Compliance Penal para Empresas: Guía del Artículo 31 bis del Código Penal

Desde la reforma del Código Penal operada por la Ley Orgánica 5/2010, una empresa española puede ser condenada penalmente: puede recibir multas millonarias, ser disuelta, quedar inhabilitada para contratar con la Administración Pública o ver intervenida su actividad por decisión judicial. La persona jurídica no es un escudo frente a la responsabilidad penal —es, desde hace quince años, un sujeto activo del derecho penal. El compliance penal, y en concreto el modelo de organización y gestión del artículo 31 bis del Código Penal, es el único mecanismo legalmente reconocido para exonerar o atenuar esa responsabilidad.

Qué es el compliance penal y por qué es distinto del compliance general

El término compliance —cumplimiento normativo— abarca en sentido amplio todas las políticas, procedimientos y controles que una organización adopta para garantizar que opera conforme a la ley y a sus propios estándares éticos. El compliance penal es una categoría específica dentro de ese universo: se ocupa exclusivamente de la prevención de conductas que pueden constituir delitos imputables a la empresa como persona jurídica.

La distinción es relevante porque el compliance penal tiene efectos jurídicos directos en sede procesal. A diferencia de otras obligaciones de cumplimiento —prevención de blanqueo, protección de datos, prevención de riesgos laborales— cuyo incumplimiento genera sanciones administrativas, el compliance penal opera como causa de exención de la responsabilidad criminal. Un modelo de organización y gestión que cumpla los requisitos del artículo 31 bis.2 y .5 del Código Penal puede hacer que la empresa quede completamente libre de condena, aunque uno de sus directivos haya cometido un delito actuando en su nombre.

El derecho penal corporativo —o derecho penal de las personas jurídicas— es la disciplina que estudia la responsabilidad criminal de las organizaciones. En España, su base legal es el artículo 31 bis del Código Penal, introducido en 2010 y reformado en profundidad en 2015. Su comprensión requiere dominar tanto el derecho penal sustantivo como el procesal, la teoría de la organización y la gestión de riesgos empresariales.

El marco legal: artículo 31 bis CP y la reforma de 2015

El modelo de doble vía de imputación

El artículo 31 bis del Código Penal establece dos supuestos de responsabilidad penal de la persona jurídica:

Primera vía (art. 31 bis.1.a): La empresa responde cuando el delito es cometido por sus representantes legales o por quienes, actuando individualmente o como integrantes de un órgano, están autorizados para tomar decisiones en nombre de la persona jurídica o tienen facultades de organización y control dentro de la misma. Se trata de los administradores, directores generales, apoderados con poder suficiente y, en general, cualquier persona con capacidad de vincular a la organización.

Segunda vía (art. 31 bis.1.b): La empresa también responde cuando el delito es cometido por empleados sometidos a la autoridad de los anteriores, siempre que los hechos hayan sido posibles por haberse incumplido gravemente los deberes de supervisión, vigilancia y control sobre dichos empleados. Aquí el fundamento de la responsabilidad no es el hecho del directivo, sino el defecto organizativo que permitió que un empleado delinquiera sin ser detectado ni impedido.

Esta doble vía tiene consecuencias prácticas muy importantes. Una empresa bien gestionada puede verse imputada si un comercial de nivel medio falsifica documentos para cerrar una venta, si no existían controles suficientes sobre su actividad. El delito de un empleado de base puede comprometer penalmente a toda la organización.

Las penas aplicables a las personas jurídicas

El Código Penal establece para las personas jurídicas un catálogo de penas específico, distinto del aplicable a las personas físicas. Las principales son:

• Multa por cuotas o proporcional, que puede alcanzar el quíntuplo del beneficio obtenido o esperado con el delito, o superar los 10 millones de euros en los tipos más graves.
• Disolución de la persona jurídica, con extinción de su personalidad jurídica y pérdida definitiva de su capacidad para actuar en el tráfico jurídico.
• Suspensión de actividades por un plazo de hasta cinco años.
• Clausura de locales y establecimientos por un plazo de hasta cinco años.
• Prohibición de realizar las actividades en cuyo ejercicio se haya cometido el delito, de manera temporal (hasta quince años) o definitiva.
• Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el sector público y para gozar de beneficios e incentivos fiscales o de la Seguridad Social, por un plazo de hasta quince años.
• Intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores, por un plazo que no puede exceder de cinco años.

