Un programa de compliance penal es el conjunto estructurado de políticas, procedimientos, controles y medidas organizativas que una empresa adopta para identificar, evaluar, prevenir y detectar los riesgos de comisión de delitos en su seno. Su importancia va más allá de la mera gestión del riesgo: el artículo 31 bis del Código Penal reconoce expresamente que la empresa que tiene implantado un programa de compliance eficaz puede quedar completamente exonerada de responsabilidad penal, aunque uno de sus empleados o directivos haya cometido un delito. Sin ese programa, la empresa responde penalmente de forma automática cuando se dan los presupuestos legales, con independencia de si el órgano de administración tenía o no conocimiento de los hechos.
Qué es y qué no es un programa de compliance penal
La confusión más frecuente en la práctica empresarial es equiparar el compliance penal con el cumplimiento normativo general. No son lo mismo. El cumplimiento normativo general abarca todas las obligaciones legales aplicables a la empresa: fiscal, laboral, medioambiental, protección de datos, contratación pública. El compliance penal se ocupa específicamente de los riesgos de comisión de delitos del catálogo del artículo 31 bis CP y siguientes: corrupción, blanqueo, fraude fiscal, delitos contra los trabajadores, delitos informáticos, entre otros.
Tampoco debe confundirse el compliance penal con el cumplimiento formal de una norma externa. Un programa que existe solo sobre el papel —un manual en el cajón que nadie ha leído, un canal de denuncias que nadie sabe que existe, un código de conducta que nadie ha firmado— no solo no exonera a la empresa, sino que puede agravar su posición procesal al evidenciar que la empresa era consciente de los riesgos y no adoptó medidas reales para gestionarlos. La jurisprudencia es clara en este punto: el compliance debe ser genuino, efectivo y verificable.
Los seis requisitos del artículo 31 bis.5 CP
El Código Penal, en su artículo 31 bis.5, establece los elementos que debe contener el modelo de organización y gestión para ser reconocido como programa de compliance con efectos exoneradores. Son seis requisitos acumulativos:
Primer requisito: identificación de actividades de riesgo
El programa debe comenzar con un mapa de riesgos penales: un análisis sistemático de las actividades de la empresa, sus procesos, sus relaciones con terceros y el entorno en el que opera, con el objetivo de identificar en qué ámbitos podría cometerse cada uno de los delitos del catálogo. Este análisis no puede ser genérico ni basado en plantillas estándar. Una empresa constructora tiene riesgos muy distintos de una empresa tecnológica o de un despacho profesional. El mapa debe ser específico para la empresa y actualizarse cuando cambia la actividad, la estructura organizativa o el entorno regulatorio.
Segundo requisito: protocolos de formación de la voluntad corporativa
La empresa debe contar con procedimientos documentados que establezcan cómo se forman y adoptan las decisiones corporativas en los ámbitos de riesgo identificados. Esto incluye, por ejemplo, protocolos de autorización para pagos a intermediarios comerciales, procedimientos de due diligence de clientes y proveedores, reglas de aprobación de gastos de representación, y criterios para la gestión de donativos, patrocinios y contribuciones políticas. El objetivo es que ninguna decisión con potencial penal pueda adoptarse por una sola persona sin controles cruzados.
Tercer requisito: controles sobre recursos financieros
El programa debe incluir mecanismos de control financiero específicamente orientados a prevenir delitos: segregación de funciones entre quien autoriza y quien ejecuta un pago, controles sobre pagos en efectivo, trazabilidad de operaciones con partes vinculadas, procedimientos de facturación que impidan el uso de facturas falsas, y auditorías periódicas de los circuitos financieros de mayor riesgo. Estos controles deben estar integrados en los sistemas de información contable y financiera de la empresa.
Cuarto requisito: deber de información y canal de denuncias
El programa debe establecer la obligación de que todos los empleados, directivos y colaboradores informen al órgano de compliance cuando detecten indicios de posible comisión de un delito o de incumplimiento del programa. El mecanismo habitual para articular este deber es el canal de denuncias, que en las empresas con cincuenta o más trabajadores ya es obligatorio por la Ley 2/2023. La integración del canal de denuncias en el programa de compliance penal es, por tanto, doble: cumple simultáneamente con la obligación de la Ley 2/2023 y con el requisito del artículo 31 bis.5.4ª CP.
Quinto requisito: sistema disciplinario
El programa solo es creíble si su incumplimiento tiene consecuencias reales. La empresa debe contar con un régimen disciplinario que tipifique como infracciones laborales el incumplimiento de las políticas de compliance y establezca sanciones proporcionales a la gravedad. Este régimen debe aplicarse de forma efectiva y sin excepciones para los altos directivos: si el código de conducta establece que se sanciona a quien acepta un regalo de valor superior a determinado importe, esa regla debe aplicarse igual al comercial júnior que al director de ventas. La existencia de una doble vara de medir destruye la credibilidad del programa y elimina su efecto exonerador.
