Compliance penal en pymes 2026: cómo y cuánto cuesta

Marco legal: art. 31 bis CP

El art. 31 bis del Código Penal, introducido por la LO 5/2010 y reformado por la LO 1/2015, establece la responsabilidad penal de las personas jurídicas. Pero también prevé la exención si la sociedad tiene un programa de cumplimiento adecuado.

Tres requisitos para la exención (art. 31 bis 2 y 4 CP):

• Modelo de organización y gestión adecuado que incluya las medidas de vigilancia y control idóneas para prevenir delitos.
• Supervisión del cumplimiento del modelo confiada a un órgano con poderes autónomos de iniciativa y control (típicamente, un Comité de Compliance).
• Sistema de denuncias que permita a los empleados informar de incumplimientos.

Si se cumplen estos tres requisitos, la sociedad queda exenta de responsabilidad penal aunque uno de sus administradores o empleados haya cometido un delito en su nombre.

Qué delitos cubre el compliance

El compliance penal es relevante para los delitos que pueden ser cometidos por personas jurídicas, listados en el art. 31 bis CP. Los más típicos en pymes:

• Estafa (art. 248 CP): defraudación a clientes, proveedores o administraciones.
• Apropiación indebida (art. 252 CP): apropiarse de fondos de clientes o socios.
• Insolvencia punible (art. 259 CP): ocultación de bienes en concurso.
• Delitos contra Hacienda (arts. 305-310 CP): defraudación fiscal por importes superiores a 120.000 €.
• Blanqueo de capitales (art. 301 CP): manipulación de fondos de origen ilícito.
• Cohecho (arts. 419-427 CP): pagos a funcionarios o entre privados.
• Delitos contra el medio ambiente (arts. 325-340 CP): vertidos, emisiones, residuos.
• Delitos contra los trabajadores (arts. 311-318 CP): condiciones laborales.

Los 6 elementos obligatorios del programa

El art. 31 bis 5 CP detalla los elementos que debe incluir el programa para ser eficaz:

1. Identificación de actividades de riesgo: mapa de riesgos por área de negocio.
2. Protocolos de actuación para gestionar los riesgos identificados (procedimientos, controles, separación de funciones).
3. Modelo de gestión de recursos financieros: control específico sobre los fondos que pueden usarse para cometer delitos.
4. Sistema de denuncias internas (canal ético) que permita reportar incumplimientos con garantías de confidencialidad y no represalia.
5. Sistema disciplinario que sancione adecuadamente los incumplimientos del modelo.
6. Verificación periódica del modelo: revisión y actualización al menos anual o ante cambios significativos.

Diseño paso a paso para pyme típica

Para una pyme de 10-50 empleados:

1. Mes 1-2: Análisis de riesgos. Mapeo de actividades, identificación de delitos potenciales, evaluación de probabilidad/impacto. Resultado: matriz de riesgos.
2. Mes 2-3: Diseño de protocolos. Por cada riesgo identificado, protocolo de prevención (controles, autorizaciones, separación de funciones).
3. Mes 3-4: Sistema documental. Manual de compliance, código ético, política anticorrupción, política antiblanqueo.
4. Mes 4: Designación de responsable. Comité de Compliance (en pymes pequeñas, puede ser un único responsable con autonomía).
5. Mes 4-5: Canal de denuncias. Plataforma online o externa que garantice anonimato y trazabilidad.
6. Mes 5-6: Formación. A todos los empleados sobre el modelo, código ético y canal de denuncias.
7. Mes 6: Aprobación formal. Acuerdo del consejo de administración aprobando el programa.

Coste real para una pyme española

Coste de implantación según tamaño:

• Pyme pequeña (1-10 empleados): 5.000-12.000 € de implantación + 1.500-3.000 €/año mantenimiento.
• Pyme mediana (10-50 empleados): 12.000-25.000 € implantación + 3.000-6.000 €/año.
• Pyme grande (50-250 empleados): 25.000-50.000 € implantación + 6.000-15.000 €/año.

El mantenimiento incluye: revisión anual del programa, actualización ante cambios legales, formación nueva, gestión del canal de denuncias.

Comparativa con el coste de una multa: para delitos graves (defraudación fiscal >120k, blanqueo, cohecho), las multas a personas jurídicas oscilan entre 50.000 € y varios millones de euros. Más la posible disolución de la sociedad. La inversión en compliance es trivial frente al coste de no tenerlo.

Casos de eficacia: exención efectiva

Para que el programa funcione frente al juez penal, debe ser real, no aparente. Tres factores que el TS valora:

• Anterioridad al delito: el programa debe estar implantado y funcionando antes del delito imputado, no creado a posteriori.
• Adecuación al riesgo real: si la pyme tiene riesgo alto de cohecho (relaciones con AAPP) y el programa no tiene controles específicos anticorrupción, no funcionará.
• Pruebas de funcionamiento: actas del Comité de Compliance, denuncias gestionadas, acciones formativas, auditorías. Sin pruebas, el programa es papel mojado.

Casos reales de exención efectiva: STS 154/2016 (programa Adveo), STS 583/2017 (programa Banco Popular) y otros posteriores donde el TS ha confirmado la exención cuando el programa cumplía los requisitos. La jurisprudencia es estricta pero coherente: programas reales eximen, programas formales no.