Los títulos de imputación de la responsabilidad penal de las personas jurídicas, tras la reforma penal de 2015 SP/DOCT/19031 Artículo Monográfico. Abril 2015 Julián Sánchez Melgar. Magistrado de la Sala de lo Penal del Tribunal Supremo. Doctor en Derecho Introducción I. Los títulos de imputación II. Ficción legal III. ¿Ambos títulos de imputación exigen ahora un defectuoso control? IV. Naturaleza jurídica de la exención V. Requisitos del sistema de seguridad exonerativo VI. Elementos concurrentes VII. ¿Quién tiene que probar tales condiciones? VIII. Referencias específicas al segundo título de imputación IX. Elementos que requiere dicho segundo título de imputación X. Requisitos de los modelos de prevención Introducción La responsabilidad penal de las personas jurídicas se introdujo en nuestro Código Penal en la reforma llevada a cabo por medio de la LO 5/2010, de 22 de junio, con entrada en vigor el día 23 de diciembre de 2010. Han transcurrido ya cerca de cinco años, y esta importante materia no ha despegado, siendo aún pocos los casos que se ventilan en los Tribunales. Sabemos que, de ellos, muchos se encuentran en fase de instrucción sumarial, y por consiguiente habrá que esperar al resultado de las sentencias que se vayan dictando, y todo ello tomando en consideración que, hasta el momento, el Tribunal Supremo no se ha pronunciado sobre el particular. Son variadas las cuestiones prácticas que pueden plantearse en materia de responsabilidad penal de las personas jurídicas, y más aun, las que surgen tras la reforma operada por la LO 1/2015, de 30 de marzo, con entrada en vigor el próximo día 1 de julio de 2015. Este trabajo se dirige a despejar algunos interrogantes de la misma, principalmente referidos al impacto de la reforma en los títulos de imputación de tal responsabilidad penal. Como sabemos, tales criterios de imputación responden a una doble vía. Junto a la responsabilidad por aquellos delitos cometidos en nombre o por cuenta de una persona jurídica y en su provecho (ahora en su beneficio directo o indirecto), por las personas que tienen poder de representación en las mismas, se añade la imputación por aquellas infracciones propiciadas por no haber ejercido la persona jurídica el debido control sobre sus empleados (ahora, por haberse incumplido gravemente por aquellos los deberes de supervisión, vigilancia y control de su actividad), naturalmente con la imprescindible consideración de las circunstancias del caso concreto a efectos de evitar una lectura meramente objetiva de esta regla de imputación. El sistema responde a los criterios de una responsabilidad criminal acumulativa, pues –como se ha dicho– la responsabilidad de las personas jurídicas no excluye la de las personas físicas, ni a la inversa (Zugaldía Espinar). Es decir, no se trata de una responsabilidad vicarial. Sobre este aspecto el legislador de 2015 nos advierte que se ha de poner "fin a las dudas interpretativas que había planteado la anterior regulación, que desde algunos sectores había sido interpretada como un régimen de responsabilidad vicarial, y se asumen ciertas recomendaciones que en ese sentido habían sido realizadas por algunas organizaciones internacionales". De este modo, el nuevo art. 31 ter, en su apartado e inciso primero, declara que tal responsabilidad penal de las personas jurídicas será exigible "aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella". Lo que se encarga de aclarar el apartado siguiente para los casos en que circunstancias personales de la persona física impidan su incriminación, incluso "el hecho de que dichas personas hayan fallecido o se hubieren sustraído a la acción de la justicia", pues en tal caso no se excluirá ni modificará la responsabilidad penal de las personas jurídicas, sin perjuicio de lo que se dispone en el artículo siguiente (el art. 31 quáter) con respecto a las circunstancias atenuantes de su responsabilidad penal, y que por cierto, la reforma mantiene la mención de que "solo" podrán considerarse circunstancias atenuantes de la responsabilidad penal de las personas jurídicas haber realizado, con posterioridad a la comisión del delito y a través de sus representantes legales, las actividades señaladas en tal precepto, cuando es evidente que no pueden ser "solo" esos comportamientos ex post facto, pues otras atenuantes como las construidas por analogía o la de dilaciones indebidas incuestionablemente podrán concurrir para aminorar su responsabilidad