Este documento trata sobre el compliance en el entorno digital de las empresas. Brevemente resume que el compliance penal busca establecer medidas para prevenir ilícitos penales corporativos en el ámbito digital de las empresas. También explica que la responsabilidad penal de las empresas surgió para responder a actos ilícitos cometidos por empleados en el ejercicio de sus funciones. Finalmente, señala que cada empresa debe ajustar su programa de compliance a sus características particulares teniendo en cuenta tanto obligaciones legales como estándares éticos.

1. COMPLIANCE EN EL ENTORNO
DIGITAL DE LAS EMPRESAS
Jordi Garcia Castillón – info@jordigarcia.eu

2. ÍNDICE
1- Introducción
2- El compliance y las empresas: marco general
3- Las empresas y el entorno digital: una realidad actual y troncal
3.1- La necesidad de una visión holística para el ámbito empresarial
3.2- Enfoque teórico y práctico del compliance legal digital empresarial
3.3- Propuestas de presente y futuro para el compliance legal digital
4- Conclusiones

3. 1- INTRODUCCIÓN
Siempre se ha partido de la base de que las empresas no podían delinquir como tales
(partiendo del aforismo romano societas delinquere non potest, en virtud del cual una
persona jurídica no podía considerarse sujeto activo de delitos, hasta nuestros días), siempre
se ha partido del precepto de que quienes en todo caso podían cometer un delito eran las
personas físicas vinculadas a las empresas, pero nunca las empresas como ente propio y
desvinculado de las personas que las conformaban, pero ello ya no es así en general y
tampoco es así en el ámbito del entorno digital de las empresas en particular.
Cuando se habla de responsabilidad penal de las empresas indefectiblemente se tiene que
hablar del compliance penal que corresponde aplicar a las mismas, es decir, se tiene que
hablar del antídoto, o, mejor dicho, de las medidas que corresponden aplicar para poder dar
respuesta a las implicaciones penales que puede llegar a tener una determinada corporación.
Todo lo anterior aplica al terreno de la empresa en general, pero aún resulta más sangrante
al entorno digital de la misma en concreto pues es en este entorno digital donde también se
puede incurrir en ilícitos penales corporativos, sobre todo ello va a versar este trabajo.

4. 2- EL COMPLIANCE Y LAS EMPRESAS: MARCO GENERAL
El compliance penal puede decirse que nace como respuesta del entorno empresarial a la
reforma del Código Penal que introdujo el concepto de la responsabilidad empresarial de las
empresas por aquellos actos que cometan los integrantes de ésta en el ejercicio de sus
funciones.
Lo anterior supone romper el principio tradicional de la ausencia de responsabilidad penal
corporativa, aunque cabe aclarar un concepto: con tal modificación resulta obvio enfatizar
que el legislador no ha pretendido introducir que las empresas puedan cometer delitos por sí
mismas (resulta obvio que las mismas ni tienen brazos ni piernas o cerebro para cometerlos,
no son seres humanos con capacidad física propia para delinquir).
Lo que sí que ha venido a introducir es que las mismas incurran en responsabilidades penales
por los actos susceptibles de castigo penal ocasionados por las personas humanas (directivos,
pero también empleados que trabajan en las mismas).
A lo anterior aún se le debe añadir una nueva aclaración: dicha responsabilidad debe de
enmarcarse en aquellos delitos que una persona directiva o empleada de la compañía cometa
en el ejercicio de sus funciones para la empresa, pues evidentemente si un directivo o
empleado comete un delito en su ámbito particular ello no puede implicar ni desembocar en
responsabilidad alguna para la empresa.

5. Así, puede decirse que el compliance penal se convierte en una especie de firewall para
proteger a la empresa de las responsabilidades a las que se pueda ver sometida por culpa de
las acciones de sus directivos y empleados.
Dicho "firewall" será entonces el encargado de proteger a la empresa mediante una serie de
medidas de carácter interno que el mismo incorporará y que irán destinados a la protección
de la empresa ante tales las potenciales acciones ilícitas comentadas. Y es que, de lo que se
trata, es de que los empleados o directivos no puedan cometer los ilícitos penales
aprovechándose de su función en la empresa o, que si los cometen, la empresa en su conjunto
haya puesto todas las medidas que estaban a su alcance para intentar evitar que dichos
sucesos se produjesen.
En realidad, si cuando se habla de compliance se habla desde la vertiente más amplia del
término puede verse que el mismo versa sobre el debido cumplimiento de las empresas de
todas las obligaciones legales que le resulten aplicables. Dicho así de forma genérica el
compliance no distingue entre obligaciones legales penales y obligaciones legales civiles o
bien entre obligaciones penales u obligaciones legales de cualquier otro orden.
Ahora bien, ese enfoque general mencionado posteriormente puede irse reenfocando, o
mejor dicho, focalizando en el ámbito penal y eso es lo que se viene y se vendrá tratando.
Gracias al compliance se pretende tanto prever como identificar y gestionar aquellos riesgos
que pueden existir de comisión de potenciales irregularidades, y ello no sólo se hace para
evitar las implicaciones punitivas que puede tener para el entorno de la empresa, sino que
también se realiza para evitar las implicaciones en coste de reputación para una empresa
implicada en sucesos delictivos.

