Responsabilidad por deber de garante: aplicación al CCO y al DPO

co_dpo_colom

Por José Luis Colom Planas

1. Introducción a la responsabilidad por deber de garante

En la jurisdicción Penal, el deber de garante presenta una íntima relación con las conductas omisivas. Es en base a ellas que se puede atribuir responsabilidad a quién omite una acción, siempre que se den determinadas circunstancias. Entre éstas es primordial que exista alguna conexión entre la omisión y la responsabilidad, en base a una relación contractual o laboral, por ejemplo.

Éste sería el caso del Chief Compliance Officer (CCO) o responsable del órgano (individual o colegiado) de la persona jurídica, con poderes autónomos de iniciativa y de control, que velará, quizá entre otros, por el cumplimiento del modelo de prevención de delitos penales en el seno de la empresa.

Más adelante, por analogía, intentaremos extrapolar esta responsabilidad a otras figuras que prestan su desempeño en la persona jurídica, con obligación por su cargo de velar por determinado cumplimiento, como puede ser el Data Protection Officer (DPO).

2. La comisión por omisión

Podemos clasificar las conductas omisivas, al menos en omisión pura y comisión por omisión.

  • La omisión pura, en Derecho Penal, sitúa el fundamento de la punición en el terreno de la antijuridicidad formal, trasladando la responsabilidad penal del plano causal al normativo. Sería la abstención simple de hacer algo que marca la Norma.
  • La comisión por omisión, fundamentada en las teorías causales, se basa en que la omisión de determinada conducta que evitaría un resultado penal es casi idéntica a causar éste a través de una conducta activa. Sería haber dejado de hacer algo necesario. Es aquí donde confluye con el deber de garante.

3. El deber de garante

Para poder atribuir responsabilidad a quién omite una acción, se requiere en el Derecho Español:

  • Posición de garante: La existencia de una posición de garante en previsión de un evento perjudicial.
  • Conexión: La existencia de alguna conexión entre omisión y responsabilidad.
  • Resultado:La producción de un resultado dañino íntimamente ligado al evento.

La referida conexión, en la comisión de un delito por omisión, se sitúa en la exigencia de que concurra una situación en la que el ordenamiento impone una concreta y predeterminada posición jurídica a determinada persona (el omitente) ante una situación típica de riesgo dando lugar a una específica obligación de actuar que es lo que, en esencia, configura la llamada posición de garante.

Para gran parte de la doctrina y de la jurisprudencia se establece esta equivalencia en función de que se pueda deducir (y acreditar) que, por parte del omitente, existe un compromiso específico y efectivo de actuar, a modo de barrera de contención de riesgos, frente a un posible evento y frente a algún posible perjudicado: es decir, que existirá posición de garante, cuando entre omitente y perjudicado exista alguna obligación (de cualquier origen) real y efectiva que imponga al omitente una determinada actuación de prevención, de protección o de evitación [1].

Pero, aun cumpliéndose todos los requisitos enumerados anteriormente, resulta también necesario:

  • Previsibilidad:Que no se haya producido el evento por la concurrencia de otros factores externos, imprevisibles o inevitables, ajenos a los que configuran la específica posición de garante, ya que éste factor imprevisible eximirá de cualquier responsabilidad al omitente que está situado como garante, al tener su origen el resultado lesivo en factores imponderables.
  • Posibilidad de actuar: la necesidad de que el omitenteobligado estuviera en condiciones de realizar la conducta prevista. En caso de imposibilidad de actuar no surge responsabilidad por la inacción, eliminando la responsabilidad inherente a la situación de garante.

4. El deber de garante del Administrador en la PJ

No escapa a la lógica de la razón admitir que en el ámbito y en representación de la persona jurídica, el Administrador tiene los deberes propios de garante sobre la conducta de sus empleados.

Este poder lo ejerce de dos formas consecutivas:

  • Primero, desde la perspectiva in eligendo,estableciendo los controles adecuados en el proceso de selección de los trabajadores.
  • Después, in vigilando,supervisando su desempeño profesional en la medida de sus posibilidades razonables, especialmente con los puestos más especializados.

Podríamos decir que este poder de supervisión y control está orientado como: [2]

  • Garante de protección,desde una perspectiva ad intra, evitando resultados lesivos para la propia empresa.
  • Garante de control, desde una perspectivaAd extra, evitando resultados lesivos sobre terceros externos a partir de la actividad de los empleados.

En consecuencia, estamos en condiciones de afirmar que el Administrador de la PJ se encuentra en una posición de garante originaria, que le obliga a impedir la comisión de delitos por parte de subordinados con repercusión en los bienes jurídicos de terceros. [5]

Por ello, los órganos de Administración deben establecer los mecanismos de organización adecuados para evitar los riesgos de comisión de ilícitos en su seno o, en todo caso, mitigarlos hasta niveles tolerables por las circunstancias de la PJ. Ello, no obstante, no exonera al órgano de gobierno de su posición de garante.