Sexto requisito: verificación periódica y actualización
El programa no puede ser estático. El artículo 31 bis.5.6ª CP exige su verificación periódica y su modificación cuando se detecten infracciones relevantes o cuando cambien las circunstancias de la empresa. En la práctica, esto se traduce en auditorías internas o externas del programa con una frecuencia mínima anual, revisión del mapa de riesgos cuando la empresa acomete nuevas actividades o entra en nuevos mercados, y actualización de los protocolos cuando cambia la legislación aplicable o cuando la jurisprudencia delimita nuevos contornos del riesgo penal.
El compliance officer: figura clave del programa
El artículo 31 bis.2 CP exige que el modelo sea supervisado por un órgano con poderes autónomos de iniciativa y control. Este órgano —que en la práctica suele denominarse compliance officer, responsable de compliance o comité de compliance— es la pieza central del sistema.
Funciones del compliance officer
Las funciones esenciales del compliance officer son: supervisar el funcionamiento del programa de compliance, gestionar las comunicaciones recibidas a través del canal de denuncias, investigar los incidentes de compliance, mantener actualizado el mapa de riesgos, formar e informar a los empleados sobre el programa, y reportar periódicamente al órgano de administración sobre el estado del sistema. En las empresas cotizadas y en las grandes corporaciones, el compliance officer suele ser una figura interna de alto nivel jerárquico. En las PYMEs, la función se externaliza frecuentemente a abogados o consultores especializados.
Independencia e idoneidad
Para que el compliance officer cumpla su función con eficacia y para que el programa opere como exención penal, esta figura debe tener independencia real respecto a los órganos de dirección. Un compliance officer que solo puede actuar con la aprobación del administrador cuya conducta está investigando no cumple con el requisito de autonomía que exige el Código Penal. La independencia debe garantizarse mediante acceso directo al consejo de administración o al consejo asesor, protección frente al despido o cese motivado por el ejercicio de sus funciones, y recursos propios para llevar a cabo su trabajo.
La norma UNE 19601 como estándar de referencia
La norma UNE 19601, publicada por AENOR en 2017 con la denominación «Sistemas de gestión de compliance penal. Requisitos con orientación para su uso», es el estándar técnico español de referencia para el diseño e implantación de programas de compliance penal. Aunque su certificación no es legalmente obligatoria, su adopción ofrece ventajas prácticas relevantes.
En primer lugar, la certificación UNE 19601 por una entidad acreditada (AENOR, Bureau Veritas, TÜV, entre otras) constituye evidencia objetiva —no autocalificación— de que el programa cumple con los estándares de la industria. Esta evidencia es valiosa en un proceso penal: la empresa no se limita a afirmar que su programa es eficaz, sino que cuenta con la validación de un tercero independiente.
En segundo lugar, la norma UNE 19601 está alineada con la ISO 37301 (antigua ISO 19600, el estándar internacional de compliance), lo que facilita la integración del compliance penal en sistemas de gestión más amplios en empresas que operan a nivel internacional.
La norma establece un ciclo PDCA (Plan-Do-Check-Act) aplicado al compliance penal: análisis del contexto y partes interesadas, evaluación de riesgos penales, diseño e implantación de controles, formación y comunicación, gestión de incidentes y mejora continua. Su estructura es compatible con los seis requisitos del artículo 31 bis.5 CP, y la Fiscalía General del Estado la ha reconocido expresamente como referencia válida en sus circulares sobre responsabilidad penal corporativa.
El canal de denuncias como pieza del programa de compliance
El canal de denuncias no es un elemento accesorio del programa de compliance penal: es uno de sus componentes estructurales. Sin un mecanismo eficaz de comunicación interna de irregularidades, el compliance officer no tiene información para actuar y el programa queda reducido a un conjunto de políticas en papel.
La integración del canal en el programa debe ser real, no formal. Esto significa que las comunicaciones recibidas a través del canal deben generar un protocolo de investigación interna, que los resultados de la investigación deben alimentar la revisión del mapa de riesgos, y que la gestión del canal debe ser evaluada en las auditorías periódicas del programa. Un canal de denuncias con cero comunicaciones en dos años no es señal de que la empresa es perfecta: probablemente indica que los empleados no confían en el sistema o no saben que existe.
