1. Introducción

«La existencia de un adecuado sistema tributario es un elemento destacado del marco institucional de un país, lo que justifica que ciudadanos, agentes sociales y autoridades se involucren activamente para su mejor desarrollo y efectiva aplicación» (1) . Así rezan las primeras líneas del Código de Buenas Prácticas Tributarias, elaborado y aprobado por el Foro de Grandes Empresas en 2010 —y actualizado en 2024 (2) — para promover una relación recíprocamente cooperativa entre la Administración tributaria y las empresas que lo suscriban. Lo que se pretende, a grandes rasgos, es «mejorar la aplicación de nuestro sistema tributario a través del incremento de la seguridad jurídica, la cooperación recíproca basada en la buena fe y confianza legítima entre la Agencia Tributaria y las propias empresas» (3) .

No es extraño, para nuestro ordenamiento jurídico, el concepto de relación cooperativa, referida a las «estrategias» adoptadas por las Administraciones tributarias en la «ordenación y gestión de sus relaciones» con las empresas con el fin de «obtener de ellas una actitud más cooperativa, disminuir la litigiosidad y aumentar la recaudación» (4) . Y es en ese impulso de la relación cooperativa en el que se ha insertado el «cumplimiento corporativo» tributario (en adelante, compliance) como conjunto de normas de carácter interno que persiguen reducir o eliminar la probabilidad de la comisión de infracciones tributarias —constitutivas o no de delito— en el seno de la persona jurídica estableciendo una serie de mecanismos de gestión y de control (5) , promoviendo una suerte de «cultura de respeto al derecho» (6) .

Las referencias al compliance tributario se han dejado ver, a nivel internacional (7) , en las Líneas Directrices de la OCDE para Empresas Multinacionales (OECD Guidelines for Multinational Enterprises) (8) o en el Programa Internacional de Garantía del Cumplimiento de la OCDE (OECD International Compliance Assurance Programme) (9) ; en el plano europeo, en las Directrices para un modelo de código europeo del contribuyente (Guidelines for a Model for A European Taxpayers’ Code) (10) ; y en el ámbito nacional, en el ya mencionado Código de Buenas Prácticas Tributarias (11) , que, dentro del catálogo de conductas de cumplimiento de las empresas, aboga por el establecimiento de una «política de gestión de riesgos de la sociedad» que contemple «medidas para mitigar los riesgos fiscales identificados» y «reglas internas de gobierno corporativo (...) cuyo cumplimiento puede ser objeto de verificación» (12) .

Ahora bien, el sonado compliance aterrizó normativamente en nuestro ordenamiento jurídico a través del Código Penal (13) . La instauración de la responsabilidad penal de las personas jurídicas llevó aparejada la implantación de los «modelos de prevención» de delitos como eximente o atenuante de esa responsabilidad y ha sido precisamente el texto del código punitivo el que ha especificado los requisitos que han de cumplir para alcanzar uno u otro efecto.

En consecuencia, el análisis partirá necesariamente de la instauración de la responsabilidad penal de la persona jurídica y, con ella, de la irrupción de los programas de prevención de delitos —o de compliance— en nuestro ordenamiento jurídico, prestando especial atención a los cometidos contra la Hacienda Pública. Tras ello, se adentrará primero en el concepto y contenido de los programas de compliance tributario para estudiar, después, sus efectos en sede penal y su eventual impacto en la responsabilidad por la comisión de infracciones tributarias.

2. La irrupción de los programas de prevención de delitos

2.1. Del «societas delinquere non potest» al «societas delinquere potest»

El principio societas delinquere non potest («la sociedad no puede delinquir»), vigente en nuestro ordenamiento jurídico hasta el año 2010, se fundamentaba «en la supuesta carencia de las personas jurídicas de capacidad de acción, de capacidad de culpa y de capacidad de pena» (14) . En este contexto, la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal introdujo una serie de «consecuencias accesorias» aplicables a las personas jurídicas, a las que el legislador no se atrevió a denominar «penas» «manteniendo, así, firme la teoría del delito, como orientado hacia hechos personales» (15) . Esas consecuencias accesorias, cuya finalidad era «prevenir la continuidad de la actividad delictiva y los efectos de la misma» (art. 129.3 CP, en su redacción de 1995), consistían en la clausura temporal o definitiva de la empresa, de sus locales o establecimientos; la disolución; la suspensión de las actividades por un plazo de hasta cinco años; la prohibición temporal o definitiva de realizar en el futuro actividades, operaciones mercantiles o negocios de la clase de aquéllos en cuyo ejercicio se hubiese cometido, favorecido o encubierto el delito; y la intervención de la empresa con un plazo máximo de cinco años (art. 129.1 CP, en su redacción de 1995). En tal escenario, el que actuase «como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro» respondía «personalmente» del delito (art. 31 CP, en su redacción de 1995).

Más tarde, la reforma operada por la Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal amplió «sensiblemente la proyección de la responsabilidad penal sobre las personas jurídicas», aunque en materia de delitos contra la salud pública (apartado III de la Exposición de Motivos), y añadió un segundo apartado al art. 31, que disponía lo siguiente: «si se impusiere en sentencia una pena de multa al autor del delito, será responsable del pago de la misma de manera directa y solidaria la persona jurídica en cuyo nombre o por cuya cuenta actuó».

Tras «el avance de la criminalidad empresarial, fundamentalmente en el marco de la delincuencia económica», el reconocimiento de la responsabilidad penal de las personas jurídicas llegó a nuestro ordenamiento jurídico con la reforma operada por la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Esta reforma incorporó una regulación pormenorizada que fue plasmada fundamentalmente en su art. 31 bis, en el que se recogían los títulos de imputación de la persona jurídica (los delitos cometidos por representantes legales o administradores en nombre o por cuenta de las mismas —y en su provecho— y los cometidos por personas sometidas a su autoridad y sobre las que no se hubiese ejercido el debido control) y en el art. 33.7, en el que se detallaban las penas aplicables a las personas jurídicas (a saber, la multa, la disolución, la clausura del local o establecimiento, la prohibición de realizar actividades en cuyo ejercicio se ha cometido, favorecido o encubierto el delito, la inhabilitación para la obtención de subvenciones y la intervención judicial) (16) .

La anterior regulación generó un importante debate dogmático sobre la naturaleza de la responsabilidad penal de la persona jurídica. Si se trataba de un sistema vicarial, no cabía responsabilidad de la persona jurídica sin una previa responsabilidad de la persona física —esto es, la condena de la primera solo era posible si había una condena previa de la segunda— y si se estaba ante un sistema de hetero o autorresponsabilidad, «el enjuiciamiento se basaba en los principios del Derecho Penal que afectan a la persona jurídica por un hecho propio, y no a alguien distinto, aunque pertenezca a ella» —es decir, la condena de la persona jurídica solo era posible si se demostraba que no existía un modelo de prevención eficaz— (17) .

Las dudas interpretativas ocasionadas por la LO 5/2010 desembocaron en una nueva reforma llevada a cabo por la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, cuyo propósito no fue otro que «aclarar el modelo establecido en 2010» (18) . A partir de esa reforma, quedó claro que el legislador había optado por «un sistema de autorresponsabilidad», siendo independiente «la responsabilidad penal de la persona física y de la jurídica» (art. 31 ter CP), respondiendo «cada una de ellas de su propia responsabilidad» (19) . La responsabilidad de la persona jurídica es, desde entonces, «autónoma» frente «a la que es predicable del directivo o empleado que comete el delito», de forma que su castigo penal tiene fundamento en la responsabilidad de la propia empresa por un defecto estructural en los mecanismos de prevención de los delitos susceptibles de ser cometidos en su ámbito de actuación (20) .

2.2. Los elementos determinantes de la responsabilidad penal

2.2.1. Consideraciones preliminares

Los elementos determinantes de la responsabilidad penal de las personas jurídicas se pueden agrupar, tal y como ha indicado el máximo intérprete de la legalidad, en cuatro: un elemento «normativo» (ha de tratarse de uno de los delitos en los que está prevista su responsabilidad); un elemento «positivo» (ha de cometerse por un representante o por un empleado del ente); un elemento «accesorio» (ha de reportar un beneficio directo o indirecto a la persona jurídica); y un elemento «negativo» (ha de constatarse un defecto estructural por no haberse adoptado las medidas necesarias para impedir la realización de conductas contrarias a su debido funcionamiento) (21) .

2.2.2. El elemento normativo: el numerus clausus de delitos

La responsabilidad penal de la entidad está supeditada a su expresa previsión en los tipos del Código Penal, de forma que el delito ha de ser susceptible de ser cometido «en el ámbito de actuación de la propia persona jurídica» (22) . Existe un numerus clausus de delitos en la regulación vigente (23) , entre los que se encuentra el delito fiscal, que tipifica la defraudación a la Hacienda Pública mediante la elusión del «pago de tributos, cantidades retenidas o que se hubieran debido retener o ingresos a cuenta», la obtención indebida de «devoluciones» o el disfrute de «beneficios fiscales de la misma forma», siempre que «la cuantía de la cuota defraudada, el importe no ingresado de las retenciones o ingresos a cuenta o de las devoluciones o beneficios fiscales indebidamente obtenidos o disfrutados» exceda de 120.000 euros (art. 305.1 CP).

Como es sabido, el delito contra la Hacienda Pública se castiga «con la pena de prisión de uno a cinco años y multa del tanto al séxtuplo de la citada cuantía, salvo que hubiere regularizado su situación tributaria» (art. 305.1 CP). Y, en el caso de que la responsable del delito sea una persona jurídica, se prevé la imposición de penas de multa que pueden ascender del tanto hasta al cuádruple de la cantidad defraudada o indebidamente obtenida en función de la pena de prisión prevista para la persona física (24) , además de la pérdida de la posibilidad de obtener subvenciones o ayudas públicas y del derecho a gozar de los beneficios o incentivos fiscales o de la Seguridad Social durante el período de tres a seis años o de la prohibición de contratar con las Administraciones Públicas (art. 310 bis CP).

2.2.3. El elemento positivo: la acción

La responsabilidad penal de la persona jurídica descansa sobre la comisión previa de un delito por parte de la persona física, debiendo instrumentarse la acción típica por «sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma» [art. 31 bis.1.a) CP] (25) o «por quienes est[án] sometidos a [su] autoridad» [art. 31 bis.1.b) CP].

El legislador ha optado, por tanto, por establecer dos vías de imputación de la persona jurídica: de un lado, la responsabilidad por los delitos cometidos en su nombre o por su cuenta por las personas que ostentan el poder de representación; y, de otro, la responsabilidad por las infracciones propiciadas por no haber ejercido el debido control sobre sus empleados (art. 31 bis.1 CP) (26) . Se exige así que «la persona elegida para desempeñar una determinada función actúe delictivamente precisamente en el ejercicio de dichas funciones (culpa in eligendo)» (27) .

Lo que se pretende evitar con ello es la comisión de ilícitos penales «en su ámbito de actividad, bien por parte de la cúpula —gestores, administradores representantes legales— bien por los empleados y colaboradores de la misma» (28) . Ahora bien, aunque el hecho sobre el que se hace descansar la responsabilidad de la persona jurídica no puede prescindir «del delito de referencia atribuido a la persona física», se exige algo más: «la proclamación de un hecho propio con arreglo a criterios de imputación diferenciados y adaptados a la especificidad de la persona colectiva» (29) . En otras palabras, el hecho de que la infracción penal de la persona jurídica requiera que se haya constatado primero «la comisión del delito por parte de la persona física» no significa que su responsabilidad se encuentre fundamentada en un «hecho ajeno», puesto que, una vez advertida la comisión del delito por parte de la persona física, la atribución de la responsabilidad a la persona jurídica, requerirá «un hecho propio, que, dicho sintéticamente, se basa en un déficit organizativo criminógeno favorecedor de la comisión de delitos por parte de los integrantes de la empresa» (30) .

2.2.4. El elemento accesorio: el beneficio directo o indirecto

La comisión del delito por parte de la persona física ha de haberse realizado «en beneficio directo o indirecto» de la persona jurídica [art. 31 bis.1, apartados a) y b) CP]. Dicho sea, de otro modo, se ha de producir una alteración en el giro mercantil propio de la empresa con una finalidad espuria, tratándose de un supuesto de criminalidad de la sociedad. En caso contrario, se estará ante un supuesto de criminalidad a través de la persona jurídica, en la que esta última se utiliza como instrumento al servicio del propio beneficio de la persona física (31) .

Cuando la persona jurídica sea una mera sociedad «pantalla o fachada», utilizada como «herramienta del delito» o «para dificultar la investigación» (como sucede, por ejemplo, en los delitos económicos, como en los Impuestos sobre Sociedades o sobre el Valor Añadido), se levantará el velo para atribuir la responsabilidad a las personas físicas «amparadas por la ficción» (32) . También se imputará exclusivamente a la persona física cuando exista «una identidad absoluta y sustancial entre el gestor y la persona jurídica, de manera que sus voluntades aparecen en la práctica totalmente solapadas o en que resulta irrelevante la personalidad jurídica en la concreta figura delictiva» para evitar la doble incriminación «que resultaría contraria a la realidad de las cosas y podría vulnerar el principio non bis in idem» (33) .

Además, tal y como ha recalcado el Tribunal Supremo, no es suficiente con que el beneficio «aparezca de alguna forma relacionado con actuaciones anteriores que hayan revestido interés crematístico para la empresa», sino que ha de surgir precisamente del delito (34) . Eso sí, no se exige que la persona física «actúe con un elemento subjetivo especial consistente en beneficiar a la empresa», sino que basta con que la persona jurídica tenga la «expectativa de obtener» (35) u obtenga «un beneficio del tipo que sea» (36) .

