La responsabilidad penal de las personas jurídicas en España, regulada en el artículo 31 bis del Código Penal, ha experimentado una evolución jurisprudencial intensa desde su introducción en 2010. Lo que en sus inicios fue recibido con cierto escepticismo sobre su aplicación práctica es hoy una realidad consolidada: los tribunales españoles han condenado a personas jurídicas, han examinado con rigor sus modelos de prevención y han asentado una doctrina que obliga a las empresas a tomarse el compliance penal con la misma seriedad con que abordan cualquier otro riesgo corporativo mayor.
Este whitepaper analiza el estado actual del compliance penal en España, las exigencias del Tribunal Supremo, el catálogo de delitos más relevantes para el tejido empresarial y las mejores prácticas para que las empresas españolas construyan modelos de prevención efectivos y verificables.
Marco normativo: la arquitectura legal del compliance penal
La Ley Orgánica 5/2010 introdujo en el Código Penal español la responsabilidad penal de las personas jurídicas mediante la incorporación del artículo 31 bis. La reforma de la Ley Orgánica 1/2015 consolidó y precisó ese modelo, estableciendo de forma explícita que la adopción y ejecución eficaz de programas de prevención puede constituir causa de exención de responsabilidad penal, no solo de atenuación.
El artículo 31 bis en su redacción vigente establece dos vías de imputación para la persona jurídica: la comisión del delito por parte de los representantes legales o administradores de hecho o de derecho (vía alta), y la comisión por parte de empleados o subordinados por no haber ejercido sobre ellos el debido control (vía baja). En ambos casos, la clave de la exención es la demostración de que la persona jurídica adoptó y ejecutó eficazmente un modelo de organización y gestión idóneo para prevenir delitos de la naturaleza del cometido.
La Circular 1/2016 de la Fiscalía General del Estado fijó los criterios de valoración que los fiscales aplican a estos programas, y constituye hoy la referencia práctica más importante para diseñar modelos de compliance penal que puedan resistir el escrutinio de la acusación pública. Sus exigencias van más allá del mero diseño documental: la Circular subraya que el programa debe ser operativamente eficaz y haber demostrado su capacidad de detectar y reaccionar ante irregularidades en el pasado.
Exigencias del Tribunal Supremo: jurisprudencia consolidada
La jurisprudencia del Tribunal Supremo en materia de responsabilidad penal corporativa ha madurado de forma notable desde la Sentencia 154/2016, de 29 de febrero (conocida como “caso Manos Limpias”), que fue la primera resolución del Alto Tribunal que abordó en profundidad el estándar de idoneidad del programa de compliance.
Las sentencias posteriores —incluyendo la STS 221/2016, de 16 de marzo, y la doctrina consolidada en los años siguientes— han precisado que el modelo de prevención debe cumplir cuatro condiciones básicas para poder alegarse como exención: debe haber sido adoptado e implementado antes de la comisión del delito (no vale adoptarlo después de conocerse la investigación); debe identificar las actividades de la empresa en cuyo ámbito pueden cometerse los delitos que se pretende prevenir; debe establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos; y debe disponer de mecanismos eficaces de vigilancia y control para reducir el riesgo de incumplimiento de las medidas preventivas.
El Tribunal Supremo también ha subrayado que el programa debe ser “genuino”, en contraposición a los modelos de papel diseñados para aparentar cumplimiento sin implementación real. Los indicadores que los tribunales examinan para valorar la genuinidad incluyen: la existencia de formación documentada y periódica, el funcionamiento efectivo del canal de denuncias (número de comunicaciones recibidas, tiempos de respuesta, medidas adoptadas), y las auditorías o revisiones periódicas del propio modelo.
Catálogo de delitos aplicables a personas jurídicas
El Código Penal no hace responsable a la persona jurídica de todos los delitos posibles, sino solo de aquellos para los que el legislador ha previsto expresamente esa consecuencia. El catálogo incluye actualmente más de 30 tipos delictivos, pero los de mayor relevancia práctica para el tejido empresarial español son los siguientes:
Delitos económicos y financieros. El fraude fiscal (artículo 305 CP), el delito contable (artículo 310 CP), el blanqueo de capitales (artículos 301-304 CP) y las insolvencias punibles (artículos 259-261 CP) son los más frecuentes en procedimientos contra personas jurídicas. La cuota defraudada superior a 120.000 euros activa la responsabilidad penal en el ámbito tributario.
Corrupción y cohecho. Los delitos de cohecho activo (artículo 424 CP), corrupción entre particulares (artículo 286 bis CP) y corrupción en las transacciones comerciales internacionales (artículo 286 ter CP) son especialmente relevantes para empresas que operan en licitaciones públicas, sectores regulados o mercados internacionales con altos niveles de riesgo de corrupción.
Delitos contra los trabajadores. Los delitos contra los derechos de los trabajadores (artículos 311-318 CP), incluyendo la imposición de condiciones laborales abusivas, la trata de seres humanos con fines laborales y los delitos de riesgo en materia de seguridad laboral, son objeto de creciente atención por parte de la Fiscalía, especialmente en sectores como la construcción, el trabajo temporal y la hostelería.
Delitos medioambientales. Los delitos contra el medio ambiente (artículos 325-331 CP) afectan especialmente a empresas industriales, de gestión de residuos y del sector energético. La reforma del Código Penal de 2015 introdujo el delito de contaminación por imprudencia grave, ampliando el espectro de responsabilidad más allá de las conductas dolosas.
Delitos tecnológicos. El acceso ilícito a sistemas informáticos (artículo 197 bis CP), los daños informáticos (artículo 264 CP) y los delitos relativos a la propiedad intelectual en entornos digitales (artículo 270 CP) son tipos de reciente incorporación al catálogo de responsabilidad penal corporativa, con creciente relevancia en el contexto de la economía digital.
Componentes esenciales del modelo de compliance penal
Un programa de compliance penal efectivo, capaz de resistir el escrutinio judicial y de la Fiscalía, debe articularse en torno a seis componentes interdependientes:
1. Mapa de riesgos penales. El punto de partida es la identificación y evaluación de los riesgos penales específicos de la actividad de la empresa. No es posible diseñar controles eficaces sin saber cuáles son los escenarios de comisión de delitos más probables dado el modelo de negocio, los sectores en los que opera, los mercados geográficos en los que actúa y la estructura organizativa. El mapa de riesgos debe actualizarse periódicamente (al menos una vez al año o ante cambios relevantes en el negocio) y debe documentarse con evidencia del proceso de valoración.
2. Protocolos de control y procedimientos preventivos. Para cada riesgo identificado como relevante, el modelo debe establecer procedimientos concretos que reduzcan la probabilidad de comisión: segregación de funciones, límites de autorización en pagos, procesos de due diligence de terceros (proveedores, agentes, distribuidores), controles de tesorería para detectar pagos irregulares, y procedimientos de aprobación para gastos de hospitalidad y relaciones con funcionarios públicos.
3. Canal de denuncias con garantías. La Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva de Whistleblowing), transpuesta al ordenamiento español mediante la Ley 2/2023 de 20 de febrero, obliga a las empresas con 50 o más trabajadores a disponer de un canal de denuncias interno que cumpla determinados requisitos de confidencialidad, plazos de acuse de recibo (7 días) y de respuesta (3 meses), y prohibición de represalias. Este canal no es solo un requisito legal: es el mecanismo central de detección temprana de irregularidades dentro de la organización.
4. Formación periódica documentada. La formación del personal es un componente crítico que los tribunales examinan para evaluar la genuinidad del programa. No basta con incluir el código ético en el contrato de trabajo: la empresa debe poder acreditar que ha impartido formación específica y periódica sobre los riesgos penales relevantes para cada función y nivel jerárquico, y que los empleados han comprendido las políticas y los procedimientos aplicables a su trabajo.
5. Órgano de compliance con autonomía real. El artículo 31 bis exige que la persona jurídica haya confiado la supervisión del modelo a un órgano con poderes autónomos de iniciativa y control o que tenga confiada legalmente la función de supervisar el funcionamiento y el cumplimiento del modelo de prevención. La autonomía real de este órgano es un factor determinante: un compliance officer que depende jerárquicamente del mismo directivo cuyas decisiones debe supervisar no cumple con el estándar exigido. En empresas de tamaño medio, la función puede ejercerse mediante una comisión del consejo (si existe) o mediante un responsable externo de compliance.
6. Auditoría periódica del modelo. El programa debe someterse a revisión periódica para verificar que los controles siguen siendo adecuados a los riesgos actuales de la empresa y que están operativamente implementados. Esta revisión puede ser interna (realizada por el propio órgano de compliance) o externa (por un auditor especializado), pero debe generar un informe documentado con las deficiencias identificadas y las medidas adoptadas para corregirlas.
Sectores con mayor exposición y casos de aplicación
Los sectores financiero, inmobiliario, construcción y salud presentan mayor exposición histórica en España, pero la experiencia de los últimos años ha puesto de manifiesto que ningún sector es inmune.
