Saltar al contenido
AS
Alonso Sala
ABOGADOS PENALISTAS
EN
Análisis Jurídico

Compliance penal y riesgos ESG: cómo el artículo 31 bis CP puede eximir a la empresa de responsabilidad penal

calendar_today20 de junio de 2026

Última actualización:

listEn este artículo

lightbulbPuntos Clave

  • check_circleEl art. 31 bis CP hace penalmente responsable a la empresa por delitos cometidos en su beneficio
  • check_circleUn modelo de organización idóneo implantado antes del delito puede eximir a la persona jurídica
  • check_circleEl programa exige mapa de riesgos, canal de denuncias, régimen disciplinario y órgano de supervisión autónomo
  • check_circleLos riesgos ESG conectan con tipos concretos: medio ambiente (325 y ss.), seguridad laboral (316-318) y corrupción (286 bis)
  • check_circleLas penas a la empresa van de la multa a la disolución (art. 33.7 CP), con atenuantes del art. 31 quater

Respuesta rápida

El artículo 31 bis del Código Penal hace penalmente responsable a la empresa de los delitos cometidos en su nombre y beneficio por sus directivos o por subordinados sobre los que se incumplió el deber de control. La persona jurídica queda exenta si, antes del delito, tenía implantado un modelo de organización y gestión idóneo: el programa de compliance.

La responsabilidad penal ya no es solo cosa de las personas físicas. Desde su incorporación al ordenamiento, el artículo 31 bis del Código Penal permite sentar en el banquillo a la propia empresa por los delitos cometidos en su seno. Frente a ese riesgo, el legislador ofrece una vía de defensa estructural: un modelo de organización y gestión idóneo —lo que conocemos como programa de compliance— puede llegar a eximir a la persona jurídica de responsabilidad. A ese marco se suma hoy una capa nueva, la de los riesgos ESG, que conecta la sostenibilidad y la gobernanza con tipos penales muy concretos. Lo explicamos desde la perspectiva técnica del despacho, sin alarmismo y sin promesas.

Qué establece el artículo 31 bis CP

El artículo 31 bis CP es la norma que articula la responsabilidad penal de las personas jurídicas. Su lógica es clara: la empresa responde penalmente cuando el delito se ha cometido en su nombre o por su cuenta y en su beneficio directo o indirecto. No se trata, por tanto, de cualquier infracción cometida por quien trabaja en la organización, sino de aquellas que se proyectan sobre la propia entidad y le reportan una ventaja.

Dentro de ese marco, la ley distingue dos títulos de imputación que conviene tener claros porque condicionan toda la estrategia de defensa.

Las dos vías de imputación: directivos y subordinados

El precepto contempla dos formas de que el delito se traslade a la persona jurídica:

  • Por los directivos: cuando el delito lo cometen los representantes legales o aquellas personas que, individualmente o como integrantes de un órgano, están autorizadas para tomar decisiones en nombre de la entidad o tienen facultades de organización y control dentro de la misma.
  • Por los subordinados: cuando el delito lo comete quien está sometido a la autoridad de las personas anteriores y ha podido cometerlo porque se ha incumplido gravemente el deber de supervisión, vigilancia y control sobre su actividad, atendidas las concretas circunstancias del caso.

La diferencia es relevante. En la primera vía, el reproche se vincula a la cúpula; en la segunda, a un fallo de control. Y precisamente ese deber de control es el que el programa de compliance está llamado a cubrir.

La exención: un modelo de organización idóneo

Aquí está el núcleo de la defensa corporativa. El artículo 31 bis CP establece que la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, había adoptado y ejecutado con eficacia un modelo de organización y gestión adecuado para prevenir delitos de esa naturaleza o para reducir de forma significativa el riesgo de su comisión.

La clave es que el programa exista y funcione antes del hecho. Un modelo aprobado después del delito puede valorarse como atenuante, pero no produce el efecto eximente. De ahí que el compliance penal sea, ante todo, una herramienta preventiva: su valor se mide por su implantación previa y por su aplicación real, no por su mera existencia documental.

Los requisitos del programa de compliance

Para que el modelo despliegue su eficacia, el artículo 31 bis.2 y .5 CP exige que reúna una serie de elementos. No basta con un manual genérico: la jurisprudencia del Tribunal Supremo viene insistiendo en que el programa debe ser idóneo y aplicado efectivamente. Los requisitos esenciales son:

  • Mapa de riesgos: identificar las actividades en cuyo ámbito puedan cometerse los delitos que se pretende prevenir.
  • Protocolos de decisión: establecer los procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica y la adopción y ejecución de decisiones.
  • Gestión de recursos financieros: disponer de modelos adecuados para impedir la financiación de las conductas delictivas que se quieren evitar.
  • Canal de denuncias: imponer la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar el modelo.
  • Régimen disciplinario: sancionar adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Verificación periódica: revisar el modelo y modificarlo cuando se pongan de manifiesto infracciones relevantes o cambien la organización, la estructura de control o la actividad.

