El Código Penal es la norma que define los delitos y establece las penas en España. Para las empresas, su relevancia ha crecido de forma exponencial desde que la LO 5/2010 introdujo la responsabilidad penal de las personas jurídicas. Hoy, un directivo debe conocer el Código Penal no solo para evitar responsabilidades personales, sino también para proteger a la empresa de condenas que pueden llevar a su disolución. Esta guía analiza la LO 10/1995 desde la perspectiva práctica de quien gestiona una empresa en España.
Esta guía examina la Ley Orgánica 10/1995, de 23 de noviembre, en su estado vigente tras la reforma de 2015, con especial atención a los delitos económicos y a las implicaciones del compliance penal para personas jurídicas.
Qué es el Código Penal y cuál es su estructura
La Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (CP), publicada en el BOE número 281 de 24 de noviembre de 1995, sustituyó al Código Penal de 1973 y entró en vigor el 24 de mayo de 1996. Su aprobación como ley orgánica —exigida por el art. 81 CE, al afectar a derechos fundamentales— requirió mayoría absoluta del Congreso.
Desde su entrada en vigor, el CP ha sido reformado en más de cuarenta ocasiones. Las más trascendentes para el ámbito empresarial fueron la LO 5/2010, que introdujo la responsabilidad penal de las personas jurídicas, y la LO 1/2015, que la reformó en profundidad y redefinió los tipos delictivos de mayor relevancia para las empresas.
El CP se estructura en dos libros y un Título Preliminar:
Título Preliminar (arts. 1-9). Garantías penales básicas: principio de legalidad, irretroactividad y prohibición de analogía in malam partem.
Libro I: Disposiciones generales (arts. 10-137). Contiene la parte general del derecho penal: la teoría del delito (acción, tipicidad, antijuricidad, culpabilidad), las causas de exclusión de la responsabilidad (art. 20 CP), las circunstancias modificativas (arts. 21 y 22 CP), el catálogo de penas y medidas de seguridad, y las causas de extinción de la responsabilidad criminal (prescripción, perdón, muerte del reo).
Libro II: Delitos y sus penas (arts. 138-616 sexies). La parte especial: 26 títulos con los tipos delictivos concretos. Comienza con los delitos contra la vida y la integridad física y abarca los delitos económicos, fiscales, contra el medio ambiente, de corrupción y contra la Constitución.
La responsabilidad penal de las personas jurídicas: el art. 31 bis CP
El sistema de doble vía
El art. 31 bis CP establece un sistema de doble vía de responsabilidad. La persona jurídica responde penalmente cuando el delito es cometido por personas en posición de dirección —representantes legales o administradores de hecho o de derecho— (primer presupuesto), o cuando el delito es cometido por empleados bajo la autoridad de aquéllos y se ha incumplido gravemente el deber de supervisión (segundo presupuesto). En ambos casos, el delito debe haberse cometido en nombre y beneficio de la persona jurídica.
La responsabilidad de la persona jurídica es autónoma de la de las personas físicas: puede existir condena de la empresa aunque no se haya identificado o juzgado a la persona física responsable, e incluso aunque ésta haya fallecido o se encuentre en rebeldía.
La exención por compliance penal (art. 31 bis.2 y .4 CP)
La persona jurídica queda exenta de responsabilidad si, antes de la comisión del delito, adoptó e implantó eficazmente modelos de organización y gestión idóneos para prevenir los delitos de la misma naturaleza. Los requisitos del modelo son: identificación de actividades de riesgo penal, protocolos de formación de voluntad y toma de decisiones, gestión de recursos financieros para impedir ilícitos, canal de denuncias, sistema disciplinario y verificación periódica.
La supervisión del modelo debe encomendarse a un órgano autónomo de vigilancia y control —el Compliance Officer o comité de compliance— con poderes autónomos de iniciativa y control (art. 31 bis.2.b CP). En pequeñas empresas, el órgano de administración puede asumir esta función.
Atenuantes específicas para personas jurídicas (art. 31 quater CP)
Cuando la persona jurídica no puede beneficiarse de la exención, el art. 31 quater CP prevé cuatro atenuantes específicas que reducen la pena: confesar la infracción a las autoridades antes de conocer que el procedimiento se dirige contra ella; colaborar con la investigación aportando pruebas nuevas y decisivas; reparar o disminuir el daño antes del juicio oral; e implantar, antes del juicio, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse.
