículo 105), estas medidas no se regularon como sanciones penales, sino como medidas preventivas para hacer frente a situaciones de peligrosidad de su estructura organizativa. Por ello, no se ubicaron sistemáticamente en el capítulo referido a las clases de pena, sino en uno compartido con el decomiso. Esto explica que los autores nacionales que, con posterioridad a la entrada en vigencia del Código Penal, defendieron la viabilidad dogmática de imponer sanciones penales a las personas jurídicas, lo hicieran siempre desde una perspectiva de lege ferenda.
La claridad del panorama legislativo antes referido se ensombreció cuando la Corte Suprema de Justicia emitió el Acuerdo Plenario N° 07-2009 del 13 de noviembre de 2009. Lo que la máxima instancia judicial pretendía con este pronunciamiento era conseguir que los jueces penales efectivamente apliquen consecuencias accesorias a las personas jurídicas, pues hasta entonces las sentencias que lo habían hecho podían contarse casi con los dedos de una mano. Para justificar la necesidad de su aplicación, sostuvo que se trataba de sanciones penales especiales contra las personas jurídicas, recogiendo el parecer de un sector minoritario de la doctrina penal que consideraba, sin mayor desarrollo argumentativo, que eran materialmente penas. Sin embargo, esta afirmación carecía de todo respaldo legislativo. Por ello, no sorprende que, en posteriores pronunciamientos, la misma Corte Suprema, de manera contradictoria, haya establecido, como jurisprudencia vinculante, que “el código penal no regula la responsabilidad penal de la persona jurídica”.
El legislador penal, en cambio, ha partido siempre de la idea de que las consecuencias accesorias no son, en estricto, sanciones penales, atendiendo muy seguramente a la claridad con la que se encuentran legalmente reguladas. Por esta razón, cuando los estándares internacionales empezaron a demandar sanciones penales corporativas, el Congreso debatió en distintas oportunidades y de diversas formas la posibilidad de introducir una genuina responsabilidad penal de las personas jurídicas en la regulación positiva. En efecto, desde el 2012 son varios los proyectos de ley que con dicho fin han circulado por los ambientes congresales, siendo el más relevante el elaborado por la Comisión de Alto Nivel Anticorrupción (CAN) para cumplir con el estándar legislativo exigido por la OCDE de sancionar a las empresas por el delito de cohecho activo transnacional. Inicialmente la CAN quiso aprovechar esa ocasión para optimizar los mecanismos de lucha contra la corrupción, al proponer una responsabilidad autónoma de la persona jurídica para diversos delitos de corrupción. Sin embargo, la presión de los gremios empresariales a nivel prelegislativo consiguió hacer dos cambios importantes al proyecto inicial: i) primero, limitar la imposición de sanciones a las personas jurídicas únicamente por el delito de cohecho activo transnacional; y ii) segundo, restarle gravedad al reproche que sustentaban estas sanciones mediante la indicación expresa de que eran consecuencia de una responsabilidad administrativa. Con estos cambios se aprobó en abril del 2016 la Ley N° 30424 (en adelante, LRPJ), entrando en vigencia recién el 1 de enero de 2018.
El primer cambio operado a nivel prelegislativo duró poco tiempo. El escándalo que remeció el Perú a inicios del 2017, cuando Odebrecht reconoció haber pagado sobornos para obtener obras de gran envergadura, hizo que, como reacción política, se amplíe la base de delitos por los que podía responder una persona jurídica. Primero se incluyó el cohecho doméstico, el lavado de activos y el financiamiento del terrorismo; y posteriormente la colusión y el tráfico de influencias. Esta tendencia expansiva ha continuado, como lo evidencia la última reforma de mayo de 2023, en la que se incluyen nuevos delitos como la contabilidad paralela, ciertos atentados contra el patrimonio cultural, los delitos aduaneros, los delitos tributarios y los delitos de terrorismo. Puede concluirse, por lo tanto, que la LRPJ se caracteriza por ir progresivamente ampliando los delitos por los que podría responder la persona jurídica.
El cambio que se hizo para calificar la responsabilidad de la persona jurídica como administrativa nunca tuvo fuerza de convicción, en la medida que los componentes establecidos en la LRPJ son los propios de una responsabilidad penal. En efecto, si a una persona jurídica se le sanciona por la comisión de un delito en el marco de un proceso penal por parte de un juez penal, esa sanción, aunque se califique formalmente de administrativa, será materialmente penal. Por lo tanto, lo que el legislador está haciendo no es más que un fraude de etiquetas. Posteriores modificaciones legislativas han confirmado este parecer. Así, en marzo de 2018 se aprobó la Ley N° 30737 para asegurar el pago de la reparación civil a favor del Estado en delitos de corrupción relacionados con grandes obras o proyectos, en donde se estableció que las personas jurídicas procesadas penalmente para imponerles las sanciones de la LRPJ podían acogerse a la colaboración eficaz. Tal posibilidad supone indiscutiblemente asignarles la calidad de imputadas en el proceso penal.