6. Por todo lo anterior, mediante el compliance penal aplicado a las empresas, se pretende
implementar un sistema de prevención y respuesta ante los incidentes que puedan
producirse, pero sobre todo lo que se persigue, y debe perseguirse, es promover la cultura
del cumplimiento en el seno de la compañía con el fin de lograr que ello resulte interiorizado
y forme parte del mismo ADN corporativo y no tanto que forme parte una obligación de
cumplimiento impuesta.
Así, el cumplimiento normativo va muy ligado a la integración natural en la compañía de una
mentalidad corporativa que apueste por la ética y la legalidad como un bien superior a
preservar, incluso por encima de la obtención de beneficios. Una persecución de beneficios
legítima y loable, pero que no debe traspasar ciertos límites, no debe de ser una búsqueda de
estos a toda costa.
Cuando se habla de compliance penal en el entorno digital (y tampoco cuando se habla de
compliance penal en general y ni incluso cuando se habla de compliance en su conjunto) se
está hablando tan sólo de una única realidad igual para todas las empresas.
El fondo de la cuestión podrá ser el mismo, pero cada tipo de empresa y ente en particular
deberá ajustar sus necesidades de compliance a sus características concretas.
Del mismo modo, cuando se habla del compliance (también sea cual sea del tipo de
compliance que se esté hablando) en realidad se está hablando de un concepto bastante
novedoso por nuestros lares, pero no debe olvidarse que los orígenes del mismo se remontan
a hace muchos años. Concretamente, nos deberíamos remontar a inicios del siglo XX cuando
este concepto empezó a coger forma en los EEUU, si bien el mismo tomaría su plena
relevancia a partir de las últimas décadas del mismo siglo.

7. Cierto es que las funciones del compliance penal son las de establecer el marco ideal en la
empresa para el cumplimiento obligatorio de lo establecido legalmente para la empresa, pero
ésta sería tan sólo una de las partes de éste, sería la parte denominada del hard law, pero por
otro lado, nos encontramos con el concepto del soft law, del mismo también se encarga el
compliance penal.
Pero ¿de qué versa el soft law? Bien, en este caso nos encontramos ante el supuesto de que
el compliance penal se encarga de preparar a la empresa, de hacer interiorizar en el seno de
la empresa la necesidad de cumplir con las regulaciones y estándares, aun y cuando muchos
de éstos puedan ser meras recomendaciones y no obligaciones en sí mismas.
Dicho de otro modo lo anterior, en última instancia el compliance penal no debe pretender
que la empresa (y cuando se habla de empresa debe entenderse que se habla del conjunto
de personas físicas que forman parte de la misma) cumpla la ley por la mera obligación de
cumplirla y, en consecuencia, por el miedo a las represalias de no hacerlo, sino que lo que
debe perseguir es que la empresa cumpla con las leyes y con las buenas prácticas porque
realmente crea que tiene, que debe y que quiere hacerlo.
Regresando a las particularidades de los sistemas de compliance, dependiendo de la empresa
de la que se trate primero de todo decir que los mismos tanto se deberán encargar de
establecer el marco para el cumplimiento general como de establecer lo que se pueden
denominar marcos específicos de cumplimientos particulares de ámbitos concretos.
A colación con las particularidades que atañen a cada empresa aún decir que las mismas
podrán trabajar sobre distintos temas, algunos de preestablecidos. De entre los marcos
preestablecidos que se pueden destacar los siguientes:

8. • Estándar australiano AS-3806-20061
• UNE-ISO 196002
• COSO I, II y III de la OCDE3
• IDW AssS9804
Tal y como ya se ha mencionado con anterioridad, aunque el concepto de compliance nos
pueda parecer algo relativamente novedoso realmente puede serlo más la denominación (en
nuestro entorno) que no el concepto, pues el concepto tiene mucha más historia (en realidad,
puede decirse que debería tener tanta como la historia de las empresas en sí mismas) y,
especialmente, nos debemos dirigir a la segunda mitad del siglo XX para encontrar el
momento en el cual la sociedad a nivel general en los EEUU empezó a virar hacia dar
importancia a la necesidad de establecer mecanismos para dicho cumplimiento normativo,
especialmente a partir del asunto Watergate5
.
Fue a partir del asunto Watergate que en la nación estadounidense se implementó la FCPA
(Foreign Corrupt Practices Act)6
, con la finalidad de intentar controlar el cumplimiento
normativo. Fue esa necesidad de control, supervisión y prevención que nació la necesidad de
la figura conocida como Compliance Officer.
1
Compliance programs. Standards Australia. AS 3806—2006. ISBN 0 7337 7296 X
https://www.saiglobal.com/PDFTemp/Previews/OSH/as/as3000/3800/3806-2006.pdf
2
UNE-ISO 19600:2015. Sistemas de gestión de compliance. Directrices. Fecha de edición: 15-04-2015
https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0054739
3
Estudios de la OCDE sobre Gobernanza Pública Estudio sobre la contratación pública del Instituto de
Seguridad y Servicios Sociales de los Trabajadores del Estado en México. OECD Publishing, 14 de nov. 2013.
https://books.google.es/books?id=9d4UAgAAQBAJ&dq=COSO+I,+II+y+III+de+la+OCDE&hl=ca&source=gbs_nav
links_s
4
Principles for the Proper Performance of Reasonable Assurance Engagements Relating to Compliance
Management Systems. IDW AsS 980. 11 de marzo de 2011.
https://www.idw.de/idw/verlautbarungen/idw-ass-980/43126
5
Watergate Case Study, por James M. Perry.
http://www.columbia.edu/itc/journalism/j6075/edit/readings/watergate.html
6
Foreign Corrupt Practices Act, de 1977. Departamento de Justicia de los Estados Unidos.
https://www.justice.gov/criminal-fraud/foreign-corrupt-practices-act

9. En el ámbito europeo, los programas para promover el debido cumplimento normativo en las
organizaciones es algo más novedoso y han sido sentencias como al dictada en el año 2013
por un tribunal alemán (el Tribunal Regional de München I) en el denominado "Caso Siemens"
las que han ido ahondado en la concienciación de la necesidad de éstos.
La sentencia anterior resulta de especial relevancia de mencionar pues en la misma (que se
enjuiciaba un delito de soborno para lograr la adjudicación de contratos irregulares) se
sentaban las bases directas de aquello que debía contemplar –como mínimo- un buen
programa de control de cumplimiento normativo.
Acercando más el foco, concretamente centrando ahora el mismo en el caso español, cabe
decir que el concepto de responsabilidad penal de las personas jurídicas resultó establecido
mediante la LO 5/20107
de reforma del Código Penal8
, dicha responsabilidad penal ha sido
modificada más recientemente, concretamente mediante la LO 1/20159
con la finalidad de
delimitar el alcance de las responsabilidades penales que puedan corresponder, así como de
dar respuesta a nuevas realidades penales existentes.
Cuando se habla de responsabilidad penal en las personas jurídicas no se puede inferir
directamente una responsabilidad ni ilimitada en cuando a todas las tipologías y de personas
jurídicas existentes, ni tampoco con relación a los tipos de delitos por los cuales las mismas
pueden ser condenadas.
7
Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del
Código Penal. BOE núm. 152, de 23 de junio de 2010
https://www.boe.es/buscar/doc.php?id=BOE-A-2010-9953
8
Responsabilidad penal de personas jurídicas y corporate compliance, por Mª Teresa Moral y Begoña González.
Fundesem Business School, febrero 2015.
https://www.cuatrecasas.com/media_repository/gabinete/publicaciones/docs/1427373226es.pdf
9
Cuadro comparativo del Código Penal. Ley Orgánica 1/2015 de 30 de marzo, por la que se modifica la Ley
Orgánica 10/1995, de 23 de noviembre, del Código Penal. Ilustre Colegio de Abogados de Madrid.
http://web.icam.es/bucket/CUADRO%20COMPARATIVO%20DEL%20C%C3%93DIGO%20PENAL_%20LO%201-
2015_%20CP.pdf

10. Así, dentro del grupo de personas jurídicas se podrá decir que –como norma general- todas
pueden ser responsables penalmente a excepción del Estado en sí mismo, las
administraciones públicas, los organismos reguladores, las agencias y entidades públicas
empresariales, todas las organizaciones que ejerzan potestades públicas de carácter
administrativo o relacionadas con la soberanía y las sociedades mercantiles públicas que
presten servicios de interés económico general o ejecuten políticas públicas, aunque en este
último tipo de persona jurídica deben hacerse unas menciones particulares.
Las sociedades mercantiles públicas ofrecedoras de servicios de interés económico general o
que lleven a cabo políticas públicas serán una excepción a la regla general, pero con la
particularidad de que para éstas sí que podrá aplicar lo señalado en los apartados a) y g) del
art. 33.7 del CP, mientras que para el resto resultarán exentas de todos los tipos y para las no
exentas resultarán aplicables todos ellos.
Todo lo anterior entendiendo siempre que no se pueda llegar a considerar que la sociedad
exenta en cuestión se llegó a constituir con la directa finalidad de delinquir aprovechándose
de su carácter exento de responsabilidad, pues en ese caso sí que podrían llegar a
desprenderse concretas responsabilidades.
Un último apunte al apartado de las exenciones es el que tiene que ver con los partidos
políticos y las organizaciones sindicales. Todos estos entes contaban con el privilegio de estar
también exentos, pero tal prebenda fue eliminada mediante la LO 7/2012 que vino a
modificar al art. 31.bis.5 del CP.
Para todo el resto de personas jurídicas no exentas de responsabilidad penal, tal y como se
ha mencionado, aplican todos los tipos penales previstos, pero ello no significa que las mismas
puedan ser acusadas y condenadas por cualquier tipo de delito existente en el CP. Éstas sólo

11. podrán responder por los delitos de los cuales las mismas puedan ser acusadas según lo que
establece el CP, es decir, sólo pueden responder por un determinado número de delitos
(numerus clausus) y tan sólo se les pondrán imponer las sanciones descritas en el art.33.7 CP.
Más allá de las excepciones a la regla general de responsabilidad penal y de los tipos concretos
de responsabilidad penal que las personas jurídicas pueden llegar tener que asumir conviene
detenerse a analizar aquellos eximentes y atenuantes existentes para los casos en los que una
persona jurídica afectada por incurrir en un supuesto susceptible de responsabilidad para la
misma.
Según lo ya señalado, las personas jurídicas podrán ser penalmente responsables por aquellas
acciones cometidas por todas aquellas personas físicas que se enumeran en el art. 31.bis.1.a
CP. Ahora bien, que puedan ser penalmente responsables no significa que indefectiblemente
lo terminen siendo o bien, aunque lo terminasen siendo, no significa que en la práctica no lo
fueren en un grado inferior.
En el caso de las circunstancias que eximen totalmente de la responsabilidad penal a la que
se podría encontrar sujeta la persona jurídica en cuestión se encuentran, entre otros, los
supuestos en los que el órgano de administración de la organización haya adoptado y llevado
a cabo eficazmente -con carácter previo a la comisión del delito- todas las medidas que hayan
estado a su alcance para intentar prevenir la comisión del delito. Ello debe incluir la aplicación
de modelos organizativos y de gestión, así como medidas concretas de control.
Para el supuesto de las circunstancias atenuantes parciales de la responsabilidad penal se
encuentran, entre otros, los supuestos en los cuales los órganos responsables de la persona
jurídica confiesen los hechos antes del descubrimiento de éstos, colaboren con la justicia, se
avengan a reparar o mitigar el daño que hayan podido causar e implanten medidas reales de

12. prevención de delito. Este último aspecto debe quedar claro que debe de ser llevado a cabo
antes de que dé comienzo el juicio oral contra la compañía en cuestión.
En todo este asunto juega un papel capital la figura ya señalada del Compliance Officer, esta
figura encargada del control y supervisión del cumplimiento normativo según la FGE Circ
1/2016 debe de tener en cuenta las siguientes apreciaciones:
• Esta figura puede recaer en una persona individual o bien tener un carácter colectivo
con más personas que la conformen
• Quienes formen partes de esta figura, tanto sea de forma directa como subordinada,
deben contar con la debida formación para llevar a cabo sus funciones
• Sus funciones deben abarcar la elaboración del mismo sistema de gestión que deberá
asegurar el cumplimiento normativo. Además, deberá encargarse de establecer los
mecanismos adecuados para asegurar la auditoría del sistema implementado, así
como se encargará de controlar y supervisar el mismo
• Será una figura que deberá poder nutrirse de toda la información que le permita llevar
a cabo adecuadamente sus funciones
Una circular no exenta de polémica, y de críticas, pues a la misma se le puede achacar que:
"Desde la introducción del sistema de responsabilidad penal de la persona jurídica, el
mecanismo de transferencia del delito del subordinado a la empresa para el castigo de esta
última mediante una sanción penal ha puesto en entredicho principios básicos de nuestra
disciplina, como el principio de culpabilidad o el de personalidad de las penas".
Regresando a lo que dispone la circular señalar que, en la práctica, el cometido de esta figura
será el de:

13. A) Identificar las obligaciones y riesgos corporativos para la persona jurídica de la que forme
parte y, en base a ello, diseñar los mecanismos adecuados de prevención y mitigación
B) Realizar la integración de los diseños planteados en base a las necesidades específicas
detectadas
C) Realizar formación sobre la materia al conjunto de las personas físicas que conforman la
persona jurídica
D) Implementar un sistema de reporte multi-capa, es decir, un sistema de reporte para los
empleados como para la alta dirección
E) Implementar un sistema interno de denuncia
F) Monitorizar por distintos medios el sistema, y ello incluirá auditorías de todo tipo entre
otros recursos
Resulta extraordinariamente importante señalar que, según la misma circular, la figura en
cuestión debe gozar de independencia, así:
1- La dirección de la empresa no podrá presionar al Compliance Officer en el ejercicio de sus
funciones
2- El periodo de permanencia en el cargo debe de ser lo suficientemente amplio como para
poder desarrollar las funciones con garantizas de implementación y continuidad
3- Quienes se encarguen de evaluar el desempeño de la figura deberán ser personas u
órganos de carácter neutral
4- Deberá ser provista de los recursos de todo tipo suficientes para poder desempeñar las
funciones encomendadas

14. Todo lo en este apartado señalado se sustenta en abundante jurisprudencia del TS al
respecto, concretamente y para mayor abundamiento señalar la sentencia 29-2-16, EDJ
10795, pues en la misma el Alto Tribunal estableció que para condenar a la empresa seguía
los siguientes criterios (criterios que casan con lo que se ha visto aquí hasta el momento):
A) La comisión del delito fue cometida por una persona física perteneciente al seno de la
persona jurídica y fue cometido en el ejercicio de sus funciones
B) Resultaba constatado el incumplimiento del deber de control por parte de la persona
jurídica
Por todo lo anterior, nos encontramos ante la base de toda la cuestión que conviene reiterar
y enfatizar por el carácter nuclear de la misma: existe responsabilidad penal de una persona
jurídica cuando uno de sus miembros pertenecientes comete acciones delictivas en el
ejercicio de sus funciones y la persona jurídica no ha puesto medidas para prevenir que ello
sucediese.
Lo anterior podría ser el resumen de la cuestión en su máxima expresión, pero conviene
incluir un matiz en la cuestión, pues si bien la necesidad de un "debido control" por la persona
jurídica es una de las claves principales, por no decir la principal, de las posibles
responsabilidades penales a las cuales la misma se puede tener que enfrentar. Resulta
paradigmático lo subjetivo que puede llegar a resultar aquello que realmente es o deja de ser
el “debido control”.
Cierto es que existen recomendaciones y pautas al respecto de establecer las medidas
necesarias para establecer un “debido control”, pero ello no resulta para nada óbice para que

15. también pueda decirse que precisamente el legislador no tiene afinado el concepto como se
debería, ello resulta bien expuesto en la siguiente consideración:
"Las personas jurídicas implicadas en un proceso penal que pretendan la atenuación o
exención de responsabilidad criminal deben probar en el Juzgado el "debido control". Sin
embargo, resulta paradigmática la ausencia de precisión del referido concepto de "debido
control" a que alude el artículo 31 bis, que además establece como atenuante el hecho de
"haber establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y
descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura
de la persona jurídica".
Tal falta de regulación legal o de desarrollo reglamentario ha generado una indeseable
inseguridad jurídica a la espera de que la jurisprudencia del Tribunal Supremo delimite
concretamente los elementos fundamentales que deben configurarlo"10
.
Sin duda alguna, un asunto de gran trascendencia, el de aquello que es y que no es un "debido
control" por las importantes y graves consecuencias que tal determinación pueda conllevar.
10
Los programas de compliance como forma para ejercer el 'debido control' sobre la actividad de la persona
jurídica, por José Manuel Chozas Alonso. Apartado 4.1. La atenuación o exención de responsabilidad criminal si
se ha ejercido por la empresa el "debido control".
https://libros-revistas-derecho.vlex.es/vid/programas-compliance-forma-ejercer-638184693

16. 3- LAS EMPRESAS Y EL ENTORNO DIGITAL: UNA REALIDAD ACTUAL Y TRONCAL
Todo lo anteriormente expuesto aplica a todo el entorno de cualquier empresa. El compliance
penal y las consecuencias penales a las que se enfrenta una compañía son un asunto troncal
a la compañía en sí misma, pero a su vez ello puede tener una especial trascendencia en el
ámbito digital de forma particular.
Y ¿cuál es el motivo por el que se puede señalar que en el ámbito digital todo lo expuesto
puede tener y tiene una especial trascendencia en lo señalado en global para el compliance
legal que debe aplicar en una empresa?
Pues bien, la trascendencia de lo que se establezca a modo general mediante lo que debe de
ser el compliance penal empresarial general adquiere especial trascendencia en lo que
concierne al entorno digital de la misma, pues es el entorno digital de la misma el que también
es troncal en sí mismo y, además, responde a nueva realidad con la cual las empresas no están
aún del todo familiarizadas y que también traspasa a todos los ámbitos de la empresa.
Por todo lo anterior, nos encontramos ante un concepto relativamente nuevo (el de la
responsabilidad empresarial corporativa) que atañe a toda la estructura de una empresa, que
intenta ser controlado mediante otro concepto bastante nuevo (el de compliance penal), el
que actúa en distintos frentes y uno de estos es el del entorno digital de la empresa, un
entorno también bastante nuevo y diverso al que las empresas se van adaptando.
El entorno digital en particular aporta una infinidad de oportunidades al entorno empresarial,
pero a la vez también supone todo un reto para el compliance penal, pues el mismo debe
hacer frente a una realidad que también tiene unas grandes amenazas, un entorno digital

17. mediante el cual se puede incurrir fácilmente (igual que fuera de los entornos digitales en
otros ámbitos) en ilícitos penales.
3.1- LA NECESIDAD DE UNA VISIÓN HOLÍTICA PARA EL ÁMBITO EMPRESARIAL
Lo establecido en el apartado anterior nos conduce a señalar la necesidad de tener un
planteamiento holístico del asunto relacionado, pues no debemos olvidar que la
responsabilidad penal corporativa es inherente a la integridad de ésta, sin que ello quite que
la misma resulte condicional.
A este aspecto cabe señalar lo que dicta el artículo 31 bis del vigente CP cuando señala que
"En los supuestos previstos en este Código, las personas jurídicas serán penalmente
responsables".
A colación con lo anterior decir que resulta especialmente reseñable lo establecido en el
punto primero del artículo 31 ter del mismo CP, el dicho precepto señala que:
"La responsabilidad penal de las personas jurídicas será exigible siempre que se constate la
comisión de un delito que haya tenido que cometerse por quien ostente los cargos o funciones
aludidas en el artículo anterior, aun cuando la concreta persona física responsable no haya
sido individualizada o no haya sido posible dirigir el procedimiento contra ella.
Cuando como consecuencia de los mismos hechos se impusiere a ambas la pena de multa, los
jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no
sea desproporcionada en relación con la gravedad de aquéllos".
Y siempre que,
"La concurrencia, en las personas que materialmente hayan realizado los hechos o en las que
los hubiesen hecho posibles por no haber ejercido el debido control, de circunstancias que

18. afecten a la culpabilidad del acusado o agraven su responsabilidad, o el hecho de que dichas
personas hayan fallecido o se hubieren sustraído a la acción de la justicia, no excluirá ni
modificará la responsabilidad penal de las personas jurídicas, sin perjuicio de lo que se dispone
en el artículo siguiente". (punto segundo del artículo 31 ter CP)
Lo anterior nos conduce a resaltar una cuestión que ya se había señalado en líneas anteriores:
el debido control por parte de la empresa será determinante para determinar (permítase la
redundancia) la posible responsabilidad penal de la misma ante unos potenciales hechos que
se puedan producir.
Por todo ello, no nos encontramos ante un asunto que pueda ser escogido meramente desde
una única visión, prisma o enfoque, sino que el mismo debe de ser abordado desde todos los
enfoques y frentes posibles.
3.2- ENFOQUE TEÓRICO Y PRÁCTICO DEL COMPLIANCE LEGAL DIGITAL EMPRESARIAL
Cuando se habla de compliance legal digital del entorno de las empresas el mismo se puede
abordar desde dos perspectivas: la teórica y la práctica.
Si, en primer lugar, nos centramos y fijamos en la parte teórica del asunto, vemos que en el
fondo de lo que se trata es de conceptualizar aquellos riesgos que afectan a la empresa por
la acción de los empleados y en base a tal conceptualización determinar un marco de trabajo
desde el cual actuar.
La ideación, el pensamiento y la contextualización de dicho marco de trabajo será el asunto
teórico del que cualquier empresa deberá ocuparse en el marco de su compliance penal a
aplicar para los asuntos legales digitales de la misma.

