2.1 El CP de 1995 y su reforma del año 2003: Breve mención a la situación vigente antes de la expresa introducción de la RPPJ.

La única manera de la que disponíamos para atribuir consecuencias accesorias a las entidades mercantiles era recurrir al art. 129 CP vigente en 1995, y si comparamos este precepto con el actual [remite al art. 31.7 letras c) a g) CP], podremos ver cómo, en realidad, el catálogo de consecuencias es sustancialmente equivalente3.

Tras la reforma operada en el año 2003 y la inclusión del art. 31.2 CP, se adelanta algún paso en el reconocimiento de la RPPJ4, si bien en aquel momento se diseña un régimen de responsabilidad penal objetiva contrario al principio de culpabilidad y destinado a retener el patrimonio social para hacer frente a las responsabilidades generadas.

Todo ello se ve sustancialmente modificado mediante la reforma operada en el año 2010 y completada en el 2015. Como se verá a continuación, ambas normas introducen cambios importantes en el régimen de RPPJ que afectan tanto a su naturaleza jurídica como a los requisitos exigidos para apreciar su existencia.

Cabe señalar que este encadenamiento de reformas nos dirige a plantear el problema de la retroactividad penal de ley más favorable. A estos efectos, en la STS 234/2019 se dirime la posibilidad de aplicar las reformas efectuadas en los años 2010 y 2015 a unos hechos delictivos cometidos en 2008, momento en el que resultaría de aplicación la legislación del año 2003. En este punto, el TS se hace eco del nuevo estatuto que posee la persona jurídica, donde prima el principio de autorresponsabilidad dirigido a garantizar la presunción de inocencia, incidiendo sobre las consecuencias del régimen de prueba y a las garantías procesales que deben garantizarse y, precisamente por ello, aunado a la exigencia de la necesidad de fundamentar la RPPJ con base en un defecto organizativo, es por lo que entiende que la LO 1/2015 es más beneficiosa que la vigente en el año 2003, reconociéndose su aplicación retroactiva. Dicho de otra forma, hemos transitado desde un sistema de responsabilidad objetiva a un modelo construido sobre la culpabilidad de la empresa, siendo así necesario probar y garantizar la existencia de un comportamiento típico, antijuridico, culpable y punible realizado por la propia persona jurídica.

2.2 La reforma del 2010

En la reforma operada a través de la LO 5/2010 se puede observar una notable influencia del derecho de la UE5, no obstante, la armonización legislativa de la RRPJ se ha caracterizado por ser abierta y flexible, lo cual ha generado importantes problemas aplicativos. Nos encontramos ante una amalgama normativa de gran complejidad que conduce a una disparidad de criterios y de modelos entre los diferentes países de un mismo entorno económico6.

La STS 710/2021, de 20 de septiembre (Caso Volkswagen) refleja esta situación. En este caso nuestro TS resuelve un conflicto de jurisdicción entre Alemania y España a fin de determinar cuál de los dos países es el más adecuado para finalizar la investigación y tomar la decisión de qué personas van a ser finalmente llevadas a juicio por los hechos investigados, evitándose así una quiebra del principio non bis in idem. Acreditado el conflicto entre ambas jurisdicciones, llama la atención cómo las partes implicadas en el proceso, incluido nuestro Ministerio Fiscal, defienden una inhibición de los tribunales españoles en favor de las autoridades alemanas por encontrarse estas últimas en una posición más ventajosa para el esclarecimiento de los hechos.

Sea como fuere, uno de los debates más transcendentales derivados de la LO 5/2010 pasa por determinar si nos encontramos (o no) ante un sistema vicarial de atribución de la responsabilidad penal y, en su caso, cómo ello afecta a los principios de culpabilidad y presunción de inocencia, ambos irrenunciables en nuestro modelo de Derecho penal. En este sentido, el considerando VII del preámbulo de la LO 5/2010 reconoce que nos encontramos ante un modelo mixto de RPPJ en el que se combina la heterorresponsabilidad («imputación de aquellos delitos cometidos en su nombre o por su cuenta, y en su provecho, por las personas que tienen poder de representación de las mismas») y la autorresponsabilidad («la responsabilidad por aquellas infracciones propiciadas por no haber ejercido la persona jurídica el debido control sobre sus empleados»).

Se parte de la premisa de que en los sistemas de heterorresponsabilidad, también denominados modelos de transferencia o atribución, la RPPJ se alza como una consecuencia automática de la comisión de un delito por una persona física que actúa en beneficio corporativo, no siendo así relevante la actuación que realice la persona jurídica durante todo el iter criminis, por cuanto siempre será responsable7. Por su parte, en los modelos de autorresponsabilidad se disgrega la responsabilidad de las personas jurídicas y físicas, rechazándose «todo tipo de transferencia, y sancionando un ilícito propio y autónomo de la organización, el cual no depende ni está condicionado por el actual de las personas naturales». En estos casos, la clave para imputar a la persona jurídica por su deficiente organización y la consecuente superación del riesgo permitido será «lo que no hizo, debiendo hacerlo, que es organizar su estructura» de tal manera que se eviten o dificulten la comisión de ilícitos por quienes integran su organización8.

Atendiendo a lo anterior, en este punto merece la pena plantearse, aunque sea sucintamente, dos preguntas: ¿cómo afecta ello a los principios irrenunciables de nuestro Derecho penal? Y ¿cuál es el encaje de los programas de cumplimiento normativo en ambos modelos?´

En lo referente al primer aspecto es importante mencionar, en línea con lo sostenido por al STS 514/2015, de 2 de septiembre que, con independencia de la fórmula por la que se opte, «parece evidente que cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables del Derecho penal». Ello lo podemos vincular al cuestionamiento propio del modelo de RPPJ, y si seguimos la tesis de la heterroresponsabilidad, para Galán Muñoz el fundamento último de la RRPJ «es la conducta dolosa o imprudente efectuada por determinadas personas físicas» y «se estaría atribuyendo responsabilidad a dichas entidades infringiendo varias, exigencias constitucionalmente fundamentales», entre las que destacaría la violación del principio de personalidad de las penas como manifestación del principio de culpabilidad y, también «al atribuir el injusto de la persona física a la jurídica, atendiendo tan solo a que la primera lo había realizado actuando en su ámbito de actividad y en su provecho se le estaría imputando responsabilidad a esta última sin demostrar su dolo ni su imprudencia con respecto a los hechos de los que se la responsabilizaba, estableciéndose así un sistema de responsabilidad penal objetiva completamente contrario a la exigencia de culpabilidad subjetiva y a lo establecido en otros preceptos del Código Penal como el art. 5 y el 10»9.