La pena de disolución y la inhabilitación para contratar con la Administración son, en la práctica, las más temidas por las empresas: la primera supone la extinción de la compañía, y la segunda puede privar a muchas organizaciones de su principal fuente de ingresos.

Los delitos que generan responsabilidad penal corporativa

No todos los delitos del Código Penal pueden generar responsabilidad penal de la persona jurídica. El legislador ha optado por un sistema de numerus clausus: solo los delitos para los que el propio Código Penal prevé expresamente la responsabilidad de la persona jurídica pueden dar lugar a una condena de la empresa. A fecha de 2026, este catálogo comprende aproximadamente veinte figuras delictivas:

1. Tráfico de drogas (art. 369 bis CP)
2. Estafa (art. 251 bis CP)
3. Insolvencias punibles (art. 261 bis CP)
4. Daños informáticos y delitos contra los sistemas de información (art. 264 quater CP)
5. Delitos contra la propiedad intelectual e industrial (arts. 270, 273 CP)
6. Delitos relativos al mercado y a los consumidores (art. 288 CP)
7. Blanqueo de capitales (art. 302 bis CP)
8. Delito fiscal, fraude a la Seguridad Social y fraude de subvenciones (arts. 310 bis, 318 bis CP)
9. Delitos contra los derechos de los ciudadanos extranjeros (tráfico ilegal de personas, art. 318 bis CP)
10. Construcción o edificación no autorizada (art. 319 CP)
11. Delitos contra los recursos naturales y el medio ambiente (art. 328 CP)
12. Delitos de riesgo catastrófico, incendio y contra la seguridad nuclear y radiológica (arts. 343, 348, 350 CP)
13. Delitos contra la salud pública (art. 366 CP)
14. Falsedad documental (arts. 386, 399 bis CP)
15. Cohecho (art. 427 bis CP)
16. Tráfico de influencias (art. 430 CP)
17. Corrupción en los negocios (soborno entre particulares) (art. 288 CP)
18. Corrupción de funcionarios o agentes públicos extranjeros (art. 445 CP)
19. Financiación ilegal de partidos políticos (art. 304 bis CP)
20. Delitos de terrorismo (art. 576 bis CP)

El análisis del catálogo revela que los delitos de mayor prevalencia en el ámbito empresarial —fraude fiscal, blanqueo, cohecho, corrupción en los negocios y delitos medioambientales— están todos presentes. Esto significa que prácticamente cualquier empresa con una actividad significativa tiene exposición real a alguna de estas figuras.

Los seis requisitos del modelo de exención (art. 31 bis.5 CP)

La exención de responsabilidad penal de la persona jurídica exige que el modelo de organización y gestión adoptado antes de la comisión del delito cumpla los seis requisitos que el artículo 31 bis.5 del Código Penal enumera de forma expresa:

1. Identificación de actividades generadoras de riesgo penal

El modelo debe identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Esto es el mapa de riesgos penales: un análisis sistemático de todos los procesos de negocio de la empresa para determinar cuáles presentan exposición a los delitos del catálogo. El mapa no puede ser genérico ni copiado de un modelo tipo: debe reflejar la realidad de la empresa, su sector, su estructura y sus operaciones concretas.

2. Protocolos de formación de la voluntad y adopción de decisiones

El modelo debe establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, la adopción de decisiones y su ejecución con respecto a aquellos procesos que generan riesgo. En la práctica, esto significa que los procesos de aprobación de gastos, contratación con terceros, selección de proveedores, concesión de descuentos y liberalidades, y relaciones con la Administración Pública deben tener circuitos de decisión documentados con controles de segundo nivel.

3. Modelos de gestión de los recursos financieros

El modelo debe incluir modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. La exigencia apunta directamente a los controles financieros internos: segregación de funciones en los pagos, autorizaciones dobles para transferencias por encima de ciertos umbrales, prohibición de pagos en efectivo a partir de determinadas cuantías, y revisión independiente de los gastos de representación y de los pagos a agentes comerciales.

4. Obligación de informar de posibles riesgos e incumplimientos

El modelo debe imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Este requisito tiene dos componentes: la existencia de un canal de comunicación para que los empleados puedan reportar irregularidades, y la existencia de un organismo receptor que analice esa información y actúe sobre ella. En la práctica, el canal de denuncias (o canal ético) es el vehículo principal para cumplir este requisito.

5. Sistema disciplinario que sancione el incumplimiento

El modelo debe establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas de vigilancia y control. Sin consecuencias efectivas para el incumplimiento, el modelo carece de eficacia disuasoria. El sistema disciplinario debe estar integrado en el reglamento interno de trabajo o en el convenio colectivo aplicable, y sus previsiones deben ser jurídicamente ejecutables.

6. Verificación periódica y modificación cuando sea necesario

El modelo debe ser objeto de verificación periódica y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad llevada a cabo que los hagan necesarios. Un compliance penal que se implanta una vez y no se revisa pierde eficacia con el tiempo y puede ser cuestionado en sede judicial.

El canal de denuncias: la Ley 2/2023 y su impacto en el compliance penal

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (transposición de la Directiva UE 2019/1937, conocida como Directiva Whistleblowing), ha transformado el régimen del canal de denuncias en España.

Empresas obligadas

La Ley 2/2023 establece la obligación de implantar un canal de denuncias para:

• Empresas del sector privado con 50 o más trabajadores.
• Empresas del sector privado con menos de 50 trabajadores que operen en los sectores de servicios financieros, prevención del blanqueo de capitales o seguridad del transporte.
• Todas las entidades del sector público, sin excepción de tamaño.

Las empresas de entre 50 y 249 trabajadores podían, inicialmente, compartir canal con otras empresas del mismo grupo. Las empresas con 250 o más trabajadores debían tener canal propio desde el 13 de junio de 2023.

Requisitos del canal conforme a la Ley 2/2023

El canal de denuncias que exige la Ley 2/2023 debe cumplir los siguientes requisitos mínimos:

• Confidencialidad garantizada: La identidad del informante debe mantenerse confidencial y no puede ser revelada sin su consentimiento, salvo que una autoridad judicial lo ordene en el marco de una investigación penal.
• Posibilidad de denuncia anónima: El canal debe admitir denuncias anónimas, aunque la empresa puede elegir si las tramita o no.
• Gestor independiente: La gestión del canal debe ser independiente y no estar subordinada a la persona o departamento contra el que se formula la denuncia.
• Acuse de recibo en 7 días: El responsable del canal debe acusar recibo de la comunicación en un plazo máximo de siete días.
• Respuesta en 3 meses: El informante debe recibir información sobre las medidas adoptadas en un plazo máximo de tres meses (prorrogable a seis en casos complejos).
• Prohibición de represalias: La ley establece un amplio catálogo de represalias prohibidas y una inversión de la carga de la prueba: se presume que cualquier medida perjudicial adoptada contra el informante es una represalia, salvo que la empresa pruebe lo contrario.
• Registro de denuncias: Debe mantenerse un registro de todas las comunicaciones recibidas, con medidas de seguridad que garanticen la confidencialidad.

La Autoridad Independiente de Protección del Informante (A-I-P-I) es el organismo creado por la Ley 2/2023 para supervisar el cumplimiento de estas obligaciones en el sector privado. Las sanciones por incumplimiento van desde 1.001 euros (infracciones leves) hasta 1.000.000 de euros (infracciones muy graves).

Sinergia con el compliance penal

El canal de denuncias que exige la Ley 2/2023 y el canal que exige el artículo 31 bis.5.4 CP son compatibles y pueden ser el mismo instrumento, siempre que cumpla los requisitos de ambas normas. En la práctica, las empresas que ya tenían canal de denuncias por compliance penal deben revisar si su diseño cumple los requisitos adicionales de la Ley 2/2023 —en particular, la posibilidad de denuncia anónima y la prohibición de represalias con inversión de la carga de la prueba.

El mapa de riesgos penales: metodología y contenido

El mapa de riesgos penales es el documento central del compliance penal. Su elaboración sigue una metodología de análisis de riesgos que combina elementos del derecho penal con técnicas de gestión de riesgos empresariales.

Fases de elaboración

Fase 1 — Inventario de procesos: Se identifican todos los procesos de negocio de la empresa: comercial, operaciones, compras, recursos humanos, finanzas, relaciones institucionales, tecnología, etc. Para cada proceso se identifican los actores involucrados, los recursos que manejan y las decisiones que adoptan.

Fase 2 — Mapeo de delitos aplicables: Para cada proceso, se analiza qué delitos del catálogo del artículo 31 bis CP podrían ser cometidos en su contexto. Una empresa constructora, por ejemplo, tiene exposición a delitos medioambientales, delitos urbanísticos, fraude a la Administración y cohecho en prácticamente todos sus procesos principales.

