¿Por qué hay empresas pequeñas pagando 800.000€ en multas penales?

Desde la reforma del Código Penal por la LO 1/2015, las personas jurídicas pueden ser sancionadas penalmente por delitos cometidos en su nombre. Esto incluye desde estafa, fraude fiscal y blanqueo hasta delitos medioambientales, contra los trabajadores o tráfico de influencias.

La consecuencia más visible en los últimos años: PYMES sin compliance penal han pagado multas millonarias por actos de empleados, directivos o terceros que actuaban en su nombre. La defensa habitual "no sabíamos" YA NO SIRVE.

Pero hay una salida legal: el art. 31 bis CP apartado 2 establece que la persona jurídica queda EXENTA de responsabilidad si demuestra que tenía implantado un modelo de prevención de delitos eficaz antes del hecho delictivo.

Esta exención es lo que se conoce como "compliance penal". Quien no la tiene paga por completo. Quien la tiene paga, en el peor caso, una sanción atenuada o se libra.

¿Mi empresa está obligada a tener Compliance Penal?

Técnicamente, ninguna empresa está obligada por ley a tener Compliance Penal. No hay umbral de empleados ni de facturación que lo imponga.

PERO en la práctica:

  • Si tu empresa concursa a contratos públicos: muchas licitaciones exigen acreditar Compliance Penal en el pliego.
  • Si recibes financiación bancaria > 1M€ o fondos europeos: los due diligence financieros lo incluyen.
  • Si tu sector tiene riesgo penal alto (construcción, sanitario, financiero, alimentario, transporte de mercancías peligrosas): la ausencia de compliance es una negligencia atribuible.
  • Si tienes >50 empleados: probabilidad de comisión de delitos cuello azul (acoso, contra Seguridad Social, fraude documental) aumenta exponencialmente con el tamaño.
  • Si quieres atenuante en caso de proceso: el art. 31 quater CP recoge la implantación de medidas eficaces como atenuante.
En la práctica: cualquier empresa de 30+ empleados con cierto volumen debería tener Compliance Penal. Es seguro de bajo coste para riesgo bajo-medio pero potencialmente devastador.

Los 6 requisitos del modelo eficaz (art. 31 bis 5 CP)

El propio Código Penal en su art. 31 bis apartado 5 lista los 6 requisitos que debe cumplir un modelo de prevención para ser considerado "eficaz" y por tanto eximente:

  1. 1. Mapa de riesgos penales
    Identificar las actividades de la empresa en cuyo ámbito puedan cometerse delitos. Documentado, cuantificado por probabilidad × impacto, actualizado periódicamente. Sin mapa no hay modelo eficaz.
  2. 2. Protocolos y procedimientos
    Definir cómo se toman las decisiones críticas en cada área de riesgo (contratación, pagos, regalos institucionales, conflictos de interés, contratos con proveedores). Trazabilidad documental obligatoria.
  3. 3. Recursos financieros dedicados
    Disponer de recursos financieros suficientes para impedir, controlar o investigar conductas delictivas. Esto incluye presupuesto para formación, auditorías internas, sistema de información (canal ético).
  4. 4. Sistema de información (Canal Ético)
    Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo de cumplimiento (Compliance Officer). Aquí conecta directamente con la Ley 2/2023 del Canal Ético.
  5. 5. Régimen disciplinario interno
    Establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas del modelo. Esto se materializa típicamente en el Reglamento de Régimen Interno o en pactos disciplinarios anexos al convenio.
  6. 6. Verificación periódica
    Revisar el modelo cuando se descubran incumplimientos relevantes, o cuando se produzcan cambios en la organización, estructura de control o actividad. Verificación al menos anual con dejación documentada.
La norma UNE 19601:2017 (Sistemas de gestión de compliance penal) es el estándar técnico español que materializa estos 6 requisitos. Su certificación no es obligatoria, pero da seguridad jurídica.

Los delitos del catálogo (art. 31 bis CP): 33 categorías

No cualquier delito puede ser cometido por una persona jurídica. El Código Penal lista los delitos imputables en los arts. 251 bis, 264, 286 sexies, 288, 302, 304 bis, 305, 310 bis, 318 bis, etc.

