El perímetro de lo razonablemente exigible en la evaluación de la eficacia de los Sistemas de Compliance
Transcurridos ya quince años desde la introducción de la responsabilidad penal de la persona jurídica en nuestro ordenamiento jurídico penal, este ámbito continúa generando no pocas incertidumbres. La aplicación práctica del régimen del artículo 31 bis del Código Penal dista de estar plenamente asentada y la aproximación de los tribunales ha dado lugar a interpretaciones discutibles en distintos planos. Desde la atribución a personas jurídicas de delitos que no llevan aparejada su responsabilidad penal hasta la confusión entre la posición procesal del representante especialmente designado y la de un investigado a título personal, son múltiples las cuestiones que exigen de las defensas una especial atención y una reacción inmediata.
La relativa escasez de pronunciamientos en esta materia, además, refuerza esta sensación de inestabilidad. No son muchas las sentencias que abordan de manera directa y sistemática la responsabilidad penal corporativa y, cuando lo hacen, con frecuencia el análisis del Sistema de Compliance ocupa un lugar secundario o meramente descriptivo. Por ello, cada resolución que dedica un espacio sustantivo a examinar la estructura y eficacia del Sistema de Compliance adquiere un interés que trasciende el caso concreto.
Estas sentencias no solo resuelven un procedimiento determinado fijando un concreto relato de hechos probados y una concreta valoración probatoria, sino que, además, permiten anticipar el enfoque que los tribunales pueden adoptar en el futuro. En ocasiones, son precisamente algunas afirmaciones insertas en pocos párrafos las que dejan entrever cómo se entiende el alcance del “debido control” y qué exigencias se consideran necesarias para acceder a la exención de responsabilidad prevista en el artículo 31 bis.2 del Código Penal.
En esta línea se sitúa la Sentencia de la Sala de lo Penal de la Audiencia Nacional (Sección 1.ª) núm. 34/2025, de 19 de diciembre (Ponente: Excma. Sra. María Fernanda García Pérez), pronunciamiento que ofrece elementos relevantes en relación con el estándar de eficacia exigible a los Sistemas de Compliance.
La sentencia declara probada la existencia, entre 2012 y 2014, de prácticas corruptas vinculadas a la adjudicación de contratos públicos de eficiencia energética a favor de la mercantil COFELY ESPAÑA S.A.U. (“COFELY” o la “Compañía”). La dinámica delictiva incluyó el pago de comisiones a autoridades municipales de diversos ayuntamientos de la Comunidad de Madrid y la utilización de facturación simulada para canalizar tales pagos. Según el relato de hechos probados, la operativa implicó a distintos departamentos de la Compañía y contó con la intervención de directivos de alto nivel. En el desarrollo de dicha operativa, se produjeron intercambios y actuaciones orientados a influir en los procedimientos de contratación pública, incluida la elaboración de documentación y análisis vinculados a los expedientes de licitación.
La resolución parte de una circunstancia igualmente significativa: COFELY disponía formalmente de un Sistema de Compliance implementado con anterioridad a los hechos enjuiciados. La Sala reconoce la existencia de una Carta Ética, de un deontólogo designado —figura que en la práctica desempeñaba funciones equiparables a las que hoy identificamos con el compliance officer—, de identificación de riesgos —incluidos los de corrupción—, de un canal de denuncias, de un régimen disciplinario, de procedimientos financieros y de programas de formación. También se habían establecido protocolos para la contratación de asesores comerciales, con verificación inicial y cláusulas contractuales anticorrupción. Cabe destacar que la Sala admite que el grupo empresarial extranjero al que la Compañía pertenecía había adoptado un Sistema de Compliance antes incluso de la introducción en España de la responsabilidad penal de las personas jurídicas.
La condena de la persona jurídica no se basa, por tanto, en la inexistencia de un Sistema de Compliance, sino en su ineficacia material. La Sala concluye que COFELY incumplió los deberes de supervisión y control al no prevenir ni detectar la trama de corrupción. El argumento central es que los mecanismos implantados por la Compañía no evitaron que la operativa corrupta se desarrollara durante un periodo prolongado ni que implicara a varios de sus departamentos.
Ahora bien, el artículo 31 bis del Código Penal no configura un régimen de responsabilidad por resultado. La persona jurídica no responde por el mero hecho de que un delito se cometa en su seno, sino cuando concurre un defecto estructural u organizativo en materia de prevención de delitos que posibilita la conducta delictiva de la persona física.
Aunque la sentencia enumera varios déficits en el Sistema de Compliance de COFELY, algunos de ellos, por su naturaleza, exceden el supuesto enjuiciado y permiten extraer criterios generales sobre el estándar exigible en materia de prevención de delitos, de ahí que merezcan un análisis particularizado.