Así, por ejemplo, el Tribunal Supremo ha considerado que el elemento accesorio del beneficio directo o indirecto no concurre si el delito contra la Hacienda Pública cometido afecta al IRPF. En este sentido, dado que «el beneficio o interés de que habla el art. 31 bis CP ha de estar asociado al delito por el que se hace responsable penal a la persona jurídica» y debe surgir «precisamente del delito, aunque no sea de forma directa», no «cabe intuir o imaginar en qué medida el fraude fiscal» ligado al IRPF de la persona física «ha podido beneficiar» a la sociedad o «qué potencialidad para ello podía albergar» (37) . Por el contrario, la concurrencia de este requisito resulta incuestionable cuando la persona física —en el ejercicio de las actividades sociales— cometió delitos de defraudación en el IVA y el Impuesto sobre Sociedades, en los que la persona jurídica era «la obligada tributaria, y por tanto la beneficiaria directa de la defraudación consumada» (38) .

2.2.5. El elemento negativo: el defecto estructural

La regulación de la responsabilidad penal corporativa ha trasladado «a los particulares» una «función típica de los órganos públicos» (39) al establecer un sistema que incentiva «que sean las propias empresas las que asuman un papel activo y decisivo en la prevención de los delitos que se cometen» en su seno o su amparo (40) . Efectivamente, el actual sistema de responsabilidad penal de la persona jurídica «se basa, sobre la previa constatación de la comisión del delito por parte de la persona física integrante de la organización como presupuesto inicial de la referida responsabilidad, en la exigencia del establecimiento y correcta aplicación de medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de infracciones delictivas por quienes integran la organización» (41) . Ese «ejercicio de un debido control presupone la existencia de una estructura organizativa idónea para el desarrollo de la actividad empresarial conforme al marco legal aplicable» (42) .

En un primer momento, con la reforma del 2010, el precepto establecía la responsabilidad de la persona jurídica por los delitos cometidos por quienes, estando sometidos a su autoridad, realizaron los hechos «por no haberse ejercido sobre ellos el debido control» (art. 31 bis CP, en su redacción de 2010). Más tarde, con la reforma del 2015, se pretendió «delimitar adecuadamente» el contenido de ese «debido control», cuyo quebrantamiento permitía «fundamentar su responsabilidad penal» (apartado III del Preámbulo) y se sustituyó por el incumplimiento «grave» de «los deberes de supervisión, vigilancia y control» (art. 31 bis CP, en su redacción actual) (43) . Lo relevante entonces es que no solo la persona física «actúe delictivamente» en el ejercicio de sus funciones, sino que «las desarrolle con infracción de las normas penales sin que los sistemas ordinarios de control interno de la empresa los detecte (culpa in vigilando)» (44) .

La responsabilidad de la persona jurídica recae, en consecuencia, en un defecto estructural en los mecanismos de prevención del delito por no haberse adoptado las medidas organizativas o técnicas necesarias para impedir la realización de conductas contrarias a su buen y debido funcionamiento. Su responsabilidad se sustenta en la «ausencia de una cultura de respeto al Derecho, como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas físicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos» (45) . En síntesis, la persona jurídica «no realiza delito alguno (solo la persona física lo realiza)», sino que comete una «infracción penal» autónoma al responder por el «hecho penalmente típico» realizado por la persona física, desde el momento en que «favoreció su ejecución, por haber omitido las medidas específicas de prevención que, de haber sido adoptadas, habrían evitado precisamente la comisión de ese concreto hecho» (46) .

Ahora bien, este criterio no permite «una objetivación de este rupturista régimen de responsabilidad criminal de los entes colectivos, construido de espaldas al principio de culpabilidad proclamado por el art. 5 del CP», sino que «la responsabilidad por el hecho propio y la reivindicación de un injusto diferenciado se han perfilado como presupuestos sine qua non para proclamar la autoría penal de la persona jurídica» (47) .

Ya se ha pronunciado, sin embargo, algún asunto en el que se ha admitido automáticamente la concurrencia de este requisito para fundamentar la responsabilidad penal de la persona jurídica por el mero hecho de haberse consumado la defraudación tributaria, aun cuando no se había concretado el defecto estructural, pues este se presume, en contra de la sociedad, de la mera comisión del delito. Efectivamente, el Tribunal Supremo ha considerado, en un supuesto en el que se condenó a la sociedad y al presidente del consejo de administración por cuatro delitos contra la Hacienda Pública (dos en materia de IVA y dos en materia de Impuesto sobre Sociedades), que «la constatación de pago y el cumplimiento de las obligaciones fiscales en la cuantía correspondiente a sus ingresos era fácilmente comprobable y controlable, por lo que resulta[ba] evidente que hubo ausencia de los debidos controles por parte de la persona jurídica respecto del cumplimiento, en legal forma, de las correspondientes obligaciones tributarias ordinarias» (48) .

El hecho de que se considere que el incumplimiento de la obligación tributaria supone automáticamente una «evidente» ausencia de los «debidos controles» refleja, nuevamente, un relajamiento del principio de culpabilidad en el marco de la lucha contra el fraude fiscal cuando la determinación de la responsabilidad de la persona jurídica exige indagar «los elementos organizativo-estructurales que han posibilitado un déficit de los mecanismos de control y gestión, con influencia decisiva en la relajación de los sistemas preventivos llamados a evitar la criminalidad en la empresa» (49) . En efecto, la imposición de penas a las personas jurídicas exige «el mismo esfuerzo probatorio que le es requerido para justificar la procedencia de cualquier otra pena cuando ésta tenga como destinataria a una persona física» y siendo «el defecto estructural en los modelos de gestión, vigilancia y supervisión» el «fundamento de la responsabilidad del delito corporativo, la vigencia del derecho a la presunción de inocencia impone» la acreditación del «incumplimiento grave de los deberes de supervisión» (50) .

3. Los programas de compliance tributario

3.1. Consideraciones previas

El compromiso de la persona jurídica con la prevención del delito es fundamental para probar la idoneidad de las medidas adoptadas de cara a una posible exención o atenuación de la responsabilidad penal. Por eso, resulta fundamental que el máximo órgano de la sociedad adopte un acuerdo en el que «quede reflejada esa voluntad» de desarrollar el sistema de prevención y de «luchar de forma efectiva contra el fraude» y contra «cualquier irregularidad que se pueda cometer dentro de la empresa» (51) .

La asunción de una cultura empresarial clara irá seguida de la implementación del modelo de prevención. A este respecto, la legislación penal recoge explícitamente los requisitos que han de cumplir esos modelos: (1) la identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos; (2) el establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos; (3) la existencia de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos; (4) la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención; (5) el establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo; y (6) la verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios (art. 31 bis.5 CP).

Para facilitar el diseño y la evaluación de los modelos de compliance, se han desarrollado unas normas técnicas (52) por parte de la Asociación Española de Normalización (AENOR) (53) , que tienen como objetivo establecer una guía o marco de referencia completo que permita a las personas jurídicas disponer de un sistema de gestión de compliance adecuado a las exigencias de la normativa española. En el año 2017, se desarrolló la norma UNE 19601, referida a los sistemas de gestión de compliance penal, que surgió con la idea de satisfacer los condicionantes recogidos en el Código Penal para la exención o atenuación de la responsabilidad de las personas jurídicas y con el fin de prevenir y reducir el riesgo de comisión del delito favoreciendo una cultura ética y de cumplimiento empresarial (54) .

Las especialidades existentes en materia tributaria incentivaron el desarrollo de una norma específica sobre compliance tributario, que facilitase el diseño y evaluación de los sistemas de riesgos específicamente tributarios (55) . Lo anterior desembocó en la norma UNE 19602, que vio la luz en el mes de febrero del año 2019 con el fin de generar o mejorar una «adecuada cultura organizativa», sensible a «la prevención, detección, gestión y mitigación del riesgo tributario» (56) .

La política de compliance tributario puede, en consecuencia, o bien integrarse en un programa de mayor alcance —que no se limite exclusivamente a los riesgos tributarios—, o bien establecerse de forma independiente y enfocada de forma exclusiva a ese ámbito, esto es, a la «prevención, detección, gestión y mitigación del riesgo tributario», que se puede materializar en una «contingencia tributaria» (57) . Lo anterior implica que no solo nos encontramos en un sistema en el que se ha trasladado la gestión del tributo al contribuyente, sino que, a través del extendido compliance, asume también la función «de vigilar, prevenir y gestionar sus riesgos de incumplimientos en el orden tributario» (58) .

3.2. Los requisitos

3.2.1. Consideraciones preliminares

La norma UNE 19602 recoge un conjunto de directrices —que carecen de rango normativo— para que las empresas puedan diseñar, implementar y acreditar sus planes de cumplimiento tributario de acuerdo con la normativa vigente. A la vista de su contenido, los elementos que no pueden faltar en los programas de compliance tributario podrían resumirse en los siguientes: (i) contexto de la organización; (ii) mapa de riesgos: identificación y valoración; (iii) controles; (iv) gestión de los incumplimientos: canales de denuncia y sistema disciplinario (v) liderazgo y elementos de apoyo; (vi) órgano de compliance tributario (o Tax compliance officer); y (vii) evaluación de desempeño y mejoras del programa.

3.2.2. Contexto de la organización

No existe ningún modelo de compliance «con validez general», de forma que cada programa «ha de adecuarse a la concreta actividad de la empresa» (59) . El análisis del contexto de la organización es, por consiguiente, el punto de partida de cualquier sistema de gestión de riesgos para poner de relieve las necesidades y expectativas que ha de cubrir. Los requisitos de los programas han de aplicarse de manera «proporcional a cada supuesto» y atendiendo a las circunstancias específicas de cada organización (60) , por lo que, antes de nada, habrá que tener en cuenta factores como: el tamaño y estructura de la organización; los sectores en los que opera; la naturaleza, la escala y la complejidad de sus actividades y operaciones; las entidades sobre las que ejerce control; los miembros de la organización y los socios; la naturaleza y extensión de las relaciones con las administraciones públicas; las obligaciones y compromisos legales, contractuales o profesionales; la estrategia tributaria; y el marco legal tributario, nacional e internacional en el que opera (61) . Solamente una vez que se haya concretado el contexto y delimitado el alcance del modelo, se podrán identificar, evaluar y establecer controles a los riesgos.

3.2.3. Mapa de riesgos: identificación y valoración

La organización debe identificar los riesgos tributarios a los que se enfrenta a la vista de sus actividades (62) , servicios y los aspectos relevantes de sus operaciones. El problema que presenta el diseño del mapa de riesgos es que no existe «ni una metodología específicamente diseñada para su elaboración, ni un sistema objetivo y fiable al que atenerse», por lo que nos movemos en el ámbito de la «subjetividad» (63) o de la «imaginación» (64) , pues se trata de categorizar, desde un punto de vista puramente teórico, las conductas que podrían cometerse en la empresa y que podrían ser, en su caso, generadoras de un reproche punitivo.

En el ámbito del compliance tributario, pueden surgir, entre otros, el riesgo de la comisión de infracciones tributarias, el de la generación de deudas tributarias no previstas o el de la asunción de deudas tributarias de un tercero como consecuencia de los supuestos de responsabilidad y de sucesión. Y esos riesgos podrían derivar generalmente de una llevanza inadecuada del procedimiento de gestión por parte de la persona jurídica o de interpretaciones dispares de la norma entre el contribuyente y la Administración tributaria, dada la complejidad de la normativa aplicable. Además, en el marco específico de los impuestos estructurales del Estado, podrían proceder, entre otros casos, de la forma de llevanza de la contabilidad, de la valoración de las operaciones entre entidades vinculadas, de las reglas de atribución e imputación de rentas o de la aplicación de beneficios fiscales —en el caso del Impuesto sobre Sociedades— (65) , o de la facturación de las operaciones realizadas y de la interpretación de los supuestos de no sujeción y de las exenciones —en el caso del Impuesto sobre el Valor Añadido— (66) .

Como algunas de las circunstancias anteriores podrían ser eventualmente constitutivas de delito, se ha de identificar igualmente el riesgo de la comisión de delitos que atentan contra la Hacienda Pública. Para ello, no puede obviarse que el «el verbo ‘defraudar’, utilizado en el artículo 305 CP evidencia la necesidad de un elemento subjetivo específico, el ‘ánimo de defraudar’, al que es inherente el dolo» (67) , lo cual exige un cierto componente de «artificio, ardid, o engaño», esto es, «la ocultación de la realidad tributariamente relevante» (68) . Efectivamente, dado que, para la comisión del delito, hay que esconder «el hecho imponible disfrazando la verdad y a través de esta conducta activa u omisiva se debe producir la lesión al bien jurídico Hacienda Pública», el programa de prevención deberá tener en cuenta tanto los elementos «objetivos» como los «subjetivos caracterizadores de este tipo de infracciones penales» (69) .

En cualquier caso, la organización debe identificar no solo los riesgos penales-tributarios, sino las causas y las consecuencias de estos últimos. Una vez identificados los riesgos, sus causas y consecuencias, ha de valorar su nivel para categorizarlos según la probabilidad de que sucedan y el impacto que produzcan. A título ilustrativo, habrá riesgos de probabilidad baja e impacto moderado; riesgos de probabilidad e impacto altos; riesgos de probabilidad alta, pero bajo impacto, etcétera. Esta clasificación ayudará a las sociedades a priorizar las medidas que deben ser implementadas.

La identificación, análisis y evaluación de riesgos tributarios, la metodología y los criterios utilizados para su categorización deberá documentarse (70) . Toda la documentación relacionada con la implementación y aplicación del modelo deberá monitorizarse para acumularla en el «repositorio de evidencias» (o «defense file») porque la trazabilidad es un elemento clave para acreditar posteriormente la eficacia del programa de compliance.