La introducción de una responsabilidad penal de la persona jurídica por medio de la LRPJ no ha supuesto la eliminación de la regulación general de las consecuencias accesorias en el Código Penal. En tal sentido, existiría un sistema dual en el que conviven consecuencias accesorias y sanciones. Las consecuencias accesorias serían medidas preventivas que se aplican a una persona jurídica si existe un peligro relevante de que su organización sea utilizada para cometer o encubrir nuevos delitos de sujetos individuales, mientras que las sanciones de la LRPJ se sustentarían en una responsabilidad penal de la persona jurídica por la comisión de un delito. Dado que la imposición conjunta de ambas consecuencias jurídicas produciría una sobrerreacción, resulta necesario precisar cuándo se aplican unas y cuando se imponen las otras. La reciente modificación a la LRPJ se ocupa de esta cuestión, señalando que el régimen de consecuencias accesorias, previsto en el Código Penal, se aplica a las personas jurídicas involucradas en los delitos no comprendidos en dicha ley. Desde la perspectiva del legislador, las consecuencias accesorias serían no más que un sustituto de las sanciones penales a las personas jurídicas, de manera tal que se deberían ir eliminando con la progresiva ampliación de la responsabilidad penal de las personas jurídicas a los distintos delitos. Así, cuando la LRPJ admita finalmente el castigo de la persona jurídica por cualquier delito (un catálogo abierto), entonces ya no habrá un espacio dogmático para las consecuencias accesorias.
El artículo 3 de la LRPJ establece que las personas jurídicas son responsables por los delitos señalados en el artículo 1, cuando éstos hayan sido cometidos en su nombre o por cuenta de ellas, y en su beneficio, directo o indirecto, por:
De lo anterior se desprende que la responsabilidad de la persona jurídica requiere que una persona natural ejecute fácticamente un delito vinculado con la persona jurídica por dos aspectos. Por un lado, la persona natural ejecutante debe estar vinculada con la organización de la persona jurídica de tres formas posibles: como miembro apical, como miembro encargado o como miembro supervisado. Por otro lado, el delito debe estar vinculado con las actividades de la persona jurídica a partir de dos requisitos que deben concurrir conjuntamente: que la persona natural haya cometido el delito en nombre o por cuenta de la persona jurídica y en beneficio directo o indirecto de ésta.
Dada la exigencia legislativa de una ejecución del delito por una persona natural, podría sostenerse que el sistema de responsabilidad acogido por la LRPJ se corresponde con el modelo de heterorresponsabilidad, pues la persona jurídica sería responsable del delito cometido por la persona natural. Sin embargo, esta conclusión se torna dudosa, cuando más adelante el artículo 12 de la LRPJ admite, como una eximente de responsabilidad por lo menos para los sujetos encargados y supervisados, el hecho de que la persona jurídica, antes de la comisión del delito, haya adoptado e implementado en su organización un modelo de prevención con medidas de vigilancia y control idóneas para prevenirlo o reducir significativamente el riesgo de su comisión. No queda claro, entonces, cuál sería la razón por la que se responsabiliza a la persona jurídica: si por haberse beneficiado del delito cometido por una persona natural que actuó en su nombre o por cuenta suya, o por no haber adoptado un sistema de prevención idóneo para evitar la comisión del delito.
Para salir del dilema podría optarse por asumir un modelo mixto, en el que la atribución de responsabilidad a la persona jurídica exija, además de la conexión con el delito ejecutado por la persona natural, un “aporte” organizacional al delito por parte de la entidad colectiva. Esta combinación de hetero y autorresponsabilidad no es, sin embargo, del todo satisfactoria, pues implica cargar un factor ajeno, aunque sea en parte, a la responsabilidad de la persona jurídica, lo que resulta incompatible con el principio de culpabilidad por hecho propio recogido en el artículo VII del Título Preliminar del Código Penal Peruano. Por ello, la única lectura válida sería la que se sigue un modelo de autorresponsabilidad. La exigencia legal de una ejecución del delito por parte de una persona natural se explicaría en el hecho de que la responsabilidad de la persona jurídica requiere de una intervención necesaria de la persona natural a nivel puramente fáctico, pero la competencia penal de cada quien se determina de forma independiente. En consecuencia, la persona jurídica será penalmente responsable, si es que está organizada de tal manera que no estableció controles razonables al delito ejecutado materialmente por personas naturales vinculadas a ella, a quienes, por su parte, se les podrá también imputar el delito con los criterios de determinación de la responsabilidad penal individual. Esta deficiente organización de la persona jurídica se expresa en la falta de un modelo de prevención, o en contar con uno que no es idóneo o que simplemente no ha funcionado.
El artículo 2 de la LRPJ establece que, a efectos de esta ley, son personas jurídicas las entidades de derecho privado, así como las asociaciones, fundaciones, organizaciones no gubernamentales y comités no inscritos, las sociedades irregulares, los entes que administran un patrimonio autónomo y las empresas del Estado peruano o sociedades de economía mixta. También tendrán esa calidad las personas jurídicas extranjeras, cuando realicen o desarrollen sus actividades directa o indirectamente en el territorio nacional a través de cualquier modalidad societaria, contractual o empresarial, en cuyo marco se cometa alguno de los delitos previstos en la LRPJ. Por otro lado, del tenor del artículo 3 de la LRPJ se desprende que las personas jurídicas que tengan la calidad de matrices podrán ser consideradas igualmente responsables, cuando las personas naturales de sus filiales o subsidiarias, que incurran en cualquiera de las conductas sancionadas, hayan actuado bajo sus órdenes, autorización o con su consentimiento.