penal. I. Los títulos de imputación Como ya hemos apuntado, los títulos de imputación son dos: delitos cometidos en representación de la persona jurídica, y delitos cometidos como consecuencia del descontrol culpable de sus empleados. Por un lado, la persona jurídica puede cometer un delito sobre la base de la actuación de un representante legal que conculca el tipo penal [Nota: Es el otro lado de la actuación en nombre de otro del art. 31.1 del Código Penal.] en su nombre o por cuenta de la misma. Por otra parte, un empleado incontrolado puede también cometer un delito, siendo la causa de imputación a la persona jurídica un defecto grave en el control de tal persona física por quien tiene el deber de hacerlo. Se ponen como ejemplos del primer título de imputación: la comisión de un delito fiscal, o de un delito de blanqueo de capitales; del segundo, un delito medioambiental, o una estafa. En cualquier caso, la Ley penal, en la parte especial del Código Penal, especifica qué delitos pueden ser cometidos por una persona jurídica si se dan los títulos de imputación que se disciplinan en el art. 31 bis del Código Penal [Nota: Sistema de catálogo delictivo.] , pero no se aclara en concreto qué título corresponde a cada delito descrito, que ha de deducirse por el intérprete. Volvamos a las referidas reglas de imputación. Cuando el delito se propicie por quebrantarse el control debido, únicamente afectará al segundo título de imputación (delitos cometidos por empleados, cuyo resultado se ha producido a causa de un descontrol culpable). Sin embargo, en el primer título de imputación la conculcación del tipo penal surge como consecuencia del poder de dirección del autor material –persona física–, sin necesidad de quebrantar (aparentemente) el aludido control. En efecto, el nuevo art. 31 bis, en su apdo. 1, señala que en los supuestos previstos en el Código Penal (es decir, en los delitos que podemos denominar de catálogo), las personas jurídicas serán penalmente responsables en los supuestos que ahora se describen con las letras a) y b), que responden a los diversos fundamentos de ambos títulos de imputación. Y así, por lo que hace al primero –delitos cometidos por representantes legales de las personas jurídicas–, únicamente parece exigirse que se trate de delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto (obsérvese que antes se decía "y en su provecho"), por sus representantes legales o por sus órganos de dirección y administración. Tales personas físicas son, por definición legal, "aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostenten facultades de organización y control dentro de la misma" [Nota: Art. 31 bis 1.a).] . Como vemos, la primera diferencia que encontramos es que en la nueva regulación desaparecen los administradores de hecho, pues el texto próximamente derogado se refería a los "administradores de hecho o de derecho" de tales personas jurídicas. Así pues, a nuestro juicio, comprendidos sin duda alguna los administradores de derecho en la nueva definición legal, ha de entenderse que no es ya válido para empeñar la responsabilidad penal de la persona jurídica el simple "interés" de la acción desplegada por el sujeto que actúa –por cuenta de– la persona jurídica, si carece de cualquier representación o poder de actuación de la expresada corporación. Eso quiere decir que con la nueva regulación no será posible exigir responsabilidad penal a una persona jurídica por la actuación de una persona que carezca en absoluto de poderes de administración o dirección, salvo que tal persona jurídica, a través de sus representantes legales, de alguna manera, haya ratificado tal actuación individual, aun de forma tácita. En la regulación anterior, el administrador de hecho debía serlo con plenas facultades decisorias en el círculo empresarial por el que se movía, de tal manera que lo único que hacía era escudarse en su actuación fáctica para tratar de burlar la Ley penal. Como ha declarado la jurisprudencia, el administrador de hecho debe participar activamente en la gestión y dirección de la empresa, de forma permanente y no sujeta a esferas superiores de aprobación o decisión. Para ello, el administrador de hecho debe desempeñar una función de dirección real, con independencia de la formalidad del nombramiento [Nota: STS 59/2007, de 26 de enero (SP/SENT/103938).] . Desde nuestro punto de vista, la patente desviación en el funcionamiento de la representación por parte del administrador (de derecho) de la corporación lleva aparejada la irresponsabilidad de la empresa o entidad jurídica para derivarla exclusivamente en tal administrador, para no penalizar por tal decisión a toda la persona jurídica que no debe ser responsable de notorias desviaciones en la representación de la compañía. Naturalmente, permanece la responsabilidad en nombre de otro, vía art. 31 [Nota: Explica la Circular 1/2011 (FGE) (SP/LEG/7600) la razón de la permanencia en nuestro Derecho penal de la regla que se contempla en el art. 31, con las siguientes palabras: "Así pues, por medio del artículo 31 del Código Penal se resuelven las situaciones en las que se produce una disociación entre quien actúa, el representante, y quien ostenta la cualidad que el tipo exige al sujeto activo del delito, el representado, ya se trate de una persona física o jurídica. En consecuencia, en el contexto de un Derecho penal como actualmente ya es el nuestro, en el que se admite la responsabilidad de las personas jurídicas, sigue resultando necesaria la previsión expresa de las actuaciones en nombre de otro que efectúa el artículo 31 del Código Penal, haciendo viable la atribución de responsabilidad penal a una persona física, que, no obstante haber lesionado un bien jurídico de forma merecedora de pena, no encajaría en el tipo penal por carecer de la cualificación necesaria para poder ser considerado autor del delito especial propio".] del Código Penal, exclusivamente retocado para suprimir las infracciones correspondientes a las faltas, que desaparecen con la LO 1/2015. Por ello, el precepto que se define en el art. 31 del Código Penal es más amplio, pues el representante queda incurso en la responsabilidad por los actos ejecutados en nombre de otro, aunque tal "otro" no sea una persona jurídica, como requiere inexcusablemente el art. 31 bis, sino que puede serlo una persona física, bien su representación sea consecuencia de un contrato (con poder), o bien lo sea como consecuencia de la Ley. Como se dice en el citado precepto, tal representación surge al actuar "como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro". II. Ficción legal Como antes de la reforma, y de la lectura del art. 31 bis, apdo. 1, puede concluirse que el legislador está partiendo de una ficción legal, que se revela con la sola lectura de tal norma, pues las personas jurídicas serán penalmente responsables "de los delitos cometidos" (no por tales personas jurídicas), sino "por sus representantes legales o por aquellos que (...)", es decir, se parte de la idea de que una persona física tiene que haber conculcado el tipo penal (conforme a la conocida teoría antropomórfica del Derecho penal clásico). En este mismo sentido, señala Feijoo Sánchez que el Código Penal no parte de un modelo puro de auto-responsabilidad de la persona jurídica. Y lo propio Gómez-Jara Díez, en tanto afirma que las personas físicas son el "desencadenante" de la responsabilidad de las personas jurídicas. Tan es así, que el primer autor considera que una idea de auto-responsabilidad absoluta, en el sentido de que se pueda prescindir por completo del "factor humano" (en otras palabras, que el sistema de responsabilidad penal de las personas jurídicas sea "ciego" a las conductas humanas), es incompatible con el Derecho positivo. El art. 31 bis parte de que las personas físicas son las que "realizan materialmente" los hechos típicos. Por muchas vueltas que se quiera dar, sin actuaciones delictivas por parte de la persona física no hay responsabilidad de la persona jurídica. Y finaliza: "esto es evidente si tenemos en cuenta que el propio Código Penal establece la pena de multa en relación a la gravedad del hecho delictivo cometido por la persona física" (así lo hace el legislador en los propios preceptos en donde determina la penalidad imponible). Indudablemente, en el tratamiento legal de los delitos cometidos por los empleados descontrolados de la entidad, se exige una indudable culpa in vigilando, por cuanto en la letra b) del apdo. 1 del art. 31 bis se requiere un defecto de control, al someter al régimen de responsabilidad penal de la persona jurídica por los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas que ostenten la dirección o representación de la sociedad, hayan podido realizar los hechos por haberse incumplido por aquellos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso. La regulación anterior se contentaba con exponer, como presupuesto de tal