En definitiva, y en línea con lo establecido por la STS 154/2016, de 29 de febrero 10 y la STS 514/2015, de 2 de septiembre, es posible llegar a la conclusión de que asegurar los derechos, garantías y principios constitucionales penales de las personas jurídicas depende de que éstos queden salvaguardados para las personas físicas. En otras palabras, no es posible un doble visado de estos principios, primero para las personas físicas y después para la persona jurídica, sino que atendiendo a la conexión de responsabilidades entre ambas, una vez que se garanticen para las personas físicas, también se entenderían cumplidos para las personas jurídicas.

En cuanto a la segunda cuestión, debemos tener en consideración que los programas de cumplimiento normativo vienen, en cierta manera, a modular la heterorresponsabilidad, ya que se identifican como un elemento con la capacidad suficiente para limitar la responsabilidad penal, sobre todo en aquellos casos en los que la persona jurídica posee una correcta organización.

2.3 La reforma del 2015

Apenas unos meses antes de que se cumplieran 5 años de la entrada en vigor de la LO 5/2010, se promulgó la LO 1/2015, de 30 de marzo en la que se aborda una importante y trascendental reforma del marco de RPPJ. Una de las principales críticas que se efectúan a esta modificación se refiere al escaso lapso temporal en el que se produjo, ya que nuestros juzgados y tribunales no habían dispuesto del tiempo necesario para pronunciarse sobre la misma, por lo que no pudo evaluarse su verdadera eficacia original11.

Si acudimos al derecho comparado, es sencillo encontrar notables similitudes en el plano del contenido sustantivo entre nuestro régimen de responsabilidad y el establecido en Italia por el Decreto Legislativo 231/2001 de 8 de junio (en adelante, D. Leg. 231/2001). Así, y aun cuando la regulación italiana es de carácter administrativo y la nuestra es penal, si leemos con detenimiento los arts. 5 a 8 del D. Leg. 231/2001, podremos observar cómo nuestro art. 31 bis CP es, prácticamente, una transcripción literal.

Los cambios de mayor entidad que se derivan de la LO 1/2015 se dirigen en cuatro sentidos: 1) La nueva redacción del art. 31.1 bis CP, que aunque es sustancialmente equivalente a la derogada, es más clara y concisa; 2) La sustitución del término «debido control» por «deberes de supervisión, vigilancia y control»; 3) La sustitución de la expresión «en su provecho» por la de «en su beneficio directo o indirecto»; 4) La introducción de los apartados 2, 3, 4 y 5 en el art. 31 bis CP relativos a los programas de cumplimiento normativo o compliance program, con las lógicas consecuencias que de ellos se derivan a fin de determinar la RPPJ. En todo caso, estos cuatro aspectos se pueden agrupar bajo la premisa de la centralidad, en todo el sistema de atribución de responsabilidad, del debido control del riesgo y la identificación de los programas de cumplimiento normativo como un instrumento esencial y adecuado para ello.

Se trata de una reforma de gran calado que persigue dos objetivos claros: por un lado, apartarse de un sistema vicarial de atribución de la responsabilidad penal12 y, por otro, concretar el contenido propio de los programas de cumplimiento normativo.

En lo relativo a la primera cuestión, cabe destacar que el principal debate en este punto estriba en enfrentar, una vez más, los dos modelos que fundamentan la RPPJ. Negar un sistema vicarial nos encamina hacia la construcción de una culpabilidad propia de la persona jurídica derivada de un defecto de organización, de tal manera que esta sería culpable cuando omitiera «la adopción de las medidas de precaución que le son exigibles para garantizar un desarrollo ordenado y no delictivo de la actividad empresarial»13. Sin embargo, a pesar de ser esta la voluntad legislativa, realmente no es el objetivo alcanzado con la reforma. En este sentido podríamos decir, siguiendo a la Circular 1/2016 FGE que el art. 31 bis CP consagra un modelo matizado de heterorresponsabilidad que, sin ser mixto, sí que contiene elementos propios de los sistemas de autorresponsabilidad (por ejemplo, la sanción de la persona jurídica no depende del castigo de la persona física).

Por su parte, en lo referente a los programas de cumplimiento normativo, es importante mencionar que del inicial rechazo por parte de la FGE en su Circular 1/2011, donde se afirmaba que: «la elaboración el cumplimiento de las normas de autorregulación de las empresas o compliance guide, solo son relevantes en la medida en que traduzcan una conducta. Su formulación no aporta ni su existencia resta capacidad potencial de incurrir en responsabilidad penal, porque lo determinante no es si se actuó de acuerdo con la guía o si esta era hipotética u objetivamente apta para evitar el delito, sino si con guía o sin ella, procede atribuir a la persona jurídica la responsabilidad penal derivada de los delitos cometidos por sus gestores», se transitó, ya en la Circular FGE 1/2016, a un expreso reconocimiento del valor de estos instrumentos no solo para evitar la sanción penal de la empresa, sino también para promover una verdadera cultura ética empresarial.

Este cambio de postura en la FGE se debe, gracias a la influencia también del DL italiano 231/2011, a la introducción en el art. 31bis 4 CP de una exención de la responsabilidad penal (aplicable solo en aquellos casos en los que el delito fuera cometido por los subordinados sometidos a la autoridad de los representantes legales o miembros de los órganos de gobierno de las personas jurídicas) a aquellas personas jurídicas que antes de la comisión del hecho delictivo hubieran adoptado y ejecutado un modelo de organización y gestión del riesgo adecuado que reduzca significativamente el riesgo.

3.1 La validez de los programas de cumplimiento normativo

La importancia de la que se ha dotado a los programas de cumplimiento normativo en los dos regímenes de RPPJ vigentes en nuestro ordenamiento jurídico no ha sido equivalente. En el texto del año 2010 únicamente se contemplaba una atenuante de la responsabilidad penal en el art. 31 bis 4 d) CP aplicable a las personas jurídicas que antes del comienzo del juicio oral hubieran adoptado medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran darse en su seno. Ello se entendió como un síntoma de la necesidad de un «debido control», y por este motivo la mayoría de las grandes empresas adoptaron programas de cumplimiento normativo, a pesar de la confusión que posteriormente creó la Circular 1/2011 de la FGE y que ya ha sido reseñada. En todo caso, ello generó dudas acerca de qué sucedía, precisamente, en aquellos casos en los que las medidas de prevención se adoptaran antes de la comisión del hecho delictivo, ya que, en teoría, la RPPJ no se vería atenuada, lo que daría lugar a situaciones de agravio comparativo entre las personas jurídicas que hubieran adoptado medidas (futuras) antes de la apertura de juicio oral y a las que se aplicaba la atenuante en cuestión, y aquellas otras que las adoptaran antes del hecho delictivo, a las que no les resultaría de aplicación.

