Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

24 enero, 2022

Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Tribuna de Valvanera Campos, abogada de ECIJA

Recién inaugurado el año 2022 es  público y notorio las ventajas que aporta la implantación de un programa de compliance a la hora de delimitar la responsabilidad a las personas jurídicas. Por tanto, no es baladí ni reiterativo recordar su importancia en aras de evitar lo que se denomina como la “autopuesta en peligro” de las empresas en los casos en los que se permite o se llega a pasar por alto ciertos mecanismos de control escudándose en la confianza depositada en sus empleados.

 

La reciente Sentencia del Tribunal Supremo nº 904/2021, de 24 de Noviembre de 2021, nos viene a recordar como las mercantiles perjudicadas no pierden su carácter de víctimas pese a la falta de implantación de mecanismos de compliance en su organización. Si bien el compliance se presenta como un programa de cumplimiento voluntario, únicamente tendente a favorecer a la propia empresa, el incumplimiento o dejación de sus deberes de autoprotección puede llegar a jugar en contra de la mercantil y desplazar la culpa de los ilícitos penales que se cometan por sus empleados en el seno de su organización.

En el supuesto de hecho de la sentencia citada, nos encontramos, principalmente, con la comisión de un delito continuado de estafa por una trabajadora de dos empresas, quien, aprovechándose de sus visitas periódicas a sucursales bancarias en el Banco Santander y Caixabank, y valiéndose de la confianza adquirida con los empleados, solicitaba la entrega de talonarios de cheques, a pesar de no ser la titular de las cuentas ni tener autorización. Obtenidos de esta forma, procedía a manipular los registros contables de la sociedad, llegando a defraudar una cantidad de más de un millón de euros durante los diez años que se tardó en detectar la dinámica fraudulenta.

Antes de proceder a un análisis más exhaustivo, adelantar que las entidades bancarias también han sido condenadas como responsables civiles subsidiarias por la actuación negligente de sus empleados al incumplir los mínimos de verificación impuestos en su normativa interna.

La principal cuestión jurídica sobre la que se quiere incidir la encontramos en el primer motivo del recurso de casación planteado por la defensa de la acusada: ¿la falta de este deber de autoprotección de las empresas puede llevar a no apreciar los elementos del tipo del delito de estafa? Depende.

No es la primera vez que se plantea, tanto por la doctrina como por sentencias anteriores, si es posible hablar de “engaño bastante[1]”, elemento del tipo necesario en todo delito de estafa, en los casos en los que podría haberse evitado con una actuación diligente por parte de la víctima (en este caso sería advirtiendo las falsedades asentadas en la contabilidad, al estar las cuentas a su alcance y los cargos injustificados podían consultarse en la cuenta bancaria de la que tenían permanente acceso).

El engaño, en principio, podría ser considerado como “bastante” cuando es capaz de vencer los mecanismos de autoprotección que le son exigibles a la víctima, pero ¿y si no existen esos mecanismos de autoprotección?.

En STS nº1024/2007 de 30 de Noviembre 2007 se establece que “en aquellos casos en los que la propia indolencia y un sentido de la credulidad no merecedor de tutela penal hayan estado en el origen del acto dispositivo, es entendible que se niegue el juicio de tipicidad que define el delito de estafa”.

En consecuencia, en estos juicios de idoneidad es indudable la importancia que tiene el principio de autorresponsabilidad como delimitador de la idoneidad típica del engaño en el delito de estafa, debiéndose entender que una “confianza plena” o un “cheque en blanco” a favor de sus empleados desvirtúan el elemento del tipo objetivo del delito de estafa.

Me atrevo a afirmar que, si bien debe analizarse caso por caso, los delitos de estafa cometidos en el seno de la empresa no pueden quedar impunes escudándose en un abuso de confianza o falta de implantación del compliance en la empresa perjudicada. Así lo declara el Tribunal Supremo:

una cosa es que las empresas estén hoy en día adoptando e implementando programas de compliance, cada vez en mayor medida por la alta especialización de profesionales que lo están trasladando al sector empresarial a fin de evitar fraude interno -como aquí ha ocurrido- y externo con estos mecanismos de vigilancia, y otra bien distinta es que sea el autor de un delito de estafa quien marque los parámetros y medidas que debe adoptar la empresa para protegerse, y que si no se hace en una elevada graduación de autotutela quedará exonerado el autor del ilícito penal, lo que, obviamente, no puede admitirse”(…)

Si bien esto debe ser matizado. El delito de estafa no incluye como requisito típico otras exigencias de autoprotección adicionales de las que están implícitas en la expresión “engaño bastante”. Es decir, este engaño debe ser adecuado y no permitido tácitamente por la empresa para desplegar el error en el tercero, no bastando una simple negligencia en la organización de la empresa para descartar el delito de estafa. En este caso, así fue, el perjuicio patrimonial se produjo y por la complejidad de la operativa únicamente pudo detectarse el fraude mediante una auditoría externa. Por lo tanto, no hubo negligencia grave o permitida, desestimándose el motivo de casación de la defensa en aras de desvirtuar el delito de estafa.

 

Por lo tanto, la propia inexistencia de una medida de «autoprotección» de la empresa con el programa de cumplimiento normativo, no puede entenderse más allá que un propio error interno de la empresa que solo puede favorecerle, no perjudicarle de manera directa, y por tanto, debe quedar claro que, que haya tenido más o menos facilidad para eludir los mínimos o mayores controles internos, no reduce el quantum de la estafa ni mucho menos puede desplazar su autoría.

En este sentido, encontramos sentencias[2] del Alto Tribunal  recordando que “un robo sigue siendo un robo aunque la víctima se haya comportado despreocupadamente con sus cosas”. Sin embargo, esta declaración no debe tomarse en términos absolutos especialmente en el caso de las personas jurídicas, y debe invitar a la reflexión respecto al alcance del deber de autorresponsabilidad, especialmente en aquellas que no cuenten con un programa de compliance.

[1] STS 1276/2006 de 20 de Diciembre de 2006 define el engaño bastante como: “Se añade que el engaño sea bastante para producir error en el otro (STS 29.5.2002) es decir que sea capaz en un doble sentido: primero para traspasar lo ilícito civil y penetrar en la ilicitud penal, y en segundo lugar, que sea idóneo, relevante y adecuado para producir el error que genera el fraude, no bastando un error burdo, fantástico o inaccedible, incapaz de mover la voluntad de las personas (…)”

[2] STS 162/2012, de 15 de marzo y 243/2012 de 30 de Marzo.