3.2.4. Controles

Cada uno de los riesgos identificados, analizados y evaluados ha de ir acompañado de los controles necesarios para mitigarlos. La exigencia del control dependerá de la categoría de riesgo —esto es, el control habrá de ser más intenso en los niveles de riesgo considerablemente elevados—, aunque todos deben ser prevenidos y mitigados (71) . Dentro de los controles, pueden destacarse:

(i) El control financiero: que supone la implantación de controles en los procesos de gestión de los recursos financieros de la persona jurídica «que contribuyan a evitar, detectar o gestionar riesgos tributarios de manera temprana» (72) , como pueden ser la segregación de funciones —imponiendo que las tareas que conllevan riesgos tributarios elevados sean revisados, por ejemplo, por personas diferentes—, la instauración de circuitos de aprobación necesarios para la gestión de recursos financieros o la realización de auditorías financieras. En concreto, será necesario establecer controles sobre el cumplimiento y presentación de las liquidaciones tributarias, el cálculo de las autoliquidaciones, la llevanza de la documentación justificativa, el pago de las deudas tributarias y cualquier otra tarea necesaria para la cuantificación del tributo. En este tipo de control, resulta fundamental el papel «que puede desarrollar un asesor fiscal como experto en tributación y contabilidad» (73) .
(ii) El control no financiero: conlleva la instauración de controles sobre cualquier actividad, transacción o relación de negocio, como las compras, las operaciones y la comercialización en el seno de la persona jurídica (74) . Así sucede, por ejemplo, con la homologación de proveedores que, atendiendo a sus características, puedan ser considerados «seguros».
(iii) Los controles sobre otras entidades: se trata de controlar que las filiales sobre las que ejerce control la persona jurídica hayan implantado sus propios sistemas de gestión de compliance que respondan, con carácter general, a los de la organización; y que las entidades con las que tiene algún tipo de vinculación hayan adoptado medidas suficientes para detectar y gestionar su exposición a los riesgos tributarios (75) .

Todos estos controles deben monitorizarse para acumularse, igualmente, en el «repositorio de evidencias» con el fin de probar la efectiva aplicación del programa en eventuales procedimientos punitivos ulteriores.

3.2.5. Gestión del incumplimiento: canales de denuncia y sistema disciplinario

La gestión de los incumplimientos de las medidas establecidas en el modelo de prevención recae fundamentalmente en dos elementos: los canales de denuncia y el sistema disciplinario.

La persona jurídica debe facilitar canales de denuncia, ya sean gestionados internamente o externalizados, para que se puedan comunicar «aquellas circunstancias que puedan suponer incumplimientos o sospechas fundadas de incumplimientos» (76) . Se ha de garantizar «la confidencialidad o el anonimato» de las personas que hagan uso de tales canales, prohibiendo cualquier tipo de «represalia» (77) para aquellos que realicen la comunicación de buena fe y sobre la base de sospechas fundadas o indicios racionales (78) . El gestor del canal de denuncias puede ser «in house» —si se trata de un departamento creado dentro de la sociedad—, u «out house» —si se trata de una prestación de servicios por parte de un tercero— (79) .

Esos canales de denuncia no son sólo esenciales en los programas de compliance, sino que se han instaurado como obligatorios a nivel de la Unión Europea. Efectivamente, la obligación de que cualquier trabajador tenga a su disposición, en las empresas de cincuenta o más trabajadores, un canal de revelación de posibles infracciones del derecho de la Unión fue establecida por medio de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (conocida como Directiva Whistleblowing) (80) . Esta proporciona un alto nivel de protección a los denunciantes que informen, entre otros, sobre las infracciones «que afecten a los intereses financieros de la Unión» [art. 2.1.b) de la Directiva], esto es, «el fraude, la corrupción y cualquier otra actividad ilegal que afecte a los gastos, la recaudación de ingresos y los fondos o activos de la Unión» (considerando 15 de la Directiva).

Una vez comunicados los eventuales incumplimientos, tienen que existir procedimientos que permitan investigar las comunicaciones recibidas, garantizar los derechos del denunciante y del denunciado y adoptar medidas adecuadas y proporcionadas en caso de que se confirme el incumplimiento de las medidas establecidas en el modelo. Por tanto, ha de ir acompañado de un sistema disciplinario adecuado (81) que prevea la adopción de acciones disciplinarias proporcionadas contra los incumplidores (82) , que podrán variar, en función de la severidad del comportamiento, desde la amonestación hasta el despido disciplinario (83) .

3.2.6. Liderazgo y elementos de apoyo

La elaboración del programa de compliance con los requisitos analizados hasta el momento no es suficiente si no va acompañada, de un lado, del compromiso de la alta dirección y del órgano de gobierno con el sistema de gestión de compliance tributario y, de otro, de elementos de apoyo que garanticen su efectiva aplicación en el seno de la sociedad.

El órgano de gobierno y la alta dirección «deben tener un compromiso visible, consistente y sostenido en el tiempo, con un estándar común y publicado de comportamiento, integrado en la cultura de la organización» (84) . Depende de ellos la aprobación de la política de compliance, la dotación de recursos financieros, materiales y humanos para su consecución, el examen periódico de la eficacia del programa y la asignación de roles y responsabilidades dentro de la organización —como, por ejemplo, la del oficial del cumplimiento o compliance officer— (85) .

Se ha de implantar una política de concienciación y formación en compliance tributario. Dicho sea, de otro modo, hay que formar al personal sobre las circunstancias que pueden dar lugar a los riesgos y los perjuicios que pueden causar para que estén en condiciones de reconocerlos y detectarlos (86) . Se ha de garantizar tanto que sepan cómo cumplir con el programa —a través de información accesible a través de vías de comunicación internas y externas y de recursos disponibles para mejorar su conocimiento en el ámbito del compliance tributario—, como que puedan cumplir con él —que la persona jurídica cuente con los recursos necesarios para la aplicación efectiva del sistema de gestión de riesgos—. La formación y concienciación sobre el sistema de gestión de riesgos resulta, por consiguiente, imprescindible para instaurar la cultura del compliance en el seno de la organización.

3.2.7. Órgano de cumplimiento tributario (Tax compliance officer)

La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado debe confiarse «a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica» (art. 31 bis.2.2º CP), salvo en las personas jurídicas de pequeñas dimensiones (aquellas autorizadas a presentar la cuenta de pérdidas y ganancias abreviada) (87) en las que podrá asumir tales funciones de supervisión el órgano de administración (art. 31 bis.3 CP).

El código punitivo se está refiriendo al órgano de compliance, que deberá ser designado por el órgano de gobierno de la organización con acceso directo a este último y deberá tener atribuida la responsabilidad y autoridad para realizar todas las tareas necesarias para la supervisión del programa preservando su independencia (88) . Es el «encargado de vigilar el funcionamiento y observancia del modelo de prevención» (art. 31 bis.5 CP) impulsando y supervisando su implementación y eficacia, proporcionando apoyo formativo a los miembros de la organización, estableciendo un sistema de información y documentación, adoptando e implementando procesos para gestionar la información, estableciendo el canal de denuncias, analizando el desempeño del programa para identificar la eventual necesidad de adoptar acciones correctivas, revisando el sistema de gestión y manteniendo informados al órgano de gobierno y a la alta dirección sobre los resultados derivados de la aplicación del programa (89) .

La figura del oficial de cumplimiento tributario (tax compliance officer) puede quedar subsumida en la del oficial de cumplimiento (compliance officer), encargado del programa de compliance de mayor alcance, o ser una figura aparte en coordinación con este último. Eso sí, su cometido no es el de prestar asesoramiento fiscal —lo que corresponde al asesor fiscal— sino el de «impulsar y supervisar el cumplimiento de las políticas de cumplimiento tributario y, en concreto, la implementación y control de la eficacia de los sistemas de gestión» (90) . El oficial de cumplimiento puede ser, además, unipersonal —cuando las funciones recaen en una sola persona- o colegiado —si se trata de un comité de compliance—, lo cual dependerá de las características, dimensión y particularidades de la empresa (91) ; y tener funciones exclusivas —pudiendo ser un elemento más a tener en cuenta al probar la idoneidad del programa— o compartidas —en el caso, por ejemplo, de pequeñas o medianas empresas que no tienen medios suficientes dedicar una persona exclusivamente al compliance— (92) .

Como ha quedado dicho, se encargará de investigar los hechos que se han puesto en su conocimiento, calificarlos y poner de relieve la necesidad de tomar medidas, pero corresponde al órgano de administración adoptarlas o no (93) . Su relación con el órgano de administración es, pues, esencial dado que, «sin perjuicio de las funciones propias» del primero, «su designación y la política de control y gestión de la sociedad le corresponde a la administración societaria» (94) . En resumidas cuentas, su tarea se circunscribe «al manejo de la información que recibe y la que traslada a los directivos que son quienes tienen el deber de impedir el hecho delictivo» (95) .

El compliance officer no responderá por los delitos cometidos a través de la persona jurídica que asesora, salvo en caso de «connivencia activa en la acción delictiva en la que intervenga ya sea como inductor, cooperador necesario, o como cómplice» (96) . Responderá penalmente cuando exista una falta de diligencia intencionada de su deber propio que tenga una relación directa de causalidad con la comisión del delito por parte del tercero (97) . Asimismo, puede con su actuación «transferir la responsabilidad penal a la persona jurídica» porque está incluido entre las personas que «ostentan facultades de organización y control» en el seno de aquella, de modo que la omisión de sus obligaciones de control conllevará la imposibilidad de que la persona jurídica quede exenta de responsabilidad penal (98) . Además, en caso de ser causante o colaborador activo en la realización de la infracción, también será responsable solidario de la deuda tributaria y de las sanciones correspondientes [art. 42.1.a) LGT].

3.2.8. Evaluación de desempeño y mejora del programa

El programa de compliance debe someterse a una verificación periódica (99) , de un lado, porque algunos riesgos pueden verse afectados por constantes cambios —por ejemplo, ante modificaciones relevantes en la normativa aplicable o en la estructura de la organización—; y, de otro, porque se ha de evaluar la idoneidad del sistema de gestión de riesgos —eficacia de la formación (100) , de los controles establecidos, de las responsabilidades asignadas, de la gestión de deficiencias (101) — y su desempeño por parte de la organización —incidentes, incumplimiento de los requisitos o de los objetivos del programa— (102) .

La realización de evaluaciones de los riesgos en curso («ongoing risk assessments») se ha convertido, junto con la diligencia debida, en un elemento clave de los programas de prevención de delitos (103) . Pues bien, el análisis deberá realizarse de forma crítica para proceder a la mejora o corrección del programa pues, para que pueda ser considerado idóneo, se ha de reaccionar de manera «transparente y diligente» adoptando las acciones oportunas para «tomar el control de la situación y corregirla», así como «gestionar las consecuencias, tratando de reducir sus efectos adversos».

La revisión del sistema corresponde, primeramente, al órgano de compliance tributario al ser éste quién tiene encomendadas las actividades de supervisión y se encuentra en las condiciones idóneas para evaluar periódicamente si el modelo es o no adecuado para gestionar eficazmente los riesgos tributarios y si se está implementando correctamente. A continuación, a la alta dirección que, atendiendo a la información remitida por el órgano de compliance y teniendo en cuenta los resultados de las investigaciones y las auditorías, adoptará «las decisiones oportunas para la eficaz implantación y ejecución de los controles y medidas necesarios para el adecuado funcionamiento del sistema» (104) . Las revisiones realizadas y sus resultados deberán incluirse igualmente en el «repositorio de evidencias».

4. Los efectos del compliance en el ámbito penal

4.1. Consideraciones previas

El incumplimiento de los deberes de supervisión, vigilancia y control —o el «defecto de organización»— por parte de la persona jurídica constituye un «presupuesto y refuerzo de la culpabilidad» sin el cual no se le puede atribuir la responsabilidad penal, «desterrando cualquier atisbo de responsabilidad penal objetiva de la empresa» (105) . Esos deberes de supervisión, vigilancia y control se han «protocolizado y desarrollado formalmente» (106) en los programas de compliance, los cuales, habiendo sido implementados cumpliendo con los condicionantes del Código Penal (art. 31 bis), serán aptos para eximir o atenuar de responsabilidad a la persona jurídica.

Esta configuración normativa ha generado diferentes exégesis respecto a la naturaleza jurídica de los programas de compliance lo cual, a su vez, ha sumido el ejercicio de la carga probatoria en un considerable debate sobre si es la acusación la que debe probar su ausencia o ineficacia como elemento constitutivo del tipo o si es la defensa la que tiene que probar la implementación e idoneidad del programa de compliance para ver eximida o atenuada su responsabilidad.

Siendo este el contexto, corresponde ahora abordar, en líneas generales, las implicaciones de la implementación de los programas de compliancetributario en sede penal, estudiando, concretamente, los efectos eximentes y atenuantes que tiene reconocidos, para después dilucidar no solo a quién le corresponde el ejercicio de la carga probatoria sino también cómo se ha de probar la idoneidad del modelo de prevención.

4.2. De la exención a la atenuación de la responsabilidad penal

El ordenamiento jurídico ha trasladado a las empresas «la obligación de control interno para la prevención de delitos que puedan cometerse en su seno, a fin de que asuman una autorresponsabilidad a cambio» de la previsión de «un conjunto de circunstancias eximentes y atenuantes de la responsabilidad penal de la persona jurídica» (107) . La implementación por parte de la persona jurídica de un programa de compliance tributario puede tener un efecto eximente o atenuante del eventual delito contra la Hacienda Pública cometido por sus representantes legales o por las personas con capacidad para tomar sus decisiones o con facultades de organización y control. Ahora bien, la legislación penal exige que esas medidas de vigilancia y control sean «idóneas» para prevenir delitos (art. 31 bis.2.1º CP), de forma que la idoneidad se configura como un requisito que ha de impregnar todo programa de compliance tributario. Y para ello, el Código Penal condiciona esos efectos eximentes al cumplimiento de los siguientes condicionantes (art. 31 bis. 2 CP):

(1) La adopción y ejecución eficaz, antes de la comisión del delito, de modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

(2) La supervisión del funcionamiento y del cumplimiento del modelo de prevención por parte de un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica. En el caso de personas jurídicas de pequeñas dimensiones (aquellas autorizadas a presentar cuenta de pérdidas y ganancias abreviada), esas funciones pueden ser asumidas directamente por el órgano de administración.