En este punto es relevante acudir a la posición que mantienen tanto la jurisprudencia como la FGE acerca de la importancia de los programas de cumplimiento normativo. Es de especial interés, por su trascendencia, la STS 154/2016, de 29 de febrero, donde se vendría a afirmar que más alla de la necesidad de que los programas de cumplimiento normativo cumplan con las exigencias del CP, lo realmente importante es la necesidad de garantizar la existencia de una cultura ética empresarial informadora de los mecanismos de prevención delictiva por cuanto, en realidad «el núcleo de la responsabilidad de la persona jurídica […] no es otro que el de la ausencia de medidas de control adecuadas que evidencien una voluntad seria de reformar la virtualidad de la norma»14.

Asimismo, la mencionada STS realiza una interpretación bastante particular del art. 31 bis CP. Se debate acerca de si la eximente contenida en este precepto se sitúa en sede de tipicidad objetiva o de culpabilidad, a lo que la Circular 1/2016 de la FGE agrega su posible caracterización como una excusa absolutoria vinculada a la punibilidad, posición que rechaza la STS 154/2016, de 29 de febrero ya que, a su juicio, «la presencia de adecuados mecanismos de control lo que supone es la inexistencia de la misma infracción», por cuanto lo que se estaría pretendiendo es «posibilitar la pronta exoneración de esa responsabilidad de la persona jurídica, en evitaciones de mayores daños reputacionales para la entidad».

Esta problemática se encuentra vinculada al tradicional enfrentamiento entre los modelos de RPPJ y nos dirige hacia el defecto de organización empresarial. Precisamente, este parecería ser el entendimiento correcto, así, tal y como señala la Circular FGE 1/2016 el fundamento de la imputación reside no solo en la comisión del hecho típico por parte de las personas físicas, sino también en la existencia de un ineficiente control por parte de la persona jurídica, esto es, en un defecto de organización. En la misma línea y vinculándolo a la denominada cultura de la legalidad se posiciona la STS 154/2016, de 29 de febrero al afirmar que: «La determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal […] ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella ha sido posible, o facilitado, por la ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos […]»15.

Ello nos dirige, siguiendo la Circular FGE 1/2016, a defender que los modelos de cumplimiento normativo, más que evitar o aminorar la responsabilidad penal, tienen como finalidad el «promover una verdadera cultura ética empresarial» estando destinados así a «reafirmar una cultura corporativa de respeto a la Ley, donde la comisión del delito constituya un acontecimiento accidental y la exención de la pena, una consecuencia natural de dicha cultura»16 y es que, los programas de cumplimiento no deben ser entendidos como un «seguro frente a la acción penal». Sin embargo, ello no es más que un enfrentamiento entre el deber ser y el ser. Idealmente, lleva razón la FGE cuando afirma que estos programas deberían ser una manifestación de la mencionada cultura de la legalidad, ahora bien, en la realidad, las personas jurídicas los ven como un mecanismo de exclusión o limitación de una hipotética responsabilidad penal.

En todo caso, conviene remarcar que no es sencillo cumplir con esta obligación, y no puede ser vista como un «todo vale». El art. 31 bis 5 CP establece unos requisitos muy estrictos acerca de su contenido y, más allá de sus implicaciones individuales17, es necesario garantizar, desde una perspectiva formal, que sean programas claros, precisos, escritos18 e individualizados, no admitiéndose la transferencia de un modelo de cumplimiento de una empresa a otra.

A su vez, desde una óptica material (art. 31 bis 2. 3ª CP), los programas deben ser eficaces para la gestión del riesgo19, tanto en su fase preventiva como en el momento de la detección del riesgo. Ello es expresamente reconocido por la jurisprudencia, entre otras, la SAP de Barcelona 303/2022, de 6 de mayo, cuando afirma que el propósito de estos programas es «motivar a la empresa para que se autorregule -impidiendo el uso de vías alternativas espurias para conseguir los objetivos empresariales fijados- haciendo que las denominadas buenas prácticas, códigos de conducta o compliance programs se conviertan en verdaderos instrumentos de la prevención de delitos, aunque si estos, finalmente sobrevinieran, dicha herramienta serviría para facilitar la investigación al dejar presencia documental de todos los métodos, siendo fácil la identificación de la persona física responsable del ilícito. De resultar ineficaz la individualización de la persona física causante del delito, quién debe responder en último extremo es la persona jurídica».

Todo lo anterior nos invita a reflexionar sobre la prueba de la eficacia e idoneidad de los compliance programs, sobre la base de que no es posible admitir para las personas jurídicas aquellas situaciones que bajo ningún concepto regirían en las personas físicas por ser conducentes a una responsabilidad objetiva.

En el caso que nos ocupa, «en la práctica, será la propia persona jurídica la que apoye su defensa en la acreditación de la real existencia de modelos de prevención adecuados […] lo que no puede sostenerse es que esa actuación pese, como obligación ineludible […], ya que ello equivaldría a que, en el caso de la persona jurídica no rijan los principios básicos de nuestro sistema de enjuiciamiento penal»20. Ello significa que no estamos ante un proceso mecánico en el que la mera constatación de la existencia o inexistencia de un programa de cumplimiento determine, directamente, la RRPJ, sino que más bien supone, en mi opinión, una traslación indirecta de la carga de la prueba a la persona jurídica21. La acusación es la encargada de acreditar la inexistencia de controles de prevención o detección del delito, pero la primera interesada en colaborar y demostrar que tales mecanismos efectivamente existen es la propia persona jurídica22, por ello, precisamente la Circular de la FGE 1/2016 sostiene que tal inversión de la carga de la prueba (directa) no existe y, por ende, tampoco una conculcación de la presunción de inocencia, ya que en último término lo que se está exigiendo al acusado es la facilitación de los datos y la información necesaria para alcanzar su exculpación o, en su caso, una atenuación de la responsabilidad penal siendo él, el único capacitado para hacerlo.

No podemos olvidar que nos encontramos ante una presunción legal, facilitando ello que «la entidad pueda probar, en su descargo, que cumplió con sus obligaciones de dirección y vigilancia […] y que no omitió los controles debidos sobre sus empleados». Así pues, «ante la imposibilidad para la defensa de practicar una prueba diabólica sobre el hecho negativo de que, en el caso concreto, no se omitió el control debido, la estrategia defensiva de la entidad se centrará en acreditar la efectiva implementación de un programa de cumplimiento efectivo en los términos que determina la ley»23.

