COMPLIANCE: LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS

ATRIBUCIÓN DE  RESPONSABILIDAD PENAL A LAS PERSONAS JURÍDICAS

El artículo 31 bis del nuevo Código Penal, que entró en vigor el pasado mes de julio, establece que la persona jurídica será responsable de la comisión de un delito por una persona física en los casos de:

  • Los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
  • Los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.

SUPUESTOS DE EXENCIÓN DE LA RESPONSABILIDAD PENAL  DE LAS PERSONAS JURÍDICAS

La reforma penal de este 2015 prevé 4 supuestos concretos en los que la persona jurídica quedará exonerada de responsabilidad penal:

  • Cuando el órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
  • Cuando la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.
  • Cuando los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención de la compañía.
  • Y si no se ha producido ninguna omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición segunda.

Estos cuatro supuestos deben cumplirse en su totalidad para que opere la exención de responsabilidad penal para la persona jurídica. Si sólo pueden ser objeto de acreditación parcial, no tendrán la virtualidad de eximir de responsabilidad penal a la sociedad, aunque se valorará a efectos de una posible atenuación de la pena.

Es importante recordar que el artículo 33.7 del Código Penal prevé penas como:

  • La prohibición para la empresa de realizar las actividades en cuyo ejercicio se ha delinquido.
  • La inhabilitación para obtener subvenciones o
  • La prohibición de contratar con la administración (para determinadas empresas puede llegar a condicionar su propia supervivencia).

Este mismo artículo 33.7 llega a contemplar que el Juez acuerde la disolución de la empresa. También se prevé la posibilidad de suspender las actividades de la mercantil o la clausura de sus locales por un período de hasta 5 años, e incluso la posibilidad de intervenir judicialmente la propia empresa.

Por tanto, no se trata de cuestiones menores. Hablamos de un riesgo de la máxima importancia para el futuro de cualquier empresa, que todo administrador diligente debe saber prever y gestionar.

PLAN DE CONTINUIDAD DE NEGOCIO

Victor-Altimira    Artículo de Víctor ALTIMIRA, Socio-Abogado

La información de que dispone una empresa es uno de sus mayores activos y, por tanto, debe estar totalmente protegida. Puede ocurrir que esta información desaparezca por causas inesperadas, como por ejemplo un incendio, una inundación, un robo, etc.

Debemos pensar que, actualmente, la mayoría de nuestros negocios giran en torno a las nuevas tecnologías, y un incidente de unas pocas horas puede llegar a causar una gran pérdida económica. Todos tenemos en mente grandes catástrofes que han provocado enormes pérdidas, e incluso la desaparición de empresas. Pensemos en el incendio del Edificio Windsor de Madrid, el huracán Katrina en Nueva Orleans (EEUU), o los atentados del 11 de septiembre en Nueva York.

Pero en la mayoría de las ocasiones no es necesario que se produzca un desastre de estas dimensiones para poner en serio peligro la supervivencia de la empresa. La simple entrada de un virus en nuestro sistema informático puede poner en jaque la continuidad de nuestro negocio si no se ha elaborado un plan específico para saber qué, cómo y cuándo actuar. Importante: dependiendo del cómo se gestione el incidente, las consecuencias pueden ser más o menos graves.

¿Se puede reiniciar la actividad en poco espacio de tiempo igual que antes de este infortunio?

Para prevenir esta situación se debe elaborar un Plan de Continuidad de Negocio (también llamado Disaster RecoveryPlan o Bussines Continuity Plan). Este plan es un instrumento de gestión que debe contener las medidas técnicas, humanas y organizativas para garantizar la continuidad de su negocio. El objetivo principal es desarrollar una estrategia que permita la continuidad del negocio de la forma más rápida y con el menor coste posible.

Este Plan de Continuidad de Negocio debe nacer de un análisis del riesgo de su negocio. Para ello nos debemos preguntar qué necesitamos proteger, de qué necesitamos protegerlo y cómo vamos a protegerlo. De esta manera, dando respuesta a estas preguntas, se pueden establecer las contramedidas para que estas amenazas se minimicen y, si es imposible, el poder atajarlas, establecer los mecanismos oportunos para que sus efectos sean los mínimos posibles.