(3) La comisión del delito por los autores individuales ha de haberse realizado eludiendo fraudulentamente los modelos de organización y de prevención.

(4) El órgano que tiene encomendadas las funciones de supervisión, vigilancia y control no ha omitido o ejercido insuficientemente dichas funciones.

Del mismo modo, la persona jurídica quedará exenta de responsabilidad ante los delitos cometidos por los sometidos a su autoridad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión (art. 31 bis.4 CP). En otras palabras, cuando se haya cumplido con la diligencia debida (108) , adoptándose las medidas necesarias y suficientes de control y vigilancia y aun así se hayan realizado las conductas típicas, al margen de la disciplina societaria, cabrá la exención de responsabilidad de la persona jurídica (109) por los delitos contra la Hacienda Pública cometidos.

Si las circunstancias expuestas solamente pueden ser objeto de «acreditación parcial», serán valoradas «a los efectos de atenuación de la pena» (art. 31 bis.2 CP). Conviene incidir, no obstante, en que «la acreditación parcial no implica una rebaja de las exigencias probatorias sino sustantivas, esto es, que el modelo presenta algunos defectos» respecto de los que «solo se ha acreditado que hubo cierta preocupación por el control, un control algo menos intenso del exigido para la exención plena de responsabilidad penal, pero suficiente para atenuar la pena» (110) . No conlleva, en ningún caso, «que no se hayan podido probar más que parcialmente sus requisitos, sino que el modelo no se ha adoptado y ejecutado con la suficiente eficacia como para dar lugar al efecto eximente» aunque sí ha conseguido al menos «reducir la peligrosidad propia del ente» (111) . En otras palabras, el legislador «no es preciso al hablar de los casos de acreditación parcial» porque no se está «ante un problema de prueba más o menos plena» (112) sino ante una valoración del grado de idoneidad del modelo.

También se considera una circunstancia atenuante de su responsabilidad penal el hecho de que, a través de sus representantes legales, se hayan establecido «antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica» [art. 31 quarter.1.d) CP] (113) . Ello supone «la realización de un comportamiento post-delictivo positivo por parte del representante legal de la persona jurídica», que ha de producirse «en cualquier momento posterior a la comisión del delito, pero antes del comienzo del juicio oral» (114) .

4.3. El ejercicio de la carga probatoria

El Tribunal Supremo apuntó con anterioridad a la reforma del 2015 que, aunque no había tenido «ocasión de pronunciarse acerca del fundamento de la responsabilidad de los entes colectivos, declarable al amparo del art. 31 bis del CP», ya se optase «por un modelo de responsabilidad por el hecho propio» o por «una fórmula de heterorresponsabilidad», resultaba evidente que «cualquier pronunciamiento condenatorio de las personas jurídicas habrá de estar basado en los principios irrenunciables que informan el derecho penal» (115) .

Dicho esto, la configuración normativa de la responsabilidad penal de las personas jurídicas ha generado diferentes exégesis respecto a la naturaleza jurídica de los programas de compliance lo cual, a su vez, ha sumido su relevancia probatoria en un importante debate. Y ello porque si se consideran un elemento del tipo objetivo, las consecuencias procesales serán unas —la carga de la prueba sobre la ausencia o insuficiencia del programa de compliance recaerá sobre la acusación—, mientras que, si se trata exclusivamente de una circunstancia eximente o atenuante de la responsabilidad penal, serán otras —la carga de la prueba sobre la existencia y suficiencia del modelo pesará sobre la defensa—.

Pues bien, en un primer momento, la Sala de lo Penal del Tribunal Supremo sostuvo que la carga de la prueba debía recaer necesariamente en la acusación. Dado que la existencia de herramientas de control idóneas y eficaces integraba «el núcleo típico de la responsabilidad penal de la persona jurídica complementario de la comisión del ilícito por la persona física», «la presencia de adecuados mecanismos de control» conllevaba «la inexistencia misma de la infracción». Al estarse ante un elemento del tipo objetivo, no podía sostenerse que la carga de la prueba «pes[ase], como obligación ineludible, sobre la sometida al procedimiento penal» (esto es, sobre la persona jurídica), ya que «ello equivaldría a que, en el caso de la persona jurídica no rij[iesen] los principios básicos de nuestro sistema de enjuiciamiento penal, tales como el de la exclusión de una responsabilidad objetiva o automática o el de la no responsabilidad por el hecho ajeno». Ello, eso sí, sin perjuicio de que, «en la práctica, [fuese] la propia persona jurídica la que apoye su defensa en la acreditación de la real existencia de modelos de prevención adecuados, reveladores de la referida ‘cultura de cumplimiento’ que la norma penal persigue» (116) .

Esa postura distaba de la sostenida por la Fiscalía General del Estado quien había insistido en que «los modelos de organización que cumplen los presupuestos legales» operaban «a modo de excusa absolutoria, como una causa de exclusión personal de la punibilidad y no de supresión de la punibilidad». La carga de la prueba debía pesar, en consecuencia, sobre la persona jurídica pues la «propia comisión del delito» operaba «como indicio de la ineficacia del modelo», siendo ella la que, en base a «los recursos» de los que dispone, se encuentra en las circunstancias idóneas para «acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente» y así proporcionar una «explicación exculpatoria» que eliminase «el efecto incriminatorio» de aquel «indicio» (117) .

En análogo sentido, algunos de los magistrados de la Sala de lo Penal del Alto Tribunal recalcaron que la ausencia de cultura de control no constituía el núcleo de la tipicidad o un elemento autónomo del tipo objetivo definido en el art. 31 bis CP, sino un elemento integrador de las «circunstancias de exención de responsabilidad». De este modo, la postura de la Sala previamente citada (según la cual la carga de la prueba pesaba sobre la acusación) no hacía más que establecer un «modelo privilegiado de excepción en materia probatoria» para las personas jurídicas «imponiendo a la acusación la acreditación de hechos negativos (la ausencia de instrumentos adecuados y eficaces de prevención del delito)» cuando es la persona jurídica la que debería «alegar su concurrencia, y aportar una base racional para que pueda ser constatada la disposición de estos instrumentos». En caso de no acreditarse la existencia de estos sistemas de control, la consecuencia sería «la subsistencia de la responsabilidad penal» (118) .

De la Audiencia Nacional surgió una postura intermedia, que acogió los dos posicionamientos anteriores, en una suerte de criterio mixto. Según ella, el debate generado sobre la prueba de la ausencia de medidas eficaces de prevención y control debía resolverse teniendo en cuenta la configuración misma del art. 31 bis CP. Dado que el legislador ha definido la tipicidad del delito corporativo diferenciando los delitos cometidos por las personas físicas «que mandan o representan a la sociedad» de los delitos cometidos por las personas físicas «subordinadas» que «han podido realizar los hechos por haberse incumplido gravemente (...) los deberes de supervisión, vigilancia y control», en el primer supuesto, sería «la defensa la que tiene que demostrar que los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención» y, en el segundo, es en la acusación en la que recae el ejercicio de la carga probatoria porque el inciso relativo al incumplimiento de los deberes de supervisión, vigilancia y control «introduce un auténtico elemento del tipo, que debe concurrir para traspasar la tipicidad y no solo la antijuricidad» (119) . No obstante lo anterior, también ha indicado que «el fundamento último de la responsabilidad penal de la persona jurídica en todas sus versiones (delito cometido por quien manda en la sociedad o por quienes están sometidos a su autoridad) es la ausencia de un modelo de prevención eficaz» (120) .

Pues bien, hace unos pocos meses la Sala de lo Penal del Tribunal Supremo ha vuelto a pronunciarse al respecto y ha indicado que los debates dogmáticos que envuelven a esta cuestión carecen «de toda trascendencia práctica» puesto que «sea cual sea el modelo que atraiga las simpatías en el plano teórico de uno u otro intérprete, en la práctica lo que es exigible para unos y otros es que se constate la presencia de todos y cada uno de los elementos que a tenor del art. 31 bis CP arrastran la imposición de una pena a una persona jurídica». Entre ellos, el «elemento negativo» fundado en la «carencia de unos protocolos eficaces de prevención referidos al concreto delito perpetrado», que «por ser negativo, implica unas mecánicas probatorias diferentes y específicas» (121) . En efecto, precisamente porque la inexistencia de un plan eficaz de cumplimiento es un «elemento negativo» acarrea ciertas «elementales consecuencias procesales» como que «la carga de la alegación de ese factor excluyente de la responsabilidad recae, en principio, en la defensa». De este modo, si «ésta se abstiene de proponer prueba alguna al respecto, y no realiza siquiera un amago de aportar un plan de cumplimiento y/o demostrar que la empresa se ajustaba en su funcionamiento a cada uno de los requisitos que perfila el Código Penal, será legítimo entender acreditado que no existía tal plan de cumplimiento» (122) .

Dicho esto, el Alto Tribunal recalca que esta postura no supone ni «invertir la carga de la prueba» ni que en ese ámbito no opere el principio in dubio pro reo. Efectivamente, por un lado, no se invierte la carga de la prueba porque se trata más de un problema de «máxima de experiencia y contexto profesional», sin que resulte «en absoluto descabellado» estimar «probado que una persona es imputable cuando nadie ha insinuado otra cosa, ni siquiera el interesado en ello, y no existe el más mínimo indicio de padecimiento alguno». Y ello porque la presunción de inocencia no obliga a presumir que todas las personas jurídicas «cuentan con un programa de cumplimiento ajustado a las exigencias del Código penal» (123) . Por otro lado, resulta indiscutible que, si en el momento de adoptar la decisión final, siguen existiendo dudas sobre la concurrencia de este elemento negativo de la responsabilidad penal —ya sea sobre la vigencia del modelo de compliance, de su eficacia o de la plena satisfacción de los condicionantes del art. 31 bis CP—, regirá el principio in dubio pro reo, debiendo adoptarse la solución más favorable para la entidad acusada (124) , a saber, la improcedencia de la condena de la persona jurídica.

En definitiva, en la medida en que no hay responsabilidad penal sin ese «defecto organizativo» o «ausencia de cultura de respeto al derecho», no cabe duda de que tal extremo deberá quedar probado suficientemente para sustentar la eventual condena por delito fiscal. Ahora bien, ello no implica que la persona jurídica adquiera un papel pasivo e inactivo en lo que a la prueba del programa de compliance respecta. Será quién tenga no solamente que aportar el modelo de compliance implementado en el seno de su organización, sino también probar, a través del repositorio de evidencias, la idoneidad y eficacia de aquel porque, como se verá más adelante, la mera adopción de un modelo de compliance no es suficiente para lograr la exención o atenuación de la pena (125) . Así sucedió, por ejemplo, en el caso de la salida a bolsa del Grupo Bankia, en el que la consultora Deloitte se vio eximida de responsabilidad penal por un delito de estafa a los inversores precisamente por haber aportado «un ingente volumen de documentación» (126) de la que se desprendía que poseía una «sólida cultura de cumplimiento y oportunos controles para evitar la comisión de delitos» y por haber probado que la implementación del manual de compliance «cumplía los requisitos expuestos del art. 31 bis del Código Penal» y contaba con «las suficientes herramientas, políticas y protocolos (Sistema de Control de Calidad)» para «exigir al personal de la misma el cumplimiento de las normas profesionales, estableciendo medidas de vigilancia y control idóneas para evitar la comisión de ilícitos» (127) .

4.4. La prueba de la eficacia del programa

La adopción por parte de la persona jurídica de un programa de compliance tributario no supone un efecto automático eximente o atenuante del eventual delito contra la Hacienda Pública. La mera implementación del modelo de prevención de delitos no puede configurarse como un «artificio exculpatorio» o «salvoconducto» para eludir la responsabilidad penal (128) . Se excluye, en consecuencia, la utilización de modelos genéricos o la reproducción del modelo de otras organizaciones para dar por cumplido el criterio de poseer un programa de compliance (el «check the box» —en terminología anglosajona—) (129) .

El modelo debe «contener aquellos elementos que permitan identificar una voluntad de cumplimiento del marco legal por parte de la empresa y, en particular, la voluntad de prevenir la comisión de hechos delictivos y dar una respuesta adecuada en caso de no haberse podido evitar la comisión del delito» (130) . Resulta imprescindible entonces demostrar que «la aplicación efectiva» del programa de compliance «conducía a generar esa cultura de cumplimiento empresarial» (131) , debiendo valorarse si ha sido idóneo para reducir el riesgo de la comisión del delito, porque no hay que olvidar que el delito, a pesar de existir un programa de compliance que persiguiera prevenirlo, sí se ha cometido. Lo anterior sitúa al juez «en un difícil juicio ex ante acerca de la idoneidad abstracta del modelo para evitar ese tipo de delitos» (132) , en el que habrá que tener en cuenta las características de la infracción (133) dado que no es lo mismo, por ejemplo, que el delito lo cometa un empleado, a que lo cometa uno de los administradores o un alto directivo de la persona jurídica, pues no solo se puede presumir que el programa «no es eficaz si un alto responsable de la compañía participó, consintió y toleró el delito», sino que también pone de relieve un «menor compromiso ético de la sociedad» y una falta de «seriedad» del modelo (134) .

La valoración exigirá «no sólo la prueba documental consistente en el mismo plan de cumplimiento», sino también la acreditación de que los protocolos establecidos «eran respetados y funcionaban adecuadamente», ya sea a través de más documentos, de pruebas testificales o del auxilio de peritos (135) . De lo que se trata es de probar la eficacia e idoneidad del programa, por lo que habrá que acreditar que «las estructuras organizativas de la entidad y su actividad se han acomodado y han puesto en práctica los contenidos del programa» (136) , así como toda la documentación que «ponga de manifiesto el aspecto dinámico del programa de cumplimiento penal, o su plasmación práctica en el devenir de la empresa» (información obtenida a través de los canales de denuncia, investigaciones internas, revisiones del programa, mejoras, medidas disciplinarias eventualmente impuestas, etc.) (137) . Por ello, en la prueba de la eficacia del modelo adquiere una importancia trascendental el repositorio de evidencias en el que se ha debido ir monitorizando su implementación.