En esta línea también podemos encontrar a la STS 221/2016, de 16 de marzo 24 cuando sostiene que «el conjunto de derechos invocables por la persona jurídica, derivado de su estatuto procesal de parte pasiva […] no puede ser distinto del que ostenta la persona física a la que se imputa la comisión de un hecho delictivo. Y es que la posición de los entes colectivos en el proceso, cuando son llamados a soportar la imputación penal, no debería hacerse depender del previo planteamiento dogmático que el intérprete suscriba acerca del fundamento de esa responsabilidad. En efecto, desde la perspectiva del derecho a la presunción de inocencia […] el juicio de autoría de la persona jurídica exigirá a la acusación probar la comisión de un hecho delictivo por alguna de las personas físicas a que se refiere el apartado primero del art. 31 bis CP pero el desafío probatorio del Fiscal no puede detenerse ahí. Lo impide nuestro sistema constitucional. Habrá de acreditar además que ese delito cometido por la persona física y fundamento de su responsabilidad individual, ha sido realidad por la concurrencia de un delito corporativo, por un defecto estructural en los mecanismos de prevención exigibles a toda persona jurídica […]».

3.2 Pequeñas empresas

Uno de los principales debates generados a raíz de la RPPJ se identifica con la aplicabilidad del art. 31 bis CP a las pequeñas empresas. Tradicionalmente, se ha enfocado la RPPJ hacia grandes corporaciones, jerárquicamente organizadas y que cuentan con una división del trabajo. Sin embargo, la realidad jurisprudencial muestra cómo en la mayor parte de las ocasiones la RPPJ se aplica a pequeñas y medianas empresas, frecuentemente unipersonales, donde existe, más allá de una lógica dificultad para diferenciar los distintos planos organizativos y, por ende, la correcta salvaguarda del «debido control», una imposibilidad manifiesta de adoptar medidas y planes de cumplimiento normativo25.

Doctrina y jurisprudencia han reconocido, en aras de salvaguardar los principios de non bis in idem y de proporcionalidad, la necesidad de limitar la RPPJ a las entidades de menor tamaño26, y a este respecto conviene señalar tres aspectos que se consideran clave: En primer lugar, el desarrollo por parte de la jurisprudencia de una serie de criterios y parámetros a través de los cuales se compara a estas pequeñas empresas con las sociedades pantalla. En segundo lugar, la dispensa regulada en el art. 31 bis 3 CP27 de la obligación de tener de un oficial de cumplimiento normativo, pudiendo sus funciones quedar atribuidas al órgano de administración. Y por último, el art. 31 ter CP28 enuncia una cláusula de proporcionalidad en la determinación de la pena de multa y la posibilidad de que esta se vea compensada entre la persona jurídica y la persona física.

A los efectos que aquí nos interesan nos vamos a centrar en el primer y tercer aspecto enunciado. Así, en lo referente al desarrollo de parámetros jurisprudenciales que permiten equiparar a las pequeñas empresas con la sociedades pantallas, cabe destacar el Auto de la AN 128/2014, de 19 de mayo, según el cual solo podrían gozar del estatus de personas jurídicas penalmente responsables del art. 31 bis CP aquellas que no fueran «meros instrumentos para delinquir o pantallas para ocultar tras ellas actividades delictivas, es decir evidentes meras proyecciones de las actividades delictivas de las personas físicas que delinquen a través de ellas y ocultándose detrás de ellas, y respecto de las que procedería únicamente el “levantamiento del velo” para poner al descubierto su verdadero estatus instrumental, como tal no susceptible ni merecedor en principio de ningún sistema de garantías para su disolución y el comiso de sus bienes enteramente afectos a la actividad delictiva” y es que, continúa el mencionado auto, «el límite a partir del cual se considera penalmente que la persona jurídica es una entidad totalmente independente, no mero instrumento de la persona, es un límite normativo que, probablemente, irá variando a lo largo del tiempo».

Por su parte, la STS 534/2020, de 22 de octubre distingue entre tres tipos de personas jurídicas: «las que desarrollan una actividad legal, mayor que su actividad ilegal; aquellas que realizan mayor actividad ilegal que legal, y por último las “sociedades pantalla”, meros instrumentos del delito». Según esta resolución, únicamente se podría imputar a las dos primeras tipologías pues «solo una empresa con una mínima complejidad interna adquiere una capacidad autoorganizativa y, en consecuencia, permite hacerla responsable penalmente de las consecuencias derivadas de la “culpa organizativa” prevista por el art. 31 bis CP», a lo que añade «Por el contrario, las denominadas “sociedades pantalla” que no tienen otro propósito que delinquir o encubrir actividades ilegales, están al margen del sistema penal para las personas jurídicas y, por lo tanto, no pueden gozar de los derechos y garantías que el mismo ofrece, siendo inimputables a todos los efectos penales».

Atendiendo a lo anterior, parecería factible pensar en una traslación del régimen de inimputabilidad de las sociedades pantalla a las personas jurídicas de pequeñas dimensiones, especialmente a las unipersonales. En este sentido se manifiesta la STS 264/2022, de 18 de marzo, que siguiendo la Circular FGE 1/201129, entiende que la exigencia de la cultura del respeto a la norma como base del delito corporativo no tiene sentido en aquellas sociedades unipersonales o de pequeñas dimensiones carentes de estructura corporativa, ya que al existir una confusión entre el sujeto activo y la sociedad se produce «una imposibilidad congénita de ponderar la existencia de mecanismos internos de control».

Ello tiene efectos directos sobre el art. 31 ter CP y la mencionada cláusula de proporcionalidad aplicable a la determinación de la pena de multa, y de la que se deriva una posibilidad de compensación entre la persona jurídica y la persona física. El sentido de esta cláusula, genuina en nuestro ordenamiento jurídico y que originariamente se trató de una propuesta de lege ferenda posteriormente introducida en la ley, reside según NIETO MARTÍN, por un lado, en el reconocimiento de la escasa capacidad de autorregulación que tendrían las pequeñas empresas, y es que, en una sociedad cerrada, sería suficiente «para motivar eficazmente a la autorregulación la responsabilidad del jefe de empresa»30. Y, por otro lado, en el reconocimiento del principio de cuenta como manifestación del non bis in idem y cuya utilización «permite al juez en los casos de doble sanción que tenga en cuenta la duplicidad de consecuencias jurídicas o que incluso se conforme con imponer una de las sanciones»31.