Con el establecimiento de la organización, el empresario tiene un derecho y un deber equilibrados:

  • El deberde evitar los cursos lesivos que surgen de la actividad empresarial, asumiendo el compromiso de contener aquellos riesgos que de la misma vayan surgiendo para los bienes jurídicos de los demás.
  • El derecho a ejercer la libertad que emana del establecimiento de la propia empresa.

Luego, por defecto, la comisión por omisión se dará en relación a los riesgos típicamente unidos a la actividad empresarial que tienden a descontrolarse, de no ponerse remedio, con el paso del tiempo.

5. El deber de garante del CCO en la PJ

En Derecho Penal, si analizamos el texto de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que entrará en vigor en julio de 2015, leemos en el artículo 31 bis CP:

“(…) 2. Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica; (…)”.

En este caso, la delegación de competencias en un órgano de la persona jurídica, con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia de la posición de garante porque, basándonos en esa delegación, el órgano de administración como delegante hace surgir una posición de garantía en el órgano de cumplimiento normativo, en calidad de delegado. Este órgano puede ser colegiado o unipersonal pero, en todo caso, dirigido o coordinado por el CCO.

No obstante cabe decir que la posición de garante del órgano de administración no desaparece del todo sino que pasa a ser secundaria o residual. Pero es cierto que la delegación correctamente efectuada modifica la posición jurídica del delegante liberándole de los deberes inherentes del ámbito competencial de que se trate, pues de lo contrario, carecería por completo de sentido que se llevara a cabo. [5]

Al órgano de administración ya no le incumbe el deber de control directo de la fuente de riesgo, que sí le corresponde al órgano de cumplimiento, pero sí le compete la correcta selección, formación e información del responsable de cumplimiento, la dotación a este órgano de los medios necesarios para el cumplimiento de sus funciones y, especialmente, el deber de vigilancia sobre éste en el sentido de adquirir conocimiento y corregir sus actuaciones defectuosas [2].

Otra manera de verlo es considerando que el delegante mantiene el poder de revocación de la delegación, lo que representa que tiene la facultad de vigilar lo que el delegado organice, estableciendo los oportunos mecanismos de vigilancia y control con respecto al correcto desarrollo de la actividad por parte del delegado. [5]Estos mecanismos podrían articularse en base a pasar auditorías internas o mediante la obligación de reportar periódicamente informes de gestión.

Simplificando mucho, el CCO suele tener tres funciones básicas:

  • En algunos casos, si no el diseño y materialización, si la aceptación del modelo de cumplimiento encargado por el órgano de Administración a un tercero.
  • La implementación del modelo, y definitiva adaptación a la realidad de la empresa, para lograr los fines preventivos para la evitación de hechos delictivos.
  • El control y seguimiento de las normas derivadas del modelo, identificando las posibles infracciones e informando de las mismas a la Administración de la empresa con el fin de prevenirlas.

En consecuencia, el responsable de cumplimiento sí puede ser responsable de los actos cometidos por el personal de la empresa, sometido a las normas del modelo, en el caso de una dejación de funciones u omisión del cumplimiento de sus deberes, porque esa «área de riesgo» es la que queda sometida a su deber de control.

Un matiz sutil, pero importante, es el que considera que para generarse responsabilidad por omisión del deber de garante del CCO, el riesgo no impedido debe pertenecer a la clase de riesgos cuyo compromiso de control ha sido asumido expresamente por el Responsable de Cumplimiento. [6] En algunos ámbitos al CCO sólo le corresponde impedir delitos relativos al fraude o la corrupción, y no delitos medioambientales o contra los derechos de los trabajadores, por ejemplo, cuya prevención está asignada a otros departamentos especializados. Sera por esta razón muy importante con que cláusulas y nivel de detalle se redacte el contrato laboral, o de prestación de servicios, que ha de vincular al CCO con la PJ.

Así las cosas, esa omisión imprudente de sus deberes de vigilancia podrá generar la propia responsabilidad al Responsable de Cumplimiento, pudiendo responder imprudentemente respecto de la infracción de sus deberes.

Cabe matizar que los deberes básicos que le incumben al CCO en primera instancia, salvo que contractualmente se acuerde otra cosa, se reducen a:

  • Vigilarel cumplimiento del modelo de prevención de delitos.
  • Formar y concienciara los trabajadores
  • Informara la Administración de la PJ del desarrollo, incidencias y eventuales riesgos detectados en su actividad de supervisión y control.

Eso no quita que tenga facultades decisorias sobre los eventuales controles a aplicar y las posibles sospechas a investigar, siendo independiente en términos organizativos, económicos y materiales, aunque careciendo de facultades ejecutivas.[5]

De lo anterior podría desprenderse que el CCO es tan solo un órgano auxiliar, ya que el cumplimiento del Derecho en la empresa recae primordialmente sobre el órgano de Administración. No obstante, tan pronto como el Responsable de Cumplimiento pase a desempeñar su función, recibe de forma derivada su posición de garante, por delegación de los deberes que competen a la Administración de la PJ.

Si una vez el CCO ha dado traslado de información relevante al órgano de Administración para impedir un delito, éste no lo impide, el responsable de cumplimiento no responderá penalmente por no haber adoptado ulteriores medidas encaminadas a que el delito no se cometiera. Evidentemente ha de estar en condiciones de acreditarlo.

