COMPLIANCE PENAL. REQUISITOS PARA CUMPLIR CON LA NORMA
1. Objeto
El presente memorando tiene por objeto exponer al órgano de administración los fundamentos jurídicos y las razones de oportunidad que aconsejan la implantación en la sociedad de un programa de prevención de delitos (modelo de organización y gestión, en la terminología legal), así como describir sus elementos esenciales y proponer un plan de implantación por fases.
2. Marco legal: la responsabilidad penal de la persona jurídica
Desde la entrada en vigor de la Ley Orgánica 5/2010, las personas jurídicas pueden ser penalmente responsables de un catálogo cerrado de delitos cometidos en su seno. La Ley Orgánica 1/2015 reformó el artículo 31 bis del Código Penal para configurar el régimen vigente, conforme al cual la sociedad responde penalmente en dos supuestos:
- Delitos cometidos en nombre o por cuenta de la sociedad, y en su beneficio directo o indirecto, por sus representantes legales o por quienes ostentan facultades de organización y control (art. 31 bis.1.a) CP).
- Delitos cometidos por empleados sometidos a la autoridad de los anteriores, cuando el delito haya sido posible por haberse incumplido gravemente los deberes de supervisión, vigilancia y control (art. 31 bis.1.b) CP).
Las penas aplicables a la persona jurídica (art. 33.7 CP) incluyen la multa por cuotas o proporcional, la suspensión de actividades, la clausura de locales, la prohibición de realizar las actividades en cuyo ejercicio se cometió el delito, la inhabilitación para obtener subvenciones, ayudas públicas y beneficios fiscales y para contratar con el sector público, la intervención judicial y, en los supuestos más graves, la disolución.
3. El programa de compliance como causa de exención de la responsabilidad
El elemento central del régimen vigente es que la adopción y ejecución eficaz de un modelo de organización y gestión con anterioridad a la comisión del delito constituye causa de exención de la responsabilidad penal de la persona jurídica (art. 31 bis.2 y 4 CP). Cuando las circunstancias solo puedan acreditarse parcialmente, el modelo opera como circunstancia atenuante.
Para desplegar eficacia eximente, el modelo debe cumplir los requisitos del art. 31 bis.5 CP:
- Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben prevenirse (mapa de riesgos penales).
- Establecer protocolos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción y de ejecución de decisiones.
- Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos.
- Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento del modelo (canal de denuncias).
- Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas.
- Realizar una verificación periódica del modelo y su eventual modificación cuando se pongan de manifiesto infracciones relevantes o cambios en la organización o la actividad.
Además, la supervisión del funcionamiento y del cumplimiento del modelo debe confiarse a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control (órgano de cumplimiento o compliance officer), conforme al art. 31 bis.2.2ª CP.
La jurisprudencia del Tribunal Supremo ha situado el fundamento de la responsabilidad de la persona jurídica en el defecto de organización y en la ausencia de una cultura de respeto al Derecho (SSTS 154/2016, de 29 de febrero, y 221/2016, de 16 de marzo). En la misma línea, la Circular 1/2016 de la Fiscalía General del Estado advierte de que los programas meramente formales o cosméticos carecen de valor: lo determinante es la eficacia real del modelo y su integración en la cultura de la empresa.
4. Protección del órgano de administración y de los directivos
El deber general de diligencia de los administradores (arts. 225 y 236 de la Ley de Sociedades de Capital) comprende el deber de supervisar los riesgos de la actividad, entre ellos los penales. La omisión de controles razonables frente a riesgos previsibles puede generar responsabilidad personal del administrador: civil, por daños causados a la sociedad; y, en su caso, penal, ya como persona física del art. 31 bis.1.a) CP, ya por comisión por omisión (art. 11 CP) respecto de delitos cometidos por subordinados que tenía el deber de vigilar.
La implantación de un modelo de prevención documenta el cumplimiento del deber de supervisión, permite al administrador ampararse en la protección de la discrecionalidad empresarial (art. 226 LSC) y constituye, en la práctica, la principal salvaguarda personal de consejeros y directivos frente a imputaciones derivadas de hechos de terceros dentro de la organización.
5. Ventajas procesales y de gestión de crisis
Con independencia de su eficacia eximente, la existencia de un programa serio modifica sustancialmente la posición de la empresa ante una eventual investigación penal:
- Permite a la sociedad presentarse desde el inicio de la instrucción como entidad cumplidora, perjudicada por la actuación individual del infractor, y no como coimputada.
- Los protocolos de investigación interna permiten reaccionar de forma ordenada ante indicios de delito, preservar evidencias con garantías y decidir con asesoramiento la estrategia de colaboración.
- Reduce el riesgo de medidas cautelares especialmente gravosas para la continuidad del negocio (intervención judicial, suspensión de actividades).
- La adopción de medidas eficaces tras el delito y antes del juicio oral, así como la colaboración y la reparación, operan como atenuantes específicas (art. 31 quater CP).