Se establece también que el cambio de nombre, denominación o razón social, la reorganización societaria, transformación, escisión, fusión, disolución, liquidación o cualquier acto que pueda afectar la personalidad jurídica de la entidad, no impiden la atribución de responsabilidad a la misma. En el caso de una fusión o escisión cuyo objetivo no es eludir la sanción, cabe igualmente sancionar a la persona jurídica absorbente con una multa en función del patrimonio transferido, siempre que el delito haya sido cometido antes de la fusión o escisión (tercer párrafo del artículo 2 de la LRPJ). Esta sanción, sin embargo, no procederá si, previo al proceso de fusión o escisión, la persona jurídica absorbente realizó un adecuado proceso de debida diligencia consistente en la adopción de acciones razonables orientadas a determinar que la persona jurídica fusionada o escindida no ha incurrido en la comisión de cualquiera de los delitos previstos en la LRPJ. Lo llamativo es que la figura de la sociedad absorbente se presenta solamente en la fusión por absorción o en ciertas formas de escisión, pero no en todas escisiones y tampoco en la fusión por incorporación. Ante este vacío podría sostenerse que, por tratarse de una situación similar, cabría utilizar esta misma regla. Tal pretensión, sin embargo, no sería compatible con la prohibición de la analogía.
Las sanciones aplicables a personas jurídicas pueden ser de diversas clases: Multa, inhabilitación (como la suspensión de sus actividades, la prohibición temporal o definitiva de sus actividades y la inhabilitación definitiva para contratar con el Estado), cancelación de autorizaciones administrativas, clausura temporal o definitiva de sus locales o establecimientos y, finalmente, la disolución. A diferencia de las personas físicas, las sanciones para las personas jurídicas no están previstas por cada delito, sino que el artículo 5 de la LRPJ deja en manos del Ministerio Público solicitar al juez la que estime conveniente, pudiendo ser una o varias sanciones. Esta regla de discrecionalidad tiene, sin embargo, ciertas excepciones. Así, la inhabilitación de contratar con el Estado se debe imponer cuando el delito es cometido en el marco de un proceso de contratación pública (artículo 8 de la LRPJ), la cancelación de licencias o autorizaciones cuando el delito estuviese destinado a la obtención de las mismas (artículo 9 de la LRPJ) y la disolución cuando la persona jurídica fue creada y operada para favorecer, facilitar o encubrir la comisión del delito (artículo 10 de la LRPJ). De manera complementaria, el Juez puede ordenar a la autoridad competente que disponga la intervención de la persona jurídica para salvaguardar los derechos de los trabajadores y acreedores (artículo 6 de la LRPJ), o decretar el decomiso de instrumentos, objetos, efectos y ganancias del delito (artículo 11 de la LRPJ).
El artículo 12 de la LRPJ exime de responsabilidad a la persona jurídica si ésta, con anterioridad a la comisión del delito, adoptó e implementó un modelo de prevención con medidas de vigilancia y control idóneas para prevenirlo o reducir significativamente el riesgo de su comisión. Esta exención solamente procede respecto de delitos cometidos por miembros encargados o supervisados. En el caso de delitos cometidos por miembros apicales, la adopción e implementación previa de un modelo de prevención no exime de responsabilidad a la persona jurídica, pero la hace acreedora de una atenuación privilegiada de la sanción: una multa que puede ser reducida hasta en un noventa por ciento. De manera general, se contempla también una atenuación de la sanción si, antes del delito, la persona jurídica contaba con un modelo de prevención que reune algunos de los elementos mínimos o si, después de la comisión de delito, implementa un modelo de prevención.
La idoneidad del modelo de prevención tiene tres manifestaciones: Una idoneidad temporal que exige que el modelo de prevención haya sido adoptado e implementado en la organización con anterioridad al delito, una idoneidad de procedimiento que obliga a la observancia de ciertas condiciones en la implementación de dicho modelo y una idoneidad de contenido que requiere que el modelo de prevención cuente con medidas de vigilancia y control idóneas para evitar el delito o reducir significativamente el riesgo de su comisión. La LRPJ y su Reglamento (el Decreto Supremo N° 02-2019-JUS) precisan cuáles son las condiciones de idoneidad del procedimiento de implementación del modelo de prevención, siendo posible diferenciar, por un lado, los presupuestos y, por el otro, los elementos mínimos.
La implementación de un modelo de prevención debe partir de una decisión de la alta dirección de la persona jurídica de iniciar un proceso de identificación y evaluación de riesgos de comisión de delitos con la finalidad de elaborar un perfil de riesgo. La Superintendencia del Mercado de Valores (SMV) sugiere, en el documento titulado “Lineamientos para la implementación y funcionamiento del modelo de prevención”, dar cierta publicitación a la toma de esa decisión, de manera que se promueva con ello la participación y cooperación del personal, así como también el involucramiento de los socios comerciales y partes interesadas. Asimismo, el artículo 10 del Reglamento de la LRPJ recomienda definir las funciones y responsabilidades operativas de la persona designada para esta labor, los procesos operativos que realizará y quién se encargará de supervisarla.
