Compliance Penal: Proteja su Empresa de Responsabilidad Penal

El compliance penal corporativo es el sistema de control interno que permite a las personas jurídicas en España eximir o atenuar su responsabilidad penal por los delitos cometidos por sus directivos o empleados en su nombre o por su cuenta, conforme al artículo 31 bis del Código Penal (reforma de 2015). Los delitos que con mayor frecuencia generan responsabilidad corporativa incluyen el fraude, la corrupción entre particulares y en transacciones internacionales, el blanqueo de capitales, los delitos contra la Hacienda Pública, el medioambiente y el mercado. Un programa de compliance eficaz debe incluir un mapa de riesgos penales, protocolos de prevención, un canal de denuncias (Ley 2/2023), un órgano de supervisión con autonomía real y sistemas de monitoreo y mejora continua, tal como establece la Fiscalía General del Estado en su Circular 1/2016 y la jurisprudencia del Tribunal Supremo.

Nuestro equipo de compliance penal combina abogados penalistas y especialistas en gobierno corporativo para diseñar programas que sean realmente efectivos: no documentos de archivo, sino herramientas vivas de prevención y defensa.

Por que el compliance penal es crítico para empresas medianas

Desde la reforma del Código Penal de 2015, las empresas españolas pueden ser condenadas penalmente por los delitos cometidos por sus administradores, directivos o empleados. Las consecuencias van desde multas millonarias hasta la disolución de la sociedad, la suspensión de actividades o la prohibición de contratar con la Administración Pública. Sin un programa de compliance penal eficaz, la empresa carece de los mecanismos de defensa que reconoce el Código Penal.

El riesgo es especialmente crítico para PYMES y empresas familiares que creen que la responsabilidad penal es solo un problema de grandes corporaciones. Los datos revelan lo contrario: los delitos más frecuentes en empresas medianas — fraude fiscal, blanqueo de capitales, delitos laborales — son precisamente los que el artículo 31 bis del Código Penal atribuye con mayor frecuencia a personas jurídicas.

Como diseñamos el programa de compliance penal que exime de responsabilidad

Nuestro equipo de especialistas diseña el programa partiendo siempre del mapa de riesgos penales específico de la empresa. Una constructora tiene perfiles de riesgo muy distintos a una empresa de servicios financieros o una farmacéutica. Un programa estandarizado que no refleje la realidad del negocio tiene poco valor en una eventual defensa penal. Construimos el mapa, diseñamos el código ético y las políticas, implantamos el canal de denuncias conforme a la Ley 2/2023, estructuramos el Órgano de Compliance y formamos a empleados y directivos.

La eficacia real del programa — que se aplique, se conozca y se actualice — es lo que determina su valor como argumento de defensa ante la Fiscalia y los tribunales. Coordinamos con el área de prevención de blanqueo y con el mapa de riesgos de cumplimiento para garantizar una cobertura integral.

Marco normativo del compliance penal en España

El artículo 31 bis del Código Penal español establece la responsabilidad penal de las personas jurídicas y los requisitos que debe cumplir el programa de compliance para tener efecto exonerador o atenuante. La Fiscalia General del Estado ha publicado circulares (especialmente la Circular 1/2016) que desarrollan los criterios de evaluación de la eficacia del programa. Adicionalmente, la Ley 2/2023 de protección al informante hace obligatorio el canal de denuncias para empresas con 50 o más empleados, con sanciones de hasta 1 millon de euros por incumplimiento.

Las normas UNE 19601 (compliance penal) y ISO 37001 (anticorrupcion) son referencias técnicas voluntarias creciendo en importancia como estándar de referencia para demostrar la calidad del programa ante las autoridades.

Resultados que puedes esperar

• Mapa de riesgos penales corporativos específico para su sector y modelo de negocio
• Código ético corporativo y políticas anticorrupcion operativas, no documentos de archivo
• Canal de denuncias conforme a la Ley 2/2023 con garantías de confidencialidad y anonimato
• Órgano de Compliance estructurado con funciones, autonomía y recursos definidos
• Formación práctica a empleados y directivos sobre los riesgos penales de su actividad
• Documentación de defensa preparada para procedimientos penales en curso o futuros

La inversión en un programa de compliance penal bien diseñado es, sobre todo, la inversión en la continuidad del negocio y en la protección de las personas que lo dirigen. Coordinamos siempre con el área de due diligence en operaciones corporativas para identificar y gestionar los pasivos de compliance que el adquirente puede heredar. El compliance penal no puede disociarse de la responsabilidad civil y penal de los administradores: un programa eficaz reduce la exposición personal de los directivos ante reclamaciones de terceros o calificaciones desfavorables en un eventual concurso de acreedores.

Delitos imputables a personas jurídicas (art. 31 bis CP)

El artículo 31 bis del Código Penal no atribuye responsabilidad penal corporativa por cualquier delito cometido en el seno de la empresa, sino únicamente por aquellos tipos penales en los que el legislador ha previsto expresamente la responsabilidad de la persona jurídica. El catálogo es amplio y creciente; a continuación se recogen los de mayor relevancia práctica en el tejido empresarial español:

Estafas y fraudes (art. 248-251 bis CP). Las personas jurídicas responden por la comisión de estafas, incluidas la estafa informática (art. 248.2) y los fraudes en la contratación. Este riesgo afecta especialmente a empresas con modelos de negocio basados en plataformas digitales, venta a distancia o relaciones comerciales con consumidores finales.

Insolvencias punibles (art. 259-261 bis CP). La alzada de bienes, la ocultación de activos y la causación dolosa o temeraria de la insolvencia pueden atribuirse a la persona jurídica. Los administradores concursales y los acreedores prestando especial atención a este capítulo en las calificaciones concursales hacen que el compliance en situaciones de dificultad financiera sea crítico.

Delitos contra la Hacienda Pública y la Seguridad Social (art. 305-310 bis y 307-307 ter CP). La defraudación tributaria superior a 120.000 euros por ejercicio fiscal, la obtención indebida de devoluciones o bonificaciones, y el fraude a la Seguridad Social constituyen los tipos penales con mayor exposición para el tejido empresarial. El artículo 310 bis extiende expresamente la responsabilidad a la persona jurídica. Un programa de compliance fiscal robusto, alineado con las directrices de la AEAT sobre compliance tributario, reduce significativamente este riesgo.

Blanqueo de capitales (art. 301-304 CP). El blanqueo de capitales es uno de los delitos que con mayor frecuencia origina procedimientos penales contra personas jurídicas, especialmente en sectores como el inmobiliario, los servicios financieros y el asesoramiento profesional. El programa de compliance penal debe articularse con el programa de prevención del blanqueo de capitales (PBC) exigido por la Ley 10/2010, sin que sean documentos independientes.

Cohecho y corrupción entre particulares (art. 419-427 bis y art. 286 bis CP). El cohecho activo y pasivo, la corrupción en transacciones comerciales internacionales (relevante para empresas exportadoras y con filiales en el extranjero) y la corrupción entre particulares generan responsabilidad directa de la persona jurídica. La Foreign Corrupt Practices Act (FCPA) estadounidense y el UK Bribery Act pueden aplicarse extraterritorialmente a empresas españolas con actividad en dichos mercados.

Delitos contra el medio ambiente (art. 325-331 CP). Las empresas de los sectores industrial, energético, agropecuario y de gestión de residuos presentan una alta exposición a los tipos penales medioambientales, que incluyen la contaminación grave del suelo, agua o atmósfera y la gestión ilícita de residuos peligrosos. Las sanciones pueden incluir la clausura temporal o definitiva de instalaciones.

Delitos informáticos (art. 197 bis-197 ter CP). El acceso no autorizado a sistemas informáticos, la interceptación de comunicaciones y los daños informáticos pueden atribuirse a la persona jurídica cuando se cometen en su nombre o beneficio. La proliferación del trabajo remoto y la externalización de servicios tecnológicos ha ampliado considerablemente la superficie de riesgo en este ámbito.

Tráfico de influencias (art. 428-430 CP). El uso de influencias sobre funcionarios o autoridades para obtener resoluciones favorables en contratación pública o en procedimientos administrativos es un riesgo real para empresas con relación continuada con la Administración. El artículo 430 bis extiende la responsabilidad a la persona jurídica.

Financiación del terrorismo (art. 576-580 CP). Aunque estadísticamente menor, la financiación del terrorismo figura expresamente en el catálogo del artículo 31 bis. El riesgo es especialmente relevante para entidades financieras, organizaciones sin ánimo de lucro y empresas con operaciones en zonas geográficas de riesgo elevado.

Delitos contra los derechos de los trabajadores (art. 311-318 CP). La imposición de condiciones laborales abusivas, la trata de seres humanos con fines de explotación laboral y el trabajo de menores generan responsabilidad corporativa. El artículo 318 CP recoge expresamente la aplicación de estas penas a las personas jurídicas.