En contra de la posibilidad de modulación de la responsabilidad penal se manifiesta FARALDO CABANA, para quien, en primer lugar, no cabría apreciar una vulneración del principio non bis in idem ya que concurriría tanto una falta de identidad subjetiva como de fundamento a la hora de imponer sendas penas de multa a la persona física y jurídica de pequeñas dimensiones. Y, en segundo término, porque per se la pena de multa «no es expresión directa ni exclusiva de la gravedad de los hechos» sino que en su determinación se tiene en cuenta especialmente la capacidad económica del reo, de esta forma, en su opinión «ha de quedar claro que el criterio de la gravedad de los hechos no coincide con el de la identidad de los intereses patrimoniales»32. En todo caso, según Faraldo Cabana, ello vendría a refrendar que el legislador no ha conseguido, realmente, lo que pretendía con la regulación de la RPPJ, de tal manera que, pese a que su voluntad inicial era construir una responsabilidad penal autónoma e independiente, en última instancia, el art. 31 ter 1 CP y la exigencia de modulación de la multa nos permiten afirmar la vinculación entre ambas responsabilidades, pues en caso contrario, «no habría necesidad de modular nada»33.

La redacción normativa y la perspectiva teórica de la cláusula en cuestión, es clara. Sabemos cuál es el límite en la fijación de la cuantía de la pena de multa a las personas jurídicas, ahora bien ¿ello tiene un reflejo jurisprudencial tan claro? Una de las cuestiones clave en este punto pasa por la interpretación que se ofrezca al término «modular» dentro del contenido del art. 31 ter 1 CP. Desde una óptica cuantitativa es posible plantearnos si la pena de multa puede reducirse, incluso, por debajo del límite mínimo establecido34. En cambio, desde una perspectiva cualitativa, es factible reconocer que el término «modular» dispone de diversas connotaciones en función de las circunstancias y la tipología concreta de la persona jurídica ante la que nos encontremos, pudiendo ello conducirnos a una vulneración del principio non bis in idem 35.

La aplicación de la cláusula de proporcionalidad requiere que confluyan dos patrimonios en riesgo: el de la persona física y el de la persona jurídica en la que se participa directamente, por ello, la jurisprudencia ha reconocido la posibilidad de aplicar esta cláusula en dos situaciones muy concretas: 1) Sociedades unipersonales en las que la persona física condenada es el único titular de la sociedad; 2) Personas jurídicas de pequeñas dimensiones en las que la persona física condenada que a su vez es administradora, es cotitular de forma relevante del ente también condenado penalmente36. Por el contrario, se descarta esta posibilidad, no entendiendo así vulnerado el principio non bis in idem, en aquellos casos en los que el administrador único de la empresa y condenado no ostenta la condición de socio de la mercantil37.

Ello es puesto de manifiesto, entre otras38, por la STS 746/2018, de 13 de febrero, según la cual podemos diferenciar entre: 1) Cláusulas techo: «la multa total que realmente llegue a sufrir el administrador condenado, de forma directa (por venirle impuesta a él como responsable del delito) o indirecta (por ser cotitular de la sociedad también responsable penalmente), no debe sobrepasar el máximo previsto para el concreto delito objeto de condena» tanto para la persona física como para la jurídica; 2) Cláusulas suelo: la modulación no autoriza ni la cancelación de la pena de multa, ni tampoco su minoración por debajo del límite establecido. «El tope de la modulación será imponer el mínimo» por cuanto «no es posible forzar el sentido del precepto hasta el punto de consentir un vaciamiento de la penalidad de la persona jurídica o de la persona física»39.

En esta misma sentencia se plantea la necesidad de valorar la proporcionalidad de la pena de multa. En ella se resuelve un recurso de casación planteado ante la SAP de Pontevedra de 30 de junio de 2017 en la que se condenó a la persona física a una pena de multa 93.143 € y a la mercantil con otra pena de multa de 200.000 €. En este caso y más allá de que se suscita un debate acerca de la posibilidad de aplicar dos atenuantes que condujeran a una rebaja de la pena en dos grados, la Sala concluye, reconociendo un aparente déficit de argumentación por parte de la AP de Pontevedra, que el delito le es exclusivamente atribuible a la persona física, por lo que la pena en su conjunto (persona física + persona jurídica) no podría rebasar los límites máximos establecidos para la primera, cuya horquilla oscilaría entre los 186.286 € y los 372.570 €, de ahí que en aras de garantizar la proporcionalidad de la sanción y aplicando la cláusula de la modulación, se decida rebajar la pena de multa impuesta a la sociedad a la mitad, siendo el cómputo total de ambas sanciones de 190.000 €.

3.3 Interpretación de «en beneficio directo o indirecto»

Uno de los principales hitos de la reforma del año 2015 fue la sustitución, en el tenor literal del art. 31 bis CP, del término «provecho» por la cláusula «en beneficio directo o indirecto»40. La interpretación de esta locución, tal y como sostiene la jurisprudencia, es casuística41, debiendo estarse a las especificidades del caso en concreto, no obstante, en línea de principio se opta por una interpretación lata en virtud de la cual sería posible «extender la responsabilidad de la persona jurídica a aquellas entidades cuyo objeto social no persigue intereses estrictamente económicos, así como incluir los beneficios obtenidos a través de un tercero interpuesto (caso de las cadenas de sociedad), los consistentes en un ahorro de costes y, en general, todo tipo de beneficios estratégicos, intangibles o reputacionales»42, quedando excluidas únicamente «aquellas conductas que al amparo de la estructura societaria, sean realizadas por la persona física en exclusivo y propio beneficio o en el de terceros, y resulten inidóneas para reportar a la entidad beneficio alguno»43.

Recientemente, en la STS 89/2023, de 10 de febrero, se ha hecho alusión a las diferentes perspectivas doctrinales que han tratado de fundamentar la cláusula en cuestión, destacándose tres posibilidades: 1) Posición restringida: Se trataría de limitar «el conjunto de comportamientos con relación a los cuáles la persona jurídica tendría el deber de extremar sus controles internos de prevención» y es que «la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad» siendo razonable fijar el límite en «exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas, quedando excluidas las que ningún beneficio podrían reportarle»; 2) Posición amplia: La persona jurídica tendría que prestar una especial atención a todos aquellos comportamientos que, en abstracto, pudieran serle beneficiosos, siendo aquí donde la exigencia de unos deberes de prevención y control sería más necesaria; 3) Teoría de la pena: «Las conductas delictivas producidas en el seno de la organización se realizan “en beneficio o en interés” de ésta, siendo aquí donde tendrá más sentido atribuirle responsabilidad penal, compensando de este modo el enriquecimiento pretendido».