Diseñar y mantener vivo un programa con estos elementos exige el concurso de abogados especializados en compliance penal y ESG, capaces de traducir los riesgos reales de cada empresa en controles verificables.

El órgano de supervisión: el compliance officer

El artículo 31 bis CP exige que la supervisión del funcionamiento y del cumplimiento del modelo se confíe a un órgano con poderes autónomos de iniciativa y de control, o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos. Es la figura del compliance officer o del comité de cumplimiento.

Su autonomía es determinante. No puede tratarse de un cargo subordinado que dependa de quienes deberían ser vigilados: necesita recursos suficientes, acceso directo al órgano de administración y capacidad real para impulsar investigaciones internas y proponer medidas. En las empresas de pequeñas dimensiones, la propia ley permite que estas funciones las asuma directamente el órgano de administración. La acreditación de que este órgano ha actuado de forma diligente suele ser una pieza central de la defensa.

La capa ESG: medio ambiente, seguridad laboral y gobernanza

Los criterios ESG (ambientales, sociales y de gobernanza) han dejado de ser una cuestión reputacional para conectar directamente con el riesgo penal de la empresa. En clave de compliance, cada letra de ESG remite a tipos concretos del Código Penal que el programa debe mapear y prevenir:

  • Dimensión ambiental (E): los delitos contra el medio ambiente de los artículos 325 y siguientes CP sancionan, entre otras conductas, las emisiones, vertidos o depósitos que puedan perjudicar gravemente el equilibrio de los sistemas naturales o la salud de las personas. La gestión de residuos, las autorizaciones ambientales y el control de la cadena de suministro son focos de riesgo penal.
  • Dimensión social (S): los delitos contra los derechos de los trabajadores y la seguridad laboral de los artículos 316 a 318 CP castigan a quienes, con infracción de la normativa de prevención de riesgos y estando legalmente obligados, no faciliten los medios necesarios para que los trabajadores desempeñen su actividad con las medidas de seguridad e higiene adecuadas, poniendo en peligro grave su vida, salud o integridad física.
  • Dimensión de gobernanza (G): la corrupción en los negocios del artículo 286 bis CP y el blanqueo de capitales son los riesgos nucleares. La corrupción privada alcanza a quien, en el ejercicio de una actividad económica o empresarial, recibe o promete un beneficio para favorecer indebidamente a otro en la adquisición de bienes o servicios.

Integrar estos riesgos en el modelo no es una cuestión cosmética: su materialización puede activar la responsabilidad penal de la persona jurídica por la vía del artículo 31 bis CP, de modo que un compliance que ignore la dimensión ESG deja un flanco abierto.

Penas a la empresa y atenuantes (arts. 33.7 y 31 quater CP)

Cuando la responsabilidad penal de la persona jurídica se afirma, las consecuencias no son menores. El artículo 33.7 CP enumera las penas aplicables a la empresa:

  • Multa por cuotas o proporcional.
  • Disolución de la persona jurídica.
  • Suspensión de sus actividades por un plazo que no podrá exceder de cinco años.
  • Clausura de sus locales y establecimientos.
  • Prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido, favorecido o encubierto el delito.
  • Inhabilitación para obtener subvenciones y ayudas públicas, contratar con el sector público y gozar de beneficios e incentivos fiscales o de la Seguridad Social.
  • Intervención judicial para salvaguardar los derechos de trabajadores o acreedores.

Frente a ese cuadro, el artículo 31 quater CP reconoce circunstancias atenuantes que la defensa debe valorar y, en su caso, activar: la confesión de la infracción antes de conocer el procedimiento, la colaboración en la investigación aportando pruebas nuevas y decisivas, la reparación o disminución del daño y el establecimiento de medidas eficaces para prevenir y descubrir delitos futuros. La adopción posterior de un programa de compliance, aunque no exime, puede operar como atenuante por esta vía.

Compliance penal y ESG con Alonso Sala

Anticiparse al riesgo penal es siempre más eficaz que reaccionar a una imputación. En Alonso Sala, despacho penalista con sede en Madrid (calle Velázquez 27) y cobertura en toda España, asesoramos a empresas y administradores en el diseño, la implantación y la revisión de programas de compliance conforme al artículo 31 bis CP, con un módulo específico de riesgos ESG, y los defendemos cuando la investigación ya está abierta. Cada organización se estudia de forma individualizada, atendiendo a su actividad, su estructura y el marco legal vigente, para construir la estrategia que mejor se ajuste a sus circunstancias.