Uno de los objetivos del Plan de Continuidad de Negocio es evitar, en la medida de lo posible, que se produzcan incidentes que hagan necesaria su ejecución. Para ello, la empresa debe conocer de antemano cuáles son sus riesgos y poner las medidas pertinentes para corregir el mayor número de debilidades que pueden provocar un grave incidente.

Las nuevas tecnologías, cuando funcionan, son la mejor aliada del empresario, ya que le permiten suministrar toda su información en un breve espacio de tiempo, e incluso en facilitarla al instante (como se da en una página web, por ejemplo); pero cuando las nuevas tecnologías no pueden funcionar por cualquier motivo, pueden ser su peor enemigo ya que un pequeño incidente, de pocas horas de duración, puede conllevar un lucro cesante en la empresa difícil de soportar y lo que puede ser peor, una mala imagen ante su clientes y/o clientes potenciales.

Un Plan de Continuidad de Negocio correcto se debe orientar al mantenimiento del negocio de la empresa; por tanto, debe priorizar las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no previsto. Es por ello que en este Plan se deben contemplar diferentes fases en las que se han analizar, en primer lugar, todos los procesos de la empresa.  Así, de cada proceso, se deben identificar los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción no deseada.

Un Plan de Continuidad de Negocio debe reducir, tanto el número como la magnitud de las decisiones que se toman durante un período en el que las consecuencias pueden resultar mayores. Por lo tanto, el Plan debe implantar y organizar, de forma documentada, los riesgos, responsabilidades, procedimientos, políticas y acuerdos, tanto de forma interna como con entidades externas (si es que no disponemos de medios suficientes dentro de nuestra empresa).

Además, este Plan debe ser una declaración de intenciones que sirva para cubrir la seguridad de los sistemas de información de la empresa, y que proporcione las bases reguladoras para definir y delimitar responsabilidades para los distintos componentes de la organización y los mecanismos para controlar su correcto funcionamiento.

Dentro del Plan de Continuidad de Negocio se deben establecer los siguientes sub-planes:

  • Plan de respaldo (Apoyo): para impedir las amenazas en la medida de lo posible.
  • Plan de emergencia: sirve de desarrollo del Plan de respaldo, y trata de minimizar la amenaza desde el mismo momento en que ésta aparece o inmediatamente después.
  • Plan de recuperación: tratar de restablecer todo al estado en que se encontraba antes de que la amenaza apareciese. Este Plan debe apoyarse con ensayos y mantenimientos.

Es importante reseñar que el Plan de Continuidad de Negocio únicamente se debe activar cuando las medidas de seguridad hayan fallado en situaciones de emergencia.

No debemos dejarnos engañar por el tamaño de la empresa para decidir si debemos o no disponer de un Plan de Continuidad de Negocio. Sea cual sea su tamaño y actividad, ésta puede verse afectada por un accidente inesperado.

Las posibles consecuencias de no tener implantado un Plan de Continuidad de Negocio suelen ser:

  • Cierre de la empresa, al no poder continuar con las operaciones de forma inmediata o a corto plazo.
  • No recuperación de las pérdidas causadas por los daños ocasionados.
  • Pérdida de reputación ante los clientes y dejar de tenernos en consideración por parte de clientes potenciales.
  • Pérdida de competitividad frente a la competencia.

Por el contrario, los beneficios de disponer de un Plan de Continuidad de Negocio son:

  • Disminuye, o incluso previene, las pérdidas en caso de accidente.
  • Aumento de competitividad frente a la competencia.
  • Clasifica los activos de la empresa para poder priorizar su protección en caso de accidente.

Estos beneficios se dan porque tendremos claramente identificados todos los incidentes que pueden suceder y, al tenerlos reconocidos, podremos saber cuál sería su impacto a nivel humano, financiero y reputacional.