El término "compliance" ha penetrado en el vocabulario empresarial español de forma acelerada en los últimos años, pero su uso genérico genera confusión. Cuando un directivo dice que su empresa "tiene compliance", puede estar refiriéndose a realidades muy distintas: un programa de prevención de delitos, un sistema de cumplimiento de la normativa sectorial, un canal de denuncias o simplemente un manual de buenas prácticas. Entender la diferencia entre compliance penal y cumplimiento normativo es esencial para saber qué protege su empresa y qué riesgos siguen expuestos.
El compliance penal: prevención de la responsabilidad criminal de la empresa
El compliance penal tiene su origen en la reforma del artículo 31 bis del Código Penal español, que introdujo la responsabilidad penal de las personas jurídicas por determinados delitos cometidos en su nombre y en su beneficio. La reforma de 2015 consolidó este régimen y estableció las condiciones bajo las cuales la empresa puede quedar exonerada de responsabilidad: haber adoptado y ejecutado antes de la comisión del delito un modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza.
El compliance penal tiene un alcance específico y delimitado: el catálogo de delitos por los que las personas jurídicas pueden ser imputadas conforme al Código Penal. Este catálogo incluye corrupción, blanqueo de capitales, fraude, delitos contra la Hacienda Pública, delitos medioambientales y otros. Pero no incluye infracciones administrativas, laborales o de protección de datos: esas son materia de cumplimiento normativo.
El cumplimiento normativo: un universo más amplio
El cumplimiento normativo —regulatory compliance en terminología anglosajona— es el conjunto de obligaciones legales y reglamentarias que debe respetar una empresa en el ejercicio de su actividad: legislación laboral, protección de datos (RGPD y LOPDGDD), normativa de blanqueo de capitales (PBC), regulación sectorial (financiero, sanitario, telecomunicaciones), normativa medioambiental, seguridad de productos, igualdad y planes de igualdad, y un largo etcétera.
El incumplimiento de estas obligaciones genera responsabilidad administrativa: sanciones económicas, retirada de licencias, suspensión de actividad, inhabilitación de directivos en algunos casos. Pero no genera responsabilidad penal por sí mismo, salvo que la conducta sea además constitutiva de delito.
Las diferencias clave en la práctica
Consecuencias del incumplimiento
El compliance penal previene la imputación criminal de la empresa y sus directivos, con penas que incluyen multas penales, disolución, suspensión de actividades o inhabilitación para contratar con el sector público. El cumplimiento normativo previene sanciones administrativas y, en el sector regulado, la pérdida de autorización de actividad.
Voluntariedad vs. obligatoriedad
El compliance penal no es legalmente obligatorio, pero su ausencia tiene consecuencias directas si se produce un delito. El cumplimiento normativo es obligatorio por definición: cada norma que regula la actividad de la empresa es de obligado cumplimiento, y su incumplimiento genera infracción independientemente de si la empresa tenía o no un sistema de compliance.
Alcance del programa
Un programa de compliance penal debe mapear los delitos del catálogo del artículo 31 bis que son posibles en función de la actividad de la empresa, y diseñar controles específicos para cada riesgo identificado. El cumplimiento normativo es más amplio y transversal: abarca toda la normativa aplicable a la empresa, que puede ser extensa en sectores regulados.
El compliance integrado: la solución eficiente
La mejor práctica es integrar el compliance penal y el cumplimiento normativo bajo un mismo sistema de gestión: un único mapa de riesgos, un único canal de denuncias, un único organismo de supervisión (compliance officer o comité de cumplimiento) y un único sistema de formación y control. La integración evita duplicidades, reduce el coste del sistema y garantiza que no existen zonas ciegas entre ambos marcos.
Cuándo priorizar el compliance penal
Aunque ninguna empresa es inmune al riesgo penal, determinados perfiles de negocio concentran mayor exposición:
- Empresas que contratan con el sector público o participan en licitaciones
- Empresas de sectores con alta regulación (financiero, salud, construcción, medioambiente)
- Grupos empresariales con operaciones internacionales
- Empresas que gestionan fondos de terceros o tienen actividades con elevado manejo de efectivo
- Empresas con alta rotación de personal directivo o con modelos de distribución a través de terceros
Cómo le ayudamos en BMC
Nuestro equipo de compliance penal diseña e implementa programas de prevención de delitos adaptados al perfil de riesgo de cada empresa. Coordinamos la elaboración del mapa de riesgos de cumplimiento y la implantación del canal de denuncias dentro de un sistema integrado que cubre tanto el riesgo penal como el cumplimiento normativo general.
Si su empresa no tiene un programa de compliance formal o quiere revisar la suficiencia del que tiene, contáctenos para una evaluación inicial. La inversión en compliance tiene un retorno tangible: protección del patrimonio personal de los administradores y reducción del riesgo reputacional y operativo de la empresa.
Marco regulador específico
El compliance penal y el cumplimiento normativo tienen bases legales distintas pero con creciente interconexión:
- Ley Orgánica 10/1995, de 23 de noviembre (Código Penal), art. 31 bis: Introduce la responsabilidad penal de las personas jurídicas. Reformado por LO 5/2010 (que lo introdujo) y LO 1/2015 (que lo perfiló definitivamente). El artículo 31 bis.2 y 4 establecen las condiciones bajo las cuales el programa de compliance penal exonera a la empresa de responsabilidad cuando el delito lo comete un empleado no directivo (31 bis.2) o atenuarla cuando lo comete un directivo (31 bis.2 en conexión con 31 bis.4).
- LO 1/2015, de 30 de marzo: Reforma que consolidó el sistema de responsabilidad penal de personas jurídicas, introdujo los requisitos del programa de compliance para la exoneración y definió los criterios de eficacia del modelo de prevención: existencia de un órgano de vigilancia y control independiente de los órganos de dirección, con recursos suficientes.