El modelo de prevención debe elaborarse con base en el perfil de riesgo de la persona jurídica, en el que se identifique y evalúe los riesgos inherentes y residuales de acuerdo con su tamaño, naturaleza, características y la complejidad de sus operaciones Los riesgos inherentes son aquellos a los que se encuentra expuesta en el desarrollo de sus actividades y que, por lo tanto, deben ser razonablemente prevenidos; mientras que los riesgos residuales son aquellos que van a permanecer a pesar de los mecanismos de prevención y frente a los cuales se deben tomar, en todo caso, medidas de gestión de su impacto. Con la evaluación de estos riesgos se obtiene el perfil de riesgo, lo que permite conocer el grado de vulnerabilidad de la persona jurídica de verse involucrada en la comisión de delitos como consecuencia del ejercicio de sus actividades.
Para la construcción del perfil de riesgo el artículo 13 del Reglamento de la LRPJ señala que se pueden seguir los siguiente pasos: i) La identificación de todos los procesos que son parte del funcionamiento de la persona jurídica; ii) La determinación del objetivo del proceso; iii) A partir de los contextos internos y externos aplicables a la persona jurídica, la determinación de las causas o agentes generadores del riesgo; iv) La identificación y definición de manera clara y precisa de los riesgos inherentes y residuales al proceso que se evalúa, definiendo cada uno de los elementos que lo componen y la forma o modo en el que podrían darse; y v) La determinación de las consecuencias generadas o que se podrían generar por la materialización de un riesgo. Más allá de la metodología utilizada, el perfil de riesgo debe contener la identificación y evaluación de los riesgos de comisión de delitos por los que la persona jurídica podría responder.
La identificación de riesgos se realiza teniendo en cuenta las específicas actividades de la persona jurídica. Para esta identificación se pueden utilizar fuentes de información de procedencia interna o externa (artículo 16 del Reglamento de la LRPJ). De especial importancia es la determinación del contexto interno y externo de la persona jurídica que explica la aparición de los riesgos de infracción penal, pues sólo con esa información podrán definirse mecanismos adecuados para mitigarlos. Dentro del contexto interno cuentan el tamaño o estructura de la organización, la complejidad de las operaciones, los objetivos y estrategias corporativas o el modelo de negocio. Por su parte, el contexto externo está referido a aspectos como los factores sociales, culturales, políticos, legales o ambientales, el entorno regulatorio, la ubicación geográfica, el sector del mercado o las interactuaciones con terceros como socios, proveedores o funcionarios públicos (artículo 17 del Reglamento de la LRPJ).
La evaluación de los riesgos se encarga de establecer, en términos cuantitativos y/o cualitativos, la magnitud de los riesgos inherentes (artículo 18 del Reglamento de la LRPJ). De esta manera, pueden precisarse qué riesgos son los más relevantes y priorizar los recursos disponibles para su mitigación. De acuerdo con el artículo 19 del Reglamento de la LRPJ son fundamentalmente dos los factores para determinar la magnitud de los riesgos: la probabilidad de materialización (artículo 20 del Reglamento de la LRPJ) y el impacto sobre la persona jurídica (artículo 21 del Reglamento de la LRPJ).
La identificación y la evaluación de riesgos deben ser continuamente revisados. Esta revisión debe hacerse cada cierto tiempo o activarse por situaciones detonantes como el ingreso a nuevos mercados, una fusión o adquisición, etc. En relación con este último punto, el artículo 7 del Reglamento de la LRPJ señala que se realizará cada vez que se produzcan cambios estructurales o de organización, o ante alguna circunstancia endógena o exógena relevante que amerite la realización de una nueva evaluación de riesgos con la finalidad de permitir a la persona jurídica realizar los ajustes al modelo de prevención que resulten necesarios.
El artículo 32 del Reglamento de la LRPJ establece que la persona jurídica debe formular una política de cumplimiento debidamente documentada que prohíba la comisión de delitos. Como expresión básica de su rechazo a la comisión de delitos, esta política debe manifestar expresamente que los órganos de gobierno, de administración, de la alta dirección y los mandos medios asumen el compromiso y el liderazgo en la implementación, ejecución y supervisión del modelo de prevención. Los socios comerciales y a las partes interesadas deben ser informados del compromiso de la persona jurídica de prohibir la comisión de delitos, buscando su adhesión a dicho compromiso.
El máximo órgano de administración de la persona jurídica, o quien haga sus veces, debe designar un encargado de prevención que, conforme al artículo 35 del Reglamento de la LRPJ, se ocupe de velar por la aplicación, ejecución, cumplimiento y mejora continua del modelo de prevención. Tratándose de las micro, pequeña y mediana empresas, ese cargo puede ser asumido directamente por el órgano de la administración. Condiciones básicas para el desempeño de su labor son la autonomía, la independencia funcional y la autoridad. Mientras que la LRPJ es explícita al exigir que el encargado de prevención debe ejercer su función con autonomía, el artículo 35.2 del Reglamento de la LRPJ alude a su independencia y autoridad. La autonomía significa que el encargado de prevención no está sujeto a directrices u órdenes de los órganos de dirección de la persona jurídica. La independencia, por su parte, tiene su expresión más básica en la asignación de los recursos necesarios para el cumplimiento de su función. En cuanto a la autoridad, ésta se expresa en el reconocimiento de facultades como pedir información, inspeccionar dependencias sin autorización previa, revisar la documentación pertinente, entre otras más.
