A vueltas con la responsabilidad civil subsidiaria de la empresa en el procedimiento penal

Resulta interesante ver cómo la jurisprudencia de la Sala Segunda del Tribunal Supremo actualiza el contenido de algunas disposiciones legales, sobre todo cuando las mismas tienen una naturaleza civil, como es el caso del artículo 120.3 del Código Penal.

Y es que, como ya ha señalado en diversas ocasiones el Tribunal Supremo, al ser esta una disposición propia del ámbito del derecho civil resarcitorio de la infracción penal cometida, se debe operar con ciertos criterios de objetivación como son la “culpa in eligendo e in vigilando” y el principio “qui sentit commodum, sentire debet incommodum”[1].

Este ha sido el caso de la reciente Sentencia nº 136/2025 de 19 de febrero, por el que se ha condenado a una empresa del sector del automóvil como responsable civil subsidiaria, por un delito cometido como consecuencia de una brecha en su sistema informático, de forma que, a través de la suplantación de la dirección de correo de un empleado de su departamento comercial,  se indicaba a un concesionario que tenía pendiente abonos por transferencia para con la mercantil, que hiciera un pago a una cuenta que resultaba ser del defraudador.

Pues bien, recordemos que, de conformidad con la jurisprudencia consolidada del Tribunal Supremo, los requisitos legales para que el artículo 120.3 del Código Penal sea de aplicación son:

(i) Que se haya cometido un delito.

(ii) Que tal delito haya ocurrido en un determinado lugar, a saber, un establecimiento dirigido por persona o empresa contra la cual se va a declarar esta responsabilidad. Si bien el Código Penal no precisa el contenido y extensión del término establecimiento, comprende dentro de su ámbito a los establecimientos públicos y privados y, dentro de éstos, a establecimientos dedicados a cualquier género de actividad mercantil, comercial, industrial o de servicios.

(iii) Que tal persona o empresa o alguno de sus empleados hayan realizado una infracción de los reglamentos de policía o alguna disposición de la autoridad, debiendo entenderse estos reglamentos como normas de actuación profesional en el ramo en que se trate, abarcando cualquier violación de un deber impuesto por ley o norma positiva de rango inferior, o incluso el deber objetivo de cuidado que afecta a toda actividad para no causar daños a terceros.

(iv) Que dicha infracción sea imputable no solo a quienes dirijan o administren el establecimiento sino a sus dependientes o empleados, no siendo necesario identificar al concreto empleado, dependiente o representante que infringió el reglamento de policía.

(v) Que tal infracción esté relacionada con el delito o falta cuya comisión acarrea la responsabilidad civil, no siendo necesario una relación de causalidad entre la infracción de ese deber de cuidado y el daño, sino que basta una relación simplemente adecuada, de manera que tal infracción penal haya sido propiciada por la mencionada infracción reglamentaria.

En aplicación de lo anterior, en esta reciente sentencia, el Tribunal Supremo condena a una empresa como responsable civil subsidiaria mediante la ampliación del término establecimiento puesto que llega a la conclusión que, en la medida que el sistema informático comporta un elemento imprescindible de la actividad mercantil, y es un bien de uso, es decir, un activo utilizado para el desarrollo del negocio, del mismo modo que lo es el mobiliario, debe quedar abarcado por el término establecimiento; entendiendo, además, que, en dicho caso, el hecho omisivo que propició el fraude se cumplimentó por la falta de aviso del incidente informático por parte de la mercantil a los concesionarios con transferencias pendientes, para que pudieran hacer comprobaciones de la cuenta a la que realizaban el abono.

De lo anterior se debe llegar a varias conclusiones. La primera es la recomendación a todas las empresas de cuidar y mantener el buen funcionamiento de todos los activos usados para el desarrollo del negocio, incluido su sistema informático; y la segunda es que, en caso de que haya una brecha de su sistema informático, se recomienda tener un protocolo de aviso a sus clientes y proveedores.

[1] El que se lucra con los beneficios debe estar a los perjuicios.