Quizás, las posiciones que más controversia podrían generar son las dos primeras. Optar por una u otra dependerá de si, en última instancia, entendemos como beneficio cualquier operación que tenga lugar en el seno de una persona jurídica o si, por el contrario, este beneficio se circunscribe a aquellas operaciones sobre las que recaigan deberes de prevención y control. En mi opinión, la opción más adecuada sería la segunda por cuanto reduciría el alcance de la RPPJ a aquellas operaciones sobre las que, realmente, exista una infracción del debido control. Ahora bien, el CP habla no solo de beneficio directo, sino también indirecto, entendiéndose por tal, en línea con lo sostenido por la STS 154/2016, de 29 de febrero 44, «cualquier clase de ventaja, incluso de siempre expectativa o referida a aspectos tales como la mejora de posición respecto a otros competidores, etc., provechosa para el lucro o para la mera subsistencia de la persona jurídica en cuyo seno el delito de su representante, administrador o subordinado jerárquico, se comete», por ende, técnicamente, nuestra norma vendría a acoger una interpretación objetiva de carácter amplio, comprensiva de cualquier reporte económicamente evaluable que pudiera tener la persona jurídica.

Sea como fuere, ello no significa «que dicho beneficio haya de ser efectivamente obtenido y, mucho menos aún, que, descubierto el delito o como consecuencia final del mismo, los beneficios o aprovechamientos que se perseguían no puedan finalmente frustrarse o, incluso, situar a la propia persona jurídica en una posición desfavorable, también en términos económicos, con relación a la que tuviera antes de cometerse la infracción»45.

3.4 Los casos de fusiones y adquisiciones

El art. 130.2 CP establece que «la transformación, fusión, absorción o escisión de una persona jurídica no extingue su responsabilidad penal» quedando así esta trasladada a la/s nueva/s entidad/es que resulten de tal modificación orgánica, ello sin perjuicio de las posibles modulaciones que cupiera realizar «en función de la proporción que la persona jurídica originariamente responsable del delito guarde con ella».

El problema que plantea este precepto se identifica con la interpretación que se pueda realizar de la expresión «no extingue su responsabilidad penal». A este respecto existen dos posibilidades: la primera es una visión amplia que podría conducir hacia una quiebra de la responsabilidad por el hecho propio al producirse un trasvase de la responsabilidad penal a quienes, en realidad, no intervinieron en el defecto organizativo que derivó en la comisión del ilícito de la persona jurídica originaria. En este punto debemos tener en consideración que la modulación es facultativa, por lo que podrían generarse espacios de inseguridad jurídica ya que ante supuestos equivalentes, las opciones judiciales podrían ser distintas.

En consecuencia, lo más acertado es defender una interpretación teleológica según la cual, cuando el art. 130.2 CP se refiere a la ausencia de extinción de la responsabilidad penal, en realidad, alude a la responsabilidad patrimonial. Esto es, la nueva entidad no sería responsable del delito de la persona jurídica originaria, sino únicamente de la pena de multa impuesta por su comisión, debiendo abonarla como si de una deuda más se tratara.

Precisamente, esta cuestión se ha debatido en los últimos meses a raíz de la controvertida y compleja adquisición, en junio del 2017, del Banco Popular por parte del Banco Santander46 por la simbólica cantidad de 1 euro, y de la que se han derivado varios procedimientos judiciales (civiles y penales) que han enfrentado a las dos entidades financieras. En lo que aquí nos interesa, vamos a centrar nuestra atención en el AAN 559/2022, de 5 de octubre, en el que tomando como base la STJUE de 5 de mayo de 2022, se descarta la posibilidad de que los inversores que adquirieron acciones del Banco Popular antes de su extinción puedan exigir responsabilidad al Banco Santander por la información contenida en el folleto o, incluso, ejercer una acción de nulidad del contrato de suscripción de esas acciones.

La STJUE de 5 de mayo de 2022 resuelve una cuestión prejudicial planteada por la AP de A Coruña mediante auto de 28 de julio de 2020, si bien, la misma debe quedar circunscrita, tal y como se desprende del AAN 559/2022, de 5 de octubre, a los acreedores y deudores, pero no a aquellos «que pudieran resultar perjudicados por los avatares de las conductas delictivas cometidas por una persona jurídica posteriormente transformada, que ha dado lugar a un procedimiento penal que se encuentra en fase de instrucción». La cuestión de clave reside en la imposibilidad de aplicar automáticamente la doctrina del TJUE, a pesar de su primacía, a supuestos no análogos y, además, pertenecientes a otro orden jurisdiccional47 y es que, según el mencionado auto, la STJUE no puede entenderse como una «patente de corso, frente a cualquier reclamación».

El argumento que planea de fondo en toda esta situación es la existencia de una fusión por absorción que implica «ipso iure y, por tanto, de manera automática, la transmisión universal de la totalidad del patrimonio activo y pasivo de la sociedad absorbida, que deja de existir, a la sociedad absorbente». Debemos tener en cuenta que la finalidad perseguida por la Directiva 78/855 es la protección de los intereses, incluidos los del Estado48, en los procesos de fusión, y ello implica que «en los casos de fusión por absorción, la sociedad adquirente puede en determinadas condiciones, ser condenada penalmente por actos cometidos por la sociedad adquirida antes de la fusión»49.

Es importante destacar que entre estas condiciones figura la necesidad de que concurran «notas de identidad económica, de permanencia o de continuidad de la actividad económica, sobre la base de la consideración de que las sanciones pecuniarias forman parte del pasivo transmitido, sin que ello pueda considerarse contrario al principio de responsabilidad personal que se asienta sobre una concepción de la culpabilidad no trasladable a las personas jurídicas»50, aspecto que, en última instancia, confirma una interpretación teleológica del art. 130.2 CP.

4.1 Acuerdos persona física y persona jurídica

El art. 787 de la Ley de Enjuiciamiento Criminal (en adelante, LECrim), regula el contenido que han de tener los acuerdos de conformidad dentro del proceso penal español. Conviene destacar que en España no existen acuerdos que permitan suspender el procedimiento penal, sino que los mismos, alcanzados antes del inicio de la práctica de la prueba, implican la emisión de una sentencia de conformidad en la que el acusado acepta el escrito de acusación que contenga la pena de mayor gravedad, reconociendo la comisión de la infracción y aceptando su culpabilidad. Ello se debe a que esta institución se entiende como «un acto unilateral de postulación y de disposición de la pretensión, efectuado por la defensa y realizado en el ejercicio del principio “puro” de oportunidad, por el que, mediante el allanamiento […] se ocasiona la finalización del procedimiento a través de una sentencia con todos los efectos de cosa juzgada»51.

