La responsabilidad penal de las personas jurídicas y el compliance penal en Euskadi

Para cualquier empresa de Euskadi —pyme, cooperativa o gran grupo— este cambio ha supuesto un antes y un después. El diseño de estructuras de dirección, control y vigilancia ya no es un tema interno de gestión: puede determinar la exención o la condena penal de la compañía. Ahí es donde el compliance penal pasa de ser “deseable” a ser “estratégico”.

Desde Lambda Estudio Jurídico (despacho de abogadas en Bilbao) compartimos esta guía práctica para entender bien el marco legal, los delitos que pueden alcanzar a una empresa, la jurisprudencia clave, las sanciones posibles, cómo implantar un modelo eficaz en Euskadi y qué errores conviene evitar.

Evolución y contexto: cómo hemos llegado hasta aquí

• Antes de 2010: principio “societas delinquere non potest”. La empresa no podía delinquir; respondían administradores o empleados.
• 2010 (LO 5/2010): se introduce la responsabilidad penal de la persona jurídica (art. 31 bis y concordantes).
• 2015 (LO 1/2015): se aclaran requisitos de atribución de responsabilidad, el valor eximente de un modelo de prevención eficaz y reglas de aplicación de penas a empresas.

El impulso vino de estándares internacionales (OCDE, Consejo de Europa, UE) orientados a combatir corrupción, blanqueo, fraudes corporativos y delitos medioambientales. Hoy España está alineada con marcos comparables (Reino Unido: UK Bribery Act; Francia: Loi Sapin II).

Marco legal esencial en el Código Penal

• Núcleo: artículo 31 bis del Código Penal y preceptos concordantes (31 ter, 31 quáter, 31 quinquies).
• Penas aplicables a personas jurídicas: artículo 33 (relación de penas) y reglas de aplicación específicas.
• Otras normas conexas: por ejemplo, Ley de prevención del blanqueo de capitales y de la financiación del terrorismo.

Lo importante para empresa y defensa es doble:

1. condiciones de atribución (cuándo la actuación de directivos/empleados compromete a la empresa) y
2. requisitos para la exención o atenuación (qué debe demostrar el modelo de prevención para ser eficaz ante un juez).

¿Por qué puede responder penalmente una empresa?

El Código Penal permite imputar a la persona jurídica por dos grandes supuestos (resumen práctico del art. 31 bis):

1. Delitos cometidos por representantes legales o por quienes toman decisiones u ostentan facultades de organización y control, si actúan en nombre o por cuenta de la empresa y en su beneficio directo o indirecto.
   
   
2. Delitos cometidos por personas sometidas a la autoridad de los anteriores (empleados, colaboradores bajo control), cuando la empresa no ejerció la debida supervisión, vigilancia y control. Aquí la clave es el “defecto de control”.

En el supuesto b. la empresa puede quedar exenta si demuestra que antes del delito tenía implantado y ejecutado un modelo de organización y gestión adecuado para prevenirlo o reducir de forma relevante su riesgo.

Delitos imputables a personas jurídicas

A fecha de octubre de 2025, el catálogo es amplio. Para orientar, agrupamos por materias de riesgo habituales:

A) Personas, integridad, libertad

• Lesiones y tráfico de órganos (156 bis).Trata de seres humanos (177 bis).
• Acoso sexual (184).
• Prostitución, explotación sexual y corrupción de menores (189 ter).
• Torturas y delitos contra la integridad moral (173).

B) Privacidad y secretos

• Descubrimiento y revelación de secretos (197 quinquies).

C) Patrimonio, mercado, empresa

• Estafa (251 bis).
• Insolvencia punible (261 bis).
• Daños informáticos (264 quater).
• Corrupción en los negocios; delitos relativos al mercado y a los consumidores; propiedad industrial e intelectual (288).
• Receptación y blanqueo de capitales (302).
• Falsificación de moneda (386) e instrumentos de pago (399 bis).

D) Administración pública y Hacienda

• Financiación ilegal de partidos (304 bis).
• Delitos contra la Hacienda Pública y la Seguridad Social (310 bis).
• Cohecho (427).
• Tráfico de influencias (430).
• Malversación (435).

E) Territorio, medio ambiente y riesgos

• Delitos urbanísticos (319).
• Medioambientales (328).
• Riesgos catastróficos, energía nuclear, explosivos (343, 348).
• Contra la salud pública (366, 369).

