Ir al contenido

Compliance penal: la única defensa completa frente a la responsabilidad criminal de la empresa

Comparativa entre tener un modelo de prevención de delitos (art. 31 bis CP) y no tenerlo. Exención de responsabilidad penal, protección de directivos, Circular FGE 1/2016 y coste de implementación.

Con Programa de Compliance Penal — Modelo de Prevención de Delitos

Ventajas

  • Exención completa de responsabilidad penal para la persona jurídica cuando el programa cumple los requisitos del art. 31 bis.2 CP y la Circular FGE 1/2016
  • Atenuación significativa de la pena incluso cuando el programa no previene el delito concreto, si existía con anterioridad y se aplicaba genuinamente
  • Protección de los administradores y directivos: el programa acredita que ejercieron la debida diligencia y cumplieron sus obligaciones de supervisión
  • Mejora del rating de crédito y acceso a financiación: los bancos y fondos de inversión exigen cada vez más acreditación de sistemas de compliance en sus due diligence
  • Ventaja en licitaciones públicas: la Ley de Contratos del Sector Público puede excluir a empresas condenadas penalmente — el programa reduce este riesgo
  • Cultura organizativa ética: la implementación de canales de denuncia y protocolos de actuación previene delitos antes de que se produzcan

Desventajas

  • Coste de implementación: análisis de riesgos penales, redacción de políticas, formación del órgano de compliance y personal — 15.000-50.000 € dependiendo del tamaño
  • Coste de mantenimiento anual: actualización del mapa de riesgos, auditoría interna, formación continua — 5.000-20.000 €/año
  • Riesgo de compliance «de papel»: un programa que existe pero no se aplica genuinamente puede agravar la situación procesal al demostrar conocimiento del riesgo sin acción real
  • Requiere un órgano de compliance independiente con poderes reales de supervisión — no puede ser el propio consejo de administración en empresas medianas y grandes
  • La designación del Compliance Officer genera obligaciones legales específicas que deben estar bien delimitadas para no crear exposición adicional

Sin Programa de Compliance Penal

Ventajas

  • Sin coste inicial de implementación ni coste de mantenimiento del programa
  • Sin fricción operativa derivada de protocolos de autorización y canales de denuncia que pueden ralentizar procesos internos
  • Menos burocracia interna: sin reuniones de comité de compliance, sin informes periódicos al órgano de administración
  • Para empresas muy pequeñas (menos de 10 empleados), el riesgo penal puede ser lo suficientemente bajo como para que la relación coste-beneficio no justifique el programa formal

Desventajas

  • Responsabilidad penal directa de la persona jurídica sin defensa estructural: multas de hasta el quíntuplo del beneficio obtenido, suspensión de actividad, disolución
  • Responsabilidad personal de administradores y directivos que no pueden demostrar que ejercieron los controles adecuados
  • Imposibilidad de alegar la exención del art. 31 bis.2 CP — solo quedan las atenuantes genéricas (colaboración, reparación del daño)
  • Exclusión de licitaciones públicas: la condena penal puede comportar la prohibición de contratar con el sector público durante 3-5 años
  • Pérdida de cobertura de seguro D&O: las pólizas de directivos y administradores suelen excluir la cobertura cuando no existe un programa de compliance certificado
  • Impacto reputacional irreparable: una condena penal corporativa destruye relaciones con clientes, proveedores, bancos y empleados de forma que raramente se recupera

Nuestro veredicto

Un programa de compliance penal no es opcional para empresas con más de 50 empleados, empresas que contratan con el sector público, o empresas en sectores regulados (financiero, sanitario, construcción, alimentación). Es la única defensa completa disponible frente a la responsabilidad penal corporativa establecida en el artículo 31 bis del Código Penal. El coste de implementación — entre 15.000 y 50.000 € — es irrelevante comparado con una multa penal o la exclusión de licitaciones públicas. La pregunta no es si implementar compliance, sino cómo hacerlo de forma que el programa sea genuinamente eficaz.

La responsabilidad penal de las empresas en España: un riesgo real

Desde la reforma del Código Penal de 2010 (LO 5/2010) y su posterior desarrollo en 2015 (LO 1/2015), las personas jurídicas pueden ser condenadas penalmente en España. No solo los individuos que cometan delitos: la propia empresa puede ser multada, suspendida, intervenida judicialmente o incluso disuelta.

Esta realidad sigue siendo subestimada por muchos empresarios y directivos. El compliance penal —la implementación de un modelo de prevención de delitos— no es solo una recomendación de buena gobernanza: es la única defensa jurídica completa disponible para eximir de responsabilidad a la empresa cuando uno de sus empleados o directivos comete un delito en beneficio de la organización.