El artículo 22 del Reglamento de la LRPJ establece que las acciones de mitigación de los riesgos identificados de comisión de delitos constituyen una parte fundamental del modelo de prevención. Se trata de reducir razonablemente el riesgo inherente identificado y, respecto de los riesgos residuales, establecer procedimientos para gestionar adecuadamente los efectos lesivos que pudiesen producirse. En consonancia con ello, el Reglamento de la LRPJ establece que las medidas de prevención o control deben ser proporcionales, razonables y adecuadas a la probabilidad o consecuencias de los riesgos inherentes priorizados y de los riesgos residuales.
En la LRPJ no se precisa cuáles son las acciones de mitigación que la persona jurídica debe desplegar. Por lo tanto, se encuentra habilitada a implementar, de acuerdo con el principio de autorregulación reconocido en el artículo 31 del Reglamento de la LRPJ, las medidas que, según las particularidades de su organización, considera adecuadas. Hay, sin embargo, algunas referencias a acciones de mitigación concretas. El artículo 34 del Reglamento de la LRPJ señala, por ejemplo, que la persona jurídica debe, en ámbitos especialmente sensibles vinculados con su actividad u objeto social, establecer políticas para mitigar de riesgos de comisión de delitos (por ejemplo, los pagos de facilitación, regalos, auspicios, hospitalidad, viajes, entretenimiento, contribuciones a campañas políticas y conflictos de intereses). Del mismo modo, los artículos 23 y 24 del Reglamento de la LRPJ establece que debe también implementar controles financieros y no financieros. Finalmente, el artículo 25 del Reglamento de la LRPJ señala que la persona jurídica debe contar con procedimientos de debida diligencia sobre las operaciones, proyectos, actividades, socios comerciales o incluso el personal con la finalidad de ponderar con mayor profundidad y detalle la entidad de los riesgos inherentes o residuales identificados.
Las acciones de mitigación no se circunscriben a medidas de prevención de delitos, sino que también abarcan aquellas dirigidas a la detección de los delitos que no se han podido prevenir para evitar la continuidad de sus efectos lesivos. En ese sentido, el primer párrafo del artículo 38 Reglamento de la LRPJ establece la necesidad de que la persona jurídica implemente “procedimientos que garanticen la interrupción o remediación rápida y oportuna sobre irregularidades, violaciones y/o daños generados como consecuencia del incumplimiento del modelo de prevención”. Lo que llama, sin embargo, la atención es que LRPJ establezca que, para gozar de la exención de pena, el modelo de prevención debe contar con medidas de vigilancia y control idóneas que le permitan a la persona jurídica prevenir los delitos o reducir significativamente el riesgo de su comisión. Podría concluirse entonces que, si bien las acciones de mitigación incluyen medidas de prevención del delito y medidas de neutralización de sus efectos lesivos, la idoneidad del modelo de prevención de cara a la obtención del beneficio de la exención de sanción se circunscribe únicamente a las medidas de prevención.
Otro elemento mínimo del modelo de prevención es su difusión y la capacitación periódica en todos los niveles de la persona jurídica. Conforme al artículo 41.2 del Reglamento de la LRPJ, las acciones de difusión y capacitación deben desarrollarse por los medios más idóneos y, cuando menos, una vez al año con la finalidad de transmitir los objetivos del modelo de prevención a todos los trabajadores y directivos, independientemente de la posición o función que ejerzan, así como también a los socios comerciales y partes interesadas cuando corresponda. En el Reglamento se establecen como puntos necesarios de las capacitaciones: a) La política de cumplimiento, los procedimientos implementados, el modelo de prevención y el deber de cumplimiento; b) Los riesgos de incurrir en delito y sus consecuencias para la organización y para el trabajador; c) Las circunstancias en las que puede presentarse alguna situación que implique un riesgo de comisión de delito en el marco de las funciones y actividades que el trabajador desempeña en la organización; d) Las formas de reconocimiento y enfrentamiento de las situaciones de riesgo; e) La identificación de los canales de comunicación y/o de los procedimientos de denuncia; f) Las formas de colaboración para la prevención de riesgos y para la mejora del modelo de prevención; g) Las consecuencias legales del incumplimiento del modelo de prevención; y h) la información sobre los recursos de capacitación disponibles.
Las medidas de mitigación de riesgos adoptadas deben integrarse en la actividad de la persona jurídica (artículo 37 del Reglamento de la LRPJ). Sin perjuicio de otros procesos que pueda determinar la persona jurídica en su autorregulación, la integración del modelo debe producirse en: i) las relaciones o vínculos con los socios comerciales y partes interesadas; ii) los procedimientos de contratos administrativos o de cualquier interacción con el sector público, aunque medien terceros, tales como el pago de impuestos, obtención de permisos, licencias y certificados a nivel nacional e internacional; iii) el uso de los recursos financieros, los cuales abarca a los diferentes tipos especiales de gastos que puede incurrir la persona jurídica, tales como regalos, hospitalidad, viajes, entretenimiento, contribuciones políticas, contribuciones filantrópicas y patrocinios; y, iv) las fusiones, adquisiciones y reestructuración de las personas jurídicas.