responsabilidad, que se pudieran haber realizado los hechos punibles "por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso", que ahora se refuerza con el calificativo de grave. Volveremos más adelante sobre esta importante cuestión. Baste por ahora señalar que se han introducido en este aspecto notorias mejoras técnicas, pues la Ley penal se refiere a los deberes de supervisión, vigilancia y control de aquellos sujetos sometidos a la autoridad de las personas físicas mencionadas anteriormente. Y en cualquier caso, hemos de convenir que tales nociones de fiscalización (supervisión, vigilancia y control) están muy relacionadas entre sí. La Ley no las define, pero parece referirse a un módulo próximo de fiscalización –el control–, otro menos cercano en cuanto se ejerce una posición de control sobre el control –la supervisión–, y finalmente, la superior dirección de la persona jurídica que llevaría a cabo la supervisión general de tal actividad. III. ¿Ambos títulos de imputación exigen ahora un defectuoso control? Debemos preguntarnos si en el primer título de imputación se exige algún defecto de control a la actuación del representante en el seno de los órganos de dirección de la entidad para que nazca la responsabilidad de la persona jurídica, o bien el simple apoderamiento unido a la conculcación del tipo penal es suficiente regla de imputación. En la regulación inicial de esta materia (LO 5/2010), creemos que podía concluirse esto último. Pero obsérvese que ahora (LO 1/2015) en la actuación del directivo o representante de la persona jurídica, aunque no se acuñe directamente un defecto de control como fundamento de la responsabilidad penal de la persona jurídica, lo cierto es que el apdo. 2 del art. 31 bis introduce tal control, pues en realidad si se han adoptado y ejecutado con eficacia modelos de prevención o de seguridad, la persona jurídica, aun cuando estemos hablando del primer título de imputación [el de la letra a) del apartado anterior], quedará exenta de responsabilidad si se cumplen una serie de condiciones, que son en realidad los requisitos de tal modelo de seguridad [Nota: Apdo. 2 del art. 31 bis: "Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones: 1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión".] . De forma que si no se precisaran la adopción y exigencia de controles, no tendría sentido la exención de responsabilidad penal por la implantación de sistemas de prevención. En este sentido, nuestra respuesta ha de ser afirmativa. IV. Naturaleza jurídica de la exención Sobre la naturaleza de la implantación de tales normas de cumplimiento (compliance) o modelos de prevención o de seguridad –cualquiera que sea la denominación que empleemos–, observamos que el nuevo texto legal se refiere a ellos con la concesión de la exención de la responsabilidad de la persona jurídica cuando se cumplan una serie de condiciones, relativas a la adopción y ejecución "con eficacia" [Nota: Tal eficacia no se refiere a que, en realidad, se haya podido cometer el delito, sino que la eficacia se refiere a su propia implantación (del modelo de prevención) y utilización del sistema.] , de tales modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza, con las condiciones que se disciplinan en tal precepto. La expresión "delito cometido" [Nota: "Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones (…)".] , nos lleva a pensar que es una especie de excusa absolutoria. Desde luego que tal aspecto (la implantación de los modelos citados) ni afecta a la culpabilidad ni a la antijuridicidad, por lo que nos inclinamos por esa adscripción dogmática. Y siendo, por tanto, a mi juicio, una excusa absolutoria (o fuera también una exención de responsabilidad criminal de otra especie) puede ser apreciada en cualquier fase del procedimiento, aunque lo normal será que, salvo concurrencia palpable y patente, se haga valer en el juicio oral y se resuelva en la sentencia que proceda dictar al efecto. En efecto, según el art. 637 de la Ley de Enjuiciamiento Criminal, procederá el sobreseimiento libre: "3.