La responsabilidad penal de las personas jurídicas cumple en 2026 quince años desde su introducción en el ordenamiento español mediante la Ley Orgánica 5/2010, de 22 de junio, de reforma del Código Penal. En este período, la jurisprudencia del Tribunal Supremo —complementada por las directrices de la Fiscalía General del Estado— ha ido perfilando con creciente precisión los requisitos que debe reunir un modelo de organización y gestión para ser considerado idóneo a efectos del artículo 31 bis del Código Penal.
El marco legal: artículo 31 bis y la LO 1/2015
El artículo 31 bis del Código Penal, en la redacción vigente tras la Ley Orgánica 1/2015, de 30 de marzo, establece que las personas jurídicas son penalmente responsables de los delitos cometidos en su nombre o por su cuenta y en su beneficio directo o indirecto por sus representantes legales o por quienes, actuando individualmente o como integrantes de un órgano, están autorizados para tomar decisiones en nombre de la persona jurídica, o cuando el delito haya sido cometido en su nombre, por su cuenta y en su beneficio, por quienes estando sometidos a la autoridad de dichos representantes, han podido realizar los hechos por haberse incumplido gravemente los deberes de supervisión, vigilancia y control.
La persona jurídica puede quedar exenta de responsabilidad si, antes de la comisión del delito, el órgano de administración ha adoptado y ejecutado con eficacia modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
Los delitos que con mayor frecuencia generan responsabilidad penal corporativa en España son: la estafa (artículo 251 bis CP), el delito fiscal y contra la Seguridad Social (artículos 310 bis y 318 CP), el blanqueo de capitales (artículo 302 bis CP), los delitos contra el mercado y los consumidores (artículo 288 CP), el cohecho (artículo 427 bis CP), el tráfico de influencias (artículo 430 CP) y, desde la LO 5/2022, los delitos contra el medioambiente (artículo 328 CP).
Jurisprudencia del Tribunal Supremo: líneas consolidadas
La Sala Segunda del Tribunal Supremo ha dictado en los últimos años una serie de sentencias que constituyen la doctrina vigente en materia de compliance penal corporativo.
STS 154/2016, de 29 de febrero, sentó las bases del modelo de exención: el Tribunal exige que el modelo sea genuino, que no sea un mero instrumento de lavado de imagen sino un sistema real de control interno con recursos humanos y materiales propios y con mecanismos de actualización periódica.
STS 221/2016, de 16 de marzo, precisó que la responsabilidad penal de la persona jurídica no puede derivarse automáticamente de la responsabilidad del administrador: es necesario acreditar un defecto estructural de organización en la empresa que haya facilitado la comisión del delito.
STS 668/2017, de 11 de octubre, abordó el papel del oficial de cumplimiento (compliance officer): el Tribunal confirmó que la función de vigilancia puede ser atribuida a un órgano colegiado, pero debe estar dotado de autonomía operativa y no estar subordinado a quien ostenta el mando ejecutivo de la empresa.
Las sentencias más recientes de 2023 y 2024 han profundizado en la exigencia de que el mapa de riesgos penales sea específico para la actividad de la empresa, rechazando modelos genéricos no adaptados al sector y a la estructura concreta de la organización.
El oficial de cumplimiento: posición, autonomía y responsabilidad propia
El Reglamento de la Asociación Española de Compliance (ASCOM) y las normas UNE 19601 e ISO 37301 han perfilado el perfil y las funciones del compliance officer. El Tribunal Supremo ha aceptado que, en empresas medianas y grandes, la función de supervisión del modelo recaiga en un órgano con autonomía e independencia respecto del consejo de administración. Sin esta autonomía, el modelo no puede considerarse idóneo.
Una cuestión de creciente relevancia es la responsabilidad personal del compliance officer. El artículo 31 ter CP introduce la posibilidad de imponer multas al representante de la persona jurídica que no hubiera adoptado las medidas necesarias para evitar la actividad delictiva. La doctrina mayoritaria entiende que el compliance officer puede incurrir en responsabilidad penal propia —como partícipe omisivo— si conocía el riesgo delictivo y no adoptó medidas.
Novedades 2025-2026: IA y nuevos vectores de riesgo penal
La entrada en vigor del Reglamento (UE) 2024/1689 (AI Act) introduce un nuevo vector de riesgo penal que los modelos de compliance deben incorporar. Los sistemas de IA de alto riesgo utilizados en decisiones de contratación laboral, concesión de crédito o evaluación de solvencia pueden, si se calibran con sesgo o se utilizan en forma discriminatoria, generar responsabilidad por delitos contra los derechos de los trabajadores (artículo 311 CP), discriminación laboral (artículo 314 CP) o, en el sector financiero, por conductas susceptibles de encuadrarse en los delitos contra el mercado.
El mapa de riesgos penales de cualquier empresa que desarrolle o utilice sistemas de IA debe incorporar, a partir de agosto de 2026, un análisis de los riesgos penales asociados al sesgo algorítmico, a la falta de supervisión humana y a la utilización de sistemas prohibidos conforme al artículo 5 del AI Act.
Adicionalmente, la transposición de la Directiva (UE) 2023/1791 relativa a la eficiencia energética y las crecientes exigencias de la CSRD pueden generar nuevos supuestos de responsabilidad por defraudación en la presentación de información de sostenibilidad, una tipología delictiva que varios Estados miembros ya están desarrollando en sus ordenamientos nacionales.
Revisión y certificación del modelo: norma UNE 19601
La norma UNE 19601:2017 —Sistema de gestión de compliance penal— es la referencia nacional para la implantación y certificación de modelos de compliance penal. Aunque la certificación no es legalmente exigida ni otorga automáticamente la exención, constituye un elemento de prueba de gran valor en sede judicial y fiscal, pues acredita que el modelo ha sido auditado por un tercero independiente y cumple los requisitos de la norma más exigente del mercado español.
La revisión del modelo debe abarcar necesariamente: actualización del mapa de riesgos penales, revisión de los protocolos de denuncia interna, actualización de los programas de formación y comunicación, revisión de los controles documentados y evaluación de la eficacia del canal de denuncias conforme a la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de compliance penal.