Además, han surgido las certificaciones del plan de compliance tributario no solo con el objetivo de demostrar a los tribunales y a la Administración tributaria la voluntad de la persona jurídica de cumplir con sus obligaciones tributarias, sino también como un elemento de buena reputación o imagen frente a los grupos de interés de la organización —ya sean socios, inversores, administraciones públicas o clientes, entre otros— (138) . Esas certificaciones concedidas, entre otras entidades dedicadas a ello, por parte de la Asociación Española de Normalización (AENOR) —tras la auditoría pertinente que evalúa el cumplimiento efectivo de todos los requisitos del modelo— no son válidas indefinidamente. Su mantenimiento está supeditado a una auditoría anual de seguimiento para contrastar la adecuación del sistema implantado por parte de la citada asociación y la obligatoriedad de llevar a cabo auditorías internas a intervalos planificados para estar al corriente de su sistema de gestión y de las oportunidades de mejora. A lo anterior se añade que, cada tres años, se realice una auditoría de renovación, en la que se evalúan los requisitos con mayor profundidad que en el seguimiento anual.

Este control exhaustivo y periódico del programa de compliance de cara a mantener la certificación se utiliza como prueba de la efectividad e idoneidad del modelo de prevención implantado. Ahora bien, las certificaciones expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, si bien pueden apreciarse «como un elemento adicional más de su observancia», en ningún caso garantizan la eficacia del programa ni, mucho menos, «sustituyen la valoración que de manera exclusiva compete al órgano judicial» (139) .

5. Los efectos del compliance en el ámbito administrativo

5.1. Consideraciones previas

Los incuestionables efectos de los programas de compliance tributario en sede penal, plasmados en el art. 31 bis CP, distan considerablemente de sus implicaciones en sede administrativa. Efectivamente, no hay que olvidar que, si bien es cierto que la Ley 58/2003, de 17 de diciembre, General Tributaria (en lo sucesivo, LGT), en la sección dedicada a la colaboración social en la aplicación de los tributos, hace referencia a la potenciación del «cumplimiento cooperativo de las obligaciones tributarias» (art. 92.2 LGT), también lo es que esta previsión no ha tenido ningún «desarrollo reglamentario específico y, por lo tanto, ninguna consecuencia efectiva ni en la contextura jurídica de las relaciones tributarias ni en la ordenación particular de los procedimientos tributarios» (140) . A la inexistencia de efectos de esa previsión en sede administrativa, se suma que la responsabilidad por la comisión de infracciones tributarias concurre en caso de dolo o culpa «con cualquier grado de negligencia» (art. 183.1 LGT) y que en los supuestos legalmente previstos que excluyen «la responsabilidad por infracción tributaria» (fuerza mayor, decisiones colectivas, carencia de capacidad de obrar y diligencia debida exart. 179.2 LGT) no están incluidos expresamente los programas de gestión de riesgos.

Tampoco hay que olvidar que la norma UNE 19602:2019 sobre sistemas de gestión de compliance tributario se configura como una guía adecuada para establecer un modelo de compliance efectivo, pero no tiene ningún valor normativo (entra dentro del denominado soft law). Además, pese a que la Administración tributaria y el Ministerio de Hacienda hicieron un seguimiento de la elaboración de la citada norma, su participación no fue más que «a título de meros observadores» (141) .

La LGT se ha quedado —una vez más— atrás y crea —una vez más— una contradicción incomprensible en el sistema actual: los programas de compliance tributario proyectan efectos eximentes o atenuantes en la responsabilidad de las personas jurídicas en uno de los ámbitos del ius puniendi del Estado (el más grave —el penal—), pero no en el otro (el menos grave —el administrativo—) (142) .

5.2. La necesidad de una responsabilidad subjetiva

El principio de culpabilidad rige en materia de infracciones administrativas en la medida en que la sanción «es una de las manifestaciones del ius puniendi del Estado» (143) . Sin «un análisis y ponderación de la culpabilidad del sujeto infractor y de la gravedad intrínseca de su conducta» se corre el riesgo de «incurrir en el gravamen o castigo de responsabilidad objetiva» (144) cuando, en nuestro ordenamiento jurídico, ha quedado proscrito constitucionalmente el «establecimiento de un régimen en materia de infracciones administrativas de responsabilidad objetiva o sin culpa» (145) .

El problema parte de la propia tipificación de las infracciones tributarias como las acciones u omisiones dolosas o culposas «con cualquier grado de negligencia», lo cual supone la imposición de sanciones «por el mero resultado y sin atender a la conducta del obligado tributario», catalogándose como infracción «no sólo las infracciones u omisiones en las que concurra culpa ‘lata’ o ‘grave’ (incumplimiento de la diligencia aconsejada por la más vulgar prudencia), o culpa ‘levis’ (omisión de la diligencia del buen padre de familia)», sino también «la culpa ‘levíssima’ (omisión de cautelas de hombres extremadamente diligentes)» (146) .

Dicho de otro modo, ese «cualquier grado de negligencia» se configura como una carta blanca para que todo incumplimiento tributario sea automáticamente constitutivo de una infracción. Y aunque la culpabilidad sea un requisito esencial para sancionar (147) , se está creando y aplicando «de forma automática en los procedimientos sancionadores, una especie de responsabilidad tributaria objetiva, con fines recaudatorios» (148) , olvidando que «el juicio de culpabilidad debe estar motivado, razonado, no bastando con la mera descripción de la acción típica o la afirmación de que la actuación del contribuyente ha sido cuando menos negligente» (149) . No se trata de mermar «la eficacia de la Administración para la persecución de los ilícitos tributarios», sino que «del expediente resulten las pruebas necesarias y suficientes para acreditar la voluntariedad de la acción u omisión constitutiva de la infracción tributaria» (150) .

En el ámbito del compliance tributario, la expresión «cualquier grado de negligencia» es apta para convertir en completamente intrascendente la implantación de un modelo de gestión de riesgos tributarios en el seno de la persona jurídica. Y ello porque, a pesar de haberse aplicado el modelo, desde el momento en el que se hayan incumplido las obligaciones tributarias, se incurrirá automáticamente en la responsabilidad «con cualquier grado de negligencia». El problema de esta percepción es que no se está entendiendo el objetivo de los programas de compliance. No hay duda, utilizando las palabras de Del Moral García, de que «el mejor plan de cumplimiento es el que jamás ha de presentarse ante un órgano judicial porque ha servido para atajar toda posible actividad delictiva» (151) , pero tampoco puede olvidarse que esos modelos de prevención no actúan como antídoto de los incumplimientos tributarios o penales-tributarios, sino como vacuna.

Como es sabido, la administración de la vacuna «permite que el sistema inmunológico desarrolle una respuesta específica contra el agente infeccioso», lo que puede «prevenir la infección o reducir la gravedad de los síntomas si el individuo es expuesto al agente infeccioso en el futuro», tratándose de «una herramienta fundamental para la prevención y el control de enfermedades infecciosas» (152) , pero no asegura, en ningún caso, una inmunidad total frente al contagio. Así sucede con los programas de compliance. Su implementación por parte de la persona jurídica tiene como objetivo mitigar, en la medida de lo posible, el riesgo de la comisión de infracciones tributarias o de delitos contra la Hacienda Pública, pero no asegura que el incumplimiento no se vaya a materializar en ningún caso. De hecho, la previsión penal sobre los modelos de prevención de riesgos partió de la realidad de que resulta prácticamente imposible mitigarlo por completo —no hay riesgo cero—. Si sirviesen como antídoto, no se estarían discutiendo sus efectos en los ámbitos sancionador y penal porque no se llegaría a cometer ninguna infracción tributaria ni ningún delito contra la Hacienda Pública.

En fin, si el incumplimiento de la obligación tributaria sirviese para disipar cualquier efecto eximente o atenuante de la responsabilidad de la persona jurídica en el seno de un procedimiento sancionador tributario, soslayando la idoneidad del programa de compliance implantado para prevenir, mitigar y controlar de la forma más eficaz posible el riesgo —a diferencia de lo que se hace en sede penal— (153) , se estaría frustrando por completo el fin de los modelos de prevención en sede administrativa.

5.3. De la exclusión a la graduación de la responsabilidad administrativa

Como es sabido, los obligados tributarios podrán ser sancionados «por hechos constitutivos de infracción tributaria cuando resulten responsables de los mismos» (art. 179.1 LGT), salvo en cinco supuestos previstos en la legislación en los que las acciones u omisiones normalmente constitutivas de la infracción no darán lugar a tal responsabilidad (art. 179.2 LGT): (1) cuando se realicen por quienes carezcan de capacidad de obrar en el orden tributario; (2) cuando concurra fuerza mayor; (3) cuando deriven de una decisión colectiva, para quienes hubieran salvado su voto o no hubieran asistido a la reunión en que se adoptó la misma; (4) cuando sean imputables a una deficiencia técnica de los programas informáticos de asistencia facilitados por la Administración tributaria para el cumplimiento de las obligaciones tributarias; y (5) cuando se haya puesto la diligencia necesaria en el cumplimiento de las obligaciones tributarias.

En el último caso, el legislador ha especificado que, «entre otros supuestos», se entenderá que el obligado tributario ha puesto la diligencia necesaria cuando «haya actuado amparándose en una interpretación razonable de la norma», «haya ajustado su actuación a los criterios manifestados por la Administración Tributaria competente en las publicaciones y comunicaciones escritas» o «a los criterios manifestados por la Administración en la contestación a una consulta formulada por otro obligado» [art. 179.2.d) LGT].

Pues bien, aunque la implementación de un modelo de compliance no tiene cabida en ninguno de los ejemplos señalados por el legislador, tampoco debería quedar excluido del supuesto de «diligencia necesaria». Primero, porque no se ha establecido un «listado cerrado» al utilizar el precepto la expresión «entre otros supuestos» (154) . Y, segundo, porque si se ha implementado un programa de compliance que cumple con todos los criterios necesarios para ser considerado idóneo, se estaría reflejando una «buena fe» en el «cumplimiento de las obligaciones tributarias» equiparable al resto de supuestos descritos en el art. 179.2.d) LGT, en la medida en que se «ponen en marcha actuaciones preventivas para evitar o reducir la posibilidad de comisión de ilícitos tributarios» (155) .

El objetivo del régimen sancionador es doble: punitivo —porque castiga las infracciones— y disuasorio —porque persigue que el resto se abstenga de cometerlas al ver las consecuencias a las que se enfrentan quienes son sancionados— con el fin de favorecer el cumplimiento de las obligaciones tributarias, pero siempre respetando los principios de la potestad sancionadora y, especialmente —en lo que ahora nos ocupa— el principio de responsabilidad (arts. 178 y 179 LGT). En este sentido, no se está pretendiendo que se reconozca ningún supuesto descabellado de ausencia de responsabilidad, sino que se incluya entre ellos la implementación de modelos idóneos de prevención de riesgos tributarios con el único fin de valorar correctamente el elemento subjetivo de la infracción. Y ello con el fin de «mejorar los procesos de detección de la concurrencia de culpabilidad», tal y como se pretende en el Plan Anual de Control Tributario y Aduanero de 2024 (156) .

Adicionalmente, la relación cooperativa o de confianza recíproca —ámbito en el que se ha insertado el compliance— es bidireccional. No es solo el obligado tributario el que debe adoptar actuaciones colaborativas con la Administración tributaria, sino que esta última ha de actuar en consecuencia y reconocer esas actuaciones a la hora de valorar el elemento volitivo en el ámbito sancionador. De esta forma, «no puede negarse que el establecimiento de un sistema de prevención de riesgos fiscales por una organización supone una actuación colaborativa, a la que la Administración tributaria debería responder con una estrategia cooperativa evitando la imposición de sanciones de una forma objetiva» (157) .

Como ocurre en sede penal, si no hubiesen concurrido todos los elementos necesarios para considerar que el programa de compliance era apto para constituir un supuesto de «diligencia necesaria», se podría considerar un criterio de graduación atenuante de la sanción correspondiente. No obstante, como para otras tantas cuestiones, la LGT, definida por ella misma como «el eje central del ordenamiento tributario donde se recogen sus principios esenciales y se regulan las relaciones entre la Administración tributaria y los contribuyentes» (apartado I de su Exposición de Motivos), solo tiene en cuenta las actuaciones «negativas» del contribuyente para graduar la sanción —incrementándola— (la comisión repetida de infracciones, el perjuicio económico para la Hacienda Pública o el incumplimiento sustancial de la obligación de facturación, exart. 187 LGT), pero no las actuaciones positivas y/o colaboradoras —para disminuirla— (como puede ser el no haber cometido previamente ninguna infracción tributaria —como ocurre, por ejemplo, en el sistema francés— (158) o el haber implementado programas de compliance) (159) , salvo en los supuestos de «trueque» de la reducción de la sanción por manifestar el acuerdo o conformidad con el contenido de la propuesta de regularización por parte de la Administración a cambio de no recurrir (art. 188 LGT).

En fin, ese impulso del modelo conciliador y cooperativo que se pretende no quedará más que en papel mojado si se obvia la implementación de los programas de compliance tributario a la hora de valorar la culpabilidad en el ámbito sancionador tributario priorizándose, una vez más, la sanción —y la recaudación que de ella deriva—.