Es importante mencionar que mientras que las personas físicas prestarán ellas mismas la conformidad, sin ser válida la aceptación de la responsabilidad por un representante (art.787.2 LECrim). Las personas jurídicas, necesariamente, deberán prestarla por un representante especialmente designado (Art. 787.8 LECrim)52. Ello supone una notable excepción respecto a la regla general (art. 697 LECrim) que, en opinión de Gimeno Beviá, resulta lógica atendiendo a la confluencia de imputaciones entre las personas físicas y jurídicas, y es que, «si no se aceptase esta suerte de conformidad unilateral, la sociedad nunca podría evitar su enjuiciamiento ni, por tanto, la temida “pena de banquillo”, con su correspondiente daño a su reputación e imagen53.

El problema en este punto se identifica con la posible generación de un conflicto de intereses entre la/s persona/s física/s y la jurídica, siendo ello de especial relevancia en el momento de designar a un representante de la sociedad, «que será la persona que, junto a la defensa técnica, establezca su estrategia procesal»54. En estos casos no es difícil pensar en la existencia de intereses contrapuestos55 entre el representante como persona física imputada y los propios de la persona jurídica en cuyo nombre actúa, y para evitarlos sería relevante optar por el nombramiento de un defensor judicial de la persona jurídica. La STS 154/2016, de 29 de febrero ya advertía de este problema que, en última instancia, puede conducir a la nulidad de las actuaciones cuando no se garantice un adecuado ejercicio del derecho del derecho de defensa de las personas jurídicas. Ahora bien, todo ello debe concretarse casuísticamente, y es que tal y como se desprende de la STS 221/2016, de 16 de marzo, «será la experiencia la que vaya marcando las pautas para eludir el riesgo de colisión de intereses» que derive en un prácticas destinadas a ocultar las responsabilidades individuales de las personas físicas, bajo el paraguas de la persona jurídica.

Volviendo a la problemática de los acuerdos de conformidad, cabría preguntarnos por dos situaciones que podemos encontrar en nuestra jurisprudencia. La primera pasaría por determinar qué sucede en aquellos casos en los que el representante de la persona jurídica se acoja, en su calidad de imputado como persona física, a un acuerdo en el proceso judicial, pero no suscribiera el mismo trato para la persona jurídica a la que representa. Este aspecto se dirimió en la SAP de Madrid 373/2017, de 2 de junio, en ella la Abogacía del Estado interpone un recurso de apelación contra la sentencia absolutoria de una persona jurídica tras la conformidad alcanzada en primera instancia, no con la persona jurídica, sino con los administradores y el representante de ésta, todos ellos también investigados por el mismo delito que el atribuido a la persona jurídica. El quid de la cuestión reside en que la Abogacía del Estado no preguntó al representante de la persona jurídica acerca de su conformidad sobre los hechos de los que se acusaba. La persona jurídica resultó absuelta del delito a pesar de que las personas físicas que la integraban, incluido su representante, fueron condenados por la comisión de un delito contra la Hacienda Pública.

En la segunda situación, similar a la anterior, cabría plantearnos la posibilidad de que el representante de la persona jurídica se acogiera, en calidad de imputado como persona física a un acuerdo, pero no lo suscribe para la persona jurídica y, además, traslada toda la responsabilidad a fin de quedar exonerado. Esto es precisamente lo que sucedió en el conocido «Caso Neymar». La SAP de Barcelona de 14 de diciembre de 2016 condena al FC Barcelona, en su calidad de persona jurídica, a abonar una multa de 5.5 millones de euros, admitiendo así su responsabilidad como autora de dos delitos contra la Hacienda Pública. Responsabilidad de la que quedaron exonerados las personas físicas y directivos del club al haberse conformado. Tal y como advierte Gimeno Beviá, esta circunstancia llama la atención sobre la base de que, «por los mismos hechos -delito fiscal- que son cometidos por las personas físicas en este caso perfectamente determinadas, se alcanza un pacto de conformidad en el que descansa toda la responsabilidad penal de la persona jurídica»56.

Esta construcción descansa sobre la independencia de las conformidades entre personas físicas y jurídicas, y que resulta difícil de entender al apartarse de la línea marcada por la Circular FGE 1/2011, en la que se destaca la necesidad de velar por que «la instrucción judicial no se cierre en falso o en su fase embrionaria como consecuencia de la formulación de acuerdos de conformidad que constituyan mecanismos de deslizamiento de la responsabilidad desde la persona jurídica a la individual y viceversa. En ese contexto, se evitarán especialmente los acuerdos de conformidad que supongan la asunción de la responsabilidad penal por parte de la persona jurídica […] respecto de delitos en los que pueden haber incurrido en esa misma responsabilidad también las personas físicas, y particularmente los representantes legales y administradores de hecho y de derecho de la entidad», esto es, la conformidad no puede ser utilizada nunca un mecanismo de traslación de responsabilidades, como así sucede en el caso en cuestión.

4.2 La problemática de las investigaciones internas

El art. 31 bis 5 CP incorpora entre los requisitos que han de contener los compliance program, el establecimiento de «un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo», y del que podemos deducir dos cuestiones de sumo interés que, a pesar de ser diferentes, se encuentran estrechamente vinculadas: Por un lado, la importancia de los canales de denuncia internos57 y de la figura del whistlebower o alertador58, entendido este último como el trabajador o empleado de la persona jurídica que recurre al canal a fin de informar sobre el incumplimiento que ha detectado. Y, por otro lado, la problemática de las investigaciones internas que se derivan del propio funcionamiento de los canales de denuncia. Esto es, el inicio de un procedimiento de investigación interna corporativo es la consecuencia directa de que el canal de denuncias y, por extensión, la figura del alertador, ha funcionado correctamente dentro de la estructura empresarial ya que a través de este tipo de procesos se tratará de recabar toda la información, indicios y pruebas necesarias destinadas al esclarecimiento de los hechos, quizás delictivos, acontecidos dentro del funcionamiento de la propia persona jurídica.

Hasta la entrada en vigor de la Ley 2/2023, de 20 de febrero reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, Ley 2/2023), y que transpone la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, en España carecíamos de una regulación específica tanto de cómo se debían articular los canales de alerta, como de cuál es la protección que debe ofrecerse al alertador, quedando estos aspectos relegados al cumplimiento de códigos éticos y de buenas prácticas. No obstante, la Ley 2/2023, sobre la base del cumplimiento del deber cívico de colaboración, regula de manera específica y sustancial no solo los sistemas internos de información, sino también los canales externos de información de la Autoridad Independiente de Protección del Informante y, expresamente, las medidas de protección del alertador (arts. 35 a 41 de la Ley 2/2023).