6. Razones extrapenales
- Contratación pública: la condena penal por determinados delitos conlleva prohibición de contratar con el sector público (art. 71 LCSP), lo que para muchas empresas supone la exclusión de su mercado principal.
- Exigencias de terceros: entidades financieras, aseguradoras y grandes clientes incorporan de forma creciente la exigencia de programas de compliance en sus procesos de homologación y diligencia debida de proveedores.
- Canal de denuncias obligatorio: la Ley 2/2023, de protección del informante, obliga a las empresas de cincuenta o más trabajadores a disponer de un sistema interno de información, con régimen sancionador propio en caso de incumplimiento. El canal exigido por esta ley se integra de forma natural en el modelo de prevención penal.
- Prevención del blanqueo de capitales: si la sociedad tiene la condición de sujeto obligado conforme a la Ley 10/2010 y el RD 304/2014, sus obligaciones de control interno se solapan con el compliance penal, y su integración en un sistema único resulta más eficiente y coherente.
- Valor de la empresa y reputación: en operaciones corporativas, la contingencia penal sin programa de prevención se traduce en ajustes de precio, garantías reforzadas o ruptura de la operación; la condena penal, además, es pública y de grave impacto reputacional.
7. Estándar de referencia
Para la implantación se tomará como referencia la norma UNE 19601 (Sistemas de gestión de compliance penal), estándar español certificable que desarrolla los requisitos del art. 31 bis.5 CP, junto con los criterios de la Circular FGE 1/2016. La certificación del sistema no garantiza por sí sola la exención, pero constituye un indicio cualificado de la seriedad y eficacia del modelo.
8. Plan de implantación por fases
Se propone el siguiente plan de trabajo, con una duración total estimada de cuatro a seis meses hasta la plena operatividad del modelo:
| Fase | Actuaciones | Entregables | Duración orientativa |
| Fase 1. Diagnóstico | Análisis de la actividad, estructura societaria, procesos y controles existentes. Entrevistas con dirección y responsables de área. Revisión documental (estatutos, poderes, políticas, contratos tipo). | Informe de situación (gap analysis) frente a los requisitos del art. 31 bis.5 CP y la norma UNE 19601. | 3 – 4 semanas |
| Fase 2. Mapa de riesgos penales | Identificación de los delitos atribuibles a la persona jurídica relevantes para la actividad. Evaluación de probabilidad e impacto por proceso y área. Identificación de controles existentes y déficits. | Mapa de riesgos penales aprobado por el órgano de administración. | 3 – 4 semanas |
| Fase 3. Diseño del modelo | Redacción del Manual de Prevención de Delitos, Código Ético, políticas y protocolos específicos (regalos y hospitalidad, relaciones con funcionarios, contratación de terceros, gestión de recursos financieros). Diseño del canal de denuncias conforme a la Ley 2/2023. Definición del sistema disciplinario y del régimen del órgano de cumplimiento. | Cuerpo normativo interno completo; reglamento del órgano de cumplimiento; procedimiento del canal interno de información. | 4 – 6 semanas |
| Fase 4. Aprobación e implantación | Aprobación formal del modelo por el órgano de administración. Nombramiento del compliance officer u órgano de cumplimiento con poderes autónomos. Puesta en marcha del canal de denuncias. Comunicación interna y adhesión de la plantilla. Adaptación de contratos con terceros (cláusulas de compliance). | Acta de aprobación; nombramiento formal; canal operativo; evidencias de comunicación. | 3 – 4 semanas |
| Fase 5. Formación | Formación general a toda la plantilla y formación específica a áreas de riesgo (comercial, financiera, compras, dirección). Evaluación de conocimientos y registro de asistencia. | Plan de formación; materiales; registros de asistencia y evaluación (evidencia clave de eficacia). | Continua; primer ciclo en 4 semanas |
| Fase 6. Supervisión y mejora continua | Verificación periódica del funcionamiento del modelo, auditorías internas, gestión de denuncias e investigaciones internas, actualización ante reformas legales, cambios organizativos o incidentes. Reporte periódico al órgano de administración. | Informe anual del órgano de cumplimiento; plan de auditoría; revisiones del mapa de riesgos. | Permanente (revisión mínima anual) |
9. Conclusión y recomendación
La implantación de un programa de prevención de delitos constituye la única vía legalmente prevista para que la sociedad pueda quedar exenta de responsabilidad penal por los delitos cometidos en su seno; protege personalmente a los administradores en el cumplimiento de su deber de supervisión; mejora decisivamente la posición procesal de la empresa ante cualquier investigación; y responde a exigencias legales y de mercado ya vigentes, singularmente la obligación de disponer de un canal interno de información.
En consecuencia, se recomienda al órgano de administración acordar el inicio del proyecto de implantación conforme al plan por fases descrito, designando un interlocutor interno y dotando al proyecto de los recursos necesarios, de todo lo cual deberá dejarse constancia en acta como evidencia del compromiso del órgano de administración con la cultura de cumplimiento.
________________________
Christian Mesia
Lesseps Legal. Abogado. Doctor en Derecho