6. Conclusiones

1.- La incuestionable trascendencia de los programas de compliance tributario en la responsabilidad penal de las personas jurídicas. Los programas de compliance se han erigido como un mecanismo trascendental para «la prevención de la criminalidad económica y donde la finalidad principal es que cada uno de sus miembros conozca y asuma los valores básicos de cumplimiento normativo y ética corporativa», pero se han configurado también como «una estrategia de defensa preventiva ante una eventual imputación penal» (160) . La implementación de modelos de prevención de delitos fiscales en el seno de la persona jurídica tendrá efectos eximentes —si se prueba su eficaz aplicación, control y revisión— o atenuantes —si no se ha aplicado con la suficiente eficacia como para dar lugar a la exención, pero sí ha conseguido reducir lo suficiente el riesgo como para aminorar la responsabilidad—.

2.- La incomprensible contradicción del sistema actual: el compliance permite eximir o atenuar el reproche penal, pero no el administrativo. Si la implementación de los modelos de compliance idóneos para la mitigación de los riesgos tributarios en el seno del tejido empresarial tiene efectos eximentes o atenuantes del delito contra la Hacienda Pública, resulta difícil de comprender por qué no se valoran en el ámbito sancionador tributario. La configuración actual crea la paradoja de que si el incumplimiento es doloso y supera el umbral cuantitativo del art. 305 CP (120.000 euros), pero el programa de compliance cumple con todas las exigencias de la legislación penal, la persona jurídica podrá verse eximida —o atenuada— de responsabilidad por la comisión de un delito contra la Hacienda Pública. Ahora bien, si el incumplimiento es doloso, pero no supera el umbral cuantitativo del art. 305 CP (120.000 euros) o si es negligente —en otras palabras, si es menos grave cuantitativa o subjetivamente—, la persona jurídica en análogas circunstancias no se verá eximida —ni atenuada— de responsabilidad por la comisión de una infracción tributaria.

3.- La necesaria (y coherente) traslación de los efectos eximentes o atenuantes de los programas de compliance al régimen sancionador tributario. Los efectos eximentes o atenuantes de responsabilidad penal pueden trasladarse fácilmente al ámbito sancionador tributario, tanto a través del art. 179.2.d) LGT que excluye la responsabilidad por la comisión de una infracción cuando «se haya puesto la diligencia necesaria en el cumplimiento de las obligaciones tributarias», como mediante el juego del art. 187 LGT, que recoge los «criterios de graduación de las sanciones tributarias». De lo contrario, habrá que asumir lo evidente: que los programas de compliance tributario —que tanto se están impulsando en el marco de la relación cooperativa— solamente producen efectos si sus potenciales incumplimientos son eventualmente constitutivos de delito —es decir, en sede penal—, careciendo de toda virtualidad en el ámbito administrativo porque todo incumplimiento tributario constituye automáticamente —salvo en contadas ocasiones— una infracción tributaria, con independencia del elemento volitivo. Por consiguiente, las personas jurídicas que no tengan, atendiendo a sus características, un riesgo elevado de cometer eventuales delitos contra la Hacienda Pública en el seno de sus organizaciones, pueden ahorrarse los recursos financieros, humanos y materiales que supone la implantación de un programa de compliance tributario «formalmente» idóneo, pero «materialmente» inservible para evitar o reducir las eventuales responsabilidades derivadas de su actuación.

7. Bibliografía

Doctrina científica

— Almudí Cid, J. (2009). El procedimiento sancionador en materia tributaria. En Delitos e infracciones contra la Hacienda Pública (432-522). Tirant lo Blanch.

— Aneiros Pereira, J. (2021). Compliance y responsabilidad penal. En El control de los riesgos fiscales en la empresa a través del compliance tributario (529-550). Wolters Kluwer.

— Aróstegui Garaizábal, M. y Beñarán Arocena, A. (2021). El compliance officer: requisitos y responsabilidades. En El control de los riesgos fiscales en la empresa a través del compliance tributario (199-213). Wolters Kluwer.

— Bachmaier Winter, L. (2012). Responsabilidad penal de las personas jurídicas definición y elementos de un programa de compliance. Diario La Ley, 7938, 1-9.

— Campanón Galiana, L. (2019). Análisis y aplicación práctica de la Norma UNE 19602 de Sistemas de Gestión de Compliance Tributario. Carta Tributaria. Revista de Opinión, 49, 70-79.

— Cuadrado Ruiz, M. A. (2007). La responsabilidad penal de las personas jurídicas. Un paso hacia adelante…¿Un paso hacia atrás? Revista Jurídica de Castilla y León, 12, 121-152.

— Cuevas Oltra, C. M. (2017). El «debido control» en la responsabilidad penal de las personas jurídicas. Revista de Derecho Penal y Criminología, 18, 13-38.

— De Ros Raventós, I. (2019). Delito fiscal y tax compliance. Thomson Reuters-Aranzadi.

— Del Moral García, A. (2019). Compliance en la doctrina de la Sala Segunda del Tribunal Supremo: Presente y perspectivas. En Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión (675-704). Tirant lo Blanch.

— Díaz Pedrero, J. G. (2024). La responsabilidad penal del tax compliance officer y de otros intermediarios fiscales. La Ley.

— Dolz Lago, M. J. (2016). ¿Responsabilidad penal de las personas jurídicas versus. Delito corporativo? Diario La Ley, 8856, 1-7.

— Dolz Lago, M. J. (2019). Doctrina de la Fiscalía General del Estado sobre Compliance: Discordancias con la Jurisprudencia. En Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión (125-155). Tirant lo Blanch.

— Faraldo Cabana, P. (2019). Los compliance programs y la atenuación de responsabilidad penal. En Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión (157-168). Tirant lo Blanch.

— Fernández García, M. (2020): La estandarización de los sistemas de gestión de ‘compliance’ en materia penal y administrativa. En El compliance tributario en el proceso penal (65-85). Thomson Reuters-Aranzadi.

— Fernández Hernández, A. (2023). Dos cuestiones relativas a los programas de cumplimiento penal: los criterios para medir su eficacia y el diseño de los mapas de riesgos. En Criminal compliance programs y mapas de riesgos (65-106). Tirant lo Blanch.

— Ferré Olivé, J. C. (2019). El compliance penal tributario. En Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión (211-242). Tirant lo Blanch.

— García Novoa, C. (2020). Simulación, sanciones e interpretación razonable de la norma. Una aportación reciente del Tribunal Supremo. Revista de Contabilidad y Tributación CEF, 447, 2020, 37-54.

— Gimeno Beviá, J. (2024). Aspectos procesales de la Ley 2/2023 de protección al informante: algunas cuestiones sin resolver tras un año de su entrada en vigor. Lex Criminalis, 5, 27-46.

— Gómez Colomer, J. L. (2019). La responsabilidad penal de las personas jurídicas y el control de su actividad: estructura jurídica general en el Derecho Procesal Penal español y cultura del cumplimiento (Compliance Programs). En Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión (25-66). Tirant lo Blanch.

— LLedó Benito, I. (2019). Corporate compliance: la prevención de riesgos penales y delitos en las organizaciones penalmente responsables. Dykinson.

— Lucas Durán, M. (2021). Tax compliance en el impuesto sobre sociedades y en el IVA. En El control de los riesgos fiscales en la empresa a través del compliance tributario (155-195). Wolters Kluwer.

— Luzón Cánovas, A. (2020): El ‘compliance’ tributario y la exención de responsabilidad penal corporativa. En El compliance tributario en el proceso penal (23-51). Thomson Reuters-Aranzadi.

— Magro Servet, V. (2023). Derecho de la persona jurídica a no autoincriminarse y a negar el requerimiento judicial de entrega del programa de compliance. La Ley compliance penal, 15, 1-11.

— Márquez Sillero, C. y Márquez Márquez, A. (2021). El olvido consciente, la ausencia reiterada y la aplicación automática de la culpabilidad en los procedimientos sancionadores tributarios. Revista Quincena Fiscal, 10, 1-24.

— Martín Fernández, J. y Rodríguez Márquez, J. (2020): El ‘compliance’ tributario y la exención de responsabilidad administrativa. En El compliance tributario en el proceso penal (53-63). Thomson Reuters-Aranzadi.

— Martínez Muñoz, Y. (2021). Compliance fiscal y responsabilidad por ilícitos tributarios. En Crónica tributaria, 179, 35-62.

— Martínez-Buján Pérez, C. (2024). La estructura de la infracción penal de la persona jurídica: el presupuesto (el déficit organizativo peligroso) y el resultado/condición objetiva de punibilidad (el hecho de conexión posterior. Revista Electrónica de Responsabilidad Penal de las Personas Jurídicas y Compliance, 3, 1-53.

— Moreno Fernández, J. I. (2007). Una perspectiva constitucional de los derechos y garantías de los contribuyentes (principios constitucionales y conexión con el art. 3.1 LGT). En El estado actual de los derechos y de las garantías de los contribuyentes en las haciendas locales (61-218). Civitas.

— Olivares Olivares, B. (2021). El Código de Buenas Prácticas para grandes empresas. En El control de los riesgos fiscales en la empresa a través del compliance tributario (509-527). Wolters Kluwer.

— Orena Domínguez, A. (2021). El compliance y las infracciones tributarias: norma UNE 19602. En El control de los riesgos fiscales en la empresa a través del compliance tributario (75-96). Wolters Kluwer.

— Pérez Ferrer, F. (2018). Cuestiones fundamentales de la responsabilidad penal de las personas jurídicas y los programas de cumplimiento normativo (compliance). Revista de Derecho, Empresa y Sociedad (REDS), 13, 122-138.

— Ribes Ribes, A. (2021). La exención de responsabilidad penal de las personas jurídicas a través de los compliance programs: una propuesta para el Derecho tributario. Revista Forum Fiscal, 273, 21-38.

— Romero Mata, P. (1986). Consideración crítica del vigente régimen sancionador. En Financiación de las autonomías e infracciones y sanciones tributarias. XXXII Semana de Estudios de Derecho Financiero (655-680). Instituto de Estudios Fiscales.

— Rozas Valdés, J. A. (2021). Fundamentos y acicates de las políticas de Compliance Tributario. En El control de los riesgos fiscales en la empresa a través del compliance tributario (45-72). Wolters Kluwer.

— Velasco Núñez, E. y Saura Alberdi, B. (2016). Cuestiones prácticas sobre responsabilidad penal de la persona jurídica y Compliance. Thomson Reuters Aranzadi.

Otras fuentes

— AEAT (2011): Código de Buenas Prácticas Tributarias. Disponible en https://sede.agenciatributaria.gob.es/Sede/colaborar-agencia-tributaria/relacion-cooperativa/foro-grandes-empresas/codigo-buenas-practicas-tributarias.html

— AEAT (2016): Conclusiones relativas al desarrollo y seguimiento de la aplicación del Código de Buenas Prácticas Tributarias en el marco del modelo de relación cooperativa entre la Agencia Tributaria y las Empresas. Disponible en https://sede.agenciatributaria.gob.es/Sede/colaborar-agencia-tributaria/relacion-cooperativa/foro-grandes-empresas/codigo-buenas-practicas-tributarias/conclusiones-pleno-2_11_2015-cbpt.html

— AEAT (2019): Código de Buenas Prácticas de Asociaciones y Colegios de Profesionales Tributarios y Código de Buenas Prácticas de Profesionales Tributarios. Disponible en https://sede.agenciatributaria.gob.es/Sede/colaborar-agencia-tributaria/relacion-cooperativa/foro-asociaciones-colegios-profesionales-tributarios.html

— AEAT (2022): La Agencia Tributaria, trabajadores autónomos y pymes crean dos foros para impulsar la relación cooperativa. Disponible en https://sede.agenciatributaria.gob.es/Sede/La_Agencia_Tributaria___trabajadores_autonomos_y_pymes_crean_dos_foros_para_impulsar_la_relacion_cooperativa.html

— AEAT (2024): Adenda a las normas de funcionamiento del Foro de Grandes Empresas. Disponible en https://sede.agenciatributaria.gob.es/Sede/colaborar-agencia-tributaria/relacion-cooperativa/foro-grandes-empresas/normas-funcionamiento-adenda/adenda-normas-funcionamiento.html)

— OCDE (2011): Líneas Directrices de la OCDE para Empresas Multinacionales. Disponible en https://www.oecd-ilibrary.org/governance/lineas-directrices-de-la-ocde-para-empresas-multinacionales_9789264202436-es

— Fiscalía General del Estado (2011): Circular 1/2011 de la Fiscalía General del Estado relativa a la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por la Ley Orgánica número 5/2010, FIS-C-2011-00001, 1-45.

— Fiscalía General del Estado (2016): Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, FIS-C-2016-00001, 1-33.