Delitos contra la propiedad intelectual e industrial (art. 270 y ss. CP). La reproducción o distribución no autorizada de obras protegidas, la fabricación y comercialización de productos falsificados y el uso no autorizado de marcas, patentes o diseños industriales constituyen un riesgo significativo para empresas del sector tecnológico, manufacturero y de distribución.

Requisitos de un programa de compliance penal eficaz

La Circular 1/2016 de la Fiscalía General del Estado es la referencia interpretativa más relevante para evaluar la eficacia de un programa de compliance penal. Establece que el programa debe ser real, efectivo y no meramente formal. Los siguientes elementos son indispensables:

Identificación de riesgos penales (risk assessment). El punto de partida es el mapa de riesgos penales, que debe identificar los delitos del catálogo del artículo 31 bis con mayor probabilidad e impacto en la empresa concreta, atendiendo a su sector, modelo de negocio, estructura orgánica, mercados en los que opera y perfil de contrapartes. El risk assessment no es un documento estático: debe actualizarse ante cambios significativos en el negocio o el entorno normativo.

Código ético y políticas internas. El código ético corporativo traduce los valores y compromisos de la empresa en normas de conducta exigibles. Debe complementarse con políticas específicas: política anticorrupción, política de regalos e invitaciones, política de conflictos de interés, política de relaciones con la Administración Pública y política de donaciones y patrocinios, entre otras. Estos documentos deben ser conocidos y aceptados formalmente por todos los empleados y directivos.

Canal de denuncias (Ley 2/2023). El canal de denuncias es un elemento estructural del programa, tanto desde la perspectiva del Código Penal como desde la Ley 2/2023 de protección de las personas que informen sobre infracciones normativas. Debe garantizar confidencialidad o anonimato, independencia en la gestión, plazo de acuse de recibo de 7 días naturales y resolución en un máximo de 3 meses, y protección efectiva del informante frente a represalias.

Organismo de compliance: composición, independencia y recursos. El artículo 31 bis CP exige que la supervisión del programa sea atribuida a un órgano con poderes autónomos de iniciativa y control. En sociedades cotizadas o grandes empresas, lo habitual es un Comité de Compliance presidido por un Compliance Officer independiente. En pymes, puede ser el propio Consejo de Administración, siempre que tenga recursos y medios suficientes. La Circular 1/2016 FGE subraya que la falta de autonomía real del órgano de compliance es un defecto grave que merma el efecto exonerador del programa.

Formación y sensibilización. Un programa que los empleados desconocen no tiene valor en sede judicial. La formación debe ser periódica, adaptada al perfil de riesgo de cada colectivo (directivos, comerciales, financieros, operaciones) y acreditable documentalmente. Los simulacros, el e-learning y los talleres presenciales son los formatos más eficaces para acreditar la interiorización de la cultura de compliance.

Sistema disciplinario. El programa debe establecer consecuencias reales para los incumplimientos, proporcionales a la gravedad de la conducta. Un código ético sin régimen sancionador pierde toda su fuerza disuasoria. El régimen disciplinario debe integrarse en el reglamento interno de trabajo y ser conocido por toda la plantilla.

Revisión periódica y mejora continua. La Circular 1/2016 FGE pone especial énfasis en la eficacia real del programa a lo largo del tiempo. Las auditorías periódicas de eficacia —al menos anuales— permiten verificar que los controles funcionan, que el mapa de riesgos sigue siendo válido y que el personal aplica efectivamente los procedimientos. Las auditorías deben documentarse para poder acreditarlas en un eventual procedimiento penal.

Debida diligencia con terceros. Los socios comerciales, proveedores, intermediarios y agentes representan un vector de riesgo penal relevante, especialmente en el ámbito del cohecho, el blanqueo y el fraude. El programa debe incluir procedimientos de due diligence sobre terceros (know your business partner), proporcionales al nivel de riesgo asociado a cada relación comercial.

Canal de denuncias: obligaciones tras la Ley 2/2023

La Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, transpone la Directiva (UE) 2019/1937 al ordenamiento jurídico español y establece un régimen de obligaciones específicas para empresas y organismos públicos.

Quién debe implantarlo. La obligación de contar con un canal de denuncias interno es exigible a: (i) empresas del sector privado con 50 o más trabajadores; (ii) entidades del sector financiero con independencia de su tamaño; (iii) toda la Administración Pública, incluidos municipios con más de 10.000 habitantes; y (iv) partidos políticos, sindicatos y organizaciones empresariales que reciban financiación pública. Las empresas de entre 50 y 249 trabajadores pudieron compartir canal hasta diciembre de 2023, plazo ya vencido.

