Modelo de Prevención de Delitos: Exención de Responsabilidad Penal bajo el Art. 31 bis CP

El Modelo de Prevención de Delitos (MPD) es el sistema de organización y gestión que el artículo 31 bis del Código Penal español —introducido por la LO 5/2010 y reformado sustancialmente por la LO 1/2015— reconoce como causa de exención o atenuación de la responsabilidad penal de las personas jurídicas por los delitos cometidos en su nombre o por su cuenta por sus representantes legales, administradores o empleados. El MPD debe ser adoptado y ejecutado eficazmente antes de la comisión del delito, supervisado por un órgano con poderes autónomos de control, y actualizado periódicamente para que conserve su eficacia preventiva y su valor como instrumento de defensa ante la Fiscalía y los tribunales. La norma UNE 19601, alineada con la ISO 37301, es el estándar técnico de referencia para el diseño y la certificación del MPD en España.

Por qué el MPD es la protección más eficiente ante la responsabilidad penal corporativa

Desde la reforma del Código Penal de 2015, las personas jurídicas —sociedades de capital, cooperativas, asociaciones, fundaciones— pueden ser declaradas penalmente responsables de los delitos cometidos en su nombre o por su cuenta por sus representantes legales, administradores o empleados cuando no se ejerció el debido control. Las consecuencias de una condena penal pueden ser devastadoras: multa equivalente al doble al quíntuplo del beneficio obtenido, suspensión de actividades, clausura de establecimientos, prohibición de contratar con la Administración Pública o, en los casos más graves, disolución de la sociedad.

La Ley Orgánica 1/2015 introdujo una modificación sustancial en la estructura del artículo 31 bis CP: estableció expresamente que la persona jurídica quedará exenta de responsabilidad penal cuando el órgano de administración hubiera adoptado y ejecutado eficazmente, antes de la comisión del delito, un Modelo de Prevención de Delitos que reúna los requisitos que la ley establece. Esta reforma representó el reconocimiento explícito del MPD como causa de exención —no de atenuación, sino de exclusión total— de la responsabilidad penal corporativa.

El MPD no es solo un instrumento de defensa en el proceso penal. Es también un mecanismo de prevención que reduce materialmente la probabilidad de que se cometan delitos en el seno de la empresa, con el consiguiente ahorro en costes de litigación, reputación y continuidad del negocio. Y es un elemento de gobernanza corporativa que los inversores institucionales, los financiadores y los grandes clientes corporativos valoran cada vez más en sus procesos de due diligence.

Los cinco requisitos del artículo 31 bis CP que debe cumplir el MPD

El artículo 31 bis.2 CP establece los requisitos que debe cumplir el MPD para operar como eximente de responsabilidad penal de la persona jurídica cuando el delito fue cometido por sus representantes legales o altos directivos. Son condiciones cumulativas —la ausencia de cualquiera de ellas excluye la exención total— y su interpretación ha sido progresivamente precisada por la jurisprudencia del Tribunal Supremo.

Primero: identificación de actividades de riesgo (mapa de riesgos penales). El MPD debe identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. El mapa de riesgos no puede ser un catálogo genérico aplicable a cualquier empresa: debe reflejar los riesgos específicos de la empresa concreta, atendiendo a su sector de actividad, modelo de negocio, mercados en los que opera, perfil de clientes y proveedores, y estructura orgánica. Un mapa de riesgos copiado de una plantilla estándar, sin adaptación real a la empresa, tiene escaso valor como argumento de defensa.

Segundo: protocolos de prevención y vigilancia. El MPD debe establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. Esta exigencia se traduce en procedimientos específicos para los procesos empresariales de mayor riesgo: contratación con terceros, pagos a agentes, gestión de caja, aprobación de gastos de representación, contratación pública, etc.

Tercero: gestión de los recursos financieros. El MPD debe contemplar modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Este requisito es especialmente relevante para los delitos de corrupción —donde el pago de sobornos a través de circuitos financieros opacos es el vector principal— y para el blanqueo de capitales.

Cuarto: canal de denuncias. El MPD debe imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Tras la Ley 2/2023, el canal de denuncias es obligatorio para empresas con 50 o más trabajadores, pero su inclusión en el MPD es un requisito de eficacia con independencia del tamaño de la empresa.

Quinto: sistema disciplinario. El MPD debe establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas de vigilancia y control establecidas en el modelo. Un código ético sin régimen sancionador pierde toda fuerza disuasoria y no reúne los requisitos del artículo 31 bis CP.