F) Otros

• Delitos de odio y discriminación (510 bis).
• Terrorismo (580 bis).

La diversidad del catálogo explica que sectores muy distintos —industria, construcción, logística, tecnología, financiero, sanitario, agroalimentario— deban abordar el riesgo penal con seriedad.

Penas para personas jurídicas: qué se arriesga

El art. 33 prevé un abanico de penas, que pueden imponerse solas o combinadas, atendiendo a la gravedad, beneficio obtenido y reincidencia:

• Multa (por cuotas o proporcional).
  • Disolución de la persona jurídica.
  • Suspensión de actividades hasta 5 años.
  • Clausura de locales y establecimientos.
  • Prohibición de realizar en el futuro las actividades en cuyo ejercicio se cometió el delito.
  • Inhabilitación para obtener subvenciones y ayudas públicas, contratar con la Administración y disfrutar de beneficios e incentivos fiscales o de Seguridad Social.
  • Intervención judicial temporal.
  • Publicación de la sentencia (con el impacto reputacional que conlleva).

En la práctica, más allá de la multa, la combinación de clausuras, prohibiciones e inhabilitaciones puede comprometer la continuidad del negocio.

Cómo eximirse o atenuar: el valor real del compliance penal

Para que un modelo de prevención tenga efecto eximente o atenuante, debe cumplir estándares de eficacia acreditable. En síntesis:

• Debe existir antes de la comisión del delito (no vale improvisarlo “ad hoc”).
  • Debe identificar los riesgos penales propios de la actividad (mapa de riesgos ajustado al sector y tamaño).
  • Debe contener protocolos y controles operativos concretos, no meras declaraciones.
  • Debe prever canales de denuncia eficaces y confidenciales.
  • Debe incluir un sistema disciplinario interno para sancionar incumplimientos.
  • Debe estar supervisado por un órgano con autonomía y recursos (compliance officer u órgano de cumplimiento).
  • Debe impartir formación periódica a directivos y plantilla y conservar evidencias.
  • Debe auditarse y actualizarse con regularidad (y cuando cambien la actividad o la normativa).
  • Debe extender diligencia a terceros relevantes (proveedores, agentes, partners) cuando intervengan en procesos críticos.

Jurisprudencia que conviene conocer

La doctrina del Tribunal Supremo ha marcado pautas claras:

• No basta un “manual” genérico: hay que probar implantación real, formación, controles y reacciones ante incidencias.
  • La carga de la prueba de la eficacia recae, en la práctica, sobre la empresa que invoca la exención/atenuación.
  • La vigilancia debe ser proporcionada al riesgo. No se exige infalibilidad, sí diligencia organizada y acreditable.

En el ámbito vasco, las Audiencias Provinciales (Bizkaia, Gipuzkoa, Álava) han aplicado estos criterios en asuntos de urbanismo, medio ambiente, patrimonio y contratación pública. En varios pronunciamientos, la existencia de protocolos ambientales o de integridad bien aplicados ha sido decisiva para modular o excluir responsabilidad.

Euskadi: sectores con riesgo penal más visible

Cada empresa debe mapear su propio riesgo. Aun así, en Euskadi suelen destacarse:

• Industria y energía: vertidos, emisiones, residuos; seguridad laboral; contratación con Administraciones; cadena de suministro internacional.
• Construcción y urbanismo: licencias, modificaciones de planeamiento, residuos, subcontratación.
• Contratación pública: riesgos de cohecho, tráfico de influencias, fraude, malversación en consorcios o UTE.
• Tecnología y servicios digitales: daños informáticos, protección de datos (conexiones con penal), estafa y fraudes online, propiedad intelectual.
• Financiero y asegurador: blanqueo, fraude, comercialización de productos, solvencia de contrapartes.
• Agroalimentario y sanitario: salud pública, trazabilidad, documentación, controles.

Caso práctico ilustrativo

Una pyme metalúrgica con talleres en Bizkaia sufre presión de costes. Un encargado ordena, al margen de los procedimientos, la gestión irregular de residuos para ahorrar. La Ertzaintza investiga vertidos y Fiscalía imputa a la empresa por delito medioambiental.