Los delitos económicos de mayor impacto para empresas
Estafa (arts. 248-251 bis CP)
La estafa (art. 248 CP) es el delito patrimonial más frecuente en el ámbito empresarial. Sus cinco elementos son el engaño bastante, el error inducido en la víctima, el acto de disposición patrimonial, el perjuicio y el ánimo de lucro del autor. En la práctica mercantil, la estafa aparece en la venta de activos inexistentes o sobrevalorados, en la captación de inversiones con promesas falsas, en la utilización de cheques y pagarés sin provisión de fondos, y en la falsificación de contratos para obtener financiación bancaria.
El art. 250 CP regula los tipos agravados. La superación del umbral de 50.000 euros de perjuicio es la circunstancia agravatoria más habitual en la litigación empresarial; cuando concurre con el uso de contratos escritos ficticios, el art. 250.2 CP puede elevar la pena a prisión de 4 a 8 años.
El art. 251 bis CP establece la responsabilidad penal de las personas jurídicas por los delitos de los arts. 248 a 251 CP, lo que hace del compliance penal un elemento de gestión del riesgo ineludible para empresas con actividad comercial de cierta escala.
Apropiación indebida (art. 252 CP)
El art. 252 CP, en su redacción desde la reforma de 2015, regula la apropiación indebida: el que teniendo obligación de entregar o devolver dinero, valores u otras cosas fungibles, los aplica a usos propios o ajenos sin consentimiento del propietario, causando perjuicio. A diferencia de la estafa, el sujeto activo obtiene la cosa lícitamente —por depósito, mandato, administración— y defrauda después.
En el ámbito empresarial, la apropiación indebida aparece cuando un directivo o apoderado utiliza fondos de la empresa para fines personales, cuando un profesional aplica a sus cuentas el dinero recibido de clientes para liquidar deudas propias, o cuando un empleado con acceso a cuentas corrientes realiza disposiciones no autorizadas.
Administración desleal (art. 252 CP, segundo párrafo)
La reforma de 2015 integró en el art. 252 CP la administración desleal, que anteriormente estaba en el art. 295 CP. La administración desleal consiste en infringir los deberes de fidelidad inherentes al cargo de administrador de un patrimonio ajeno, excediéndose en las facultades conferidas y causando perjuicio patrimonial al administrado.
Para los administradores societarios, este tipo penal tiene gran relevancia: decisiones de negocio en conflicto de interés, operaciones vinculadas no declaradas que perjudican a la sociedad, desvíos de recursos corporativos hacia empresas del propio administrador, o aprobación de remuneraciones desproporcionadas pueden ser subsumibles en este tipo si el perjuicio es relevante y la deslealtad es consciente.
Blanqueo de capitales (arts. 301-304 CP)
El art. 301 CP regula el blanqueo de capitales en términos amplios: cualquier acto de adquisición, posesión, uso, conversión, transmisión u ocultación de bienes de origen delictivo, con conocimiento de ese origen. La extensión del tipo es notable: no requiere que el sujeto haya participado en el delito previo; basta con que conozca el origen ilícito de los bienes.
El blanqueo imprudente (art. 301.3 CP) sanciona la falta de diligencia debida en la verificación del origen de los fondos, con pena de multa. Este tipo tiene especial relevancia para empresas que reciben pagos de clientes sin seguir los procedimientos de diligencia debida exigidos por la Ley 10/2010 de prevención del blanqueo de capitales.
Las personas jurídicas responden penalmente del blanqueo (art. 302.2 CP), con penas que pueden incluir la disolución. Un sistema de gestión anti-blanqueo conforme a la Ley 10/2010 es simultáneamente un requisito legal y un elemento del programa de compliance penal.
Delitos contra la Hacienda Pública y la Seguridad Social (arts. 305-310 bis CP)
El art. 305 CP tipifica el delito fiscal: la defraudación a la Hacienda Pública eludiendo el pago de tributos cuando la cuota defraudada supera 120.000 euros. La pena es de 1 a 5 años de prisión. La defraudación a la Seguridad Social (art. 307 CP) tiene el mismo umbral y penología.
El art. 305 bis CP regula la agravación: penas de 2 a 6 años cuando la cuota defraudada supera los 600.000 euros, cuando se emplean personas o estructuras interpuestas para ocultar al responsable, o cuando el delito se comete en el seno de una organización criminal.
El art. 310 bis CP regula la responsabilidad penal de las personas jurídicas por estos delitos. La multa puede ser del doble al quíntuplo de la cuota defraudada. Este precepto hace que la sociedad vehículo de una defraudación fiscal pueda ser condenada y disuelta, con independencia de la responsabilidad de los administradores.