Implantación práctica: fases de un proyecto de compliance penal
Fase 1: diagnóstico inicial
El punto de partida es un análisis de la situación actual de la empresa: qué documentos de compliance existen (código de conducta, políticas, procedimientos), si hay un canal de denuncias operativo, qué controles financieros están en funcionamiento, si se han producido incidentes previos. Este diagnóstico permite identificar las brechas entre la situación actual y los requisitos del artículo 31 bis CP.
Fase 2: evaluación de riesgos penales
El mapa de riesgos penales es el documento técnico central del programa. Se elabora identificando para cada proceso de negocio y para cada tipo de relación (empleados, directivos, proveedores, clientes, administraciones públicas) cuál es la probabilidad de comisión de cada delito del catálogo, cuál es el impacto potencial y qué controles existen actualmente. El resultado es una matriz de riesgos inherentes y residuales que determina qué áreas requieren atención prioritaria.
Fase 3: diseño del modelo
Sobre la base del mapa de riesgos, se diseña o actualiza la arquitectura documental del programa: código de conducta, políticas específicas por riesgo (anticorrupción, antisoborno, prevención del blanqueo, gestión de conflictos de interés), procedimientos operativos, matriz de autorizaciones, y protocolo de investigación interna. Todos los documentos deben ser coherentes entre sí y con la realidad operativa de la empresa.
Fase 4: implantación y formación
Un programa documentado que nadie conoce no existe a efectos penales. La formación es un elemento probatorio crucial: la empresa debe poder acreditar que sus empleados y directivos conocen el programa, han firmado el código de conducta, han recibido formación específica sobre los riesgos de su puesto y saben cómo utilizar el canal de denuncias. Esta formación debe ser periódica y adaptada por perfiles de riesgo: no es lo mismo la formación básica para todos los empleados que la formación específica para los responsables financieros, el equipo comercial o los directivos con poder de decisión.
Fase 5: supervisión continua y mejora
El compliance es un proceso continuo, no un proyecto con fecha de finalización. La fase de supervisión incluye el seguimiento de los indicadores clave del programa (KPIs de compliance), la gestión de los incidentes comunicados a través del canal de denuncias, las auditorías periódicas del sistema, la revisión del mapa de riesgos ante cambios relevantes y la actualización de los documentos del programa. El informe anual de compliance al órgano de administración es la pieza que cierra el ciclo y que acredita que el programa está vivo.
Cuánto cuesta implantar un programa de compliance penal
Una pregunta recurrente de los administradores de PYMEs. El coste depende del tamaño de la empresa, la complejidad de su actividad y el nivel de madurez del que se parte. Para una empresa mediana sin compliance previo, un proyecto de implantación desde cero —mapa de riesgos, diseño del modelo, formación inicial, designación del compliance officer externo para el primer año— tiene un coste que varía en función del despacho o consultor elegido y del alcance del encargo.
Lo que sí es constante es la comparación entre ese coste y el coste de una condena penal o incluso de una investigación judicial: los honorarios de un proceso penal complejo, el tiempo de gestión del equipo directivo, el daño reputacional, la posible inhabilitación para contratar con la Administración, y el riesgo de medidas cautelares que paralicen la actividad. Desde esa perspectiva, el compliance penal es una inversión con una rentabilidad difícil de calcular pero fácil de comprender cuando se materializa el riesgo que debía prevenir.
Preguntas frecuentes sobre compliance penal
¿Es obligatorio el compliance penal para todas las empresas?
No existe en la legislación española una obligación general de implantar un programa de compliance penal. Sin embargo, dada la estructura del artículo 31 bis CP —que hace responsable penalmente a la empresa por defecto de organización y control— la ausencia de un programa deja a la empresa sin defensa cuando uno de sus directivos o empleados comete un delito del catálogo. Para una empresa con exposición real a esos riesgos, la pregunta no es si debe tener compliance, sino cuándo.
¿Un programa de compliance penal exonera siempre a la empresa?
No automáticamente. El programa debe ser eficaz, no formal. Los tribunales analizan si los controles implantados eran idóneos para prevenir el delito concreto que se cometió, si el compliance officer tenía autonomía real, si la formación era adecuada y si el sistema disciplinario se aplicó de forma consistente. Un programa bien diseñado pero mal implantado puede no ser reconocido como exención.
¿Qué diferencia hay entre la exención y la atenuante de compliance?
La exención del artículo 31 bis.2 CP elimina completamente la responsabilidad penal de la empresa cuando se acredita la existencia de un programa eficaz antes de la comisión del delito y la elusión fraudulenta del mismo por la persona física. La atenuante del artículo 31 bis.4 CP reduce la pena cuando la empresa adoptó medidas de compliance antes del juicio oral pero no cumple todos los requisitos de la exención. La diferencia práctica es enorme: la exención significa que la empresa no es condenada; la atenuante significa que lo es, pero con una pena reducida.