• Escenario A (sin compliance): la empresa carece de mapa de riesgos, procedimientos ambientales y formación. No hay registros ni auditorías. Resultado probable: condena con multa relevante, clausuras temporales e inhabilitación parcial.
  
  
• Escenario B (con compliance eficaz): existía mapa de riesgos, políticas ambientales integradas, formación documentada, auditorías y un canal interno que ya había advertido de desvíos. La actuación del encargado vulnera frontalmente el modelo. Resultado plausible: exención o atenuación relevante, con responsabilidad centrada en la persona física.

Cómo implantar un modelo de compliance penal en Euskadi (paso a paso)

1. Gobierno del proyecto: mandato del órgano de administración, alcance, cronograma y recursos.
2. Análisis del negocio: actividades, procesos críticos, terceros relevantes.
3. Mapa de riesgos penales: identificación, evaluación y priorización según probabilidad e impacto.
4. Diseño de controles y protocolos: compras, pagos, relaciones con Administración, medio ambiente, IT, RR. HH., donaciones y patrocinios, conflictos de interés, contabilidad y registros.
5. Canal de denuncias: confidencial, accesible, con gestión documentada y garantías.
6. Formación y comunicación: plan anual con métricas (asistencia, evaluaciones, recordatorios).
7. Órgano de cumplimiento: persona u órgano con autonomía, reporting al máximo nivel y medios suficientes.
8. Diligencia de terceros: onboarding, cláusulas contractuales de cumplimiento, revisiones y alertas.
9. Supervisión, auditoría y mejora continua: pruebas de eficacia, KPIs, actualización por cambios normativos o de actividad.
10. Evidencias: todo lo anterior debe poder probarse (registros, actas, informes, logs).

Marcos útiles de referencia: UNE 19601 (sistemas de gestión de compliance penal) e ISO 37301 (sistemas de compliance). No son “ley”, pero ayudan a estructurar y acreditar madurez.

Errores frecuentes que conviene evitar

• Modelos plantillados “de internet” sin adaptar al negocio.
• Manuales que no se aplican (ni formación, ni controles, ni evidencias).
• Creer que “tener canal de denuncias” basta. Sin gestión y registros, pierde valor.
• No dotar al compliance officer de independencia y medios.
• Olvidar a los terceros: proveedores, agentes, consultores.
• No revisar el modelo tras cambios (nueva línea de negocio, fusión, crecimiento internacional).
• Confundir privacidad o prevención de riesgos laborales con compliance penal: se solapan, pero no se sustituyen.

Sanciones y consecuencias reales: más allá de la multa

La multa duele, pero lo más dañino suele ser la combinación de:

• Clausuras y suspensiones que interrumpen contratos y servicio.
• Inhabilitación para contratar con Administraciones (pérdida de licitaciones clave).
• Publicación de sentencia y repercusión reputacional (financiación, partners, talento).
• Intervención judicial que condiciona decisiones operativas.
• Costes indirectos: abogados, peritajes, auditorías forenses, refuerzo de controles “a posteriori”.

Integración con otros pilares de cumplimiento

Un sistema de compliance penal sólido se coordina con:

• Protección de datos y seguridad (ciberseguridad, continuidad de negocio).
• Prevención de blanqueo (si aplica).
• Penal económico y fiscalidad (controles contables, facturación, caja).
• Medio ambiente y seguridad industrial.
• Integridad en contratación pública.
• Ética, ESG y responsabilidad social (alineación cultural).

La coherencia entre políticas evita contradicciones y refuerza la defensa: “decimos lo que hacemos y hacemos lo que decimos”.

Checklist rápido de autoevaluación (para empresas de Bilbao/Euskadi)

• ¿Existe un acuerdo formal del órgano de administración que apruebe el sistema de compliance penal?
• ¿Tenemos mapa de riesgos penales actualizado y específico de nuestro sector/actividad?
• ¿Disponemos de protocolos claros en procesos críticos (compras, pagos, licitaciones, residuos, IT, RR. HH.)?
• ¿Hay canal de denuncias activo, conocido y con gestión documentada?
• ¿La plantilla y directivos reciben formación periódica (con evidencias)?
• ¿El compliance officer u órgano de cumplimiento tiene autonomía, acceso y recursos?
• ¿Aplicamos diligencia debida a terceros relevantes (y lo probamos)?
• ¿Auditamos la eficacia y revisamos el sistema al menos una vez al año o tras cambios?
• ¿Guardamos evidencias de todo lo anterior?