El artículo 4.5 del Reglamento de la LRPJ señala que la persona jurídica debe documentar y evidenciar todos los elementos que sustenten que el modelo de prevención funciona adecuadamente. Con una mayor precisión, el artículo 8 del Reglamento de la LRPJ establece que la documentación debe alcanzar a las actividades y los parámetros operativos sobre los momentos de identificación, evaluación y mitigación de riesgos penales, su frecuencia, las fuentes, la recolección de datos, los procedimientos, las personas u órganos involucrados, los flujos de información, los informes relacionados y demás ejercicios vinculados al proceso de gestión de riesgos penales. La información recabada puede ser conservada de modo separado como parte del modelo de prevención o como parte de otro sistema que la persona jurídica hubiera implementado con anterioridad. Para dicho fin se podrá usar documentos de fecha cierta o cualquier medio físico o electrónico que permita tener certeza de su contenido y el tiempo de su elaboración o emisión.
El registro de actividades está contemplado en el artículo 36.1 del Reglamento de la LRPJ, en donde se establece la necesidad de implementar un sistema de control contable y financiero que asegure el registro de todas las actividades de la persona jurídica, lo que incluye el registro adecuado de libros y cuentas. Ninguna transacción, operación o negocio puede quedar al margen de este registro. El artículo 36.2 de la LRPJ dispone además la implementación de controles internos con la finalidad de verificar que la política y medidas del modelo de prevención se están aplicando de modo adecuado. Esta implementación estará a cargo del órgano de gobierno o administración de la persona jurídica, correspondiéndole al encargado de prevención su supervisión y a un auditor interno o externo su evaluación.
El incumplimiento del modelo de prevención debe ser detectado para adoptar medidas que contribuyan a gestionar las consecuencias lesivas. Para ello resulta fundamental que los órganos de control puedan recibir información al respecto de quienes la tengan. En este sentido, el artículo 17 de la LRPJ exige la implementación de procedimientos de denuncia, por medio de los cuales los trabajadores o personas vinculadas a la persona jurídica reporten cualquier sospecha de intento o ejecución de un delito, así como de cualquier otro acto que determine el incumplimiento o debilidad del modelo de prevención (artículo 39.1 del Reglamento de la LRPJ). Una condición básica para su funcionamiento es que sean confiables para el denunciante. De conformidad con el artículo 40 del Reglamento de la LRPJ, este procedimiento debe contar por lo menos con: a) Descripción, a modo de ejemplo, de las conductas delictivas que pueden denunciarse; b) Identificación del encargado de prevención y su información de contacto; c) Protección para el denunciante por parte de la organización; d) Canales de denuncia disponibles; e) Definición y descripción de los elementos mínimos que debe contener una denuncia para que sea considerada como tal; f) Definición y descripción del mecanismo de recepción de denuncias; y, g) Definición y descripción del procedimiento de investigación y de la presentación de los resultados.
En caso de incumplimiento del modelo de prevención, el segundo párrafo del artículo 38 del Reglamento de la LRPJ establece que la persona jurídica debe prever sanciones para los que, conforme a la investigación interna, resulten responsables. Si bien no se indica cómo debe tener lugar esta investigación, los “Lineamientos para la implementación y funcionamiento del modelo de prevención” emitidos por la SMV señalan que debe definirse el procedimiento y las técnicas de investigación, cautelando la imparcialidad e independencia de la persona encargada de realizarla y asegurando el respeto de los derechos fundamentales de los investigados. Las sanciones a los encontrados responsables en la investigación interna no pueden imponerse de cualquier forma, sino que deben haberse previamente establecido de forma clara como respuesta a la falta de observancia del modelo de prevención. El tercer párrafo del artículo 38 del Reglamento de la LRPJ señala además que, si de la investigación interna se desprende la posible comisión de un delito, éste podrá ser puesto en conocimiento de las autoridades competentes, correspondiéndole al encargado de prevención realizar y supervisar esta denuncia.
El funcionamiento del modelo de prevención debe ser monitoreado, evaluado y mejorado continuamente por el órgano de gobierno o administración de la persona jurídica. Para poder llevar a cabo el proceso de evaluación del modelo de prevención la persona jurídica debe contar con mecanismos de retroalimentación y otros procesos internos igualmente idóneos. La evaluación debe ser periódica (por lo menos una vez al año, según el 42.2. del Reglamento de la LRAPJ) o activarse a raíz de eventos concretos que pongan en evidencia posibles deficiencias del modelo. El proceso de evaluación debe estar referido, como mínimo, a los siguientes aspectos: a) El funcionamiento del modelo de prevención; b) Las fallas y/o debilidades encontradas; c) El detalle de las acciones correctivas realizadas; d) La eficacia de las medidas adoptadas para hacer frente a los riesgos identificados; y e) Las oportunidades de mejora del modelo de prevención (artículo 42.2. del Reglamento). Se recomienda que la evaluación sea realizada por un evaluador externo independiente y con conocimiento especializado en el ramo. A partir de la evaluación realizada los evaluadores deberán formular recomendaciones para el mejoramiento del modelo de prevención, las que deben ser implementadas en la medida de lo posible.
El artículo 18 de la LRPJ establece que, si una persona jurídica alega contar con un modelo de prevención, el Fiscal solamente le podrá formalizar investigación preparatoria si es que cuenta con un informe técnico emitido por la Superintendencia del Mercado de Valores (SMV). En este informe técnico, la referida agencia de supervisión deberá analizar la implementación y el funcionamiento del referido modelo de prevención en relación con el delito imputado. El plazo para su emisión es de 90 días, computados desde el día siguiente de la recepción de la solicitud. De manera excepcional, este plazo puede extenderse por un período igual en función a la complejidad del caso, tamaño y ubicación de la persona jurídica, u otras condiciones o particularidades.
