Compliance Penal para Empresas en Madrid: Programas de Cumplimiento que Protegen a sus Administradores

El compliance penal corporativo es el conjunto de medidas de prevención, detección y respuesta que permite a las personas jurídicas quedar exentas o ver atenuada su responsabilidad penal conforme al artículo 31 bis del Código Penal español, introducido por la LO 5/2010 y reformado sustancialmente por la LO 1/2015. En Madrid operan la Fiscalía Especial contra la Corrupción y la Criminalidad Organizada y los Juzgados Centrales de Instrucción, con competencia nacional para investigar delitos económicos graves cometidos en nombre de personas jurídicas. La Ley 2/2023, de protección del informante, añadió la obligación de canal de denuncias operativo para empresas de más de 50 trabajadores, ampliando el perímetro de cumplimiento que el Tribunal Supremo evalúa en las SSTS 154/2016 y 221/2016 para reconocer la eficacia de un programa de compliance penal.

Por qué el compliance penal en Madrid es una prioridad real, no una formalidad

La sede de la Fiscalía Anticorrupción está en Madrid. La Audiencia Nacional —que juzga los delitos económicos de mayor relevancia nacional— está en Madrid. Los Juzgados Centrales de Instrucción, ante los que se investigan los casos más graves de corrupción corporativa, están en Madrid. No es casualidad: Madrid es el principal centro de actividad económica del país y, con ello, el principal foco de riesgo penal corporativo.

Desde la reforma del Código Penal de 2015, las empresas pueden ser declaradas responsables penales directas por los delitos cometidos en su nombre o por su cuenta, con penas que van desde multas millonarias hasta la suspensión de actividades, la clausura del establecimiento o la intervención judicial. La reforma de 2019 introdujo la certificación de los programas de compliance por entidades acreditadas y el Tribunal Supremo ha dictado jurisprudencia que clarifica qué elementos debe tener un programa para ser reconocido como eximente o atenuante.

Ante este contexto, el compliance penal en Madrid no es un documento de imagen. Es un sistema de gestión que necesita estar diseñado, implementado, conocido por la organización, auditado periódicamente y actualizado. Y cuando llega la investigación fiscal o la imputación, ese sistema —o su ausencia— es determinante.

Nuestro equipo de compliance penal en Madrid: programas que protegen a sus administradores

Nuestro equipo de compliance penal en Madrid combina la visión jurídica —artículo 31 bis CP, jurisprudencia del Tribunal Supremo, criterios de la Fiscalía— con la capacidad de implementación práctica en organizaciones de distinto tamaño y sector. No diseñamos solo el programa: acompañamos su implementación, formamos a los equipos, actuamos como compliance officer externo cuando la empresa lo necesita y, si llega el procedimiento penal, defendemos.

Para empresas que también son sujetos obligados bajo la normativa de prevención del blanqueo de capitales, coordinamos ambos programas en un sistema de gestión integrado que evita duplicidades y garantiza una cobertura completa. Lo mismo aplica al canal de denuncias exigido por la Ley 2/2023: lo integramos en el programa de compliance penal como uno de sus elementos, no como un añadido independiente.

Para empresas con presencia en múltiples jurisdicciones, trabajamos con corresponsales en los países relevantes para garantizar que el programa de compliance es coherente con los requisitos de cada ordenamiento.

Lo que exige el Tribunal Supremo para que un programa de compliance sea eficaz

La jurisprudencia del Tribunal Supremo —especialmente las Sentencias 154/2016 y 221/2016— ha establecido los criterios que debe cumplir un programa de compliance penal para ser reconocido por los tribunales como eximente o atenuante. Son los siguientes:

• Identificación de los riesgos penales específicos de la actividad de la empresa, no un catálogo genérico.
• Protocolos de actuación concretos para cada riesgo identificado, con responsables designados y plazos definidos.
• Canal de denuncias operativo para que cualquier empleado pueda comunicar irregularidades sin represalias.
• Órgano de cumplimiento con autonomía real, con capacidad de acceso a toda la información y de reporte directo al consejo de administración.
• Formación efectiva documentada para los empleados con exposición relevante a los riesgos identificados.
• Auditoría y actualización periódica del programa ante cambios normativos u organizativos.

Un programa que no cumpla estos requisitos no es un eximente: es simplemente un documento que la Fiscalía utilizará para demostrar que la empresa intentó aparentar cumplimiento sin cumplir realmente.

Qué incluye nuestro programa de compliance penal para empresas en Madrid

Fase 1 — Diagnóstico: identificación de los delitos aplicables al catálogo del 31 bis, evaluación del nivel de exposición por actividad y por perfil de empleado, análisis del estado actual del cumplimiento y de las brechas.

Fase 2 — Diseño: mapa de riesgos penales documentado, protocolos de actuación por riesgo, código ético, política de conflicto de intereses, política de regalos y hospitalidad, y procedimiento de gestión del canal de denuncias.

Fase 3 — Implementación: formación a administradores, directivos y empleados clave, implantación del canal de denuncias conforme a la Ley 2/2023, designación o asunción de la función de compliance officer y establecimiento del plan de auditoría.

Fase 4 — Mantenimiento: auditoría anual del programa, informe al consejo de administración, actualización ante cambios normativos, y gestión de las denuncias recibidas a través del canal.

Fase 5 — Defensa: si se inicia una investigación penal, representamos a la empresa ante la Fiscalía y los Juzgados de Instrucción de Madrid, con capacidad para litigar hasta la Audiencia Nacional.

El compliance penal corporativo en España es el conjunto de medidas de prevención, detección y respuesta diseñadas para eximir o atenuar la responsabilidad penal de las personas jurídicas conforme al artículo 31 bis del Código Penal, reformado en 2015 para introducir la responsabilidad penal directa de sociedades y otras entidades. En Madrid operan la Fiscalía Anticorrupción y la Fiscalía de Delitos Económicos —con competencia en todo el territorio nacional— que han intensificado las investigaciones contra empresas por delitos cometidos en su nombre, incluyendo corrupción, blanqueo de capitales, fraude fiscal y delitos contra el mercado. La Ley 2/2023 de protección del informante añadió la obligación, para empresas de más de 50 trabajadores, de contar con un canal de denuncias operativo integrado en el programa de compliance. Los programas que cumplen los requisitos de las normas UNE 19601 e ISO 37001 y las pautas de la Fiscalía General del Estado son reconocidos por los tribunales como circunstancias eximentes o atenuantes de responsabilidad.

Solicite una primera reunión de diagnóstico con nuestro equipo de compliance penal en Madrid. Evaluaremos el estado actual de su programa, identificaremos las brechas más urgentes y le propondremos un plan de acción concreto. La consulta es gratuita y confidencial. Contáctenos a través de nuestra oficina de Madrid.

Marco regulador: artículo 31 bis del Código Penal y jurisprudencia del Tribunal Supremo

El sistema de responsabilidad penal de las personas jurídicas en España se articula a través del artículo 31 bis del Código Penal, en su redacción dada por la LO 1/2015, y está desarrollado por una jurisprudencia del Tribunal Supremo que ha fijado los criterios de eficacia del programa de compliance. Los preceptos fundamentales son:

Artículo 31 bis CP (responsabilidad penal de personas jurídicas): una persona jurídica será responsable penalmente de los delitos cometidos en su nombre o por su cuenta, y en su beneficio directo o indirecto, por sus representantes legales o administradores de hecho o de derecho, o por quienes, estando sometidos a la autoridad de los anteriores, actuaron como consecuencia de un incumplimiento grave de los deberes de supervisión, vigilancia y control.

Artículo 31 bis.2 CP (exención por programa de compliance eficaz): la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, el órgano de administración adoptó y ejecutó con eficacia modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión. Para que el modelo sea eficaz, la norma exige: órgano de cumplimiento con poderes autónomos de iniciativa y control, canales de denuncia internos operativos, y revisión periódica del modelo.

Norma UNE 19601 (sistemas de gestión de compliance penal): esta norma española, certificable, establece los requisitos de un sistema de gestión de compliance penal reconocido por los tribunales como elemento de prueba de la eficacia del programa.

Sentencias del Tribunal Supremo que configuran los criterios de validez:

• STS 154/2016 (Sala de lo Penal): primera sentencia de referencia sobre los elementos que debe contener un modelo de compliance penal para ser reconocido como eximente.
• STS 221/2016 (Sala de lo Penal): complementa la anterior estableciendo que el modelo debe ser concreto, específico para los riesgos de la empresa y verdaderamente implementado, no meramente aprobado en papel.
• STS 583/2017: el órgano de cumplimiento debe tener capacidad real de supervisión, con acceso a toda la información relevante y capacidad de reportar al órgano de administración.

Catálogo de delitos del art. 31 bis CP: solo los delitos expresamente previstos en el Código Penal generan responsabilidad penal de la persona jurídica. Los más relevantes para las empresas son: estafa (art. 251 bis), insolvencia punible (art. 261 bis), delitos contra la Hacienda Pública (art. 310 bis), blanqueo de capitales (art. 302), corrupción entre particulares (art. 288), cohecho (art. 427 bis), financiación ilegal de partidos políticos (art. 304 bis) y delitos medioambientales (art. 328).

Procedimiento penal: investigación, imputación y defensa

El representante especialmente designado de la persona jurídica en el proceso penal (art. 786 bis LECrim) tiene obligaciones propias en la instrucción y el juicio oral. Su designación y preparación son parte de nuestro servicio desde el primer momento de la investigación.

