Ir al contenido

Compliance penal vs compliance normativo: el penal es obligatorio por existencia, el normativo por operación

Comparativa entre el compliance penal del art. 31 bis CP y el compliance normativo general. Funciones, alcance, riesgos y como construir un programa integrado para empresas españolas.

Compliance Penal (Art. 31 bis CP)

Ventajas

  • Escudo frente a la responsabilidad penal corporativa: el artículo 31 bis CP permite eximir a la empresa de toda pena si el programa previene eficazmente los delitos del catálogo
  • Protección personal de administradores y directivos: el programa acredita que ejercieron la diligencia debida de supervisión — clave en casos de responsabilidad por omisión
  • Exencion específica legalmente definida: el marco jurídico establece con precisión los requisitos del programa que activa la exencion — no hay ambiguedad sobre que se necesita
  • Mitiga el riesgo más severo del ordenamiento: las penas corporativas van desde multas del quintuplo del beneficio hasta la disolución de la empresa y la prohibicion de contratar con el sector público
  • Obligatorio como mínimo en empresas medianas y grandes: la Circular FGE 1/2016 y la jurisprudencia del Tribunal Supremo hacen que su ausencia sea indefendible ante un tribunal

Desventajas

  • Requiere un programa formal: análisis de riesgos penales, políticas escritas, órgano de compliance independiente, canal de denuncias y formación continua — no es suficiente una declaración de intencion
  • El compliance officer debe tener independencia real y poderes de supervisión efectivos: si es un subordinado del CEO o del Consejo sin capacidad real de actuar, el programa no es eficaz
  • Catálogo cerrado de delitos: el artículo 31 bis solo cubre los delitos específicamente enumerados — no protege ante incumplimientos regulatorios, sanciones administrativas o responsabilidades civiles
  • Requiere actualización periódica: el mapa de riesgos penales debe revisarse ante cambios en el negocio, nuevas actividades o reformas del Código Penal
  • Riesgo de compliance de papel: un programa que existe formalmente pero no se aplica puede agravar la situación procesal al demostrar conocimiento del riesgo sin accion real

Compliance Normativo General

Ventajas

  • Alcance integral: cubre todas las obligaciones regulatorias de la empresa — fiscal, laboral, medioambiental, protección de datos, competencia, consumidores, publicidad, PBC/FT
  • Previene sanciones administrativas cotidianas: las infracciones laborales, tributarias o de protección de datos son mucho más frecuentes estadisticamente que los delitos penales corporativos
  • Integración operativa: un buen programa de compliance normativo se convierte en parte del modelo operativo de la empresa — afecta a como se toman decisiones en contratos, RRHH, finanzas y operaciones
  • Mejora de procesos y eficiencia: la sistematizacion de obligaciones regulatorias reduce errores, evita duplicidades y genera claridad en las responsabilidades internas
  • Mejora de reputacion y rating ESG: el compliance normativo es el sustrato de los indicadores de gobierno corporativo en los ratings de sostenibilidad y en los procesos de due diligence de inversores

Desventajas

  • No aborda específicamente la responsabilidad penal corporativa: sin un módulo de compliance penal específico, el programa normativo no activa la exencion del art. 31 bis CP
  • Puede volverse inabarcable sin un marco de prioridad: las obligaciones normativas de una empresa mediana pueden superar las 200 líneas de requisitos — sin jerarquizacion de riesgo, el programa se diluye
  • Menos definido jurídicamente: el compliance normativo no tiene un estándar legal único de referencia — cada área (fiscal, laboral, datos, medioambiental) tiene su propia lógica regulatoria
  • Riesgo de enfoque tick-the-box: sin una cultura real de cumplimiento, el compliance normativo puede convertirse en una lista de verificación formal que no cambia los comportamientos de riesgo

Nuestro veredicto

El compliance penal es un subconjunto del compliance normativo, pero su importancia es desproporcionada: es la única defensa ante el riesgo existencial de la condena penal corporativa y la responsabilidad personal de los directivos. Las empresas deben empezar por el compliance penal — es el riesgo de mayor impacto aunque no sea el más probable — y luego expandir al compliance normativo completo a partir de un mapa integrado de riesgos. El error más frecuente es invertir en compliance normativo extenso (fiscal, laboral, RGPD) y descuidar el compliance penal hasta que ocurre un incidente. Un programa de compliance integrado cubre ambas dimensiones con recursos compartidos: canal de denuncias, formación y órgano de supervisión válidos para los dos.

