Compliance penal para PYME: requisitos minimos sin gastar 30.000 euros

Que exige realmente el art. 31 bis CP

El art. 31 bis del Codigo Penal (introducido por la LO 5/2010 y reforzado por la LO 1/2015) regula la responsabilidad penal de las personas juridicas. Para que una empresa pueda quedar exenta de responsabilidad penal cuando se comete un delito en su seno, debe haber implantado un programa de prevención de delitos que cumpla seis requisitos del art. 31 bis.5 CP:

1. Identificacion de las actividades en cuyo ambito puedan ser cometidos los delitos.
2. Establecimiento de protocolos para la formacion de la voluntad de la empresa, adopcion de decisiones y ejecucion.
3. Modelos de gestión de los recursos financieros para prevenir la comision de los delitos.
4. Imponer la obligacion de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar (canal de denuncias).
5. Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento.
6. Verificacion periodica del modelo y modificación cuando se pongan de manifiesto infracciones relevantes.

Lo que la ley no exige es certificación ISO ni programa de 200 paginas. Exige proporcionalidad y eficacia real. Una pyme de 12 empleados no necesita el mismo programa que IBERIA, pero si necesita los seis requisitos cumplidos de forma documentada y verificable.

Tres mitos del compliance pyme

Mito 1: hay que certificar UNE 19601 o ISO 37301

Falso. La certificación es voluntaria y no es requisito del art. 31 bis CP. Una empresa con programa eficaz no certificado tiene la misma proteccion penal que una con certificación ISO. La certificación sirve como prueba de buena fe ante un eventual proceso, pero su utilidad real para una pyme andaluza estandar es limitada respecto al coste (5.000-15.000 euros adicionales).

Mito 2: hay que contratar un Compliance Officer dedicado

Falso. La ley exige un organo de cumplimiento, no un puesto a tiempo completo. En pyme, ese organo puede ser un comite mixto formado por administrador, responsable financiero y asesor externo. Lo que importa es la independencia funcional y los recursos para vigilar.

Mito 3: hay que tener todos los protocolos del Codigo Penal

Falso. El programa tiene que cubrir los delitos relevantes para la actividad de la empresa. Una pyme de hostelería no necesita protocolos detallados de cohecho internacional o blanqueo de capitales transfronterizos; necesita protocolos de fiscalidad, laboral, alimentaria, datos personales y seguridad. La proporcionalidad es la regla.

Programa proporcional: 6 elementos imprescindibles

Para una pyme andaluza estandar (10-50 trabajadores, sin actividad regulada compleja), el programa minimo de compliance penal contiene:

1. Mapa de riesgos penales: identificacion de los delitos del Codigo Penal aplicables a la actividad concreta de la empresa, con valoracion de probabilidad e impacto. 5-15 paginas. Coste tipico: 1.500-3.000 euros.
2. Codigo etico y politicas marco: documento marco con compromiso de la dirección, principios y politicas concretas (anticorrupcion, conflictos de interes, regalos, donaciones, datos personales, blanqueo si aplica). 15-25 paginas.
3. Protocolos operativos: procedimientos para las actividades de mayor riesgo (compras, contratacion, facturacion, gestión de subvenciones publicas si aplica). 1-2 protocolos por riesgo material.
4. Canal de denuncias: mecanismo para que empleados y terceros informen de incumplimientos. Obligatorio para empresas con 50+ trabajadores por la Ley 2/2023, recomendable para todas. Plataforma externa subscripcion 30-150 euros/mes o sistema interno con buzon dedicado.
5. Organo de cumplimiento: comite con autonomia, recursos y reporting al consejo. Acta de constitución, reglamento de funcionamiento, calendario de reuniones (4 al ano minimo).
6. Formacion y verificacion: plan de formacion del personal con registro documental, auditoria interna anual del programa.