— Primer informe del Observatorio del delito fiscal (2006): Convenio de 30 de junio de 2005 entre la Agencia Estatal de Administración Tributaria y la Secretaría de Estado de Justicia en materia de prevención y lucha contra el fraude fiscal. Disponible en: http://www.agenciatributaria.es/static_files/AEAT/Contenidos_Comunes/La_Agencia_Tributaria/Informacion_institucional/Campanias/Plan_prevencion_del_fraude_fiscal/observatorio_es_es.pdf

(1): AEAT (2010).; Ver Texto

(2): AEAT (2024).; Ver Texto

(3): AEAT (2010).; Ver Texto

(4): Martín Fernández y Rodríguez Márquez (2020), RB-2.4.; Ver Texto

(5): Se persigue abandonar un modelo de «autoliquidación-regularización-litigio imprevisible e incierto en sus resultados» a un modelo de «autocontrol» en el que la Administración no ponga «el foco principal de su quehacer» en la «regularización de las autoliquidaciones» sino en la «verificación del plan de cumplimiento, por una parte, y en la investigación de lo no declarado, por otra» (Rozas Valdés, 2021, p. 55).; Ver Texto

(6): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 516/2016, de 13 de junio, FD 1 (ECLI:ES:TS:2016:2616).; Ver Texto

(7): Para un análisis exhaustivo del contexto internacional y europeo en materia de cumplimiento cooperativo y de los programas de cumplimiento, véase Díaz Pedrero (2024), pp. 39 y ss.; Ver Texto

(8): Según las Directrices, las empresas deberán «implementar la debida diligencia basada en los riesgos incorporándola, por ejemplo, a sus sistemas de gestión de riesgos, con el fin de identificar, prevenir o atenuar los impactos negativos, reales o potenciales» e «informar sobre cómo se reacciona ante dichos impactos negativos» (OCDE, 2011, p. 23).; Ver Texto

(9): Este programa voluntario de evaluación y garantía de riesgos está destinado a facilitar compromisos multilaterales abiertos y cooperativos entre los grupos de empresas multinacionales que deseen participar de forma activa y transparente y las Administraciones tributarias de las jurisdicciones en las que desarrollan sus actividades (OCDE, 2024).; Ver Texto

(10): Con el fin de reforzar la lucha contra el fraude fiscal, las Directrices incluyen entre sus estrategias la mejora del cumplimiento de las obligaciones tributarias en los Estados miembros, poniendo el acento en los programas de relación reforzada entre las Administraciones tributarias y los contribuyentes (Comisión Europea, 2016, p. 21).; Ver Texto

(11): Sobre el particular, véase Olivares Olivares (2021), pp. 511 y ss.; Ver Texto

(12): AEAT (2016). Además, para avanzar en el desarrollo del modelo de relación cooperativa entre la Administración y otros colectivos, se aprobaron en 2019 el Código de Buenas Prácticas de Asociaciones y Colegios de Profesionales Tributarios y el Código de Buenas Prácticas de Profesionales Tributarios (AEAT, 2019), y se crearon en 2022 el foro de Trabajadores Autónomos y el foro de Pequeñas y Medianas Empresas (AEAT, 2022), que, entre otras cosas, pretenden elaborar dos códigos de buenas prácticas, a los cuales puedan adherirse los autónomos y pymes que lo deseen.; Ver Texto

(13): Es cierto, no obstante, que el Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital ya recogía, desde la reforma operada por la Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejora del gobierno corporativo, dentro de las funciones delegables del Consejo de Administración de las Sociedades cotizadas, «la determinación de la política de control y gestión de riesgos, incluidos los fiscales» [art. 589 ter.1 b)].; Ver Texto

(14): Cuadrado Ruiz (2007), p. 124.; Ver Texto

(15): Cuadrado Ruiz (2007), p. 133.; Ver Texto

(16): Sobre las penas aplicables a la persona jurídica, véase Zugaldía Espinar (2013), pp. 123 y ss.; Ver Texto

(17): Gómez Colomer (2019), p. 59.; Ver Texto

(18): Fiscalía General del Estado (2016), p. 2.; Ver Texto

(19): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 516/2016, de 13 de junio, FD 1 (ECLI:ES:TS:2016:2616); Ver Texto

(20): Hay algunos autores que defienden que, ni siquiera tras la reforma de 2015, se ha logrado el modelo de heterorresponsabilidad porque las personas jurídicas «siguen sin poder cometer delitos, entiendo por tales las conductas que reúnen todos los elementos del delito: una acción típica, antijurídica, culposa o dolosa (es decir, culpable en alguna de sus formas) y punible», pero lo que sí que pueden es «sufrir penas (Societas puniri potest); aunque «sin duda se proporcionan buenos argumentos a los partidarios de elaborar un concepto autónomo de culpabilidad de la persona jurídica al dotarse de fuerza excluyente de la responsabilidad penal a la implantación de un sistema adecuado de organización empresarial» (Del Moral García, 2019, p. 281).; Ver Texto

(21): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 4 (ECLI:ES:TS:2024:1932); Ver Texto

(22): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 234/2019, de 8 de mayo, FD 5 (ECLI:ES:TS:2019:1470).; Ver Texto

(23): Puede exigirse responsabilidad penal a una persona jurídica respecto de los delitos que siguen: tráfico y trasplante ilegal de órganos humanos (art. 156 bis.7 CP); torturas y otros delitos contra la integridad moral (art. 173.1 CP); trata de seres humanos (art. 177 bis.7 CP); acoso sexual (art. 184.5 CP); prostitución, explotación sexual y corrupción de menores (art. 189 ter CP); descubrimiento y revelación de secretos (art. 197 quinquies CP); estafa (art. 251 bis CP); frustación de la ejecución (art. 258 ter CP); insolvencias punibles (art. 261 bis CP); daños informáticos (art. 264 quarter CP); propiedad intelectual e industrial, al mercado y a los consumidores (art. 288 CP); blanqueo de capitales (302.2 CP); financiación ilegal de partidos políticos (art. 304 bis. 5 CP); contra la Hacienda Pública y la Seguridad Social (art. 310 bis CP); contra los derechos de los ciudadanos extranjeros (art. 318 bis.5 CP); contra la ordenación del territorio y urbanismo (art. 319.4 CP); contra los recursos naturales y el medio ambiente (art. 328 CP); contra los animales (art. 340 quarter CP); relativos a la energía nuclear y a las radiaciones ionizantes (art. 343.3 CP); estragos (art. 348.3 CP); salud pública (art. 366); tráfico de drogas (art. 369 bis CP); falsificación de la moneda y efectos timbrados (art. 386.5 CP); falsificación de tarjetas de crédito y débito, cheques de viaje y demás instrumentos de pago distintos del efectivo (arts. 399 bis.1 CP); cohecho (art. 427 bis CP); tráfico de influencias (art. 430 CP); malversación (art. 435. 5º CP); odio, hostilidad o violencia contra un grupo (art. 510 bis CP) y terrorismo (art. 580 bis CP).; Ver Texto

(24): Concretamente, se impondrá la «a) Multa del tanto al doble de la cantidad defraudada o indebidamente obtenida, si el delito cometido por la persona física tiene prevista una pena de prisión de más de dos años; b) Multa del doble al cuádruple de la cantidad defraudada o indebidamente obtenida, si el delito cometido por la persona física tiene prevista una pena de prisión de más de cinco años; c) Multa de seis meses a un año, en los supuestos recogidos en el artículo 310» (incumplimientos relacionados con la contabilidad mercantil, libros o registros fiscales).; Ver Texto

(25): Fue la LO 1/2015 la que extendió este elemento positivo permitiendo incluir a quienes «sin ser propiamente administradores o representantes legales de la sociedad, forman parte de órganos sociales con capacidad para tomar decisiones, así como mandos intermedios, apoderados singulares y otras personas en quienes se hagan delegado determinados funciones» (Dolz Lago, 2019, p. 142).; Ver Texto

(26): Según este precepto, las personas jurídicas son penalmente responsables de los «delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma» [apartado 1.a)] y «de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso» [apartado 1.b)].; Ver Texto

(27): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 260/2017, de 6 de abril, FD 7 (ECLI:ES:TS:2017:1305).; Ver Texto

(28): Fiscalía General del Estado (2011), p. 18.; Ver Texto

(29): Dolz Lago (2016), p. 4.; Ver Texto

(30): Martínez-Buján Pérez (2024), p. 7.; Ver Texto

(31): En otras palabras, como han indicado Velasco Núñez y Saura Alberdi (2016), «la persona jurídica responde por los delitos cometidos ‘por la empresa’ y no necesariamente por los cometidos ‘en la empresa’» (p. 26).; Ver Texto

(32): Fiscalía General del Estado (2011), p. 7.; Ver Texto

(33): Fiscalía General del Estado (2016), p. 15.; Ver Texto

(34): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 6 (ECLI:ES:TS:2024:1932); Ver Texto

(35): Esto es, tal y como ha indicado la Fiscalía General del Estado (2016), la acción típica ha de tender a «conseguir un beneficio, sin necesidad de que este se produzca, resultando suficiente que la actuación de la persona física se dirija de manera directa o indirecta a beneficiar a la entidad» (p. 10).; Ver Texto

(36): Fiscalía General del Estado (2011), p. 17.; Ver Texto

(37): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 6 (ECLI:ES:TS:2024:1932); Ver Texto

(38): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 217/2024, de 7 de marzo, FD 9 (ECLI:ES:TS:2024:1158).; Ver Texto

(39): Aneiros Pereira (2021), p. 537.; Ver Texto

(40): Bachmaier Winter (2012), p. 2.; Ver Texto

(41): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 154/2016, de 29 de febrero, FD (ECLI:ES:TS:2016:613).; Ver Texto

(42): Bachmaier Winter (2012), p. 2.; Ver Texto

(43): Véase, al respecto, Cuevas Oltra (2017), pp. 15 y ss.; y Gómez Colomer (2019), p. 61.; Ver Texto

(44): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 260/2017, de 6 de abril, FD 7 (ECLI:ES:TS:2017:1305).; Ver Texto

(45): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 516/2016, de 13 de junio, FD 1 (ECLI:ES:TS:2016:2616).; Ver Texto

(46): Martínez-Buján Pérez (2024), p. 8.; Ver Texto

(47): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 668/2016, de 11 de octubre, FD 1.2.3 (ECLI:ES:TS:2017:3544).; Ver Texto

(48): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 217/2024, de 7 de marzo, FD 9 (ECLI:ES:TS:2024:1158).; Ver Texto

(49): Dolz Lago (2016), p. 4.; Ver Texto

(50): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 221/2016, de 16 de marzo, FD 5 (ECLI:ES:TS:2016:966).; Ver Texto

(51): De Ros Raventós (2019), RB-3.7.; Ver Texto

(52): Las normas técnicas son «la especificación técnica de aplicación repetitiva o continuada cuya observancia no es obligatoria, establecida con participación de todas las partes interesadas, que aprueba un Organismo reconocido, a nivel nacional o internacional, por su actividad normativa» (art. 8 de la Ley 21/1992, de 16 de julio, de Industria).; Ver Texto

(53): La AENOR es una asociación privada sin ánimo de lucro reconocida como organismo nacional de normalización por medio del Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la Infraestructura para la Calidad y la Seguridad Industrial.; Ver Texto

(54): Fernández García (2020), RB-3.10; y Luzón Cánovas (2020), RB-1.3.; Ver Texto

(55): Para ello, se creó un subcomité de compliance tributario en el que participaron universidades, empresas, despachos de abogados, consultoras, administraciones, asociaciones de profesionales del sector, entre otros. La Administración tributaria no participó, aunque «vio con buenos ojos que las organizaciones quisieran dotarse de una herramienta que les ayudará a mejorar su gestión del riesgo tributario» (Fernández García, 2020, RB-3.5).; Ver Texto

(56): Norma UNE 19602:2019, p. 7. Para un análisis de esta norma, véase Campanón Galiana (2019), p. 70 y ss.; Ver Texto

(57): Norma UNE 19602:3019, p. 7.; Ver Texto

(58): Rozas Valdés (2021), p. 54.; Ver Texto

(59): Bachmaier Winter (2012), p. 2.; Ver Texto

(60): Norma UNE 19602:2019, p. 8.; Ver Texto

(61): Norma UNE 19602:2019, p. 16.; Ver Texto

(62): La legislación penal exige que los modelos de compliance identifiquen «las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos» (art. 31 bis.5.1º CP).; Ver Texto

(63): Fernández Hernández (2023), p. 69.; Ver Texto

(64): De Ros Raventós (2019), RB-3.8.; Ver Texto

(65): Para un estudio pormenorizado de los riesgos fiscales que pueden surgir en el ámbito de este impuesto, véase Lucas Durán (2021), pp. 174-179.; Ver Texto

(66): Sobre los principales riesgos fiscales que pueden surgir en el IVA, véase Lucas Durán (2021), pp. 181-183.; Ver Texto

(67): Observatorio del delito fiscal (2006), p. 13.; Ver Texto

(68): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 892/2016, de 25 de noviembre FJ 5 (ECLI:ES:TS:2016:5182); y Sentencia del Tribunal Constitucional núm. 57/2010, de 4 de octubre, FJ 9 (ECLI:ES:TC:2010:57).; Ver Texto

(69): Ferré Olivé (2019), p. 218.; Ver Texto

(70): Norma UNE 19602:2019, p. 24.; Ver Texto

(71): Norma UNE 19602:2019, p. 30.; Ver Texto

(72): Norma UNE 19602:2019, p. 31.; Ver Texto

(73): Ferré Olivé (2019), p. 217.; Ver Texto

(74): Norma UNE 19602:2019, p. 31.; Ver Texto

(75): Norma UNE 19602:2019, p. 31.; Ver Texto

(76): Norma UNE 19602:2019, p. 33.; Ver Texto

(77): Norma UNE 19602:2019, p. 33.; Ver Texto

(78): Para un análisis sobre el decisivo papel del establecimiento de los canales de denuncia en las organizaciones, véase Lledó Benito (2018), pp. 69 y ss.; Ver Texto

(79): Según Velasco Núñez y Saura Alberdi (2016), la gestión interna de las denuncias presenta la ventaja de que la respuesta puede ser más inmediata, por cuanto la información se mantiene dentro de la sociedad, pero puede generar dudas respecto de la independencia del gestor. De igual modo, la gestión externa presenta la ventaja de que se asegura la independencia y la transparencia en la percepción de las denuncias, pero acarrea el riesgo de la fuga de información de la sociedad (p. 44).; Ver Texto

(80): La transposición de esta Directiva se llevó a cabo, en nuestro ordenamiento jurídico, por medio de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Sobre el particular, véase Gimeno Beviá (2024).; Ver Texto

(81): El art. 31 bis. 5. 5º CP dispone que los modelos de organización y gestión «establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo».; Ver Texto

(82): Norma UNE 19602:2019, p. 26.; Ver Texto

(83): Norma UNE 19602:2019, p. 34.; Ver Texto

(84): Norma UNE 19602:2019, p. 24.; Ver Texto

(85): Norma UNE 19602:2019, p. 18.; Ver Texto

(86): Norma UNE 19602:2019, p. 24.; Ver Texto

(87): Esto es, las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes: «a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros. b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros; c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta» [art. 285 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital].; Ver Texto