Fase 3 — Evaluación del riesgo inherente: Se evalúa la probabilidad de que cada delito se cometa en ausencia de controles, y el impacto que tendría su comisión. El producto de ambas variables genera la calificación del riesgo inherente.

Fase 4 — Evaluación de controles existentes: Se inventarían los controles actualmente existentes sobre cada proceso y se evalúa su efectividad real para mitigar el riesgo identificado.

Fase 5 — Cálculo del riesgo residual: Resta el riesgo que permanece una vez aplicados los controles existentes. Los riesgos residuales altos son las brechas que deben ser cubiertas por el plan de acción de compliance.

Fase 6 — Plan de acción: Para cada brecha identificada, se define la medida de control adicional que debe implantarse, el responsable de su implantación y el plazo.

El mapa de riesgos no es un documento estático: debe actualizarse cuando la empresa introduce nuevos productos o servicios, entra en nuevos mercados, realiza adquisiciones o experimenta cambios significativos en su estructura o en su equipo directivo.

El compliance officer: perfil, funciones y responsabilidad propia

Quién puede ser compliance officer

El artículo 31 bis.2 CP exige que el modelo de organización y gestión sea supervisado por un «órgano de la persona jurídica con poderes autónomos de iniciativa y de control». Esta exigencia admite distintas configuraciones:

• En empresas grandes, un departamento de compliance con un Chief Compliance Officer (CCO) al frente.
• En empresas medianas, un compliance officer a tiempo parcial, que puede ser un directivo con funciones duales, siempre que tenga autonomía efectiva.
• En empresas pequeñas, el propio órgano de administración puede asumir las funciones de supervisión del modelo.
• En cualquier tamaño, la función puede externalizarse total o parcialmente a un despacho especializado, manteniendo la responsabilidad de supervisión en un responsable interno.

El Tribunal Supremo ha destacado que la autonomía del compliance officer es un requisito no negociable: si quien supervisa el modelo está subordinado —formal o informalmente— a quien tiene poder ejecutivo sobre las áreas de riesgo, el modelo no puede considerarse idóneo.

Funciones principales

Las funciones del compliance officer incluyen: supervisar la implantación y el funcionamiento del modelo de organización y gestión; gestionar o supervisar el canal de denuncias; realizar o encargar auditorías periódicas del modelo; mantener actualizado el mapa de riesgos penales; asesorar a la dirección sobre decisiones con implicaciones de compliance penal; diseñar e impartir la formación anual; y reportar al consejo de administración o al órgano equivalente.

Responsabilidad personal del compliance officer

La responsabilidad personal del compliance officer es una cuestión de creciente atención en la doctrina y en la práctica. El artículo 31 ter CP prevé la posibilidad de imponer al representante legal de la persona jurídica la pena de multa prevista para la persona física cuando la condena a la persona jurídica se base en la no adopción de medidas de vigilancia y control idóneas.

La doctrina mayoritaria —y la práctica de la Fiscalía— entiende que el compliance officer puede incurrir en responsabilidad penal propia como partícipe omisivo si: (a) tenía conocimiento de la situación de riesgo o de la irregularidad; (b) tenía capacidad de actuar para evitar el daño; y (c) no actuó. La existencia de informes de compliance que documentan riesgos conocidos y no corregidos puede convertirse en un elemento de cargo contra el propio compliance officer.

Jurisprudencia del Tribunal Supremo: doctrina consolidada

Las sentencias fundacionales (2016)

STS 154/2016, de 29 de febrero, estableció el estándar de genuinidad del modelo: no basta con disponer de un documento de compliance, sino que el modelo debe ser «genuino», esto es, real y efectivo, con recursos propios, mecanismos de actualización y capacidad de detección. Un modelo de papel, implantado formalmente pero vacío de contenido, no exonera de responsabilidad.

STS 221/2016, de 16 de marzo, aclaró que la responsabilidad penal de la persona jurídica no es automáticamente derivada de la responsabilidad del administrador o directivo que comete el delito. Es necesario identificar y acreditar el defecto estructural de organización —el fallo en los sistemas de control— que hizo posible la comisión del delito. Esto tiene una consecuencia importante: la empresa puede ser absuelta aunque el administrador sea condenado, si prueba que el defecto organizativo no existía.