De entre los déficits apreciados, tres objeciones merecen una consideración particularmente atenta por las implicaciones que proyectan sobre el estándar de control exigible, en la medida en que amplían el perímetro de lo que puede entenderse como razonablemente exigible a un Sistema de Compliance. La primera se refiere a la falta de actualización de la debida diligencia respecto de ciertos asesores pese a la existencia de investigaciones públicas susceptibles de generar alertas reputacionales; la segunda, a la ausencia de cláusulas anticorrupción en determinados contratos con terceros; y la tercera, al ejercicio insuficiente de las funciones de supervisión por parte del deontólogo en relación con determinadas operaciones.
En cuanto al primero de estos reproches, es cierto que la verificación inicial no agota necesariamente el análisis del riesgo asociado a una relación contractual. Sin embargo, en el caso enjuiciado se practicó un chequeo reputacional previo —incluido cuestionario ético y verificación externa—, y el contrato incorporaba una cláusula anticorrupción en la que el asesor asumía obligaciones expresas de cumplimiento. Este elemento no es neutro. En el tráfico jurídico, las partes deben poder confiar, como principio estructural, en la veracidad de las declaraciones formuladas por su contraparte en el marco contractual. La prevención frente a terceros no se articula exclusivamente mediante una monitorización constante, sino también a través de compromisos contractuales que delimitan responsabilidades y permiten reaccionar ante su eventual incumplimiento.
En relación con la segunda objeción —la ausencia de cláusulas anticorrupción en determinados contratos—, conviene introducir igualmente una matización. En la práctica, no todos los contratos permiten una configuración íntegramente libre de su contenido. En determinados supuestos, especialmente cuando se trata de servicios especializados o de proveedores con una posición negociadora sólida, la contratación se articula sobre la base de condiciones generales preestablecidas o modelos contractuales estandarizados respecto de los cuales la capacidad real de introducir modificaciones puede ser limitada.
Por último, en lo que concierne al tercer reproche —relativo a la actuación del deontólogo— la sentencia censura que no revisara determinadas actuaciones vinculadas a las licitaciones y a la contratación de asesores. En el contexto específico del caso —al tratarse de una práctica continuada, con implicación de la alta dirección y coordinación entre distintos departamentos—, la ausencia de una reacción despierta, cuando menos, dudas fundadas sobre la eficacia del Sistema de Compliance.
Ahora bien, desde una perspectiva general, resulta imprescindible delimitar con precisión el alcance del deber de supervisión que incumbe al compliance officer. Este no puede erigirse en un órgano cuasi omnisciente con un deber de revisión exhaustiva de todas las decisiones de negocio. Su función consiste en diseñar el Sistema de Compliance, identificar riesgos, generar una cultura corporativa alineada con la ética y el cumplimiento, establecer controles adecuados y supervisar su funcionamiento de manera proporcionada. Elevar el estándar hasta exigir la revisión individualizada de cada operación relevante desplaza el Sistema de Compliance hacia una lógica de control total difícilmente conciliable con la estructura y dinámica de muchas organizaciones.
Llegados a este punto resulta inevitable advertir el riesgo del sesgo retrospectivo. La constatación de una trama prolongada y organizada puede inducir a concluir que el Sistema de Compliance era meramente formal o ineficaz en su conjunto. Sin embargo, el artículo 31 bis del Código Penal exige la acreditación de un defecto estructural en los mecanismos de prevención, no simplemente que estos fueran burlados. La materialización del riesgo no puede transformarse, por sí sola, en criterio determinante de la ineficacia del Sistema de Compliance.
La Sentencia de la Sala de lo Penal de la Audiencia Nacional núm. 34/2025, de 19 de diciembre, debe leerse, por tanto, en su específico contexto. Que en el caso concreto los controles no evitaran la conducta delictiva no significa necesariamente que cualquier Sistema que no impida una conducta similar deba reputarse estructuralmente defectuoso. La evaluación del Sistema de Compliance exige ponderar su conjunto —esto es, su diseño, implementación y funcionamiento real— y no fragmentar aisladamente determinados instrumentos bajo la lupa de lo ya sucedido.
El equilibrio es delicado: ni bastan Sistemas de Compliance meramente formales, ni puede exigirse un estándar próximo al control exhaustivo de todas las decisiones empresariales. Mantener la distinción entre un Sistema defectuoso y un Sistema razonablemente implementado pero eludido resulta esencial para preservar la lógica de autorresponsabilidad que inspira la responsabilidad penal de la persona jurídica. De cómo se proyecten las afirmaciones contenidas en esta sentencia dependerá que el estándar de “debido control” permanezca anclado en criterios de razonabilidad y proporcionalidad, evitando que el juicio ex post desdibuje los límites del reproche penal.