Requisitos del sistema. El canal debe permitir la presentación de comunicaciones tanto por escrito como verbalmente, garantizar la confidencialidad de la identidad del informante y permitir comunicaciones anónimas. El sistema de gestión debe incluir: (i) acuse de recibo en un plazo máximo de 7 días naturales; (ii) designación de una persona o departamento responsable del seguimiento; (iii) comunicación al informante del resultado de las investigaciones en un plazo máximo de 3 meses; y (iv) conservación de los registros durante el tiempo necesario para las investigaciones, con un máximo de 10 años.

Protección del denunciante. La Ley 2/2023 establece un régimen de protección reforzada frente a represalias: nulidad de pleno derecho de las medidas retorsivas (despido, degradación, no renovación), inversión de la carga de la prueba a favor del informante, y acceso a medidas de apoyo (asesoramiento jurídico gratuito, medidas cautelares). El informante que actúe de buena fe queda exonerado de responsabilidad por la revelación de la información, incluso cuando ésta sea confidencial.

Plazos y sanciones. El incumplimiento de la obligación de implantar el canal de denuncias, la adopción de represalias contra informantes o la obstaculización de las investigaciones son infracciones graves o muy graves bajo la Ley 2/2023. Las sanciones para personas jurídicas oscilan entre 100.001 y 1.000.000 de euros para infracciones muy graves, con publicidad de la sanción en los casos más graves. La Autoridad Independiente de Protección del Informante (AAI) es el organismo supervisor a nivel nacional.

Compliance penal como atenuante y eximente: jurisprudencia del Tribunal Supremo

La jurisprudencia del Tribunal Supremo ha ido precisando progresivamente los requisitos que debe cumplir un programa de compliance penal para desplegar efecto exonerador o atenuante de la responsabilidad penal de la persona jurídica.

STS 154/2016, de 29 de febrero — Primera sentencia del Pleno del Tribunal Supremo sobre responsabilidad penal de personas jurídicas tras la reforma de 2015. Estableció que el programa de compliance debe ser previo al delito, no una reacción posterior a la investigación. Declaró que la persona jurídica tiene derecho a ser considerada inocente y que la carga de la prueba de la inexistencia del programa o su ineficacia corresponde a la acusación, no a la defensa.

STS 221/2016, de 16 de marzo — Precisó que la exención del artículo 31 bis CP requiere que el delito se haya cometido “eludiendo fraudulentamente” los controles del programa, lo que implica que dichos controles deben ser reales y operativos, no meramente formales. Un programa de papel, adoptado sin implementación efectiva, no produce efectos eximentes.

STS 583/2017, de 19 de julio — Consolidó la doctrina sobre la atenuante del artículo 31 bis.4 CP. Reconoció que la implantación de medidas de compliance con posterioridad al delito pero antes del juicio oral puede operar como atenuante, siempre que se acredite un esfuerzo genuino y no meramente cosmético de la empresa por prevenir futuras conductas ilícitas.

Requisitos para la exención total. La exención completa de responsabilidad penal requiere acreditar cumulativamente: (i) que el órgano de administración adoptó y ejecutó eficazmente el programa antes de la comisión del delito; (ii) que la supervisión del cumplimiento fue confiada a un órgano con poderes autónomos de control; (iii) que los autores individuales eludieron fraudulentamente el programa; y (iv) que no se produjo omisión o insuficiencia grave de las funciones de supervisión del órgano de compliance. La Circular 1/2016 FGE aclara que en el caso de delitos cometidos por empleados no directivos (supuesto del art. 31 bis.1.b CP), el umbral probatorio es menos exigente que para delitos cometidos por representantes legales o altos directivos.

Atenuante cualificada. Cuando el programa no reúna todos los requisitos para la exención, el Código Penal prevé la posibilidad de apreciar atenuantes que permiten reducir la pena en uno o dos grados. La adopción de un programa de compliance con posterioridad al delito, la confesión a las autoridades, la reparación del daño o la colaboración activa en la investigación son las atenuantes más frecuentemente apreciadas.

Sectores con mayor exposición penal

El perfil de riesgo penal varía significativamente en función del sector de actividad. Identificar correctamente las áreas de mayor exposición es el primer paso para diseñar un programa eficaz:

Construcción e inmobiliario. Alta exposición a cohecho y corrupción urbanística, blanqueo de capitales en operaciones de compraventa con origen de fondos no verificado, delitos contra los derechos de los trabajadores (subcontratación en cadena, trabajo no declarado) y delitos medioambientales en gestión de residuos de construcción.