La confusion más costosa del compliance empresarial

En la práctica del asesoramiento a empresas españolas, una de las confusiones más frecuentes — y más costosas — es la equiparacion del compliance normativo general con el compliance penal específico del artículo 31 bis del Código Penal.

El error típico suena así: “Nosotros ya tenemos compliance — tenemos políticas de RGPD, un protocolo de acoso y un reglamento interno de conducta”. Ninguno de esos elementos constituye un programa de prevención de delitos en el sentido del artículo 31 bis CP. Son elementos de compliance normativo, no de compliance penal. Y la diferencia importa de forma crítica cuando una empresa se sienta frente a un fiscal.

La arquitectura del compliance: dos capas

El compliance empresarial tiene una estructura de capas:

Capa 1 — Compliance penal (art. 31 bis CP)

Es la capa básica e irrenunciable. Cubre el riesgo existencial: la posibilidad de que la empresa sea condenada penalmente y sus directivos encarcelados. Esta capa tiene un marco jurídico preciso (el art. 31 bis CP y la Circular FGE 1/2016) y genera una exencion legal específica si el programa cumple los requisitos.

Capa 2 — Compliance normativo general

Es la capa operativa. Cubre la totalidad de obligaciones regulatorias de la empresa: fiscal, laboral, protección de datos, medioambiental, de competencia, de consumidores, blanqueo de capitales, y todas las normativas sectoriales aplicables. No tiene un marco jurídico único — cada área tiene su propia lógica regulatoria — pero en conjunto determina el perfil de riesgo regulatorio del negocio.

Un programa de compliance completo tiene las dos capas. Un programa que solo tiene la capa 2 deja desprotegida la empresa ante el riesgo de mayor impacto. Un programa que solo tiene la capa 1 ignora decenas de obligaciones regulatorias cotidianas.

El catálogo de riesgos: penal vs normativo

Tipo de riesgoCompliance PenalCompliance Normativo
Corrupcion y sobornoSi (cohecho, corrupcion entre particulares)Si (política anticorrupcion)
Fraude fiscalSi (delitos contra la HP > 120.000 EUR)Si (cumplimiento tributario)
Incumplimiento laboralSi (delitos contra trabajadores)Si (normativa laboral, LRJS)
Protección de datosNo específicamenteSi (RGPD, LOPDGDD)
Blanqueo de capitalesSi (si la empresa es sujeto obligado)Si (PBC/FT para todos)
Incumplimiento medioambientalSi (delitos contra el medio ambiente)Si (normativa ambiental sectorial)
Incumplimiento de competenciaNo específicamenteSi (LDC, normativa de competencia desleal)
Infracciones de consumidoresNoSi (LGDCU, publicidad)
Responsabilidad de productoNo específicamenteSi (normativa de seguridad de productos)

La tabla ilustra por que ambas capas son necesarias: el compliance penal cubre con profundidad los riesgos más severos pero deja sin cubrir áreas regulatorias críticas del día a día.

Los tres elementos que comparten ambos programas

Un diseño eficiente de compliance integrado aprovecha que ambos programas comparten tres elementos fundamentales:

1. Canal de denuncias: obligatorio para el compliance penal (Circular FGE 1/2016) y para el compliance normativo en empresas de más de 50 empleados (Ley 2/2023 de protección del informante). Un único canal bien diseñado sirve a ambos propósitos.

2. Formación continua: tanto el compliance penal como el normativo requieren formación periódica del personal. Un programa de formación integrado cubre los riesgos penales específicos y las obligaciones normativas sectoriales con un único esfuerzo organizativo.

3. Órgano de supervisión: el compliance penal requiere un órgano autónomo de supervisión. Este mismo órgano — sea el compliance officer externo, el comité de auditoría o la junta directiva en empresas pequeñas — puede asumir la supervisión del compliance normativo completo.

La integración de los dos programas en un único sistema reduce los costes de mantenimiento en un 30-40% frente a gestionarlos como programas separados.

El orden de prioridad: penal primero

Cuando una empresa decide invertir en compliance y los recursos son limitados, el orden de prioridad debe ser:

  1. Compliance penal primero: es el riesgo existencial. Una condena penal puede destruir la empresa. La implementación del programa penal tiene un coste fijo razonable y genera la exencion legal máxima disponible.

  2. Compliance de datos (RGPD): la probabilidad de inspección de la AEPD es alta en sectores con tratamiento intensivo de datos, y las sanciones pueden ser significativas. Además, el compliance de datos es exigido por clientes y socios comerciales en procesos de due diligence.

