Durante años —y aún hoy en algunos casos— muchas empresas han entendido el compliance como un ejercicio formal: redactar un manual, aprobar un código ético y designar a un responsable para cumplir con el expediente. Hoy esa visión ya no sirve.
La doctrina y la jurisprudencia han dejado claro que la mera existencia de un programa de prevención no exonera por sí sola a la persona jurídica de responsabilidad penal. Lo relevante no es tener un sistema de compliance, sino que dicho sistema funcione de verdad.
Hoy, la responsabilidad penal corporativa gira en torno a una idea esencial: ya no se analiza únicamente si la empresa tenía documentos, sino si contaba con una estructura real de prevención, detección y reacción frente al delito.
Del compliance de papel al compliance efectivo
El artículo 31 bis del Código Penal exige modelos de organización y gestión adecuados para prevenir delitos o reducir significativamente el riesgo de su comisión. La norma no habla de documentos existentes pero inoperativos, sino de mecanismos útiles.
Por ello, un programa meramente cosmético y que se quede en “papel mojado” difícilmente resistirá un análisis judicial ni producirá el efecto buscado de exoneración o atenuación de la responsabilidad penal. Un sistema eficaz exige, como mínimo:
- Órgano de control con autonomía real. El compliance officer no puede ser una figura nominal. Debe contar con independencia, recursos y capacidad de iniciativa y supervisión.
- Mapa de riesgos actualizado. La empresa debe identificar los riesgos penales derivados de su actividad, estructura interna y relaciones con terceros, especialmente proveedores, intermediarios y socios comerciales.
- Protocolos y controles concretos. Detectado el riesgo, deben implantarse medidas reales para mitigarlo.
- Canal interno de denuncias y gestión de incidencias. No basta con habilitarlo; debe funcionar con garantías y generar confianza.
- Revisión periódica del modelo. El compliance no es estático. Cambian los negocios, cambian los riesgos y cambia la normativa.
En definitiva, el cumplimiento normativo no puede archivarse en una carpeta; debe integrarse en la operativa diaria de la empresa.
El estándar de la CNMC como base técnica
La Comisión Nacional de los Mercados y la Competencia (CNMC), en su “Guía de programas de cumplimiento en relación con la defensa de la competencia” del año 2020, ya anticipó una idea hoy plenamente consolidada: los programas de compliance solo tienen valor cuando son reales y eficaces.
Aunque elaborada para el ámbito de la libre competencia, sus criterios resultan perfectamente extrapolables al compliance penal.
La CNMC pone el foco, entre otros puntos, en los siguientes elementos:
- compromiso efectivo del órgano de administración y de la alta dirección;
- formación adecuada de empleados y directivos, adaptada a las funciones de estos;
- canales internos de denuncia eficaces;
- autonomía del responsable de cumplimiento (compliance officer);
- identificación de riesgos y controles internos reales;
- sistema disciplinario creíble.
La conclusión es clara: sin implicación desde la dirección y sin controles efectivos, no existe verdadero compliance.
Lo que dicen los tribunales
La reciente Sentencia de la Sala de lo Penal de la Audiencia Nacional (Sección 1.ª) núm. 34/2025, de 19 de diciembre de 2025 —caso COFELY— ofrece un análisis de singular relevancia sobre la eficacia real de los sistemas de compliance. En su fundamento decimotercero, el tribunal examina si las medidas de control implantadas por la persona jurídica eran materialmente aptas para prevenir, detectar o reaccionar frente a una trama de corrupción que se prolongó durante tres años, implicó a una decena de empleados de distintos departamentos y fue liderada desde la propia Dirección General.
La conclusión es tajante: COFELY contaba con un Código Ético desde 2006, un deontólogo designado, un canal de denuncias y formación periódica, pero ninguno de esos mecanismos funcionó. El auditor interno carecía de autonomía real —dependía jerárquicamente del director general, uno de los principales responsables de la trama—, y la auditoría interna realizada en 2014 se limitó a un control formal de calidad organizativa, sin analizar el contenido de los presupuestos comparativos ni verificar la realidad de los trabajos facturados.
El tribunal describe el modelo de COFELY como una estructura meramente formal que, en la práctica, resultó ser “papel mojado”, subrayando que las normas éticas del grupo no fueron implementadas adecuadamente y que los mecanismos formales demostraron ser ineficaces para prevenir y evitar las prácticas anticorrupción diseñadas y puestas en práctica desde el núcleo de la propia compañía.
Resulta llamativa la calificación que recoge la sentencia sobre la prueba pericial de cumplimiento normativo aportada por la propia empresa: los peritos reconocieron que no habían analizado los hechos concretos, que desconocían el número de empleados implicados, la duración de la conducta delictiva ni los poderes de los que estaba dotado el director general. El informe pericial evaluó el sistema en abstracto, pero no pudo pronunciarse sobre si ese sistema era capaz de haber detectado la conducta que efectivamente se produjo.
En definitiva, cuando el sistema no detecta alertas, no supervisa adecuadamente o no reacciona a tiempo, deja de ser una defensa eficaz —y ningún informe pericial que lo evalúe en abstracto puede suplir esa carencia.
Conclusión
La jurisprudencia actual, respaldada por la reciente sentencia de la Audiencia Nacional y apoyada en los estándares técnicos de organismos como la CNMC, determina que la responsabilidad de la empresa no se elimina por el mero hecho de tener un manual y un sistema de compliance, sino por demostrar que se contaba con una organización diligente capaz de detectar y reaccionar ante el riesgo, así como una cultura de cumplimiento real. Dicho sistema no ha de ser infalible, sino razonable y proporcional a la empresa y sus riesgos específicos.
El hecho de que se haya cometido un delito en el seno de la empresa no significa que el sistema de compliance sea ineficaz. Se deben evaluar el diseño, los controles y el sistema en su conjunto para determinar si este era adecuado antes de que ocurriera el delito.
Por tanto, el paso de un cumplimiento meramente formal a uno real es hoy una exigencia ineludible para garantizar la seguridad jurídica de cualquier entidad. Además, el coste de implantar un sistema de compliance sólido y eficaz resulta, a largo plazo, claramente inferior al coste de una eventual condena.