(88): Fiscalía General del Estado (2016), p. 25.; Ver Texto

(89): Norma UNE 19602:2019, p. 21.; Ver Texto

(90): Aróstegui Garaizábal y Beñarán Arocena (2021), p. 210.; Ver Texto

(91): En las grandes corporaciones, es habitual designar un «chief compliance officer», encargado de coordinar a los «compliance officers» de cada una de las sociedades participadas.; Ver Texto

(92): Aróstegui Garaizábal y Beñarán Arocena (2021), p. 201.; Ver Texto

(93): Sobre la naturaleza y funciones específicas del órgano de cumplimiento tributario, véase Díaz Pedrero (2024), pp. 424 y ss.; Ver Texto

(94): Aróstegui Garaizábal y Beñarán Arocena (2021), p. 210.; Ver Texto

(95): Ferré Olivé (2021), p. 227.; Ver Texto

(96): Velasco Núñez y Saura Alberdi (2016), p. 47.; Ver Texto

(97): Ferré Olivé (2021), p. 228; y Aróstegui Garaizábal y Beñarán Arocena (2021), p. 205.; Ver Texto

(98): Fiscalía General del Estado (2016), p. 25.; Ver Texto

(99): Efectivamente, según el art. 31 bis.5.6º, se ha de realizar una «verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios».; Ver Texto

(100): Se pueden establecer indicadores que ayudan a medir el logro de los objetivos del compliance. En el caso de la eficacia de la formación, se puede tener en cuenta, a modo de ejemplo, el porcentaje de personal al que se le ha impartido (Norma UNE 19602:2019, p. 36).; Ver Texto

(101): Se puede tener en cuenta, a título ilustrativo, la cantidad de tiempo utilizado para informar y adoptar acciones correctivas (Norma UNE 19602:2019, p. 36).; Ver Texto

(102): Todo lo necesario para evaluar la eficacia del sistema y de su desempeño podrá obtenerse a través de la información obtenida en los canales de denuncia, en talleres de trabajo, en pruebas integrales y por muestreo, en observaciones directas o entrevistas formales, o a través de auditorías, entre otros (Norma UNE 19602:2019, p. 36).; Ver Texto

(103): Aneiros Pereira (2021), p. 537.; Ver Texto

(104): Norma UNE 19602:2019, p. 41.; Ver Texto

(105): Fiscalía General del Estado (2016), p. 6.; Ver Texto

(106): González Cano (2019), p. 864.; Ver Texto

(107): Pérez Ferrer (2018), p. 138.; Ver Texto

(108): Como ha indicado Aneiros Pereira (2021), el objetivo de la diligencia debida no es otro que el de «unir la capacidad de la organización para detectar los delitos e infracciones administrativas y evitar que se cometa o se amparen» (p. 540).; Ver Texto

(109): Para algunos autores, como Dolz Lago (2016), estas previsiones dan lugar a «interpretaciones jurídicas» que sitúan «de facto a las personas jurídicas en una impunidad programada» (p. 7).; Ver Texto

(110): Fiscalía General del Estado (2016), p. 24.; Ver Texto

(111): Faraldo Cabana (2019), pp. 161 y 163.; Ver Texto

(112): Del Moral García (2019), p. 694.; Ver Texto

(113): Además de las otras tres circunstancias atenuantes recogidas en el mismo precepto: el hecho de «haber procedido, antes de conocer que el procedimiento judicial se dirige contra ella, a confesar la infracción a las autoridades» (apartado a); de «haber colaborado en la investigación del hecho aportando pruebas, en cualquier momento del proceso, que fueran nuevas y decisivas para esclarecer las responsabilidades penales dimanantes de los hechos» (apartado b); y de «haber procedido en cualquier momento del procedimiento y con anterioridad al juicio oral a reparar o disminuir el daño causado por el delito» (apartado c).; Ver Texto

(114): Faraldo Cabana (2019), pp. 161 y 164. Para del Moral García (2019) «la naturaleza de las penas que se imponen a una persona jurídica (ordinariamente, la multa) hace que la consecuencia de una atenuante recogida como tal en la sentencia no tenga demasiado alcance» pues no tendrá «incidencia alguna sobre lo que en realidad constituye la ‘penalidad’ más temida y más grave: la publicidad negativa» (p. 694).; Ver Texto

(115): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 214/2015, de 2 de septiembre, FD 3 (ECLI:ES:TS:2015:3813). En efecto, según Gómez Colomer (2019), «corresponde al Fiscal (a la acusación) probar que la persona jurídica es culpable, sin que quepa presunción alguna en conexión con la culpabilidad de la persona física (heterorresponsabilidad)» (p. 50).; Ver Texto

(116): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 154/2016. de 29 de febrero, FD 8.b) (ECLI:ES:TS:2016:613). Para autores como Dolz Lago (2016), «en esa interpretación judicial se otorgan más derechos penales a las personas jurídicas que a las físicas, ya que si una persona física comete un delito (...) tiene que acreditar la concurrencia de una eximente de su responsabilidad penal, mientras que si lo comete una persona jurídica», la prueba de la eximente del art. 31 bis (apartados 2 y 4), «no le corresponde a ella sino a quién le acusa». Esto es, «la persona jurídica es una privilegiada penal frente a las personas físicas» (p. 6). En la misma línea, Luzón Cánovas (2020) sostiene que «no se puede torcer» la literalidad del Código Penal, el cual contempla «inequívocamente» que la prueba de la «existencia e idoneidad del compliance compete a la persona jurídica».; Ver Texto

(117): Fiscalía General del Estado (2016), pp. 28-29.; Ver Texto

(118): Voto particular formulado a la Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 154/2016. de 29 de febrero (ECLI:ES:TS:2016:613). Por el contrario, autores como Gómez Colomer (2019) sostienen que «será el Ministerio Fiscal el que tiene que probar que «la persona física cometió el hecho delictivo y que ello es consecuencia de la existencia de un modelo de organización deficiente, o sencillamente de su inexistencia» (p. 61).; Ver Texto

(119): Sentencia de la Sala de lo Penal de la Audiencia Nacional núm. 18/2023, de 16 de octubre, FD 4 (ECLI: ES:AN:2023:5004).; Ver Texto

(120): Sentencia de la Sala de lo Penal de la Audiencia Nacional núm. 18/2023, de 16 de octubre, FD 4 (ECLI: ES:AN:2023:5004).; Ver Texto

(121): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 4 (ECLI:ES:TS:2024:1932).; Ver Texto

(122): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 4 (ECLI:ES:TS:2024:1932). No se trata, por tanto, como ha indicado Serrano Zaragoza (2016), de que la empresa pruebe «un defecto organizativo» propio —cuya carga de la prueba corresponde a la acusación—, sino que «antes de la comisión del delito se había adoptado y ejecutado eficazmente un programa de prevención de riesgos jurídico-penales» (p. 5).; Ver Texto

(123): Sentencia de la Sala de lo Penal del Tribunal Supremo núm. 298/2024, de 8 de abril, FD 4 (ECLI:ES:TS:2024:1932).; Ver Texto

(124): Del Moral García (2019), p. 699.; Ver Texto

(125): Sobre las dudas que podría plantear esta postura a la luz del derecho a no autoincriminarse, véase Magro Servet (2023).; Ver Texto

(126): Entre otros, normas técnicas de auditoría, control interno de calidad de los auditores, informes anuales de transparencia, código de conducta, manual de cumplimiento normativo, comunicaciones realizadas a empleados y terceros, y resumen de riesgos identificativos.; Ver Texto

(127): Sentencia de la Sala de lo Penal de la Audiencia Nacional núm. 13/2020, de 29 de septiembre, FD 4 (ECLI: ES:AN:2020:2347); Ver Texto

(128): Fiscalía General del Estado (2011), p. 19; y Del Moral García (2019), p. 704.; Ver Texto

(129): Como ha sostenido Luzón Cánovas (2020), «evidentemente» los «programas estereotipados que, aun siguiendo fielmente la finalidad de la norma, apenas se adaptan a las particularidades de la organización, no representan un compromiso con la prevención de la delincuencia en la empresa y en nada reflejan una verdadera cultura ética empresarial» (RB-1.6).; Ver Texto

(130): Bachmaier Winter (2012), p. 2.; Ver Texto

(131): Del Moral García (2019), p. 704.; Ver Texto

(132): Luzón Cánovas (2020), RB-1.4.; Ver Texto

(133): La cuantía de la defraudación, el número de personas implicadas, la utilización de estructuras defraudatorias complejas son algunas «de las variables que el Juez deberá tener en cuenta en su valoración» a los efectos de desacreditar la correcta implantación de un sistema de compliance tributario» (Luzón Cánovas, 2020, RB-1.6).; Ver Texto

(134): Fiscalía General del Estado (2016), p. 27.; Ver Texto

(135): Del Moral García (2019), p. 704; y González Cano (2019), p. 882.; Ver Texto

(136): González Cano (2019), p. 879.; Ver Texto

(137): González Cano (2019), p. 880; y Serrano Zaragoza (2016), p. 6.; Ver Texto

(138): Grandes empresas como Endesa, Iberdrola, Securitas Direct, Siemens o Solect fueron las pioneras en compliance tributario, obteniendo la certificación AENOR por sus sistemas de gestión de riesgos tributarios.; Ver Texto

(139): Fiscalía General del Estado (2016), p. 26.; Ver Texto

(140): Rozas Valdés (2021), p. 61.; Ver Texto

(141): Rozas Valdés (2021), p. 60.; Ver Texto

(142): Orena Domínguez (2021), p. 81.; Ver Texto

(143): Sentencia del Tribunal Constitucional 76/1990, de 26 de abril, FJ 4 (ECLI:ES:TC:1990:76).; Ver Texto

(144): Auto de la Sala de lo Contencioso-administrativo del Tribunal Supremo, de 25 de febrero de 2021, FD 7 (ECLI: ES:TS:2021:2129A).; Ver Texto

(145): Sentencias del Tribunal Constitucional núms. 246/1991, de 19 de diciembre, FJ 2 (ECLI:ES:TC:1991:246); 86/2017, de 4 de julio, FJ 5 (ECLI:ES:TC:2017:86); 172/2020, de 19 de noviembre, FJ 6 (ECLI:ES:TC:2020:172); y 14/2021, de 28 de enero, FJ 5 (ECLI:ES:TC:2021:14), entre otras.; Ver Texto

(146): Moreno Fernández (2007), p. 67.; Ver Texto

(147): García Novoa (2020), pp. 48-49.; Ver Texto

(148): Márquez Sillero y Márquez Márquez (2021), p. 12.; Ver Texto

(149): Almudí Cid (2009), p. 469.; Ver Texto

(150): Romero Mata (1986), p. 666.; Ver Texto

(151): Del Moral García (2019), p. 692.; Ver Texto

(152): Diccionario médico de la Clínica de la Universidad de Navarra.; Ver Texto

(153): No son pocos los autores que han recalcado la necesidad de que, tal y como ocurre en sede penal, se reconozcan explícitamente en el ámbito tributario los efectos de los programas de compliance. Véanse, Martínez Muñoz, 2020, p. 58; Martín Fernández y Rodríguez Márquez (2020), RB-2.5;; Ribes Ribes (2021), p. 30; y Orena Domínguez (2021), pp. 84-86.; Ver Texto

(154): Orena Domínguez (2021), p. 83.; Ver Texto

(155): Martínez Muñoz (2020), p. 58. En el mismo sentido, para Lucas Durán (2021), «si se ha implementado un sistema de gestión de compliance tributario en la organización» y «además, el mismo ha sido convenientemente certificado, no puede imaginarse mayor diligencia institucional para el cumplimiento de las obligaciones tributarias» (p. 186).; Ver Texto

(156): Resolución de 21 de febrero de 2024, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan Anual de Control Tributario y Aduanero de 2024.; Ver Texto

(157): Martínez Muñoz (2020), p. 57.; Ver Texto

(158): En Francia, la Ley 2018-727, de 10 de agosto, para un Estado al servicio de una sociedad de confianza (pour un État au service d’une société de confiance —conocida como Ley ESSOC—), introdujo un nuevo art. L123-1 al Código de Relaciones entre el Público y la Administración (Code des relations entre le public et l'administration), en virtud del cual la persona que, «por primera vez», haya ignorado una norma aplicable a su situación o haya cometido un error material al facilitar información a la Administración, no podrá ser sancionada, siempre y cuando regularice su situación por iniciativa propia o en el plazo otorgado por la Administración tras haber sido requerido para ello. Es decir, en el sistema jurídico francés, se valora el historial del contribuyente no sólo de forma desfavorable (como sucede en España, que solo se tiene en cuenta para incrementar la sanción por la comisión reiterada de infracciones), sino también de forma favorable (al tomar en consideración que si un contribuyente ha cumplido correctamente con sus obligaciones tributarias hasta la fecha, la primera vez que no lo hace, se entiende que ha cometido un error y no será sancionado, siempre que haya regularizado su situación y, por tanto, reparado el perjuicio a la Hacienda Pública).; Ver Texto

(159): Es cierto, no obstante, que el Plan Anual de Control Tributario y Aduanero de 2024 recoge que se pretende continuar con los trabajos encaminados «a la revisión de los criterios operativos de aplicación del régimen sancionador tributario, con la finalidad de mejorar los procesos de detección de la concurrencia de culpabilidad y centrar la aplicación del régimen sancionador en las conductas de mayor gravedad», especialmente en aquellos casos en los que no existe perjuicio económico y en los que «los incumplimientos son cometidos ocasionalmente por obligados tributarios tradicionalmente cumplidores». Con lo cual, a pesar de que la legislación tributaria no lo contempla expresamente, la Administración tributaria sí pretende tener en cuenta el historial del contribuyente de forma favorable respecto de determinados incumplimientos.; Ver Texto

(160): Pérez Ferrer (2018), p. 138.

El cumplimiento corporativo (compliance): implicaciones en el ámbito sancionador tributario (administrativo y penal)