º Cuando aparezcan exentos de responsabilidad criminal los procesados como autores, cómplices o encubridores". Ahora bien, se cuida el art. 640 de limitar tal sobreseimiento a los autores, cómplices o encubridores, únicamente cuando "aparezcan indudablemente exentos de responsabilidad criminal, continuándose la causa respecto a los demás que no se hallen en igual caso". Es decir, que el sobreseimiento libre por causa de la adopción de un modelo de seguridad en el ámbito de actuación de las personas jurídicas es difícil que pueda ser apreciado en la instrucción sumarial, y seguramente tenga que ser diferida su aplicación exonerativa al ámbito y tiempo del plenario. Otra de las consecuencias derivadas de entender que se trata de una excusa absolutoria será que la prueba corre a cargo de quien la alega. V. Requisitos del sistema de seguridad exonerativo El Código Penal se refiere a la adopción y ejecución eficazmente de un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. Ello quiere decir que no basta con probar que se posee tal modelo de seguridad, sino que se ha de acreditar que se ha estado ejecutando –con eficacia– desde que se adoptó. Veamos ahora cuáles son tales requisitos [Nota: Aunque la Ley les llama en un lado circunstancias y en otro condiciones (en el apdo. 5 del art. 31 bis).] , que sistematizaremos de la siguiente forma: Implantación del sistema: se requiere primeramente, como es natural, la adopción de un modelo de seguridad (o de prevención). Se trata de los denominados programas de cumplimiento de la actuación de los órganos de supervisión y control (compliance programme), dirigidos por un responsable (compliance officer), con funciones de vigilancia, asesoramiento, advertencia y evaluación de los riesgos legales de gestión según los estándares de conducta nacionales e internacionales. Ese modelo se ha de ejecutar con eficacia, es decir, que no basta con tener tal modelo guardado en un cajón, sino que se ha de probar que se ha aplicado en la práctica, aunque el delito finalmente se haya cometido en la realidad, luego la eficacia no se predica de sus resultados sino de su funcionamiento. Adopción de la decisión: tal modelo debe ser aprobado e implantado por el órgano de administración de la compañía, que es el que debe tomar la decisión. Aspecto temporal: debe ser aprobado e implantado con anterioridad a la comisión del delito. La implantación posterior nunca puede fundamentar una exención de responsabilidad penal, sino una minoración de esta. Diseño: respecto a qué consisten estos modelos de prevención, podemos decir que se trata de modelos de organización y gestión que han de incluir las correspondientes medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza; se ocupa más detalladamente de su especificación el nuevo apdo. 5 del art. 31 bis del Código Penal, al que luego nos referiremos. Creación de un órgano de supervisión: la reforma legal prevé la creación de una especie de compliance officer, que se encargará de supervisar el funcionamiento y el cumplimiento del modelo de prevención implantado por el órgano de decisión de la compañía, confiriendo al creado poderes autónomos de iniciativa y de control. Estos órganos han de ser distintos, pero el llamado a supervisar segundo debe haber sido adoptado por el primero, y al que debe conceder autonomía en el control de la seguridad de la empresa. Nos merece un juicio positivo esta balanza de poderes entre el órgano de dirección y el órgano de supervisión, aunque la práctica nos dará ejemplos de control del primero sobre el segundo, a buen seguro. El apdo. 3 del art. 31 bis nos advierte, sin embargo, que para el caso de personas jurídicas de pequeñas dimensiones, estas funciones de supervisión podrán ser asumidas directamente por el órgano de administración. Y que, a estos efectos, son personas jurídicas de pequeñas dimensiones aquellas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada. La referida legislación aplicable es el art. 258 Nota RDL 1/2010, de 2 de julio, por el que se aprueba el Texto Refundido de la Ley de Sociedades de Capital. VI. Elementos concurrentes Relativos al autor infractor de la norma penal: se requiere que los autores individuales hayan cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención, lo cual es necesario, pues no siendo así ni se hubiera producido un defecto en el control (que es el presupuesto de la exención), ni el modelo hubiera funcionado con eficacia. La forma de eludir tales controles, esto es, el fraude en la infracción, creemos que no añade nada a esta exigencia, pues bastaría con que se eludieran tales modelos de prevención, sin requerirse ningún componente subjetivo. De cualquier modo, la Ley exige fraude en tal elusión como uno de los requisitos para la exención de responsabilidad de la persona jurídica. Relativos al órgano de supervisión: que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano fiscalizador, al que nos hemos referido anteriormente. Pues si se ha producido tal defecto en su funcionamiento, la sociedad no podrá escudarse en la existencia de un modelo de prevención para obtener la exención de su responsabilidad penal. Aquí, tan relevante es el ejercicio del control adecuado por el órgano de supervisión, como la transgresión del modelo de prevención por parte de la persona física que actúa. En consecuencia, hemos de distinguir entre la responsabilidad de quien actúa (que afecta al delito cometido por la persona física) y el control ejercido sobre el mismo por parte de la persona jurídica (que afecta al fundamento de la responsabilidad penal de esta). La separación de ambos fundamentos de imputación dota al sistema de mayor solidez dogmática y evita el bis in idem. VII. ¿Quién tiene que probar tales condiciones? Por tratarse de un modelo de exención de responsabilidad que tiene naturaleza, a nuestro juicio, de excusa absolutoria, la prueba corre a cargo de quien la alega. Y en el caso de que no se pruebe cumplidamente por quien corresponda, se producirá el surgimiento de una atenuación, conforme a lo diseñado legalmente: En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena [Nota: Art. 31 bis, apdo. 2, in fine.] . También será posible la adopción de un modelo de seguridad después de la comisión de un delito para obtener una atenuación. VIII. Referencias específicas al segundo título de imputación El segundo título de imputación es el correspondiente a los delitos cometidos por empleados incontrolados. Aquí, el texto legal requiere, para que la persona jurídica quede exenta de responsabilidad que, antes de la comisión del delito, se haya adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. Este modelo debe tener las propias características ya definidas en el apdo. 2 del art. 31 bis para el primer título de imputación, pues aunque textualmente tales condiciones se acuñan aparentemente con exclusividad para el caso de que "el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior", es decir, las personas con autoridad de decisión en la empresa (y no propiamente para el caso de delitos cometidos por empleados descontrolados), el apdo. 4, párrafo segundo, del art. 31 bis, nos debe llevar a concluir su aplicación igualmente en este segundo título de imputación. En efecto, tal aserto nos dice que "en este caso", es decir, en tal título de imputación (el segundo), "resultará igualmente aplicable la atenuación prevista en el párrafo segundo del apartado 2 de este artículo". Y dicho segundo párrafo dispone textualmente: "En los casos en los que las anteriores circunstancias solamente puedan ser objeto de acreditación parcial, esta circunstancia será valorada a los efectos de atenuación de la pena". Luego, si en este segundo título de imputación se permite que las "anteriores" circunstancias puedan ser objeto de acreditación parcial, es que lo pudieron ser de forma total, lo que nos introduce su posibilidad aplicativa en el título de imputación que comentamos. Y con mayor claridad, en el enunciado el apdo. 5 del art. 31 bis. Con respecto al contenido de tales modelos de prevención, a pesar de que la nomenclatura expresada por el legislador no es idéntica, entendemos que no existen significativas diferencias conceptuales entre ambos modelos de seguridad. Así, en este segundo título de imputación, junto a la adopción y ejecución con eficacia de tales modelos, y ello con anterioridad a la comisión delictiva, tales reglas de seguridad han de resultar adecuadas para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. IX. Elementos que requiere dicho segundo título de imputación La letra b) del apdo. 1 del art. 31 bis describe los elementos para que se genere la responsabilidad penal de las personas jurídicas con estas palabras: "b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquellos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso". Con anterioridad se incriminaba a las personas jurídicas, como igualmente responsables en vía penal, por los delitos cometidos (en el ejercicio de actividades sociales, por cuenta y en provecho de tales personas jurídicas), por quienes, estando sometidos a la autoridad de las personas físicas mencionadas anteriormente (es decir, a las órdenes de los representantes o directivos de las mencionadas personas jurídicas) hubieran podido realizar los hechos por no haberse ejercido sobre