Falsedad documental (arts. 390-399 CP)
Los arts. 390 y 392 CP regulan la falsedad documental. Las conductas tipificadas incluyen la alteración de elementos esenciales de un documento, la simulación de un documento total o parcialmente falso, la atribución a terceros de manifestaciones que no hicieron, y la falsedad en la narración de hechos. En el ámbito empresarial, la falsedad documental aparece con frecuencia acompañando a otros delitos: falsificación de facturas (delito fiscal), manipulación de contratos para obtener financiación (estafa), o falsedad contable para presentar estados financieros ficticios.
La falsedad contable está específicamente tipificada en el art. 290 CP: los administradores que falseen las cuentas anuales u otros documentos que deban reflejar la situación jurídica o económica de la sociedad, para causar un perjuicio económico a la misma, a sus socios o a terceros, pueden ser condenados a prisión de 1 a 3 años y multa.
El Libro I del CP: parte general aplicada a la empresa
Causas de exclusión de la responsabilidad penal (art. 20 CP)
El art. 20 CP enumera las causas que excluyen la responsabilidad criminal. Para el ámbito empresarial, las más relevantes son el estado de necesidad —quien actúa para evitar un mal mayor— y el cumplimiento de un deber o ejercicio de un derecho (art. 20.7 CP). La obediencia debida no exime de responsabilidad penal: un directivo no puede ampararse en órdenes superiores para justificar conductas delictivas.
Circunstancias atenuantes relevantes para directivos (art. 21 CP)
En los procesos penales por delitos económicos, las atenuantes del art. 21 CP más relevantes son la confesión (art. 21.4 CP: confesar la infracción antes de que el procedimiento se dirija contra el sujeto) y la reparación del daño (art. 21.5 CP: reparar el daño causado antes del juicio oral). Ambas tienen un impacto significativo en la determinación de la pena y pueden hacer accesible la suspensión de la pena privativa de libertad.
La atenuante de dilaciones indebidas (art. 21.6 CP) es aplicable cuando el procedimiento ha sufrido demoras excesivas no imputables al investigado, circunstancia frecuente en causas penales económicas de cierta complejidad.
Agravantes relevantes para el ámbito empresarial (art. 22 CP)
Las circunstancias agravantes del art. 22 CP que con mayor frecuencia se aplican en los delitos económicos son: el prevalimiento del carácter público del culpable (art. 22.7 CP, en delitos de corrupción); la reincidencia (art. 22.8 CP, cuando el condenado ya fue condenado por delito de la misma naturaleza); y el ensañamiento (en fraudes que causan especial daño a las víctimas). La apreciación de agravantes impide la suspensión de la pena y eleva el marco punitivo aplicable.
Penas y su ejecución: aspectos prácticos para directivos
La suspensión de la pena privativa de libertad (arts. 80-87 CP)
La suspensión de la ejecución de la pena de prisión (art. 80 CP) es posible cuando la pena impuesta no supera los 2 años y el condenado no tiene antecedentes penales. El juez puede ampliar el plazo de suspensión hasta 5 años y condicionar la suspensión al pago de la responsabilidad civil, al cumplimiento de prohibiciones y al sometimiento a un programa de tratamiento. En los delitos económicos, la suspensión suele condicionarse al pago íntegro de la responsabilidad civil derivada del delito.
Responsabilidad civil derivada del delito (arts. 109-122 CP)
Toda persona responsable penalmente de un delito es también responsable civilmente (art. 116 CP). La responsabilidad civil derivada del delito comprende la restitución del bien, la reparación del daño y la indemnización de perjuicios materiales y morales. El tribunal penal puede condenar simultáneamente al pago de la responsabilidad civil, lo que evita al perjudicado el ejercicio posterior de una acción civil separada. Las personas jurídicas condenadas penalmente responden también civilmente de forma solidaria con las personas físicas autoras del delito.
La prisión provisional y su duración (arts. 502-539 LECrim, en relación con el CP)
Aunque la regulación procesal de la prisión provisional es de la LECrim, los plazos máximos dependen de la pena máxima prevista en el Código Penal para el delito imputado. Con carácter general, la prisión provisional no puede exceder de la mitad de la pena máxima señalada para el delito (art. 504 LECrim). El conocimiento del marco punitivo del CP es, por tanto, imprescindible para calcular el tiempo máximo de privación de libertad en la fase de instrucción.
El compliance penal como herramienta de gestión del riesgo empresarial
Un programa de compliance penal eficaz no es un documento en un cajón. Según la Circular 1/2016 de la Fiscalía General del Estado y la jurisprudencia de la Sala Segunda del Tribunal Supremo —especialmente la STS 154/2016, de 29 de febrero, primera sentencia que analiza el art. 31 bis CP en su redacción reformada— el modelo de cumplimiento debe ser real, operativo, verificable y adaptado a los riesgos concretos de la empresa.