STS 668/2017, de 11 de octubre, abordó la figura del compliance officer y confirmó que su función puede ser desempeñada por un órgano colegiado. Pero matizó que dicho órgano debe tener «poderes autónomos de iniciativa y de control», sin depender jerárquicamente de quien ostente el mando ejecutivo de la empresa.

Desarrollos recientes (2022-2025)

Las sentencias más recientes del Tribunal Supremo han consolidado dos líneas doctrinales de especial relevancia práctica:

Especificidad del mapa de riesgos: El Tribunal ha rechazado sistemáticamente los modelos de compliance basados en documentos genéricos no adaptados al sector y a la estructura concreta de la empresa. La TS exige que el mapa identifique los riesgos específicos de cada unidad de negocio y no se limite a reproducir el catálogo del artículo 31 bis CP.

Eficacia real del canal de denuncias: Varias sentencias de Audiencias Provinciales confirmadas por el Tribunal Supremo han valorado negativamente la existencia de canales de denuncias que no recibieron ninguna comunicación durante años, concluyendo que ello evidenciaba falta de cultura de compliance en la organización.

La certificación UNE 19601: qué aporta y qué no

Qué es la UNE 19601

La norma UNE 19601, publicada por AENOR en 2017 (con actualización en 2023), establece los requisitos para los sistemas de gestión de compliance penal. Es el estándar nacional de referencia para los modelos del artículo 31 bis CP, equivalente en el ámbito del compliance penal a lo que la ISO 27001 es para la seguridad de la información.

La norma UNE 19601 es compatible con la ISO 37301 (sistema de gestión de compliance en sentido amplio) y con la norma de anticorrupción ISO 37001.

Qué aporta la certificación

La certificación UNE 19601 acredita que el modelo de compliance penal ha sido auditado por un tercero independiente y que cumple los requisitos de la norma. Sus efectos prácticos son:

• Efecto probatorio en sede penal: La certificación no exime automáticamente de responsabilidad, pero constituye un indicio relevante de que el modelo es genuino. El Ministerio Fiscal y los tribunales la valoran positivamente como elemento de descargo.
• Ventaja en licitaciones públicas: Cada vez más pliegos de contratación pública valoran o exigen la certificación UNE 19601 como criterio de solvencia técnica.
• Mejora de condiciones de financiación: Algunas entidades financieras y aseguradoras consideran la certificación como factor positivo en la evaluación del riesgo.
• Reputación: La certificación es una señal externa de compromiso con la integridad empresarial, con valor en relaciones comerciales internacionales.

Qué no aporta la certificación

La certificación no es garantía automática de exención de responsabilidad penal. El Tribunal Supremo ha recordado que lo que exonera es el modelo real y efectivo, no el certificado. Una empresa que disponga de certificado UNE 19601 pero cuyo modelo sea en la práctica inoperante no quedará exenta. Y, a la inversa, una empresa sin certificación puede quedar exenta si su modelo es genuinamente eficaz.

El régimen simplificado para empresas pequeñas

El artículo 31 bis.3 CP prevé que, en las personas jurídicas de pequeñas dimensiones, las funciones de supervisión del modelo de organización y gestión podrán ser asumidas directamente por el órgano de administración. Esta previsión reconoce que implantar un compliance penal de la misma complejidad que el de una gran empresa es desproporcionado para una pyme de diez empleados.

El Código Penal no define «personas jurídicas de pequeñas dimensiones». La doctrina y la práctica mayoritarias aplican analógicamente el umbral de la Ley 19/2010 sobre responsabilidad penal de las personas jurídicas y, por referencia a los criterios del derecho mercantil, consideran pequeñas empresas a las que no superen dos de los tres umbrales de la definición de empresa pequeña según el Reglamento (UE) 2023/2775: activo total de 5 millones de euros, cifra neta de negocios de 10 millones de euros, o número medio de empleados de 50.

Para estas empresas, el régimen simplificado de compliance penal puede estructurarse en cinco elementos: (1) código de conducta básico aprobado por el órgano de administración; (2) mapa de riesgos penales simplificado, centrado en los tres o cuatro delitos más relevantes para la actividad; (3) canal de denuncias —obligatorio en todo caso si la empresa tiene 50 o más empleados por la Ley 2/2023—; (4) formación anual básica del personal; y (5) revisión anual por el órgano de administración.

Errores comunes en los programas de compliance penal

La experiencia en implantación y auditoría de modelos de compliance revela un conjunto de errores recurrentes que minan la eficacia del programa y, con ella, su capacidad de generar la exención del artículo 31 bis:

Modelo copiado de plantilla genérica. El error más frecuente: adquirir un «pack de compliance» estándar sin adaptarlo a la actividad, el sector y la estructura concreta de la empresa. Los tribunales lo detectan y lo valoran negativamente.

Mapa de riesgos teórico, no operativo. Identificar riesgos en abstracto sin vincularlos a procesos, responsables y controles concretos. Un mapa de riesgos que no se traduce en cambios reales en los procesos no cumple la función preventiva que exige el Código Penal.

Canal de denuncias sin gestión real. Implantar un buzón o correo electrónico que nadie gestiona, que no garantiza confidencialidad, o que no tiene protocolo de respuesta. Un canal inactivo o mal gestionado es peor que no tener canal: evidencia que la empresa no tiene cultura de compliance.

Compliance officer sin autonomía real. Designar como compliance officer al director financiero, al director jurídico o a cualquier persona que depende jerárquicamente de la persona frente a la que debería ejercer funciones de control. La falta de autonomía real invalida el modelo.

Formación de papel. Registrar formaciones que no se imparten, o impartir formaciones genéricas que no abordan los riesgos concretos de cada área. La formación debe ser específica, documentada y evaluada.

Modelo sin actualización. Implantar el modelo y no revisarlo durante años. Los cambios en la actividad, en el equipo directivo, en la estructura societaria o en la normativa generan nuevos riesgos que el modelo original no cubre.

Sancionar el delito pero no el incumplimiento del compliance. Muchas empresas tienen política disciplinaria para conductas delictivas pero no para el incumplimiento de las obligaciones del modelo de compliance (por ejemplo, no reportar un riesgo conocido al compliance officer). El artículo 31 bis.5 exige explícitamente que el sistema disciplinario sancione el incumplimiento de las medidas de vigilancia y control.

Análisis coste-beneficio: cuándo implantar un programa completo

La implantación de un programa de compliance penal tiene costes reales: en tiempo, en recursos humanos y en honorarios externos. La decisión de implantarlo —y con qué nivel de sofisticación— debe apoyarse en un análisis de la exposición real de la empresa.

Los factores que elevan la prioridad de implantar un programa robusto son:

• Sector con alta exposición regulatoria: construcción, farmacia, energía, distribución alimentaria, servicios financieros, servicios a la Administración.
• Volumen significativo de gasto de representación o de relaciones con funcionarios: el cohecho y la corrupción en los negocios son los delitos más frecuentes en las condenas a personas jurídicas.
• Operativa internacional: especialmente en jurisdicciones con altos índices de corrupción o en sectores extractivos.
• Contratos con la Administración Pública: la inhabilitación para contratar con el sector público es la pena que más daño real causa a las empresas contratistas.
• Actividades con riesgo medioambiental: tras la LO 5/2022, los delitos contra el medio ambiente tienen penas agravadas para personas jurídicas.
• Plantilla superior a 50 trabajadores: la obligación legal del canal de denuncias (Ley 2/2023) ya impone un coste que puede amortizarse integrándolo en un programa de compliance penal más amplio.

El coste de un procedimiento penal —solo en honorarios de abogados, tasas judiciales y costes de investigación interna— supera en la mayoría de los casos el coste de haber implantado un programa de compliance desde el principio.

Qué hacer si la empresa ya está siendo investigada

La existencia de una investigación penal en curso no impide implantar o reforzar el modelo de compliance. En algunos casos, la decisión de implantar o mejorar el programa tras el inicio de la investigación puede valorarse como una de las circunstancias atenuantes del artículo 31 quater CP, que prevé la reducción de la pena cuando la persona jurídica haya procedido a reparar el daño o a establecer medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica.

Sin embargo, la estrategia defensiva en un procedimiento penal requiere combinar el compliance con una defensa procesal específica: investigación interna para delimitar los hechos, cooperación calibrada con las autoridades y gestión de la comunicación interna y externa. La decisión sobre el alcance de la cooperación con la Fiscalía debe adoptarse siempre con asesoramiento jurídico especializado en derecho penal corporativo.

---

Bárbara Botía Espín es abogada, colegiada 11.233 del ICAM Málaga, especialista en compliance penal y responsabilidad penal de las personas jurídicas en BM Consulting.