- Ley 2/2023, de 20 de febrero (canal de denuncias): El canal de denuncias conforme a la Ley 2/2023 es un componente esencial del compliance integrado. El Tribunal Supremo ha señalado que la existencia de un canal de denuncias operativo es uno de los indicadores de eficacia del programa de compliance penal.
- Norma UNE 19601:2017 (Sistemas de gestión de compliance penal): Estándar técnico español que certifica los sistemas de gestión de compliance penal. La certificación UNE 19601 es voluntaria pero es cada vez más valorada por los tribunales como evidencia de la eficacia del programa. Compatible con la norma ISO 37301 (compliance management systems).
- Circular 1/2016 de la Fiscalía General del Estado: Establece los criterios de la Fiscalía para apreciar la eficacia del programa de compliance penal y las circunstancias que determinan la exoneración o atenuación de la responsabilidad penal corporativa. Aunque no es norma jurídica, es la referencia interpretativa fundamental.
El catálogo de delitos corporativos (art. 31 bis CP + arts. específicos)
| Delito | Artículo CP | Actividades de mayor riesgo |
|---|---|---|
| Corrupción entre privados | Art. 286 bis | Distribución, sector público, licitaciones |
| Blanqueo de capitales | Art. 301-304 | Servicios financieros, inmobiliario, joyería |
| Fraude fiscal / contra HP | Art. 305-310 | Todos los sectores |
| Financiación del terrorismo | Art. 576 bis | Instituciones financieras, remesas |
| Insolvencia punible | Art. 259-261 | Empresas en dificultades |
| Delitos medioambientales | Art. 325-331 | Industria, construcción, transporte |
| Corrupción de funcionarios | Art. 419-427 | Sector público, concesiones |
| Tráfico de influencias | Art. 428-431 | Lobbying, contratación pública |
Ejemplo práctico: empresa constructora sin compliance penal
Supuesto: Constructora con 85 empleados y varios contratos con ayuntamientos. El jefe de obra paga sobornos a un técnico municipal para obtener licencias más rápido. Sin compliance penal previo.
| Consecuencia | Con compliance penal | Sin compliance penal |
|---|---|---|
| Responsabilidad penal de la empresa | Puede alegarse exoneración (art. 31 bis.2 CP) si el programa es eficaz | Responsabilidad penal corporativa automática |
| Multa penal corporativa | Puede reducirse o eliminarse | Art. 33.7.a) CP: hasta el doble del beneficio obtenido |
| Inhabilitación para contratar con AAPP | Puede evitarse con programa eficaz | Inhabilitación de 6 meses a 3 años (art. 33.7 CP) |
| Disolución / suspensión de actividad | Poco probable con compliance eficaz | Posible como pena accesoria |
| Responsabilidad directivos | Cada directivo responde individualmente por su conducta | Igual, pero sin exoneración corporativa |
| Reputación y contratos | Daño limitado si hay compliance activo | Pérdida probable de contratos públicos y privados |
Coste estimado del compliance penal para una constructora de 85 empleados (implementación + mantenimiento anual): 6.000-12.000 EUR/año. Coste de una condena penal corporativa: potencialmente millones en multas, contratos perdidos e inhabilitaciones.
Errores comunes que BMC corrige
- Confundir el manual de buenas prácticas con un programa de compliance penal. Un documento titulado “código de conducta” no exonera de responsabilidad penal si no va acompañado de un mapa de riesgos concreto, controles documentados, un órgano de vigilancia independiente y un canal de denuncias operativo. El TS es muy claro al respecto (STS 154/2016, de 29 de febrero).
- No crear un órgano de vigilancia independiente de la dirección. El artículo 31 bis CP exige que exista un órgano de vigilancia con “poderes autónomos de iniciativa y de control”. Que sea el propio CEO quien se autocontrole no cumple con este requisito de independencia.
- Implantar el compliance penal sin formación documentada a directivos y empleados. El programa de compliance debe ir acompañado de formación periódica (al menos anual) documentada. Sin evidencia de que los empleados conocen el programa y las conductas prohibidas, el tribunal puede considerar que el programa es meramente nominal.
- No actualizar el mapa de riesgos cuando cambia la actividad de la empresa. Un mapa de riesgos elaborado cuando la empresa tenía actividad solo nacional puede ser insuficiente si la empresa ha abierto operaciones en el extranjero o ha comenzado contratos con el sector público. El mapa debe revisarse al menos cada dos años.
- Separar el canal de denuncias del compliance penal. El canal de denuncias de la Ley 2/2023 y el canal del programa de compliance penal deben estar integrados. Tener dos canales paralelos genera confusión y puede generar zonas no cubiertas donde las denuncias de delitos no llegan al órgano de vigilancia adecuado.
Próximos pasos
- Identificar el catálogo de delitos corporativos aplicables a la actividad de la empresa (art. 31 bis CP) y clasificarlos por probabilidad e impacto
- Verificar si existe ya un órgano de vigilancia independiente de la dirección o si debe crearse (compliance officer externo, comité de cumplimiento)
- Elaborar o actualizar el mapa de riesgos de cumplimiento integrando los riesgos penales y los regulatorios bajo una única metodología
- Verificar que el canal de denuncias cumple los requisitos de la Ley 2/2023 y está conectado con el proceso de investigación del órgano de compliance
- Programar la formación anual documentada de directivos y empleados sobre las conductas prohibidas identificadas en el mapa de riesgos
- Evaluar la conveniencia de certificar el programa conforme a la norma UNE 19601:2017 para facilitar la defensa ante un eventual procedimiento penal