Los 12 más relevantes para empresas españolas:

  • Estafa, apropiación indebida, frustración de la ejecución (arts. 248-258 CP)
  • Insolvencias punibles (arts. 257-261 CP)
  • Daños informáticos (art. 264 CP) · empresa que sufre o causa
  • Delitos contra propiedad intelectual e industrial (arts. 270-277 CP)
  • Corrupción entre particulares (art. 286 bis CP)
  • Blanqueo de capitales (arts. 301-304 CP) · sectores regulados especialmente
  • Delitos contra la Seguridad Social (art. 307 CP) · cotizaciones ficticias, etc.
  • Delitos contra los derechos de los trabajadores (arts. 311-318 CP) · acoso, condiciones penosas, etc.
  • Delitos contra Hacienda Pública (arts. 305, 306, 308, 310 bis CP) · fraude fiscal
  • Delitos ambientales (arts. 325-331 CP)
  • Tráfico de influencias y cohecho (arts. 419-427 CP)
  • Financiación del terrorismo (art. 576 CP) · sectores financieros
Si tu empresa actúa en alguno de estos ámbitos, el riesgo penal es real. Más detalle en nuestra ficha de glosario Compliance Penal.

El Compliance Officer: quién es y qué responsabilidad asume

El art. 31 bis CP requiere designar un "órgano de la persona jurídica con poderes autónomos de iniciativa y de control" para supervisar el modelo. Este es el Compliance Officer u Órgano de Cumplimiento.

Características clave:

  • Autonomía e independencia jerárquica: no puede depender de la dirección comercial o financiera. Reporta directamente al Consejo o al CEO.
  • Recursos suficientes: presupuesto propio, acceso a información, capacidad de bloquear operaciones de riesgo.
  • Profesionalidad acreditable: formación específica (cursos, máster en compliance, certificaciones AENOR/WCA).
  • Sin conflictos de interés: no puede ser el director financiero ni el responsable jurídico que diseñó los contratos críticos.
  • Responsabilidad penal personal POSIBLE: si el Compliance Officer es negligente al ejercer sus funciones, puede ser imputado en el procedimiento penal junto a la empresa.
En empresas <100 empleados, suele ser una función mixta del Director General + asesor externo. En empresas >100, una posición dedicada.

Coste real vs sanción evitada: el cálculo

El presupuesto típico de implantación de Compliance Penal en una PYME española en 2026:

  • Diagnóstico inicial + mapa de riesgos: 3.000-8.000€ (consultora externa)
  • Redacción de protocolos + Código Ético: 2.000-5.000€
  • Formación a directivos y empleados: 1.000-3.000€/año
  • Compliance Officer dedicado (jornada parcial): 15.000-30.000€/año
  • Auditoría externa anual: 3.000-7.000€/año
  • Total año 1: 24.000-53.000€
  • Total años siguientes: 19.000-40.000€/año
Sanciones evitadas: una única sentencia condenatoria por delito societario puede pasar fácilmente de 200.000€ a 2.000.000€ en multa más inhabilitación 2-5 años para contratar con AAPP, prohibición de subvenciones, intervención judicial de la empresa, etc. El ROI es claro.

AIM ONE y Compliance Penal: cómo encaja

AIM ONE cubre 4 de los 6 requisitos del modelo eficaz (art. 31 bis 5 CP):

  • Sistema de información (Canal Ético) · módulo nativo conforme Ley 2/2023 · uno de los 6 requisitos cumplido.
  • Régimen disciplinario interno · gestión de pactos disciplinarios + protocolos contra acoso.
  • Verificación periódica · risk score automatizado con métricas mensuales + dashboards.
  • Recursos financieros dedicados · el modelo SaaS reduce el coste de cumplimiento estructuralmente.
Los otros 2 requisitos (mapa de riesgos penales + protocolos específicos) requieren asesor externo o Compliance Officer especialista. AIM ONE no los sustituye, pero proporciona la infraestructura técnica para los 4 requisitos digitalizables. Si quieres ver cómo encaja en tu caso, empieza con un trial gratuito.
📖 Glosario relacionado
Compliance Penal · CP art. 31 bis Canal Ético · Sistema Interno de Información Ley 2/2023 Protocolo de Prevención del Acoso Sexual y por Razón de Sexo LISOS · Ley de Infracciones y Sanciones del Orden Social
📰 Sigue leyendo
Canal Ético Ley 2/2023: el riesgo del millón de euros que muchas empresas ignoran Sanciones LISOS 2026: tabla completa de multas en compliance HR

Esto, hecho.
En AIM ONE.

14 módulos compliance HR español operativos en 7 días. Plan de Igualdad nativo + Registro Retributivo + Canal Ético + Auditoría Retributiva + 11 más. Sin consultora externa, sin lock-in.

Probar 14 días gratis Ver precios