Los elementos mínimos que los tribunales verifican son: la existencia de un mapa de riesgos actualizado, la operatividad del canal de denuncias con acceso real para empleados y terceros, el funcionamiento efectivo del órgano de vigilancia, la existencia de formación en compliance, y la aplicación real del régimen disciplinario ante incumplimientos.
La certificación del modelo de compliance conforme a la norma UNE 19601 o ISO 37301 genera una presunción favorable, aunque los tribunales la consideran indicio relevante pero no suficiente por sí solo para acreditar la eficacia del modelo.
Implicaciones para empresas: una hoja de ruta preventiva
El mapa de riesgos penales de una empresa depende de su tamaño, sector y modelo de negocio. Sin embargo, existen riesgos transversales que toda empresa debería gestionar:
Riesgo de estafa y fraude. Controles financieros internos, segregación de funciones, autorización dual en pagos significativos y verificación de contrapartes son las medidas preventivas básicas. El compliance penal no solo previene delitos propios: también reduce el riesgo de ser víctima de estafas.
Riesgo fiscal penal. La calificación de una regularización fiscal como delito depende en gran medida de la documentación del tratamiento tributario adoptado y de la existencia de dictámenes de asesores independientes. La regularización voluntaria antes de que la investigación penal se dirija contra el contribuyente puede extinguir la responsabilidad penal (art. 305.4 CP).
Riesgo de blanqueo. Las empresas sujetas a la Ley 10/2010 deben implantar sistemas de diligencia debida sobre clientes. Las demás empresas deben, al menos, verificar la identidad y el origen de los fondos en operaciones de importe relevante.
Riesgo de corrupción. Los arts. 419-431 CP regulan el cohecho y el tráfico de influencias. El art. 286 ter CP tipifica la corrupción en transacciones comerciales internacionales. Toda empresa con actividad en sectores regulados o con contratos públicos debe tener un programa anticorrupción operativo.
Riesgo medioambiental. Los arts. 325-331 CP tipifican los delitos contra el medio ambiente y la ordenación del territorio. La responsabilidad penal de las personas jurídicas está expresamente prevista en el art. 327 CP. Las empresas industriales o de construcción con actividades de impacto ambiental deben incluir estos riesgos en su mapa de compliance.
La defensa en el proceso penal económico
El proceso penal económico tiene características que lo distinguen de otros procesos: instrucciones largas —frecuentemente superiores a los 6 meses legales—, documentación voluminosa (contabilidad, correos, registros), peritos de la acusación (UDEF, ONIF, AEAT) con recursos técnicos muy superiores a los habituales, y la superposición con procedimientos administrativos paralelos (inspección fiscal, expedientes sancionadores).
La defensa penal de una empresa exige coordinación precisa entre el abogado penalista, el asesor fiscal y el equipo de compliance interno. La estrategia de defensa debe definirse desde las primeras diligencias: qué posición adoptar ante el juzgado, si cooperar con la investigación (con o sin reconocimiento de hechos), si anticipar la reparación del daño para construir la atenuante del art. 21.5 CP, y si la empresa debe tomar distancia procesal de los investigados individuales o asumir una estrategia de defensa conjunta.
En los delitos fiscales, la regularización tributaria espontánea antes de que la investigación se dirija formalmente contra el contribuyente produce la extinción de la responsabilidad penal (art. 305.4 CP). Es uno de los pocos mecanismos de extinción anticipada de responsabilidad en el derecho penal español y su aplicación exige una actuación rapidísima en el momento en que se detectan indicios de posible delito fiscal.
Orientación BMC para empresas ante el Código Penal
La exposición al riesgo penal para las empresas españolas es una realidad creciente: el número de personas jurídicas investigadas y condenadas ha aumentado de forma sostenida desde 2010. La gestión preventiva —a través de programas de compliance penal verificables— y la respuesta inmediata cuando aparecen indicios de irregularidad son las dos palancas fundamentales de protección.
En BMC, el equipo liderado por Raúl Herrera García (colegiado núm. 79.836 del ICAM de Madrid) asesora a empresas en el diseño e implantación de programas de compliance penal, en la respuesta a investigaciones penales que afectan a personas jurídicas y en la defensa de directivos investigados por delitos económicos: blanqueo de capitales, delitos fiscales, estafa, administración desleal e infracción de deberes societarios.
La actuación temprana en la fase de instrucción, antes de que se consoliden las tesis acusatorias, es la decisión de mayor impacto en el resultado final del proceso. Para una primera evaluación del riesgo penal de su empresa o para revisar la robustez de su programa de compliance, contacte con nuestro equipo a través del canal de consultas habitual.
