El Código Penal establece que la persona jurídica es responsable de determinados hechos delictivos cometidos por sus representantes legales, por quienes ostenten facultades de organización y control dentro de la misma o por quienes están sometidos a la autoridad de cualquiera de ellos.

 

 

Sin embargo, toda empresa tiene una proyección externa ya que interviene en el tráfico mercantil y se relaciona con terceras partes, lo que provoca que su responsabilidad penal pueda producirse no sólo por los delitos que cometan sus representantes legales o empleados, sino también por los que puedan cometer los terceros que estén integrados en el perímetro de su dominio social:  autónomos, trabajadores subcontratados, clientes, proveedores o socios de negocio. Es decir, los actos de todos estos terceros con los que la empresa se relaciona en el ejercicio de su actividad generan un riesgo tan significativo como el que pueda emanar de la propia empresa.

No olvidemos que la circular 1/2016 de la Fiscalía General del sobre la responsabilidad penal de las personas jurídicas, advierte que no es necesario que quien cometa un delito tenga una vinculación formal con la empresa a través de un contrato laboral o mercantil, quedando incluidas terceras partes.

Por tanto, toda empresa no sólo debe cumplir con sus propios compromisos legales y éticos sino que debe, además, conseguir que dichos compromisos sean respetados por los terceros con los que se relaciona. De lo contrario, puede verse afectada económica y/o reputacionalmente por la conducta de terceros con los que se vincula. Es el llamado riesgo de “contaminación o “contagio”.

Es aquí donde entran en juego los procedimientos de “diligencia debida” (due diligence) que, en el ámbito del Compliance, tratan de prevenir estos riesgos evitando comportamientos de los terceros contrarios a los principios del cumplimiento normativo.

 

Los procedimientos de “diligencia debida” procuran, en definitiva, una adecuada selección y supervisión de las personas que se relacionan con la empresa de forma que su comportamiento se ajuste a los principios y valores de aquélla. Ello exige el cumplimiento de un proceso en el que cabe distinguir tres etapas:

a.- En primer lugar, una adecuada selección del tercero con el que la empresa se va a relacionar, valorando información de todo tipo: financiera, antecedentes frente a la administración (posibles sanciones), antecedentes frente a los tribunales (posibles condenas), relación con escándalos, …

Se trata de comprobar si la trayectoria y el comportamiento del tercero se ajusta y es compatible con los valores y principios de la empresa. De este modo evitaremos “contagiarnos” de terceros con antecedentes de malas prácticas o con mala reputación.

b.- En segundo lugar, una correcta formalización de la relación con el tercero a través de un contrato en el que se fijen cláusulas relativas a los compromisos del Compliance: veracidad de la información facilitada y de la legalidad en el uso de los productos o servicios contratados, sometimiento a los valores de la organización (especialmente al Código Ético), asumir compromisos de vigilancia y control, asumir la posibilidad de ser auditado….

c.- En tercer lugar, la última etapa consiste en el seguimiento de la evolución del tercero, valorando y actualizando periódicamente la información que dio lugar a su selección.

Finalmente, señalar que sin perjuicio del cumplimiento de las medidas referidas anteriormente, para evitar posibles responsabilidades penales las empresas deben comenzar a exigir por contrato a los terceros con los que se vinculan que dispongan de Sistemas de Gestión de Compliance Penal, exigencia absolutamente normalizada en el mundo anglosajón y que en España ya ha puesto en práctica tanto las grandes firmas como la Administración Pública.