Es importante tener en consideración que las investigaciones internas no se encuentran expresamente reconocidas en el CP, si bien pueden deducirse de su contenido por cuanto pueden derivar en la aplicación de una circunstancia atenuante de la RPPJ (art. 31 quarter b) CP)59. En todo caso, no podemos olvidar que las mismas se alzan como una suerte de procedimiento privado en el que, o bien la propia persona jurídica o bien una auditoría externa, son las encargadas de determinar qué es lo que realmente ha sucedido.

Uno de los casos más controvertidos en los que se ha planteado el alcance de las investigaciones internas es el que ha vinculado a la entidad BBVA con el «comisario Villarejo». El origen podemos situarlo en mayo de 2018, momento en el que salieron a la luz las primeras facturas pagadas por el BBVA60 a la entidad Cenyt propiedad de Villarejo y que, en la actualidad, superan los 10 millones de euros. Estos pagos tenían como finalidad, presuntamente, retribuir al comisario la realización de labores de espionaje a importantes líderes políticos y empresariales de nuestro país entre los años 2004 y 2017, como consecuencia de una OPA hostil iniciada por Sacyr al BBVA.

En un primer momento, el presidente de la entidad e imputado ordenó la realización de una investigación interna que concluyó de manera insatisfactoria. Meses más tarde, y tras un cambio en la presidencia de la entidad financiera, el nuevo máximo responsable ordena otra investigación interna. Investigación que, siendo realizada por dos importantes bufetes de nuestro país y una auditoria/consultora internacional, concluye, aparentemente, con la obtención de informaciones relevantes que son remitidas a la AN.

Y decimos aparentemente, porque tanto la forma, el fondo, como quienes realizaron la investigación, está siendo objeto de una lucha encarnizada en la AN. El punto más conflictivo de todo ello, en lo que aquí nos interesa, se identifica con el contenido del informe forensic elaborado por la auditora contratada por el BBVA en colaboración con dos reputados despachos de abogados. Todo apunta a que los resultados de dicho informe, que refleja la salud interna de la entidad financiera, comunicados a la AN son sesgados y parciales, de tal forma que solo se trasladó aquella información que, lógicamente, demostraba que el BBVA nada había tenido que ver con los famosos pagos al comisario Villarejo.

Este informe está siendo revisado al milímetro por los diferentes actores que intervienen en el proceso penal, de tal forma que el juez de la AN ha llegado a citar en calidad de testigo al responsable de la auditora y le ha requerido, bajo la amenaza de una imputación penal, para que aporte el contenido completo del informe forensic. A pesar de las reticencias iniciales por una posible conculcación del derecho de defensa del BBVA, la consultora facilitó los 2.3 millones de documentos que constituyen el informe en cuestión y de los que se ha hecho cargo la Unidad de Asuntos Internos de la Policía Nacional.

La cuestión reside en determinar hasta qué punto el BBVA tiene obligación de trasladar a la AN la información y conclusiones alcanzadas en su proceso de investigación interna ya que, como acertadamente alega la entidad financiera, ello puede vulnerar, en general, su derecho de defensa y, en particular, su derecho a no autoincriminarse. Conviene señalar que el TS ha establecido dos requisitos a fin de permitir la valoración de las pruebas obtenidas por particulares en un ulterior proceso penal y que concretamente son: 1) Que no se actúe de forma directa o indirecta como una pieza camuflada del Estado al servicio de la investigación penal; 2) Que no haya voluntad de prefabricar pruebas utilizables en un proceso penal posterior.

Con ambos requisitos lo que se trata de evitar es la consideración de prueba ilícita de los documentos y la información obtenida. Mientras que en el primero la jurisprudencia sostiene que nos encontraríamos ante una exclusión probatoria dotada de una dimensión especial por el mero hecho de que «quien ha hecho posible que las pruebas controvertidas afloren, nunca actuó en el marco de la actividad de respaldo a los órganos del Estado llamados a la persecución del delito». Siendo este un dato decisivo, lo determinante es que «nunca, de forma directa o indirecta, haya actuado como una pieza camuflada del Estado al servicio de la investigación penal». Por ello se equipararía y serían de aplicación las reglas de prueba ilícita desarrolladas para aquellos casos en los que las pesquisas son desarrolladas por agentes de la autoridad «Y es que, en este caso, los funcionarios del Estado que investigan el delito han de estar convencidos de que tampoco su trabajo podrá ser valorado si las pruebas obtenidas lo han sido mediante el subterfugio de la utilización de un activo particular que, sabiéndolo o no, actúa a su servicio»61.

Sin embargo, en mi opinión, el segundo de los requisitos es el que posee una mayor importancia o aplicabilidad en los supuestos de investigaciones internas. En este sentido, el TS reconoce que «la posibilidad de valoración de una fuente de prueba obtenida por un particular con absoluta desconexión de toda actividad estatal y ajena a su voluntad de prefabricar pruebas, no necesita ser objeto de un enunciado legal que así lo proclame. Su valoración es perfectamente posible a la vista de la propia literalidad vigente enunciada en el art. 11 LOPJ y, sobre todo, en atención a la idea de que […] la regla de la exclusión sólo adquiere sentido como elemento de prevención frente a los excesos del Estado en la investigación del delito», por ello, en definitiva, será posible su admisión siempre y cuando no se hayan vulnerado los DDFF62.

Debemos tener en cuenta que estamos ante una doctrina jurisprudencial que ha sido desarrollada, con carácter general y tal y como antes adelantábamos, en el marco de la obtención ilícita de prueba, pero no específicamente para los casos de investigaciones internas. En definitiva, podemos afirmar que el informe forensic será una prueba lícita, pero otra cosa es que exista la obligación legal de aportarla. No podemos olvidar que estamos ante un procedimiento privado que trata de esclarecer los hechos en el seno de un programa de cumplimiento normativo y, ciertamente, en aquellos casos en los que estén implicados los altos cargos de una empresa, parecería coherente pensar que los mismos se nieguen a aportar la información que de él han obtenido, básicamente porque sería reconocer su propia culpabilidad.

En la actualidad continúan imputados por esta causa siete ex altos cargos del BBVA, entre los que se encuentran, por ejemplo, el responsable del área de regulación y control interno del BBVA hasta julio de 2019, o el jefe de auditoría interna del BBVA.

Todo lo anterior refleja, a la perfección, la problemática de las auditorías internas y su (escasa) capacidad para esclarecer los hechos acontecidos de cara a la determinación de la RPPJ, y es que aun cuando utilizadas de una manera correcta, se trata de un instrumento útil para el esclarecimiento de los hechos, cuando se emplean de manera torticera, probablemente porque sea lo que le interese a la propia cúpula directiva de la persona jurídica, se convierten en un arma sumamente peligrosa que conlleva, de facto, un retraso procedimental.