6. El deber de garante del DPO en la PJ

Si bien no puede aplicarse el razonamiento analógico entre jurisdicciones diferentes, de lo referido hasta ahora puede apreciarse una aplicabilidad de los criterios entre el Corporate Compliance Officer (CCO) y el Data Protection Officer (DPO).

En ambos casos, si se produce un incidente motivado por una dejación de funciones del CCO o del DPO, la empresa mantiene su responsabilidad última entendida en un caso como posible responsabilidad penal de la persona jurídica donde opera un CCO y, en otro, asumiendo su responsabilidad como responsable del tratamiento en relación a la protección de datos personales, donde opera un DPO.

Me he referido antes a que la delegación de competencias en un órgano de la persona jurídica con poderes autónomos de iniciativa y control, para que supervise el funcionamiento y el cumplimiento del modelo de prevención, constituye un mecanismo de transferencia parcial de la posición de garante.

Al estar el DPO, según el artículo 36 del borrador del Reglamento general de Protección de Datos de la Unión Europea (RGPD/UE), en posesión de “poderes autónomos de iniciativa i control” en el ámbito de las funciones y competencias que tiene encomendadas, la analogía es total.

El citado artículo del borrador, a tenor literal en el momento de redactar este artículo, dispone:

“1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos se implique adecuadamente y en su debido momento en todas las cuestiones relativas a la protección de datos personales.

  1. El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento.
  2. El responsable o el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de sus tareas y facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones y tareas contempladas en el artículo 37”.

Como conclusión que se deduce de lo aquí analizado, pese a que el responsable del tratamiento mantiene su responsabilidad última, igual que hemos visto antes en relación al Administrador y la figura del CCO, el DPO también tiene transferida la responsabilidad en el ámbito de sus competencias.

Incluso diría más, mientras que en relación al CCO el delegante mantiene el poder de revocación de la delegación, no ocurre lo mismo en el caso del DPO ya que éste, según dispone el artículo 35.7 del borrador del RGPD/UE, goza de unas garantías que lo hacen inmune a arbitrariedades del Administrador de la PJ:

«Art. 35.7: (…). Durante su mandato, el delegado de protección de datos solo podrá ser destituido, aparte de por motivos graves que, con arreglo al Derecho del Estado miembro afectado, justifiquen la destitución de un empleado o funcionario, si deja de cumplir las condiciones requeridas para el ejercicio de las funciones que se le atribuyen en el artículo 37.

Téngase en cuenta el alto grado de arbitrariedad en las conclusiones, cuando el estudio se basa en un borrador (RGPD/UE) y no en un instrumento jurídico vigente o, en su defecto, aprobado.

7. Epilogo

No es baladí y deben ponderarse todos los requerimientos necesarios antes de atribuir responsabilidad propia por la conducta omisiva en sus funciones a las figura del CCO y DPO.

No obstante, la mera posibilidad,  aconseja un alto nivel de profesionalización a quién pretenda desempeñar ese cometido en el seno de la persona jurídica.

Habitualmente el CCO dispone de formación jurídica mientras que el precursor del DPO, en España el Responsable de Seguridad, al limitarse a velar por el cumplimiento de las medidas de seguridad que dispone el Título VIII del RD 1720/2007 que es el Reglamento de aplicación de la LOPD, suele tener cualquier perfil.

Es evidente que el mayor nivel de competencias asignadas al DPO en el RGPD/UE, como puede verse en este mismo blog, [4] provoca que su formación jurídica se vea ampliamente potenciada. Sigue sin proceder aquello del desconocimiento como eximente, ya que lo mínimo que se exige a cualquier profesional es que conozca los derechos y deberes en relación a su desempeño en la empresa donde presta sus servicios.

Bibliografía Consultada

[1] Ramón Maciá Gómez. “LA POSICIÓN DE GARANTE EN EL DERECHO ESPAÑOL: CONCEPTO Y ESTRUCTURA”. Pórtico legal (Expansión).

[2] Jesús-María Silva Sánchez. “FUNDAMENTOS DEL DERECHO PENAL DE LA EMPRESA”. EDISOFER S.L., 2013.

[3] Jesús-María Silva Sánchez. “EL DELITO DE OMISIÓN: Concepto y sistema”. Colección Maestros del Derecho Penal nº 12. Editorial IBdeF. Segunda edición 2010.

[4] José Luis Colom Planas. “EL DELEGADO DE PROTECCIÓN DE DATOS”. Blog “Aspectos profesionales”. 13 de abril de 2012, actualizado el 18 de octubre de 2014.

[5] Ricardo Robles Planas. “CRIMINALIDAD DE EMPRESA Y COMPLIANCE: Prevención y reacciones corporativas”. Capítulo 12. Páginas 319 a 331. Compendio dirigido por Jesús-María Silva Sánchez. Editorial Atelier. Barcelona 2013.

[6] Dopico Gomez-Aller. “Presupuestos básicos de la responsabilidad penal del Compliance Officer y otros garantes en la empresa”. Actualidad Jurídica Aranzadi Nº 843, página 2. 2012.