La respuesta es no. Pero también es sí.
En nuestro ordenamiento jurídico, si atendemos al artículo 31 bis del Código Penal, no existe como regla general para una persona jurídica la imposición de adoptar un programa de cumplimiento normativo. Es decir, es una decisión de “juicio” de la propia empresa; pero lo que sí indica el artículo expresamente es que solo quedarán exentas de responsabilidad aquéllas que, efectivamente, hayan tomado medidas en este sentido (quedarán exentas de responsabilidad si, entre otras circunstancias, el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión).
Además, decimos que es la regla general porque que existen normativas específicas que sí imponen la obligación a determinadas personas jurídicas de tener implementado en su organización un modelo efectivo de gestión y cumplimiento normativo con el objeto de prevenir, por ejemplo, la comisión de delitos. Nos referimos, por un lado, a los partidos políticos, (el artículo 9 de la Ley Orgánica 6/2002 les impone la obligación de adoptar en sus normas internas un sistema de prevención de conductas contrarias al ordenamiento jurídico a los efectos previstos en el citado artículo 31 bis del Código Penal), y a los clubes de fútbol (el artículo 55.19 de los Estatutos de la Liga de Fútbol Profesional establece como requisito de inscripción en la misma -y por ende, de participación-, la adopción y ejecución con eficacia de modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir la comisión de delitos o reducir significativamente el riesgo de su comisión en los términos previstos en el artículo 31 bis del Código Penal).
Por todo ello, debemos plantearnos si el hecho de que la regla general no imponga a las personas jurídicas la obligatoriedad de adoptar un programa de cumplimiento normativo, quiere decir que una empresa, incluso siendo pyme, puede existir sin tener uno implementado. Hemos de contestar que, realmente, no.
Y decimos que no es posible porque las consecuencias de incurrir en responsabilidad, por ejemplo, criminal, para una pyme pueden ser desastrosas. Pongamos un ejemplo claro: en el caso de que un administrador o un empleado llevara a cabo actividades delictivas (a veces hasta por desconocimiento de lo que está haciendo), en nombre o por cuenta de la empresa a la que pertenecen, y en su beneficio, la misma podría verse abocada no solo a tener que hacer frente a cuantiosas multas que podrían afectar gravemente a su viabilidad económica, sino, también, a sanciones que podrían comportar, incluso, su disolución.
Esta exigencia de implementación de un plan de cumplimiento normativo debería ser impuesta en toda organización, además de por evitar la comisión de delitos que pudieran acarrear sanciones penales, también para impedir, por ejemplo, la imposición de otras sanciones procedentes de organismos públicos (Agencia Tributaria, Agencia Española de Protección de Datos, Servicio de Prevención y Blanqueo de Capitales, Competencia, etc.), y el hecho de que nuestra organización, por falta de transparencia y honestidad, pueda gozar de mala reputación en el mercado (con la consiguiente pérdida de competitividad que esto conlleva). Y es que lo importante ya no es hacer negocios, sino, también, la forma de hacerlos.