ElementoCon programa de complianceSin programa de compliance
Responsabilidad penal empresaPosible exención completaResponsabilidad directa
Responsabilidad de directivosAtenuada por debida diligenciaPersonal plena
Penas aplicablesNinguna (exención) o atenuadasMulta, suspensión, disolución
Licitaciones públicasSin restricciónProhibición de contratar
Seguro D&OCobertura mantenidaPosible exclusión
Due diligence inversoresValoración positivaRed flag para inversores
Circular FGE 1/2016Cumplimiento demostrableSin defensa estructural

La exención de responsabilidad: los requisitos exactos

El artículo 31 bis del Código Penal establece dos supuestos de exención:

Supuesto 1: el delito es cometido por quien tiene facultad de representación o control La exención requiere demostrar simultáneamente que: (a) el órgano de administración adoptó y ejecutó eficazmente el modelo de prevención antes del delito; (b) la supervisión del modelo se encargó a un órgano autónomo; (c) el autor cometió el delito eludiendo fraudulentamente los controles del modelo.

Supuesto 2: el delito es cometido por un empleado subordinado La exención es más accesible: basta demostrar que los responsables jerárquicos ejercieron la debida diligencia de supervisión. Si el programa existía y funcionaba, la empresa no responde por el comportamiento delictivo de un empleado en posición subordinada.

La diferencia es crucial: para los delitos de la cúpula directiva, el estándar es muy alto (el programa debe ser genuinamente eficaz). Para los delitos de empleados sin poder de decisión, un programa básico pero real puede ser suficiente.

La Circular FGE 1/2016: los estándares de la Fiscalía

La Circular de la Fiscalía General del Estado 1/2016 sigue siendo el documento de referencia más detallado sobre qué debe contener un programa de compliance penal para ser considerado «eficaz» por los tribunales. Sus exigencias incluyen:

1. Mapa de riesgos penales: identificación de las actividades de la empresa donde existe riesgo real de comisión de delitos del catálogo del art. 31 bis CP.

2. Protocolos de actuación: procedimientos específicos para las áreas de riesgo identificadas (contratación pública, relaciones comerciales con terceros, gestión de pagos, relaciones laborales, cumplimiento ambiental, etc.).

3. Recursos financieros: sistemas de control de uso de fondos para prevenir su utilización en actividades ilícitas.

4. Canal de denuncias: mecanismo de comunicación accesible, confidencial, con protección del denunciante y gestión independiente.

5. Sistema disciplinario: consecuencias claras e implementadas del incumplimiento del modelo de compliance por cualquier miembro de la organización.

6. Verificación periódica: actualización del mapa de riesgos y revisión del programa al menos anualmente o cuando se produzcan cambios relevantes en la empresa o el entorno normativo.

El Compliance Officer: quién y cómo

La designación del Compliance Officer es una decisión crítica que muchas empresas abordan incorrectamente. Los errores más frecuentes:

Error 1: Nombrar CO al director financiero o al director de RRHH sin dotarle de independencia real. Si el CO reporta al CEO y el CEO comete un delito, el CO tiene un conflicto de interés estructural que anula la utilidad del modelo.

Error 2: Externalizar sin implicación interna real. Un CO externo puede aportar independencia y expertise, pero si no hay un interlocutor interno con dedicación y autoridad, el programa queda en papel.

Error 3: No definir el ámbito de responsabilidad del CO. El Compliance Officer que no sabe exactamente qué puede y qué no puede investigar, y cuándo debe escalar a externos, está en posición de vulnerabilidad tanto frente a la empresa como frente a terceros.

La solución más equilibrada para empresas de 50-250 empleados: un responsable de cumplimiento interno a tiempo parcial (puede ser el Director Legal o un perfil similar) apoyado por una firma externa especializada para las revisiones periódicas, la actualización normativa y los casos de investigación interna.

El impacto en sectores regulados

Algunos sectores tienen exigencias adicionales de compliance que van más allá del Código Penal:

  • Sector financiero: La CNMV y el Banco de España exigen programas de compliance no solo penal sino también de normativa MiFID II, GDPR y AMLD (blanqueo de capitales). El incumplimiento puede acarrear revocación de licencias.
  • Sector sanitario: Compliance en materia de relaciones con profesionales de la salud (Ley Orgánica de Enjuiciamiento Criminal + normativa de industria farmacéutica).
  • Construcción y obra pública: Riesgo de corrupción en contratación pública especialmente elevado — los programas de compliance son prácticamente exigidos por los compradores corporativos.
  • Alimentación y medioambiente: Delitos contra el medio ambiente y la salud pública son de los más frecuentemente investigados en el ámbito empresarial español.