Servicios financieros, fintech y criptoactivos. Riesgo primario en blanqueo de capitales, financiación del terrorismo y delitos informáticos. Las entidades sujetas a la Ley 10/2010 deben integrar el programa de compliance penal con el programa PBC. Las plataformas de criptoactivos registradas ante el Banco de España tienen obligaciones adicionales desde el Reglamento MiCA.

Farmacéutico y sanitario. Cohecho en relaciones con prescriptores y Administración sanitaria, falsificación de medicamentos, delitos contra la propiedad industrial y fraudes en la contratación pública de suministros sanitarios.

Agroalimentario. Delitos contra la salud pública (adulteración de alimentos), delitos medioambientales y delitos contra los derechos de los trabajadores, especialmente en explotaciones con trabajo estacional.

Energético e industrial. Delitos medioambientales (vertidos, emisiones, gestión de residuos peligrosos), cohecho en concesiones y licencias administrativas, y delitos contra la seguridad de los trabajadores.

Comercio internacional y distribución. Corrupción en transacciones internacionales (especialmente en países con alto índice de percepción de corrupción según Transparencia Internacional), blanqueo de capitales y delitos contra la propiedad intelectual e industrial en la cadena de suministro.

Tecnología e inteligencia artificial. Delitos informáticos, vulneración de datos personales con eventual responsabilidad penal, y riesgos emergentes en el uso de IA para la toma de decisiones con impacto en derechos fundamentales.

Sector público y concesionarias. Tráfico de influencias, cohecho pasivo, malversación y prevaricación son los tipos penales con mayor frecuencia en entes públicos y empresas mixtas. La exigencia de programas de compliance en licitaciones públicas es creciente.

Por qué BMC para su programa de compliance penal

El compliance penal es un área donde la calidad técnica y la experiencia práctica marcan la diferencia entre un programa que protege realmente a la empresa y uno que sólo genera documentación. Estos son los factores que distinguen a BMC:

Equipo interdisciplinar con experiencia judicial. Nuestros especialistas en compliance penal combinan formación en Derecho Penal económico y empresarial con experiencia acreditada en procedimientos penales contra personas jurídicas. Conocemos los argumentos que funcionan ante la Fiscalía y los tribunales porque hemos participado en la defensa de empresas investigadas.

Programas a medida, no plantillas. Rechazamos el modelo de programa estándar. Cada empresa tiene un perfil de riesgo penal distinto que requiere un mapa de riesgos propio, políticas adaptadas a su realidad y controles proporcionales a su tamaño y complejidad. Un programa mal calibrado puede generar una falsa sensación de seguridad.

Integración con el resto del sistema de cumplimiento. El compliance penal no puede diseñarse en silos. Lo integramos con el programa de prevención del blanqueo (PBC), el canal de denuncias (Ley 2/2023), la política de protección de datos (RGPD/LOPDGDD) y el sistema de control interno financiero para crear un marco de cumplimiento coherente y eficiente.

Cobertura de la due diligence en M&A. En operaciones de compraventa de empresas, auditamos el programa de compliance penal de la sociedad objetivo para identificar contingencias penales heredables. Un programa inexistente o ineficaz puede convertirse en un pasivo oculto que el comprador asume sin saberlo. Coordinamos con el equipo de fusiones y adquisiciones desde las primeras fases del proceso.

Soporte ante procedimientos penales en curso. Además del trabajo preventivo, acompañamos a empresas que ya están incursas en investigaciones penales: evaluamos la eficacia del programa existente como argumento de defensa, identificamos mejoras urgentes que pueden operar como atenuantes y coordinamos con los abogados penalistas del caso para construir la mejor estrategia procesal.

Certificación UNE 19601. Apoyamos a empresas que desean obtener la certificación bajo la norma UNE 19601 de sistemas de gestión de compliance penal, el estándar técnico de referencia en España, compatible con la ISO 37301. La certificación por entidad acreditada aporta una capa adicional de credibilidad del programa ante fiscales y tribunales.

Fuentes y Marco Normativo

• BOE - Codigo Penal (Ley Organica 10/1995)
• Fiscalia General del Estado - Circular 1/2016 sobre Compliance
• BOE - Ley Organica 1/2015 (reforma del Codigo Penal)
• Norma UNE 19601 - Sistemas de Gestion de Compliance Penal
• CGPJ (Consejo General del Poder Judicial)