ellas el debido control, atendidas las concretas circunstancias del caso. La diferencia está, a nuestro juicio, en el incumplimiento grave de los deberes de control, esto es, de los ahora llamados deberes de supervisión, vigilancia y control de la actuación del empleado, gravedad que no se exigía en la regulación anterior. Eso quiere decir que aquellos casos en que se conceptúe que no se han infringido los deberes de control, o que lo han sido levemente, no permitirán el nacimiento de la aludida responsabilidad penal de las personas jurídicas. Pero, naturalmente, aunque pudiera impedir tal calificativo dicha responsabilidad penal, todavía serían posibles los resortes para decretar la responsabilidad civil subsidiaria de tal persona jurídica, vía art. 120.4.º del Código Penal, fundamentalmente por los criterios atributivos de la culpa in vigilando. El Tribunal Supremo ha tratado en la Sentencia 830/2014, de 28 de noviembre (SP/SENT/792721), de las diferencias entre la responsabilidad penal y civil de las personas jurídicas: en dicha resolución judicial se decía que, aunque no puede llegarse a declararse, en el caso, un beneficio a la empresa por razón de la actividad delictiva enjuiciada, al modo de cómo hoy se describe en el art. 31 bis del Código Penal, ha de convenirse que la responsabilidad penal de la persona jurídica tiene unos controles para su activación más rigurosos que la responsabilidad civil subsidiaria, estando justificada esta última no solamente en los principios clásicos de la falta in eligendo o in vigilando, sino en la propia responsabilidad objetiva por la que el Tribunal Supremo camina incesantemente para procurar la debida protección de las víctimas en materia de responsabilidad civil. Por lo demás, se amplía el contenido de los delitos cometidos en provecho de las personas jurídicas, a que lo sean en su beneficio directo o indirecto, lo que nos merece un juicio positivo, pues abarca los casos en que redunde conjuntamente en beneficio del infractor e indirectamente también de la persona jurídica. Suele ponerse el ejemplo del portero de una discoteca que venda droga a los clientes, actividad que acarrearía la responsabilidad, junto a la personal de tal empleado, de la persona jurídica si se ha producido tal comportamiento al estar gravemente descontrolado, puesto que tal acción redundará en beneficio indirecto de la sociedad que sea titular de la discoteca al permitir seguramente mayor afluencia de clientes. Tal vez por ello el legislador nos advierte de que la responsabilidad por las infracciones propiciadas por no haber ejercido la persona jurídica el debido control sobre sus empleados debe hacerse con la imprescindible consideración de las circunstancias del caso concreto a efectos de evitar una lectura meramente objetiva de esta regla de imputación. Ello nos debe llevar a exigir cierto rigor en tal nota de aprovechamiento (ahora, beneficio directo o indirecto), para no resultar desmesurada la responsabilidad penal de la persona jurídica en estos casos. X. Requisitos de los modelos de prevención Vienen establecidos en el apdo. 5 del art. 31 bis del Código Penal. En efecto, los modelos de organización y gestión a que se refieren la condición 1.ª del apdo. 2 y el apartado anterior, deberán cumplir los siguientes requisitos: Objetivo: identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Funcional: establecerán tales modelos, los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos. Económico: dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Informativo: impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Sancionador: establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. Aspecto dinámico: realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. El texto inicial que se proponía en el Proyecto de Ley requería que tal modelo contendría las medidas que, de acuerdo con la naturaleza y el tamaño de la organización, así como el tipo de actividades que se llevaran a cabo, garantizaran el desarrollo de su actividad conforme a la Ley y permitieran la detección rápida y la prevención de situaciones de riesgo, y se exigía, en todo caso: a) De una verificación periódica del mismo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios; y b) de un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención. Estos aspectos que el legislador ha redactado finalmente de forma diversa pueden servirnos de referencia interpretativa. © Editorial Jurídica SEPIN - 2015