  3. Compliance laboral: las inspecciones de trabajo son frecuentes y las sanciones por incumplimiento de convenios, contratos o normativa de prevención de riesgos laborales tienen alto impacto operativo.

  4. Compliance fiscal y sectorial: completar el mapa con las obligaciones específicas de la actividad económica de la empresa.

El error es invertir en áreas de compliance visible (RGPD, ESG) y descuidar el compliance penal hasta que es demasiado tarde.

FAQ

Preguntas frecuentes

La diferencia es cualitativa, no solo cuantitativa. Una sanción administrativa (una multa de Hacienda, de la AEPD o de la Inspección de Trabajo) es un coste económico que la empresa puede absorber y que, por grave que sea, no pone en riesgo su existencia ni la libertad de sus directivos. Una condena penal corporativa puede incluir: multa del duplo al quintuplo del beneficio obtenido, suspensión de actividades hasta 5 años, clausura de locales, prohibicion de contratar con el sector público durante 3-5 años, inhabilitacion para obtener subvenciones y ayudas públicas, intervención judicial, y en los supuestos más graves, la disolución de la empresa. Para los directivos, la responsabilidad penal personal puede incluir prision y multa individual. Ninguna sanción administrativa tiene efectos equivalentes en términos de impacto en la viabilidad del negocio.
El artículo 31 bis establece un catálogo cerrado de delitos por los que la persona jurídica puede ser responsable penalmente. Los más relevantes en la práctica empresarial son: cohecho (soborno de funcionarios públicos nacionales e internacionales), trata de seres humanos, financiacion del terrorismo, blanqueo de capitales, delitos contra la Hacienda Pública y la Seguridad Social (fraude fiscal y de cotizaciones superior a 120.000 EUR), estafa, insolvencia punible, delitos contra los derechos de los trabajadores (condiciones laborales ilegales, accidentes por imprudencia grave), delitos contra el medio ambiente, corrupcion entre particulares (soborno en el sector privado), delitos contra la propiedad intelectual e industrial, y revelacion de secretos. El error más frecuente es creer que estos delitos son exclusivos de grandes corporaciones: los delitos laborales, la corrupcion entre particulares o el fraude fiscal son igualmente aplicables a pymes.
No. El compliance normativo puede incluir el cumplimiento de normativas que también son objeto de ilícito penal (normativa fiscal, laboral, medioambiental), pero el compliance normativo por si mismo no activa la exencion del artículo 31 bis CP. Para que el programa de prevención de delitos opere como exencion de responsabilidad penal, la empresa debe demostrar: que el programa fue adoptado antes del delito, que fue ejecutado eficazmente, que la supervisión se confio a un órgano autónomo, y que el autor eludio fraudulentamente los controles. Un programa de compliance normativo que no ha sido diseñado específicamente para cumplir estos requisitos no puede invocarse como defensa en un proceso penal. Son, por tanto, instrumentos complementarios pero no sustitutivos.
El coste depende fundamentalmente del tamaño de la empresa y la complejidad de sus actividades. Para una empresa de 50-150 empleados con actividad doméstica: implementación inicial del compliance penal 15.000-25.000 EUR (mapa de riesgos, políticas, canal de denuncias, formación); capa de compliance normativo adicional (RGPD, PBC si aplica, políticas laborales) 5.000-15.000 EUR; mantenimiento anual del programa integrado 8.000-18.000 EUR. Para empresas de 150-500 empleados o con actividad internacional, los costes se multiplican por un factor de 2-3. La alternativa — asumir el riesgo sin programa — tiene un coste esperado que, ponderado por la probabilidad de incidente, supera ampliamente estos importes en la mayoría de los sectores con riesgo penal significativo.
El mapa integrado de compliance es el documento central de cualquier programa serio: relaciona cada riesgo identificado (penal, fiscal, laboral, regulatorio, reputacional) con la normativa aplicable, los controles existentes para mitigarlo, el responsable del control, y la frecuencia de revisión. Se construye en tres fases: primero, inventario de actividades de la empresa (todos los procesos relevantes desde compras hasta contratación, desde gestión de clientes hasta operaciones financieras); segundo, identificación de los riesgos jurídicos de cada actividad (que normas pueden incumplirse, con que consecuencia); y tercero, evaluación de la adecuación de los controles actuales frente a cada riesgo. El resultado es una vision única del perfil de riesgo legal de la empresa que permite priorizar la inversión en compliance según la probabilidad e impacto de cada categoría de riesgo.

Servicio relacionado

criminal-compliance →

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto