Despacho socio de:

Socios Hispajuris

¿Por qué es necesario el Compliance empresarial?

por | Oct 10, 2025 | Blog Jurídico y Fiscal, Corporate Compliance, Penal

¿Por qué es necesario el Compliance empresarial?

Porque, para bien o para mal, todo ha cambiado para las empresas desde la introducción de la responsabilidad penal de las personas jurídicas en la Ley Orgánica 5/2010, de 22 de junio, aclarada cinco años más tarde por la Ley Orgánica 1/2015, de 30 de marzo.

Estas reformas del Código Penal supusieron un cambio conceptual esencial, al eliminar el principio clásico del derecho penal con el que siempre habíamos convivido: “Societas delinquere non potest” (una sociedad no puede delinquir), vigente en España durante siglos.

Sin embargo, la corrupción y el crimen organizado llevaron a introducir en la legislación penal de la mayoría de los países la responsabilidad penal de las personas jurídicas, tal y como habían recomendado las instituciones internacionales para combatir el uso de las estructuras societarias con fines delictivos.

Nuestro Código Penal ya recoge que las empresas pueden ser declaradas penalmente responsables por delitos cometidos tanto por sus administradores y directivos como por sus trabajadores, en el ámbito de su actividad.

Como consecuencia de ello, las empresas pueden ser sancionadas —según la gravedad del delito— con multas económicas, pérdida de subvenciones y ayudas públicas, o incluso con la suspensión de actividades, disolución, liquidación y cierre. A ello se suma el grave coste reputacional de verse “sentada en el banquillo” y expuesta ante la opinión pública.

¿Cómo se recoge esta responsabilidad en nuestra legislación?

El artículo 31 bis del Código Penal establece:

En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendiendo las circunstancias del caso.

Exención de responsabilidad penal

Tras las sucesivas reformas legales, se establece la posibilidad de implantar un programa de prevención (Compliance Penal) para obtener la exención de responsabilidad penal:

“Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:

  1. El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyan medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.
  2. La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos.
  3. Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención.
  4. No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª

En los casos en los que las anteriores circunstancias solo puedan ser acreditadas parcialmente, esta circunstancia será valorada a efectos de atenuación de la pena.”

¿Cómo evitar la responsabilidad penal de una empresa?

La forma de evitar la responsabilidad penal de la empresa es la implantación de un Programa de Prevención (Compliance Penal) que incluya medidas de vigilancia y control para prevenir la comisión de delitos.

El Compliance Penal no solo protege a las empresas frente a la responsabilidad penal y el coste reputacional, sino que además previene la comisión de delitos internos y mejora la imagen corporativa.

Así, el Compliance Penal previene la comisión de delitos por parte de trabajadores, directivos y administradores, evitando sanciones y responsabilidades.

En definitiva, la implantación de un Programa de Prevención de Delitos es una inversión necesaria y estratégica, independientemente del tamaño o la actividad de la empresa.

Fases del programa de Compliance

FASE 1: Diagnóstico de la situación actual y plan de actuación

Determinación de los procesos susceptibles de riesgo penal mediante el análisis de las actividades de la empresa y su estructura organizativa (solapamientos, duplicidades, indefiniciones…).

  • Diagnóstico de las prácticas de gestión actuales para determinar el punto de partida.
  • Identificación del contexto organizativo y de las expectativas de las partes interesadas.
  • Examen pormenorizado de riesgos penales: identificación y priorización de riesgos inherentes y residuales según sector y actividad.
  • Evaluación de los mecanismos de prevención de delitos existentes.
  • Elaboración de un informe diagnóstico y un plan de acción con puntos de mejora, plazos y prioridades.
  • Realización de jornadas de formación para directivos y trabajadores sobre legislación aplicable y procedimientos internos.

FASE 2: Planificación

  • Diseño del sistema documental del Compliance Penal.
  • Elaboración de matrices de riesgos penales y controles implantados, incluyendo:
    – Descripción del riesgo, probabilidad, impacto y criticidad.
    – Responsable.
    – Medidas y controles existentes.
    – Nivel de riesgo inherente y residual.
  • Obtención de un Mapa de Riesgos Penales y Delitos específico.
  • Designación del Director del Expediente que liderará la implantación del sistema.
  • Definición de competencias, funciones y responsabilidades.
  • Elección del Compliance Officer.
  • Formación general para todo el personal.

FASE 3: Implantación

  • Implementación de mecanismos de control para una Gestión de la Defensa Penal Corporativa.
  • Redacción de protocolos de actuación y un Modelo de Prevención de Delitos.
  • Asesoramiento en la elaboración del Código de Conducta, con desarrollo normativo y régimen disciplinario.
  • Definición e implantación del canal de denuncia, con procedimientos y buenas prácticas, fomentando la transparencia y la reacción ante irregularidades.

FASE 4: Evaluación

Una vez implantado el sistema, se realizarán las siguientes tareas:

  • Auditoría interna completa para verificar la conformidad del sistema con la norma de referencia y la legislación aplicable.
  • Definición de instrumentos para la monitorización y control de riesgos penales.
  • Establecimiento de funciones y responsabilidades de Compliance Penal dentro del organigrama.
  • Programas de formación específicos sobre protocolos, mecanismos y reforma del Código Penal.
  • Elaboración de un Informe de Evaluación del Modelo de Prevención de Delitos (MDP).
  • Establecimiento de acciones correctivas y asesoramiento continuo para la mejora del sistema.

¿Por qué es cada vez más necesario el Compliance Penal?

Porque tanto la jurisprudencia reciente como la legislación europea y nacional insisten cada vez más en las responsabilidades penales de las personas jurídicas.

Por ejemplo:

  • El 26 de marzo de 2024, el Consejo de la Unión Europea (UE) adoptó la Directiva sobre protección del medio ambiente mediante el Derecho penal, que introduce nuevos tipos penales y sanciones medioambientales.
    Los Estados miembros dispondrán de dos años para su transposición, pero las empresas pueden anticiparse e inspirarse en ella para implementar políticas de compliance ambiental y de diligencia debida.
  • La Sentencia del Tribunal Supremo 372/2025 se refiere a la falta de programas de prevención como base de responsabilidad penal. Establece que debe demostrarse un defecto estructural en los programas de prevención conforme al artículo 31 bis del Código Penal. La inexistencia o ineficacia de mecanismos de compliance es requisito imprescindible para imputar responsabilidad penal a una entidad.

Conclusión

Evitar la responsabilidad penal, así como el daño reputacional y patrimonial que puede suponer para la empresa, es hoy imperativo.

En Caruncho y Tomé somos abogados especialistas en Compliance Penal y podemos implantar en tu empresa un Programa de Prevención de Delitos conforme a la norma UNE 18601, adaptado a su estructura y necesidades.

Artículos que quizá te interesen: