Defensa penal corporativa · Modelo de prevención
Y solo un modelo eficaz le exime.
Desde la LO 5/2010 las personas jurídicas responden penalmente por delitos cometidos en su seno (art. 31 bis CP). Implantamos modelos de prevención que eximen de responsabilidad, defendemos empresas investigadas y formamos órganos de cumplimiento. Alineados con UNE 19601 e ISO 37301.
Según la Fiscalía General del Estado, las diligencias de investigación contra personas jurídicas se han incrementado un 340% desde 2016. En 2025 se registraron más de 1.200 procedimientos penales con empresas investigadas en España. El riesgo no es teórico: es estadístico.
Tres líneas de trabajo conectadas: prevención antes del problema, defensa cuando ya existe, formación para que el modelo viva.
Diseño e implantación del modelo de prevención del art. 31 bis.5 CP: mapa de riesgos, código ético, protocolos, canal de denuncias, órgano de cumplimiento, sistema disciplinario, plan de verificación periódica.
Defensa de la persona jurídica investigada o acusada. Articulación de la eximente del art. 31 bis.2 CP, atenuantes del art. 31 quater, protección de administradores como personas físicas, gestión de la responsabilidad civil derivada.
Formación a administradores, órgano de cumplimiento y plantilla. Auditorías periódicas del modelo. Actualización ante cambios normativos o estructurales. Asistencia continua al Compliance Officer.
Diseño e implementación del canal de denuncias conforme a la Ley 2/2023 (informantes) y a la Directiva UE 2019/1937. Plataforma técnica, protocolo de gestión, garantías de confidencialidad y no represalia.
Gestión técnica de investigaciones derivadas de denuncias internas o irregularidades detectadas. Recopilación de pruebas, informe técnico, decisión sobre comunicación a autoridades y medidas correctivas.
Preparación de la empresa para la certificación de su sistema de gestión de compliance penal conforme a la norma UNE 19601:2017 o ISO 37301:2021. La certificación refuerza la eficacia probatoria del modelo.
Norma central del sistema. Conocerla literalmente es la primera línea de defensa corporativa.
Una empresa puede ser declarada penalmente responsable por:
En ambas vías, el delito debe haberse cometido "en beneficio directo o indirecto" de la persona jurídica.
Para delitos cometidos por administradores y personas con poder de decisión (vía a), la empresa queda exenta de responsabilidad si concurren las 4 condiciones cumulativas:
Para delitos cometidos por empleados subordinados (vía b), basta con que la empresa haya adoptado y ejecutado eficazmente un modelo adecuado de prevención, sin requerirse las condiciones 2.ª, 3.ª y 4.ª. La exigencia es más laxa: el legislador entiende que el control sobre subordinados es menos exigente.
El modelo de prevención debe cumplir:
Aunque la eximente no concurra, el art. 31 quater prevé atenuantes específicas que pueden reducir la pena:
El art. 33.7 CP. Estas son las consecuencias de una condena. La multa es solo el principio.
Sistema de numerus clausus: más de 30 tipos penales en el Código Penal habilitan la responsabilidad de la persona jurídica. Estos son los más relevantes en la práctica.
Fraude fiscal, defraudación a la Seguridad Social, fraude de subvenciones. Los más frecuentes en la práctica. Penas de multa proporcional muy elevadas y posible inhabilitación para contratar con el sector público.
Adquisición, posesión o transmisión de bienes procedentes de delito. Aplicable también en modalidad imprudente. Riesgo especial para sectores financieros, inmobiliarios y de joyería.
Estafa básica y agravada, apropiación indebida, administración desleal, alzamiento de bienes. Frecuentes en operaciones comerciales con clientes o proveedores.
Pagos o ventajas indebidas en relaciones comerciales. Importante en empresas con redes comerciales activas o procesos de compra significativos.
Imposición de condiciones laborales abusivas, trabajadores extranjeros sin permiso, vulneración de derechos sindicales. Riesgo en sectores con plantillas amplias o subcontratación.
Vertidos, emisiones, gestión irregular de residuos. Riesgo crítico en industria, química, agricultura, construcción.
Tráfico de medicamentos, alimentos en mal estado. Sectores farmacéutico, alimentario, sanitario.
Accesos no autorizados, daños informáticos, descubrimiento y revelación de secretos. Riesgo creciente con la digitalización.
Sobornos a funcionarios públicos. Riesgo en empresas con contratación pública.
Promoción del odio o la discriminación por motivos ideológicos, religiosos, raza, género, orientación sexual. Riesgo en medios, redes sociales corporativas, recursos humanos.
Seis fases secuenciales. Cada empresa es distinta; la metodología, no.
Evaluación del nivel de exposición penal según actividad, sector, tamaño y estructura. Identificación de gaps respecto al art. 31 bis CP. Propuesta de alcance y presupuesto cerrado.
Identificación detallada de los delitos relevantes para la actividad concreta. Análisis de probabilidad e impacto. Priorización de áreas críticas. Documento vivo, actualizable.
Protocolos, código ético, procedimientos de decisión y autorización, segregación de funciones, controles financieros, política de regalos y atenciones, debida diligencia con terceros.
Constitución del órgano de cumplimiento (unipersonal o colegiado), definición de poderes autónomos, reglamento de funcionamiento, implantación técnica del canal de denuncias.
Formación obligatoria a administradores, mandos intermedios y plantilla. Comunicación del modelo y de los canales disponibles. Registro de la formación (clave para acreditar la eficacia).
Auditorías internas anuales del modelo. Actualización ante cambios normativos, estructurales o de actividad. Un modelo eficaz es un modelo vivo; un modelo dormido no eximirá.
Las referencias técnicas que orientan la práctica del compliance penal en España.
Norma central. Establece las dos vías de imputación, los requisitos del modelo de prevención y las condiciones de la eximente. Reformado por LO 1/2015 para clarificar el régimen.
31 ter: exigibilidad de responsabilidad. 31 quater: atenuantes (confesión, colaboración, reparación, medidas preventivas). 31 quinquies: exclusiones (Estado, AAPP, organismos reguladores).
Multa, disolución, suspensión de actividades, clausura, inhabilitación para subvenciones y contratación pública (hasta 15 años), intervención judicial. Pueden ser devastadoras para la continuidad del negocio.
El Tribunal Supremo consolida el modelo de autorresponsabilidad empresarial: la culpabilidad de la persona jurídica es propia y no depende automáticamente de la del directivo. El "defecto de organización" es central.
La irrelevancia penal del hecho de referencia conlleva la extinción de toda responsabilidad respecto de la sociedad. Sin delito de persona física no hay responsabilidad de la jurídica.
El Supremo anula condena por ausencia de fundamentación individualizada: no basta culpar automáticamente a la empresa. Debe demostrarse el defecto estructural en los programas de prevención. Refuerza el papel probatorio del modelo.
Documento clave para entender la postura acusatoria del Ministerio Fiscal sobre los modelos de prevención. Vinculante para fiscales en la valoración de la eximente. Lectura obligada.
UNE 19601 (norma española específica para compliance penal) e ISO 37301 (norma internacional de sistemas de gestión de compliance). La certificación refuerza la prueba de eficacia del modelo ante tribunal.
Transposición de la Directiva UE 2019/1937. Obliga a empresas con 50+ empleados a disponer de canal interno de denuncias con garantías de confidencialidad y no represalia. Sanciones administrativas elevadas por incumplimiento.
Solicite un diagnóstico inicial gratuito. En 60 minutos identificamos el nivel de exposición penal de su empresa y le explicamos por dónde empezar. Sin compromiso de contratación.
Cualquier persona jurídica con personalidad propia: sociedades limitadas, sociedades anónimas, cooperativas, fundaciones, asociaciones. Quedan excluidas las del art. 31 quinquies CP: Estado, Administraciones Públicas territoriales e institucionales, organismos reguladores y organizaciones internacionales de derecho público. El tamaño no exime: una microempresa puede ser condenada igual que una multinacional.
Es el conjunto de medidas de organización y gestión que una empresa adopta para prevenir delitos en su seno o reducir significativamente el riesgo de comisión. El art. 31 bis.5 CP exige 6 requisitos: mapa de riesgos, protocolos de decisión, modelos de gestión financiera, canal de denuncias, sistema disciplinario y verificación periódica. Si está implantado eficazmente antes del delito, exime de responsabilidad penal a la persona jurídica.
El art. 33.7 CP prevé: multa por cuotas o proporcional, disolución de la persona jurídica, suspensión de actividades hasta 5 años, clausura de locales hasta 5 años, prohibición de actividades futuras, inhabilitación para subvenciones, ayudas públicas, contratos con el sector público y beneficios fiscales hasta 15 años, intervención judicial. Una condena puede ser, literalmente, el fin de la empresa.
No es obligatorio en sentido estricto. Pero es funcionalmente necesario: sin un modelo eficaz adoptado antes del delito, la empresa no puede acogerse a la eximente del art. 31 bis.2 CP. En sectores regulados (banca, seguros, salud, sector público) puede ser exigible por normativa sectorial. La STS 372/2025 reafirma que la prueba del modelo es central en la defensa.
Para delitos cometidos por administradores y directivos (art. 31 bis.1.a), la exención exige: 1) modelo de prevención adoptado y ejecutado eficazmente antes del delito; 2) supervisión confiada a un órgano con poderes autónomos; 3) los autores eludieron fraudulentamente el modelo; 4) no hubo omisión o ejercicio insuficiente de la supervisión por el órgano de cumplimiento. Para delitos de empleados subordinados (art. 31 bis.1.b), basta con el modelo adecuado (art. 31 bis.4).
Depende del tamaño, sector y complejidad de la empresa. Una pyme con un negocio sencillo puede implantar un modelo proporcionado por menos de lo que cuesta una defensa penal corporativa. Empresas medianas y grandes requieren proyectos más extensos. En la primera reunión se realiza un diagnóstico inicial sin compromiso para calibrar el alcance y un presupuesto cerrado por escrito.
Es el órgano de la persona jurídica con poderes autónomos de iniciativa y control encargado de supervisar el funcionamiento y cumplimiento del modelo de prevención (art. 31 bis.2 condición 2.ª). Puede ser unipersonal (Compliance Officer) o colegiado (Comité de Cumplimiento). En pymes puede coincidir con el órgano de administración (art. 31 bis.3). Su autonomía es clave: si depende jerárquicamente del CEO, pierde eficacia eximente.
Es el sistema interno que permite a empleados y terceros comunicar posibles infracciones (whistleblowing). La Ley 2/2023, de protección de informantes (transposición de la Directiva UE 2019/1937), obliga a tenerlo a empresas con 50+ empleados y a todas las del sector público. Debe garantizar confidencialidad, ausencia de represalias y procedimiento de gestión. Se integra como elemento esencial del modelo del art. 31 bis CP.
Lo primero, no improvisar comunicaciones internas: el privilegio profesional protege la comunicación con el abogado pero no las notas internas. Active el órgano de cumplimiento si existe. Consulte inmediatamente con abogado penalista corporativo para articular: a) defensa técnica en el procedimiento, b) decisión sobre confesión / colaboración (atenuantes del art. 31 quater CP), c) protección de los administradores como personas físicas, d) eventual desactivación de las penas más graves.
El art. 31 quater CP establece 4 atenuantes específicas: confesión de la infracción a las autoridades antes de conocer la apertura del procedimiento, colaboración aportando pruebas decisivas, reparación o disminución del daño antes del juicio oral, y establecimiento de medidas eficaces de prevención durante el procedimiento. Estas atenuantes pueden reducir significativamente las penas, incluida la multa proporcional.
Diagnóstico inicial gratuito
Atendemos a empresas de todos los sectores y tamaños. La primera reunión es un diagnóstico técnico sin compromiso: evaluamos el nivel de exposición y proponemos un alcance proporcionado.
Confidencialidad Toda comunicación bajo secreto profesional. NDA recíproco firmable antes de profundizar en información sensible.
Sedes Barcelona. Reuniones presenciales en oficina del cliente o videoconferencia.