El programa funciona si se vive en la empresa. Un programa de 200 paginas en un cajon no protege; uno de 40 paginas con sesiones de formacion semestrales y revisiones anuales si.

Canal de denuncias y Ley 2/2023

La Ley 2/2023 de proteccion de informantes (transposicion de la Directiva (UE) 2019/1937) obliga a las empresas con 50 o mas trabajadores a implantar un canal interno de denuncias con caracteristicas concretas:

• Confidencialidad de la identidad del informante.
• Posibilidad de denuncia anonima.
• Acuse de recibo en 7 días y respuesta sustantiva en 3 meses.
• Procedimiento de investigación interna documentado.
• Garantias contra represalias.
• Responsable interno designado.
• Registro de denuncias con confidencialidad reforzada.

El plazo de adaptacion para empresas de 50-249 trabajadores fue diciembre 2023; para las de 250+ fue junio 2023. Sancionar el incumplimiento puede llevar a multas de hasta 1.000.000 de euros segun la Ley 2/2023.

Una pyme con 30 trabajadores no esta obligada por la Ley 2/2023, pero implantar el canal sigue siendo recomendable como elemento del programa de compliance penal del art. 31 bis CP. Plataformas externas de canal de denuncias subscritas suelen costar entre 30 y 150 euros al mes para una pyme.

Coste real de un programa pyme

Para una pyme andaluza estandar (10-50 trabajadores, sin actividad altamente regulada), el coste de un programa de compliance penal proporcional desglosado:

• Implantacion (3 meses): 4.000-9.000 euros honorarios profesionales. Incluye mapa de riesgos, codigo etico, politicas, 2-4 protocolos operativos clave, reglamento del organo, plan de formacion.
• Canal de denuncias: plataforma externa 360-1.800 euros/ano si se contrata software dedicado, o coste minimo si se implanta de forma interna con buzon de email dedicado y procedimiento documentado.
• Formacion inicial: 1.000-2.500 euros si es presencial con jornada para todo el personal. Reducible con formato online o autoformacion.
• Mantenimiento anual: 1.500-3.500 euros (revisión del programa, formacion de refresco, auditoria interna). Equivale a una iguala mensual de 125-300 euros.

Total primer ano: 6.000-13.000 euros para una pyme estandar. Anos siguientes: 1.500-3.500 euros de mantenimiento.

Esto contrasta con el mito de los 30.000 euros que vemos a menudo. ¿Que justifica gastar 30.000 euros? Empresa con varias filiales, actividad altamente regulada (banca, sanidad, energia, defensa), o exposicion internacional con UK Bribery Act / FCPA aplicables. Para pyme andaluza estandar, el rango de 6.000 a 13.000 euros el primer ano cubre adecuadamente.

Comparativa: programa pyme vs programa empresa grande

Mantenimiento: que pasa despues del primer ano

El programa que se implanta y luego se queda en un cajon no protege. La jurisprudencia del Tribunal Supremo lo ha repetido: para que el programa exima de responsabilidad penal, tiene que estar vivo. Las cuatro tareas anuales obligatorias:

1. Revisión del mapa de riesgos: actualizar segun cambios en la actividad, normativa nueva (al ano salen 2-5 reformas relevantes), incidencias del ano anterior.
2. Formacion de refresco: una sesion al ano para todo el personal y especifica para puestos de alto riesgo (financiero, comercial, compras). Acreditada con firma o registro digital.
3. Reuniones del organo de cumplimiento: 4 reuniones al ano minimo, con actas que documenten temas tratados, decisiones y seguimiento.
4. Auditoria interna: revisión anual del programa con plan de mejoras documentado. Cada 3-5 anos auditoria externa.

El coste de mantenimiento para una pyme equivale a una iguala mensual de 125-300 euros. Es un coste fijo asumible que protege el patrimonio social y, en muchos delitos del 31 bis CP, el patrimonio personal del administrador. Mas info en nuestra pagina de compliance penal.