El Órgano de Compliance: composición, autonomía y funciones

El artículo 31 bis CP exige que la supervisión del MPD sea encomendada a un órgano con poderes autónomos de iniciativa y control. La Circular 1/2016 de la Fiscalía General del Estado desarrolla en detalle las características que debe reunir este órgano:

Autonomía real, no formal. El Órgano de Compliance no puede estar sometido a la jerarquía de los administradores o directivos cuya conducta debe supervisar. La autonomía debe ser real: el Órgano debe poder acceder a cualquier información de la empresa, investigar cualquier denuncia —incluso si afecta a los órganos de dirección— y elevar sus conclusiones directamente al consejo de administración sin interferencias de la línea de gestión.

Acceso a recursos suficientes. El Órgano de Compliance debe contar con los recursos humanos, técnicos y presupuestarios necesarios para ejercer eficazmente sus funciones. Un Compliance Officer que no tiene tiempo ni medios para realizar su función no reúne los requisitos del artículo 31 bis CP.

Compliance Officer externo. En pymes y empresas medianas donde la designación de un Compliance Officer interno con dedicación exclusiva puede ser costosa o difícil, la externalización de la función de compliance a un despacho especializado es la solución que combina eficiencia económica con independencia real. BMC ofrece el Compliance Officer externo como servicio, asumiendo la función de supervisión del MPD con plena autonomía respecto de la dirección de la empresa.

Diferencia entre MPD, compliance program e ISO 37301

Existe cierta confusión terminológica en el mercado entre los conceptos de MPD, compliance program, programa de compliance penal e ISO 37301. La distinción es importante para no confundir instrumentos con objetivos distintos:

El MPD del artículo 31 bis CP es el instrumento específico de exención o atenuación de la responsabilidad penal de las personas jurídicas. Su objetivo es prevenir los delitos del catálogo del artículo 31 bis y crear la evidencia de defensa penal.

El compliance program o programa de cumplimiento normativo es un concepto más amplio que abarca el cumplimiento de todo el ordenamiento jurídico aplicable a la empresa: laboral, fiscal, medioambiental, de protección de datos, sectorial. El compliance program puede incluir el MPD como uno de sus componentes, pero va mucho más allá.

La norma ISO 37301 (antigua ISO 19600) es el estándar internacional de sistemas de gestión de compliance, aplicable a cualquier tipo de requisito de cumplimiento. Su alcance es más amplio que el MPD penal.

La norma UNE 19601 es el estándar español específico para sistemas de gestión de compliance penal, diseñado expresamente para alinearse con los requisitos del artículo 31 bis CP. La certificación UNE 19601 por una entidad acreditada es la forma más sólida de acreditar ante los tribunales la calidad y eficacia del MPD.

Certificación UNE 19601 y su valor ante la Fiscalía y los tribunales

La certificación del MPD bajo la norma UNE 19601 por una entidad de certificación acreditada por ENAC (Entidad Nacional de Acreditación) es el instrumento de mayor credibilidad para demostrar la calidad del programa ante el Ministerio Fiscal y los tribunales penales.

La certificación implica que un auditor externo independiente ha verificado que el sistema de gestión de compliance penal de la empresa cumple los requisitos de la norma, que está implementado de forma efectiva en la organización y que los controles funcionan en la práctica. Este nivel de validación externa es cualitativamente superior a la simple declaración de la empresa de que cuenta con un MPD.

En la práctica procesal, la certificación UNE 19601 tiene dos efectos relevantes: primero, genera una presunción favorable sobre la calidad del programa que la acusación debe combatir con argumentos concretos; segundo, dificulta la argumentación fiscal de que el programa era meramente formal o cosmético, que es el argumento más frecuente de las acusaciones para negarle efecto exonerador al MPD.

BMC acompaña a las empresas en el proceso de preparación para la certificación UNE 19601, realizando una auditoría previa de gap analysis, diseñando las mejoras necesarias, preparando al equipo de la empresa para la auditoría de certificación y coordinando con la entidad certificadora.

El MPD como sistema de gestión vivo: actualización y mejora continua

La Circular 1/2016 FGE pone especial énfasis en la eficacia real del MPD a lo largo del tiempo. Un programa que fue genuino en el momento de su implantación pero que no ha sido actualizado en tres años, que ha pasado por reestructuraciones corporativas significativas sin ser revisado, o cuyos controles no se aplican en la práctica porque el personal no los conoce, ha perdido su valor como instrumento de defensa.