Caso práctico: empresa constructora madrileña investigada por cohecho y corrupción privada

Situación: empresa constructora madrileña con 120 empleados, adjudicataria habitual de contratos con Administraciones Públicas, investigada por la Fiscalía Anticorrupción tras la denuncia de un competidor. La investigación se centra en pagos a un directivo de un organismo público para favorecer la adjudicación de contratos (cohecho activo, art. 424 CP) y comisiones a consultores privados para influir en las decisiones de un cliente corporativo (corrupción privada, art. 286 bis CP).

Estado inicial del compliance: la empresa disponía de un código ético aprobado por el consejo en 2019 y un canal de denuncias contratado con un proveedor externo pero sin uso documentado. No existía un órgano de cumplimiento formalmente designado con autonomía real, ni un mapa de riesgos penales específico para los delitos de cohecho y corrupción. El código ético no hacía referencia a los arts. 424 y 286 bis CP ni establecía protocolos concretos para la gestión de regalos, viajes y hospitalidad con funcionarios o decisores privados.

Actuación en crisis: tras la notificación de la investigación, el equipo de compliance penal de BMC actuó en tres frentes simultáneos: (1) representación jurídica de la persona jurídica en la fase de instrucción ante el Juzgado Central de Instrucción nº 5 de la Audiencia Nacional; (2) investigación interna independiente para identificar el alcance real de los hechos y los empleados implicados; (3) diseño e implementación acelerada de un programa de compliance penal conforme a la UNE 19601, con el triple objetivo de demostrar la voluntad de cumplimiento ante la Fiscalía, mitigar el riesgo de condena como circunstancia atenuante, y prevenir la reiteración.

Resultado: la investigación concluyó con la imputación de dos empleados a título individual. La persona jurídica no fue finalmente acusada al acreditar que los actos estaban fuera del ámbito de los procedimientos internos y que no existía un patrón organizativo de tolerancia o facilitación del cohecho. El programa de compliance certificado UNE 19601 fue valorado positivamente por el Ministerio Fiscal en su escrito de conclusiones.

Cinco errores comunes que BMC corrige

1. Aprobar el programa de compliance sin implementarlo realmente: el Tribunal Supremo es explícito (STS 221/2016): el modelo aprobado en papel pero no verdaderamente implementado en la organización no tiene eficacia eximente. La Fiscalía examina si los empleados conocen el programa, si el canal de denuncias ha tenido usos documentados y si el órgano de cumplimiento ha ejercido sus funciones. Un documento sin trazabilidad de implementación es peor que no tener ninguno, porque demuestra que la empresa conocía las obligaciones y no las cumplió.

2. Designar como compliance officer a alguien sin autonomía real: el órgano de cumplimiento debe tener poderes reales de acceso a la información, capacidad de investigar denuncias y posibilidad de reportar directamente al consejo de administración sin filtros. Un compliance officer que depende jerárquicamente del CEO o del CFO que investiga no tiene autonomía real: la Fiscalía lo detectará en el primer interrogatorio.

3. No actualizar el programa tras cambios normativos u organizativos: el compliance penal es un sistema vivo. Una fusión, una adquisición, la entrada en un nuevo mercado o una modificación del catálogo de delitos del art. 31 bis exigen revisión y actualización del programa. El programa aprobado en 2019 que no ha sido actualizado con los cambios de 2021 y 2023 tiene brechas relevantes que la Fiscalía identificará.

4. Gestionar el canal de denuncias sin las garantías de la Ley 2/2023: desde la entrada en vigor de la Ley Orgánica 2/2023, de 20 de febrero (protección del informante), el canal de denuncias debe cumplir requisitos específicos de anonimato, gestión y protección del denunciante que van más allá de los del simple buzón de sugerencias. Un canal sin estas garantías expone a la empresa a sanciones específicas de la Ley 2/2023 además de no ser reconocido como elemento eficaz del programa de compliance penal.

5. No solicitar asesoramiento jurídico-penal antes de iniciar una investigación interna: cuando la empresa detecta indicios de un posible delito, la tentación de investigarlo internamente de forma urgente puede generar problemas graves. Una investigación interna mal gestionada puede destruir evidencias, viciar declaraciones o crear documentos que después resultan incriminatorios. La investigación interna debe ser diseñada y supervisada por abogados penalistas desde el primer momento para que sus resultados sean utilizables en la defensa y no en su contra.

Fuentes y Marco Normativo

• BOE - Código Penal (LO 10/1995), Art. 31 bis - 31 quinquies (responsabilidad penal personas jurídicas)
• BOE - Ley Orgánica 2/2023, de 20 de febrero (protección del informante)
• Fiscalía General del Estado — Circular 1/2016 (responsabilidad penal personas jurídicas)
• BOE - Ley 31/2014, de mejora del gobierno corporativo
• ISO 37301:2021 - Sistemas de gestión de compliance
• Tribunal Supremo - Sala Segunda (jurisprudencia responsabilidad penal personas jurídicas)
• CNMV - Guía técnica de buenas prácticas para la prevención del blanqueo de capitales