Preguntas frecuentes

¿Cuándo es penalmente responsable una empresa según el artículo 31 bis CP?expand_more

El artículo 31 bis CP atribuye responsabilidad penal a la persona jurídica en dos supuestos. Primero, por los delitos cometidos en su nombre o por su cuenta, y en su beneficio directo o indirecto, por sus representantes legales o por quienes tienen capacidad de decisión, organización o control. Segundo, por los delitos cometidos por subordinados sometidos a la autoridad de esos directivos cuando, atendidas las circunstancias, se ha incumplido gravemente el deber de supervisión, vigilancia y control sobre su actividad. Sin beneficio para la empresa y sin alguno de esos dos títulos de imputación, no nace la responsabilidad penal de la persona jurídica.

¿Qué requisitos debe cumplir el modelo de compliance para eximir de responsabilidad?expand_more

El artículo 31 bis.2 y .5 CP exige que el modelo de organización y gestión se haya adoptado y ejecutado con eficacia antes de cometerse el delito y que reúna varios elementos: un mapa de riesgos que identifique las actividades en cuyo ámbito puedan cometerse delitos, protocolos de decisión y de formación de la voluntad de la entidad, modelos de gestión de los recursos financieros, una obligación de informar de riesgos a través de un canal de denuncias, un sistema disciplinario que sancione los incumplimientos y una verificación periódica del propio modelo. Además, la supervisión debe encomendarse a un órgano con poderes autónomos de iniciativa y control.

¿Qué papel juega el compliance officer?expand_more

El órgano de supervisión —habitualmente el compliance officer o un comité de cumplimiento— es la pieza que el artículo 31 bis CP exige para que el modelo despliegue su eficacia eximente. Debe contar con poderes autónomos de iniciativa y de control, recursos suficientes y acceso directo al órgano de administración. Su función no es decorativa: tiene que vigilar el funcionamiento del programa, gestionar el canal de denuncias, impulsar las investigaciones internas y verificar periódicamente que los controles siguen siendo idóneos. La existencia formal de la figura no basta si no se acredita una actuación real.

¿Qué relación tienen los riesgos ESG con el compliance penal?expand_more

Los criterios ESG (ambientales, sociales y de gobernanza) se traducen, en clave penal, en riesgos concretos del Código Penal. La dimensión ambiental remite a los delitos contra el medio ambiente de los artículos 325 y siguientes; la social, a los delitos contra los derechos de los trabajadores y la seguridad laboral de los artículos 316 a 318; la de gobernanza, a la corrupción en los negocios del artículo 286 bis y al blanqueo de capitales. Un programa de compliance moderno debe mapear y prevenir estos riesgos, porque su materialización puede activar la responsabilidad penal de la empresa.

¿Qué penas puede imponerse a una persona jurídica?expand_more

El catálogo está en el artículo 33.7 CP e incluye la multa por cuotas o proporcional, la disolución de la persona jurídica, la suspensión de actividades, la clausura de locales y establecimientos, la prohibición de realizar determinadas actividades, la inhabilitación para obtener subvenciones, ayudas públicas, contratar con el sector público o disfrutar de beneficios e incentivos fiscales o de la Seguridad Social, y la intervención judicial. El artículo 31 quater CP prevé además atenuantes, como la confesión, la colaboración en la investigación, la reparación del daño y la adopción de medidas eficaces para prevenir y descubrir delitos futuros.

eco

gavel¿Necesita defensa penal en este ámbito?

Somos abogados penalistas especialistas en compliance esg con vertiente penal. Actuamos con urgencia para proteger sus derechos y evitar la imputación o condena.

Ver especialidadarrow_forward

Artículos Relacionados

Ver todosarrow_forward
calendar_today17 de mayo de 2026

Compliance ESG y Responsabilidad Penal 2026

La irrupción de las Directivas CSRD y CSDDD ha convertido las obligaciones ESG en una fuente directa de responsabilidad penal corporativa.

ComplianceESG+3
calendar_today17 de mayo de 2026

Defensas Penales en Investigaciones ESG: Estrategia 2026

Cuando se abre una investigación ESG, el tiempo juega en contra. Analizamos la coordinación abogado-compliance officer, el conflicto entre obligaciones de…

ESGInvestigaciones Internas+3
calendar_today24 de junio de 2026

Crear un desnudo con IA a partir de una foto real: tratamiento ilícito de datos

La AEPD considera que generar un desnudo con IA desde una foto real y difundirlo es un tratamiento ilícito de datos personales, sancionable y, además, delito.

Protección de datosDeepfakes e IA+1

El conocimiento es poder, pero la estrategia es clave.

Lo que lee aquí es solo el principio. Transforme la información en defensa activa contactando con nuestro equipo de expertos.

Contacte con Alonso Sala
Llamar: 91 078 65 74
call