Si varias respuestas son “no”, hay exposición a riesgo penal.

Preguntas frecuentes sobre compliance penal

1. ¿Es obligatorio implantar un compliance penal?
   No de forma universal, pero cualquier empresa puede ser imputada. Un sistema eficaz reduce el riesgo y puede eximir o atenuar responsabilidad.
2. ¿Una pyme de Euskadi realmente lo necesita?
   Sí. La ley no distingue por tamaño. Muchas pymes operan en procesos con riesgo (contratación pública, residuos, ciberseguridad, fraudes).
3. ¿Basta con un código ético?
   No. El código expresa valores; el compliance penal son medidas, controles y evidencias que el juez puede valorar.
4. ¿Quién aprueba el modelo?
   El órgano de administración. Es aconsejable un acuerdo formal que recoja alcance, responsables y recursos.
5. ¿Quién lo supervisa?
   Un compliance officer u órgano de cumplimiento con autonomía, reporting al máximo nivel y medios.
6. ¿Cómo se demuestra que el modelo es “eficaz”?
   Con evidencias: mapa de riesgos, protocolos, registros de formación, auditorías, gestión del canal de denuncias, respuestas a incidencias y medidas disciplinarias.
7. ¿Qué ocurre si, pese al modelo, alguien delinque?
   La existencia y eficacia probada del sistema puede eximir o atenuar la responsabilidad de la empresa, centrándola en la persona física.
8. ¿Cuánto tarda la implantación?
   En pymes, 1–3 meses suele ser un rango razonable; en grupos complejos, más. Depende de procesos y alcance.
9. ¿Cuánto cuesta?
   Depende del tamaño, riesgo y profundidad del sistema. Lo sensato es dimensionarlo al negocio: ni insuficiente ni sobredimensionado.
10. ¿Puede externalizarse?
    Se puede contar con asesoría externa, pero la empresa debe mantener un responsable interno y el control último.
11. ¿El canal de denuncias es imprescindible?
    Sí, como vía de detección temprana y requisito de eficacia. Debe ser accesible, confidencial y bien gestionado.
12. ¿Qué marcos técnicos son útiles?
    UNE 19601 (compliance penal) e ISO 37301 (compliance). No son obligatorios, pero aportan estructura y lenguaje común.
13. ¿Cómo afecta una fusión o adquisición?
    Hay deber de diligencia sobre la entidad adquirida (riesgos heredados). Tras la operación, actualizar mapa y controles (el CP contempla estos supuestos).
14. ¿El compliance penal cubre privacidad o PRL?
    No “cubre” por completo, pero se coordina con esas áreas. Un buen sistema integra políticas y evita contradicciones.
15. ¿Qué pasa si el modelo es de “papel”?
    Pierde valor eximente. Un sistema no aplicado, sin evidencias ni formación, no sirve.
16. ¿Puede el juez ordenar intervención judicial?
    Sí, como pena, para salvaguardar derechos de trabajadores o acreedores y asegurar continuidad en condiciones.
17. ¿La publicación de la sentencia es frecuente?
    Puede acordarse. Su impacto en reputación, clientes y financiación es considerable.
18. ¿Hay sectores con exigencias adicionales?
    Sí: prevención de blanqueo, financiero, sanitario, alimentación, residuos peligrosos, contratación pública, entre otros.

Conclusión y siguiente paso

La responsabilidad penal de las personas jurídicas ya no es una hipótesis lejana: forma parte del día a día empresarial en España y Euskadi. La diferencia entre una compañía expuesta y otra preparada suele estar en la existencia de un sistema de compliance penal bien diseñado, aplicado y probado.

En Lambda Estudio Jurídico (Bilbao) ayudamos a pymes, cooperativas y grupos empresariales a implantar modelos de prevención adaptados a su realidad y sector. Contamos con acreditación CUMPLEN para la elaboración de planes de cumplimiento normativo y trabajamos con enfoque práctico: mapa de riesgos realista, controles que se pueden aplicar y evidencias que se pueden defender.

Si tu empresa en Euskadi aún no dispone de un sistema de compliance penal, este es el mejor momento para empezar: reducirás riesgo, mejorarás procesos y ganarás confianza ante clientes, socios y Administraciones.