Para la elaboración del informe técnico la SMV deberá tener en consideración los estándares internacionales sobre el modelo de prevención y las buenas prácticas en el gobierno corporativo. Un acercamiento a los criterios que en ese sentido utilizaría la SMV se puede conseguir con la lectura del documento expedido por esta institución en el 2021 bajo el título de “Lineamientos para la implementación y funcionamiento del modelo de prevención”. Si bien no establece ahí la metodología o criterios que utilizará para elaborar el informe técnico, ponen de manifiesto su manera de interpretar las exigencias legales al modelo de prevención para exonerar de responsabilidad penal a las personas jurídicas. En ese sentido, se hace mención a una serie de evidencias de la implementación y el debido cumplimiento en relación con cada elemento mínimo del modelo de prevención. Pese a que se alude a diversas evidencias, está claro que se trata simplemente de una enumeración ejemplificativa que no excluye la aportación y valoración de otras evidencias por parte de la SMV. Del mismo modo, debe quedar claro que el informe técnico no constituye una evaluación tasada que exija la necesaria aportación de todas las evidencias mencionadas en los lineamientos, sino que cada una de las evidencias tendrá una fuerza de convicción que la SMV tendrá que valorar al momento de pronunciarse.
La persona jurídica que alega contar con un modelo de prevención, debe brindar la información y documentación respectiva, así como otorgar a la SMV las facilidades necesarias para que emita el informe técnico. En ese sentido, el artículo 46 del Reglamento de la LRPJ establece que la Fiscalía debe poner a disposición de la SMV copia de toda la documentación que haya sido presentada por la persona jurídica para sustentar la implementación y funcionamiento del modelo de prevención. En caso de requerir mayor información, la SMV está autorizada por el artículo 21 de la LRPJ para: 1. Requerir a la persona jurídica la información y documentación necesaria sobre su modelo de prevención; 2. Realizar visitas de evaluación del modelo de prevención a la persona jurídica, tomar declaraciones al personal que labora en ésta y a los terceros con los que mantenga o hubiere mantenido una relación comercial o contractual, así como a cualquier otro cuya declaración o aporte coadyuve a los efectos de la emisión del informe técnico, lo que queda plasmado en soporte físico o digital. Si la persona jurídica no entrega la información o documentación en el plazo para la emisión del informe o se niegue a colaborar en las visitas de evaluación, la SMV emitirá un informe indicando dicha situación y la imposibilidad de concluir la implementación o funcionamiento del modelo de prevención. Cuando el delito imputado a la persona natural sea lavado de activos o financiamiento al terrorismo, la SMV y el supervisor competente en materia de prevención de lavado de activos y financiamiento al terrorismo pueden intercambiar información referida al modelo de prevención y el sistema de prevención de lavado de activos y financiamiento al terrorismo, respectivamente.
Nada se opone a que la persona jurídica pueda aportar a la investigación fiscal la información obtenida en el desarrollo de una investigación interna, siempre que las evidencias se hayan obtenido por actos de investigación proporcionales y no se haya afectado derechos fundamentales como el secreto de las comunicaciones, la intimidad o el entorno digital de los investigados. Así lo ha sostenido la Corte Suprema de la República, en el caso concreto del acceso a la información contenida en el correo electrónico institucional de un trabajador, señalando que, mientras se trate de un acceso proporcional y no haya una expectativa de intimidad por parte del trabajador, será posible aportar esa información como prueba al proceso penal (R.N. Nº 817-2016 Lima). Lo que se discute es la posibilidad de que el Fiscal acceda a la información de las investigaciones internas por medio de medidas como el allanamiento y la incautación de documentos. Si bien la LRPJ no dice nada al respecto, no parece razonable permitir este acceso a la información de las investigaciones internas sin la autorización de la persona jurídica, pues con ello se desincentivaría la implementación de sistemas de detección eficientes. En este orden de ideas, se ha propuesto el reconocimiento del compliance privilege para impedir precisamente la valoración probatoria de esta información, mientras no haya sido aportada voluntariamente por la persona jurídica.
Al informe técnico de la SMV el artículo 18 de la LRPJ le atribuye la condición de una pericia institucional, lo que podría llevar a pensar que sería una especie de prueba plena sobre la idoneidad del modelo de prevención. Sin embargo, tal interpretación no sólo iría en contra del sistema de valoración de la prueba en el proceso penal, sino es descartada completamente en la última modificación aprobada por el Congreso. En efecto, en el artículo 19 a la LRPJ se establece que el informe de la SMV se debe valorar junto con los demás elementos probatorios incorporados en la investigación o el proceso.