La eficacia del MPD es dinámica: depende de que el mapa de riesgos refleje los riesgos actuales de la empresa, de que los controles establecidos funcionen en la práctica, de que el personal esté formado y comprometido, de que el canal de denuncias reciba comunicaciones y éstas sean gestionadas adecuadamente, y de que el Órgano de Compliance informe regularmente al consejo de administración sobre el estado del programa.

Las auditorías anuales de eficacia del MPD son el instrumento que permite verificar que el programa sigue siendo real y operativo, identificar las brechas que deben corregirse antes de que puedan ser explotadas por un agente interno malintencionado, y documentar la mejora continua del sistema de cara a una eventual defensa penal.

Delitos del catálogo del artículo 31 bis CP más relevantes para el MPD

El artículo 31 bis CP no atribuye responsabilidad penal corporativa por todos los delitos que puedan cometerse en el seno de la empresa, sino únicamente por los tipos penales en los que el legislador ha previsto expresamente la responsabilidad de la persona jurídica. Los de mayor relevancia práctica para el MPD de una empresa mediana son:

• Corrupción entre particulares (art. 286 bis CP) y cohecho (art. 427 bis CP)
• Blanqueo de capitales (art. 304 CP) — véase el servicio de defensa penal blanqueo capitales para el lado criminal
• Delitos contra la Hacienda Pública (art. 310 bis CP) — véase el servicio de defensa delito fiscal para la defensa penal
• Estafas y fraudes (art. 251 bis CP)
• Insolvencias punibles (art. 261 bis CP)
• Delitos contra el medioambiente (art. 328 CP)
• Delitos contra los derechos de los trabajadores (art. 318 CP)
• Delitos informáticos (art. 197 quinquies CP)
• Financiación del terrorismo (art. 576 ter CP)
• Tráfico de influencias (art. 430 bis CP)

El mapa de riesgos del MPD debe identificar cuáles de estos delitos son relevantes para la empresa concreta y cuáles pueden excluirse razonadamente en función de su actividad.

Marco normativo de referencia

• Artículo 31 bis CP — Responsabilidad penal de personas jurídicas y requisitos del MPD. LO 5/2010 y LO 1/2015.
• Artículos 31 ter-31 quinquies CP — Régimen de penas, circunstancias modificativas y reglas especiales.
• LO 1/2015, de 30 de marzo — Reforma que introduce los requisitos explícitos del MPD.
• Circular 1/2016 de la Fiscalía General del Estado — Criterios de eficacia del MPD y estándares de evaluación fiscal.
• Norma UNE 19601:2017 — Sistema de gestión de compliance penal. Estándar técnico español.
• ISO 37301:2021 — Sistema de gestión de compliance (estándar internacional).
• Ley 2/2023, de 20 de febrero — Canal de denuncias obligatorio para empresas de más de 50 trabajadores.
• STS 154/2016, de 29 de febrero — Primera sentencia del TS sobre responsabilidad penal de personas jurídicas.
• STS 221/2016, de 16 de marzo — Requisitos de eficacia real del MPD como eximente.
• STS 583/2017, de 19 de julio — Valor del MPD implantado con posterioridad al delito como atenuante.

Por qué BMC para el diseño e implementación del MPD

El MPD es un área donde la calidad técnica y la experiencia práctica marcan la diferencia entre un programa que protege realmente a la empresa y uno que genera una falsa sensación de seguridad. Nuestro equipo combina penalistas especializados en Derecho penal económico y empresarial con expertos en gobierno corporativo y gestión de riesgos.

Diseñamos MPDs que son genuinos y operativos, no documentos de archivo. Conocemos los argumentos que la Fiscalía y los tribunales utilizan para cuestionar la eficacia de los programas de compliance y diseñamos el MPD para que sea resistente a esos argumentos. Cuando una empresa que tiene un MPD implantado por BMC es investigada penalmente, estamos en condiciones de defender el programa ante el Juzgado instructor desde el primer día del procedimiento.

Coordinamos el MPD con el resto del sistema de cumplimiento de la empresa: el canal de denuncias exigido por la Ley 2/2023, el programa de prevención del blanqueo de capitales para los sujetos obligados, el mapa de riesgos de cumplimiento integrado, y la estrategia de compliance penal corporativo de la empresa.

Fuentes y Marco Normativo

• BOE - Código Penal art. 31 bis-quinquies
• BOE - LO 1/2015 reforma responsabilidad penal personas jurídicas
• Fiscalía General del Estado - Circular 1/2016
• UNE - Norma UNE 19601 compliance penal
• ISO - ISO 37301 compliance management
• CGPJ - Jurisprudencia Tribunal Supremo sobre MPD