La responsabilidad penal de la persona jurídica se apoya en la transferencia de responsabilidad penal por la actividad de las personas físicas autoras materiales de un delito de los tasados en el código penal, cometido actuando en nombre o por cuenta de la persona jurídica y en su beneficio, ya sea directo o indirecto, por tanto, la conclusión de que para declarar la responsabilidad penal de la persona jurídica se necesita la comisión del hecho punible por una persona física para que se produzca esa transferencia de responsabilidad penal resulta acertada, aunque con matices, ya que no es necesaria la condena de un sujeto en concreto para que la pena sea impuesta a la persona jurídica, solo desde esta perspectiva se puede entender la obligación de la empresa de demostrar el correcto ejercicio de las facultades de control y vigilancia y en consecuencia, haberse dotado de un adecuado sistema de control del cumplimiento normativo en materia penal.
Esto implica que podemos encontrarnos con un escenario en el cuál, se produzca una imputación de una persona física de las citadas como susceptibles de transferir responsabilidad penal a la persona jurídica, y que por tanto, esta persona física sea autora del tipo penal concreto imputable, y en consecuencia, responsable penal a título de autor, cooperador necesario o cómplice en toda la extensión de la pena que le corresponda como persona física, independientemente de la que le pudiera corresponder a la persona jurídica, en esta situación podría llegar a encontrase el propio compliance officer.
Para discernir la responsabilidad del compliance officer debemos partir del artículo 31 bis del CP, introducido por la Ley Orgánica 1/2015 por la que se modifica la Ley 10/95 del código penal, y que aclara la responsabilidad penal de la persona jurídica por incumplimiento grave de los deberes de supervisión, vigilancia y control, aunque lo cierto es que, no nos encontramos ante un concepto tan novedoso como para no encontrar criterios de interpretación, legales y jurisprudenciales, suficientes para aclarar si la responsabilidad del compliance officer procede por el mero hecho de ejercer sus funciones en el seno de la empresa, en tal sentido podemos remitirnos a los criterios que el Tribunal Supremo maneja en lo que se refiere a la realización omisiva de un ilícito penal en los delitos de resultado, interpretando, vía artículo 11 del texto punitivo, que la comisión por omisión es de apreciar cuando el omitente se encuentra en posición de garante y su deber consiste en impedir el resultado, equiparando, en ese caso, la realización activa y la omisiva, debido a que el garante omitente tiene un comportamiento equivalente al del sujeto activo.
A la vista de lo anterior parecería clara la responsabilidad penal del compliance officer por el mero hecho de ejercer su función, sin embargo, esta conclusión, aparente, es engañosa, porque para delimitar su responsabilidad no debe acudirse a automatismos alejados del derecho penal y resulta necesario analizar, desde criterios de eficacia e idoneidad, aspectos esenciales en su labor como son la coherencia de la estructura de control generada por la empresa, si en el desarrollo de sus funciones de compliance asume una posición de control o de coordinación, si la empresa tiene una estructura descentralizada, el alcance y la forma en la que se han delegado en él las funciones de control, incluso si asume funciones indelegables que corresponden exclusivamente a la dirección de la empresa, o si el oficial de cumplimiento, según esa estructura de control, está lo suficientemente cerca del posible riesgo como para convertirlo en un garante real del necesario y obligado cumplimiento normativo como para concluir que su inactividad alcanza el rango de omisión del deber de control susceptible de ser tipificado como delito.
A nuestro modo de ver la solución a esta cuestión la encontramos partiendo, en primer lugar, de un compromiso inequívoco de la alta dirección de la empresa para evitar la comisión de delitos, en segundo lugar, de la creación, implantación y apoyo claro a un programa razonable de compliance dotado de instrumentos adecuados y eficaces de prevención del delito en el seno de la persona jurídica, en tercer lugar, si la empresa ha posicionado al compliance officer dentro de la estructura de control de la misma en una situación en la que, verdaderamente, pueda ser un garante del cumplimiento normativo por expresa delegación de funciones reflejada contractualmente y acorde con la legalidad, dotado de autonomía, independencia, iniciativa y asignación presupuestaria suficiente, tanto económicamente como de medios, para hacer frente a la responsabilidad que asume.
Definida así la figura del propio compliance officer es como se ha de entender que la función de compliance en la supervisión, control y coordinación del modelo de prevención será idónea y efectiva y podría exigírsele, en su caso, una hipotética responsabilidad penal como persona física ya que una atribución automática de dicha responsabilidad sería contraria a los principios del derecho penal, responsabilidad, qué, en todo caso, no eximiría al consejo de administración u órgano directivo de la empresa por ser el verdadero garante de la adopción de programas de compliance penal.
Los supuestos de responsabilidad penal del compliance officer son muy numerosos. Así entre ellos destacan:
a) el establecimiento de un muy defectuoso sistema de prevención de delitos, ya por su generalidad, omisiones que contenga o falta de idoneidad y/o eficacia
b) inexistencia o insuficiencia de informar sobre los posibles riesgos e incumplimientos concretos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención
c) inexistencia de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo y que propicien la causación del hecho delictivo
d) falta de actualización del modelo, especialmente cuando se produzcan nuevas disposiciones legales o cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios; por no establecer un sistema de comunicación interno suficiente para denunciar riesgos que lleven a la comisión de delitos y
e) por no denunciar los defectos del órgano de control o no supervisarlo adecuadamente. Y si se trata de personas jurídicas de pequeña dimensión en las que se atribuye al administrador las funciones de supervisión, por una defectuosa implementación del plan de prevención que se le haya encargado.
Por el contrario, no responderá el \"oficial de cumplimiento\" cuando el delito sea debido a un incumplimiento del sistema de compliance perfectamente estructurado y por causas ajena al mismo, habiéndose probado un grado de vigilancia, supervisión y control cierto y más que razonable o cuando no se le dotó de recursos suficientes para que su implementación pudiera ser realmente efectiva y conste que el \"oficial de cumplimiento\" lo haya denunciado.
En todo caso, no debe perderse de vista que la culpabilidad del autor de un hecho penal sólo es exigible cuando podía prever el resultado, según la medida de su capacidad de conocimiento y no lo evitó, estando bajo su control o \"dominio del hecho\" hacerlo, lo que en las personas jurídicas se puede calificar también de \"dominio de la organización\" o \"poder de mando\", esto es, poder de desempeñar una función de garante de evitación del resultado.