El que el objeto regular del informe técnico de la SMV sea determinar si la persona jurídica contaba con un modelo de prevención idóneo, eso no obsta a que pueda ocuparse, de ser el caso, de otros aspectos igualmente relevantes para el juicio de responsabilidad penal de la persona jurídica. Así, podría establecer si, antes de la comisión del delito, existía un modelo de prevención en funcionamiento que cumplía con algunos elementos mínimos del modelo de prevención de cara a la aplicación de la atenuante por implementación de un modelo de prevención imperfecto. Del mismo modo, podría precisar también si con posterioridad a la comisión del delito se implementó un modelo de prevención idóneo, de manera que se pueda decidir la procedencia de la atenuante por la adopción posterior de un modelo de prevención idóneo. Otro aspecto que igualmente podría precisar es si el miembro individual que cometió el delito eludió controles razonablemente establecidos por el modelo de prevención, en cuyo caso la persona jurídica no será sancionada.
En cuanto al valor probatorio que cabe atribuir a la certificación del modelo de prevención, el Proyecto de la LRPJ contemplaba inicialmente la posibilidad de una certificación del modelo de prevención, como sucede, por ejemplo, en la regulación chilena, aunque en su redacción final esa posibilidad fue eliminada. Eso no significa, sin embargo, que las certificaciones carezcan de relevancia en el proceso acreditativo de la idoneidad del modelo de prevención. Reglamentariamente se ha establecido que la SMV puede tener en cuenta, al momento de expedir su informe técnico, la existencia de certificaciones relacionadas con los sistemas de gestión de riesgos, gestión de compliance o de gestión antisoborno que la persona jurídica hubiese obtenido, en la medida que hayan sido emitidos por parte de entidades especializadas del Perú o del exterior. En esa misma línea, los “Lineamientos para la implementación y funcionamiento del modelo de prevención” emitidos por la SMV señalan que la emisión de su informe técnico podrá tener en cuenta la existencia de certificaciones obtenidas por la persona jurídica, empero éstas sólo serán referenciales, mas no vinculantes para la evaluación de la SMV, esto es, por sí solas no constituyen factores determinantes para sustentar la opinión que será vertida en el informe técnico, sino que deberán ser evaluadas y valoradas conjuntamente con otras evidencias recolectadas.
El artículo 472 del Código Procesal Penal habilita al Fiscal a celebrar acuerdos de colaboración eficaz con personas jurídicas, otorgándoles ciertos beneficios punitivos que deben ser validados judicialmente. Esos beneficios pueden ser la exención de sanción, la disminución de la sanción por debajo del mínimo legal o la remisión de la sanción que esté cumpliendo. A estos beneficios cabe agregar también la conversión de la sanción impuesta por una multa. Lo que llama particularmente la atención es que no se haya contemplado como beneficio la posibilidad de sustituir la sanción correspondiente por la obligación de implementar un modelo de prevención idóneo.
Para hacerse acreedora de los beneficios previstos la persona jurídica debe admitir, primero, su responsabilidad en el delito por medio de un representante autorizado y proporcionar luego a la Fiscalía información eficaz para: evitar la continuidad delictiva o reducir sustancialmente la magnitud de las consecuencias dañosas del delito, conocer las circunstancias en que se cometió el delito, identificar a los intervinientes en el delito, o entregar bienes relacionados con el delito o dar información sobre su paradero. El tipo de beneficio otorgado dependerá del grado de eficacia o importancia de la colaboración en concordancia con la entidad del delito y la responsabilidad por el hecho. La persona jurídica podrá acogerse a la colaboración eficaz respecto de cualquiera de los delitos por los que pueda responder.
La legislación peruana contempla actualmente un sistema de responsabilidad de la persona jurídica por la comisión de diversos delitos, asumiendo un modelo de autorresponsabilidad centrado en la adopción previa de un modelo de prevención de delitos idóneo para prevenirlos o reducir significativamente el riesgo de su comisión. Para la determinación de la idoneidad del modelo de prevención deben cumplirse con determinados presupuestos y con ciertas exigencias en su implementación que se han recogido bajo la forma de los llamados elementos mínimos.
1
2
3
4
5
6
7
CARO, J. /REAÑO, J. (2022), «Responsabilidad penal de la empresa y criminal compliance. Aspectos sustantivos y procesales», Forseti Revista de Derecho Vol. 11, Nº 15 p. 9 y ss. doi: https://doi.org/10.21678/forseti.v11i15.1753
8
CARRIÓN DÍAZ, J. (2020), «¿Responsabilidad penal o administrativa de la persona jurídica?: algunos alcances a partir de la Ley N° 30424», Ius Inkarri Nº 9, p. 213 y ss. doi: https://doi.org/10.31381/iusinkarri.vn7.2021
9
10
11
12
13
14
15
18
19
21
22
23
25
26
27
28
30
31
33
SOTA SÁNCHEZ, A. (2021), «Due diligence de compliance penal en operaciones de M&A como criterio para evitar la transferencia automática de responsabilidad penal a la persona jurídica adquiriente o resultante, en el marco de la Ley N.º 30424», Ius Inkarri 10(10), p. 43 y ss. doi: https://doi.org/10.31381/iusinkarri.v10n10.4640
[6] Vid., . Sobre la evolución del proceso pre-legislativo y legislativo de esta ley, vid., con detalle, .
[11] Vid., con mayores referencias, ; . En la Casación Nº 864-2017 Nacional se acoge con claridad este planteamiento (Fundamento Noveno).
[15] Vid., . Igualmente, con los conceptos de presupuesto y fundamento de la responsabilidad penal de la persona jurídica, .
Descargas (Últimos 12 meses)