Sector construcción y promotoras. Los delitos más frecuentes incluyen la corrupción en licitaciones de obra pública, los delitos contra los trabajadores (condiciones laborales abusivas, accidentes por omisión de medidas de seguridad), y los delitos medioambientales relacionados con la gestión de residuos de construcción. Los programas de compliance en este sector deben prestar especial atención a la cadena de subcontratación, donde el riesgo de incumplimiento laboral y medioambiental se traslada a terceros.
Sector financiero y fintech. Las entidades financieras están sujetas a un régimen de cumplimiento normativo específico (supervisor bancario, CNMV, normativa AML), pero el compliance penal va más allá de la regulación sectorial. Los riesgos de blanqueo de capitales, fraude interno, corrupción y delitos informáticos requieren un modelo de prevención integrado que coordine el compliance regulatorio con el penal.
Sector salud y farmacéutico. La corrupción entre particulares en las relaciones con médicos y responsables de compras de hospitales (artículo 286 bis CP), los delitos relativos a medicamentos falsificados o adulterados, y los delitos contra la salud pública son los principales focos de riesgo. Los códigos de conducta de la industria farmacéutica (CGCOF, Farmaindustria) deben integrarse con el modelo de compliance penal de cada empresa.
Empresas de tamaño medio en sectores no regulados. Un error frecuente es pensar que el compliance penal solo afecta a grandes corporaciones o sectores financieros. Las sentencias de los últimos años muestran que pymes y empresas medianas también han sido imputadas como personas jurídicas, especialmente en relación con delitos fiscales, contra los trabajadores y medioambientales. El umbral de 120.000 euros de cuota defraudada para el delito fiscal está al alcance de empresas con facturación desde 2-3 millones de euros.
Coste y ROI del compliance penal
El coste de implantar un programa de compliance penal para una empresa mediana oscila entre 8.000 y 35.000 euros, dependiendo del tamaño de la organización, la complejidad de su actividad y el número de riesgos identificados. Los programas de mantenimiento anual (actualización del mapa de riesgos, formación, auditoría y gestión del canal de denuncias) tienen un coste aproximado de entre 3.000 y 10.000 euros anuales.
Frente a ese coste, las consecuencias de no disponer de un programa efectivo incluyen: multas de hasta cinco veces el beneficio obtenido (sin límite mínimo), la inhabilitación para contratar con las administraciones públicas (consecuencia devastadora para empresas con contratos públicos), la clausura temporal o definitiva de establecimientos, y el coste reputacional asociado a una condena penal de la persona jurídica. En cualquier escenario de riesgo real, el ROI del compliance penal es incuestionable.
Hoja de ruta de implantación
Fase 1 — Diagnóstico y mapa de riesgos (4-6 semanas). Análisis de la actividad, estructura y exposición de la empresa; identificación y valoración de riesgos penales específicos; revisión de los controles existentes y brechas detectadas.
Fase 2 — Diseño del modelo (6-8 semanas). Elaboración del código ético y las políticas corporativas; diseño de los protocolos de control para cada riesgo relevante; definición del modelo de canal de denuncias cumplidor con la Ley 2/2023; diseño del plan de formación.
Fase 3 — Implantación y formación (8-12 semanas). Aprobación formal del modelo por el órgano de administración; comunicación interna del programa; impartición de la formación inicial al personal; puesta en marcha operativa del canal de denuncias.
Fase 4 — Mantenimiento y mejora continua (permanente). Revisión anual del mapa de riesgos; actualización de protocolos ante cambios en la actividad o en la legislación; gestión de las comunicaciones recibidas por el canal; auditoría periódica del modelo y reporte al órgano de administración.
Conclusiones y recomendaciones de BMC
El compliance penal ha pasado de ser una práctica reservada a grandes corporaciones a convertirse en una necesidad para cualquier empresa española que quiera gestionar responsablemente sus riesgos legales. La jurisprudencia del Tribunal Supremo ha elevado el estándar de exigencia: los programas de papel ya no son suficientes, y los tribunales examinan si el modelo fue genuinamente implementado y operativo antes de la comisión del delito.
El momento de actuar es ahora, no cuando la empresa reciba la primera notificación de una investigación. Un programa adoptado reactivamente no sirve como defensa, y el coste de implantación es invariablemente inferior al coste de enfrentarse a un procedimiento penal sin las defensas corporativas adecuadas.
En BMC diseñamos modelos de compliance penal a medida para cada organización, desde el diagnóstico inicial hasta el mantenimiento anual del programa, con un equipo que combina experiencia legal, conocimiento sectorial y las herramientas tecnológicas necesarias para que el compliance sea operativo y verificable. Conozca nuestros servicios de compliance penal.