Coste y retorno de la inversión

Un programa de compliance penal bien implementado para una empresa de 50-200 empleados cuesta:

  • Implementación inicial: 15.000-30.000 € (análisis de riesgos, redacción de políticas, formación, canal de denuncias)
  • Mantenimiento anual: 5.000-12.000 € (actualización, formación continua, revisión del órgano de compliance)

La comparativa con el coste de una condena penal convierte esta inversión en obvia:

  • Multa penal mínima por un delito de cohecho: 120.000-600.000 €
  • Exclusión de licitaciones públicas: pérdida de contratos durante 3-5 años (potencialmente millones de euros para empresas con negocio público significativo)
  • Daño reputacional: no cuantificable, pero potencialmente fatal para la continuidad del negocio

El compliance penal no es un gasto: es una póliza de seguro con un coste anual predecible frente a un riesgo de magnitud exponencialmente mayor.

FAQ

Preguntas frecuentes

El artículo 31 bis del Código Penal, introducido por la LO 5/2010 y reformado por la LO 1/2015, establece un catálogo cerrado de delitos por los que una persona jurídica puede ser responsable penalmente. Los más relevantes en la práctica empresarial son: cohecho (soborno de funcionarios públicos nacionales e internacionales), estafa y fraude, insolvencia punible y alzamiento de bienes, delitos contra la Hacienda Pública y la Seguridad Social, blanqueo de capitales, financiación del terrorismo, delitos medioambientales, delitos contra los derechos de los trabajadores, tráfico de influencias, corrupción entre particulares, y delitos contra la propiedad intelectual e industrial. El error más frecuente es creer que estos delitos solo ocurren en grandes corporaciones: la corrupción entre particulares, los delitos laborales o el fraude fiscal son igualmente aplicables a pymes.
El artículo 31 bis.2 del Código Penal y la Circular de la Fiscalía General del Estado 1/2016 establecen los requisitos: primero, el órgano de administración debe haber adoptado y ejecutado eficazmente los modelos de organización y gestión antes de la comisión del delito; segundo, la supervisión del funcionamiento del modelo debe haberse confiado a un órgano con poderes autónomos de iniciativa y control; tercero, los autores del delito deben haber eludido fraudulentamente los controles del modelo; y cuarto, no debe haberse producido una omisión o ejercicio insuficiente de las funciones de supervisión por el órgano de compliance. La Circular FGE 1/2016 añade que el programa debe incluir: identificación de actividades de riesgo, protocolos de autorización y decisión, gestión de recursos financieros para prevenir su uso ilícito, canal de denuncias y formación continua.
El Compliance Officer (CO) o responsable de cumplimiento debe ser una persona con independencia real respecto a la dirección ejecutiva de la empresa. En empresas medianas y grandes, el CO debe tener acceso directo al consejo de administración sin pasar por el CEO. La Circular FGE 1/2016 aceptó que en empresas de menor tamaño el propio consejo de administración puede asumir las funciones de supervisión del modelo, pero esto se ha matizado en sentencias posteriores: si el delito es cometido por un miembro del consejo, no puede ser el propio consejo el que supervise su prevención. El CO no necesita ser abogado, pero debe tener formación en derecho penal corporativo y en la normativa sectorial aplicable. Externalizar la función de CO a una firma especializada es una opción válida y frecuente en pymes.
El canal de denuncias (whistleblowing channel) es el mecanismo que permite a empleados, directivos y terceros reportar conductas potencialmente ilegales de forma confidencial o anónima. Desde la transposición de la Directiva (UE) 2019/1937 mediante la Ley 2/2023 de 20 de febrero, las empresas con 50 o más trabajadores están obligadas legalmente a disponer de un canal de denuncias interno. Para empresas de menos de 50 trabajadores, el canal no es legalmente obligatorio pero es un componente imprescindible de un programa de compliance penal efectivo. El canal debe garantizar la confidencialidad del denunciante, prohibir expresamente las represalias, tener un responsable de gestión independiente y documentar todas las denuncias recibidas y las actuaciones realizadas.
Las pólizas Directors & Officers (D&O) cubren la responsabilidad personal de los administradores y directivos por actos u omisiones en el ejercicio de sus funciones. Sin embargo, la mayoría de las condiciones generales de las pólizas D&O excluyen la cobertura cuando la empresa no ha implementado sistemas de control adecuados o cuando los administradores han incumplido conscientemente sus obligaciones de supervisión. La ausencia de un programa de compliance penal puede ser usada por la aseguradora como causa de exclusión de cobertura frente a reclamaciones derivadas de delitos corporativos. Además, muchas aseguradoras solicitan ya en la fase de suscripción de la póliza D&O información sobre los sistemas de compliance existentes y pueden incrementar la prima o reducir los límites de cobertura si no existen.

Servicio relacionado

Abogados para Empresas: Mercantil, Laboral y Compliance →

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita
Llamar Contacto