19. A su vez, toda la plasmación, puesta en marcha y ejecución de dicho marco de trabajo será el
que responderá a la parte práctica del asunto. Además de todo ello no debe olvidarse que:
"El defecto estructural en los modelos de gestión, vigilancia y supervisión de su actividad
empresarial constituye el fundamento de la responsabilidad del delito corporativo. La vigencia
del derecho a la presunción de inocencia obliga al Fiscal a acreditar la concurrencia de un
incumplimiento grave de los deberes de supervisión. La pena impuesta a la persona jurídica
sólo puede apoyarse en la previa declaración como probado de un hecho delictivo propio..."11
.
Así, puede verse que existe un marco conceptual teórico pero que para que el mismo resulte
efectivo debe trasladarse a la práctica pues ello será la base que límite la responsabilidad del
delito corporativo.
3.3- PROPUESTAS DE PRESENTE Y FUTURO PARA EL COMPLIANCE LEGAL DIGITAL
El compliance penal es una realidad, como ya se ha venido mencionando, relativamente
novedosa, del mismo modo que relativamente nuevo en el tiempo es la digitalización de las
empresas, o como mínimo con la intensidad y profundidad actuales. Por ello, saber de dónde
se viene, donde se está y hacia dónde debe dirigirse una empresa en este ámbito resulta de
suma trascendencia para la misma.
El pasado del compliance penal en general y el enfoque sobre el entorno digital en particular
es lo que se ha visto hasta el momento, pero el presente y el futuro de este es lo que queda
latente por tratar.
11
STS 221/2016, 16 de Marzo de 2016. Tribunal Supremo - Sala Segunda, de lo Penal.
https://supremo.vlex.es/vid/631536907

20. Obviamente, no se trata de tener una bola de cristal con la cual realizar predicciones de lo
que depara a las empresas, pero ello no resulta óbice para no poder señalar de una forma
sucinta el enfoque que deberán tomar las empresas a futuro.
Pero para intentar prever, o cuanto menos, planificar el futuro, primero debe realizarse una
visualización del estado presente de la situación y el estado presente de la situación se puede
resumir en una doble realidad: la deseada y la real.
La realidad deseada y en la que están enfocados todos los esfuerzos en señalar que se hace
un gran trabajo de compliance penal para hacer frente a los retos digitales que una realidad
cambiante acelerada como la actual ocasiona, pero la realidad real (permítase nuevamente
la redundancia) es que a pesar de los ciertos esfuerzos que están realizando muchas empresas
y de la gran "publicidad" que hay al respecto de todo ello la verdad es que aún queda mucho,
muchísimo trabajo por realizar.
Y es esta realidad actual en la que existe un pequeño núcleo de empresas bien preparado,
pero donde la gran parte de las empresas que conforman en realidad el tejido empresarial
del país aún tienen un gran camino por realizar donde debe dirigirse el futuro de la cuestión.
El futuro de la cuestión pasa por desarrollar, desplegar y consolidar todos los esfuerzos
relacionados con el asunto y conseguir que se conviertan más en una realidad práctica en el
día a día de cualquier empresa que no una ilusión teórica deseable para el gran conjunto de
ellas.
Adicionalmente, una buena exposición de lo que suponen los programas de compliance en la
realidad se puede encontrar en las siguientes palabras:

21. "...Los términos mencionados de Compliance Programs, Risk Management, Value
Management y Corporate Governance, así como Business ethics, Integrity Codes, Codes of
Conduct y Corporate Social Responsibility describen nuevos conceptos de dirección
empresarial. Todos ellos definen, acentuando de manera diferente, determinados objetivos y
procedimientos de management. No obstante, ni se puede diferenciar entre ellos de manera
precisa, ni tampoco es posible definirlos claramente.
Si uno analiza el contenido de estos conceptos, observa que apuntan en primer lugar a la
orientación de la dirección empresarial en determinados objetivos y valores. Esto es resaltado
sobre todo por el concepto Business Ethics, que describe la realización de valores que van
muchas veces por encima de las exigencias establecidas legalmente. Un contenido similar
tiene también el concepto Integrity Codes, que insinúa igualmente un amplio espectro de
objetivos. Por su parte, el concepto Corporate Social Responsibility se refiere incluso a un
ámbito de la responsabilidad empresarial, que incluye la realización de tareas sociales.
Estos conceptos no apuntan solo a valores sino incluso de manera más fuerte a
procedimientos para su protección o para el cumplimiento de exigencias legales: los Codes of
Conduct constituyen pautas generales de conducta. La fórmula, de difícil traducción,
Compliance Programs (de manera literal programa de cumplimiento o programa de respeto
de reglas) abarca procedimientos para el respeto de objetivos trazados (sobre todo legales,
pero también éticos o de otro tipo).
En este sentido, en Alemania dicho concepto se ha hecho conocido sobre todo en relación con
los departamentos de compliance de instituciones crediticias, en el marco de la lucha contra
el lavado de dinero. El término Value Management, yendo más allá de las exigencias legales,
se refiere a la protección organizativa de todos los valores materiales e inmateriales de la

22. empresa. El concepto “Corporate Governance” (literalmente, “dirección de la empresa”) es
referido en parte, en un sentido amplio, a cualquier forma de dirección de la empresa, pero
frecuentemente, en un sentido más estricto, es empleado sólo para describir la estructura
organizativa de empresas, tal como exige el Deutsche Corporate Governance Kodex (Código
alemán de dirección de las empresas), sobre todo en relación con la transparencia de la
estructura de las sociedades anónimas"12
.
Y siempre teniendo presente que la mejor propuesta de presente y de futuro que se puede
mencionar es la que señala la necesidad de trabajar para que el sistema de compliance sea
eficaz, una eficacia necesaria que queda definida en las siguientes líneas:
"...Valoración especial que los modelos de organización y control establezcan altos estándares
éticos en la contratación y promoción de directivos y empleados y su aplicación en el caso
concreto. Toda vez que la mejor vía de prevención es la adecuada selección de directivos y
empleados.
Valoración de las circunstancias concretas del caso. Tales como la gravedad de la conducta
delictiva, su extensión en la corporación, el alto número de empleados implicados, la baja
intensidad del fraude empleado para eludir el modelo o la frecuencia y duración de la actividad
criminal.
Valoración del comportamiento de la corporación en relación con anteriores conductas, que
podrá acreditar que el modelo ha funcionado eficazmente en anteriores ocasiones, o que ha
actuado con firmeza ante vulneraciones precedentes.
12
El derecho penal económico de la era compliance, por Luis Arroyo Zapatero y Adán Nieto Martín. Editorial
Tirant lo Blanch. Valencia, 2013. I.S.B.N.: 978-84-9033-575-8
http://blog.uclm.es/cienciaspenales/files/2017/06/derecho_compliance-compressed.pdf

23. Valoración de la existencia de anteriores procedimientos penales o en trámite y sanciones en
vía administrativa (infracciones medioambientales, contra la Hacienda Pública o la Seguridad
Social, en materia de prevención del blanqueo, de ordenación y disciplina del mercado de
valores…).
Valoración de la concreta actuación tras la comisión del delito (adopción de medidas
disciplinarias contra los autores, inmediata revisión del programa…) indicando que la
denuncia del ilícito detectado por la propia entidad, la restitución o reparación inmediata del
daño, y la colaboración activa con la investigación además poder operar como atenuantes,
expresamente previstas como tales en el art. 31 quater, revelan el nivel de compromiso ético
de la sociedad y pueden permitir llegar a la exención de la pena. Operarán en sentido contrario
el retraso en la denuncia de la conducta delictiva o su ocultación y la actitud obstructiva o no
colaboradora con la justicia..."13
.
La necesaria efectividad de los sistemas de compliance demuestra que en el asunto que aquí
se trata nos encontramos ante una realidad vida, evolutiva y constante. No nos encontramos
ante unos sistemas cerrados que tienen una meta, son sistemas abiertos que persiguen un
desarrollo y que deben asegurar una actualización y adaptación constante, no estática.
13
Circular 1/2016, de la FGE, sobre la responsabilidad penal de las personas jurídicas tras la reforma del Código
Penal efectuada por Ley Orgánica 1/2015.
http://noticias.juridicas.com/actualidad/noticias/10810-circular-1-2016-de-la-fge-sobre-la-responsabilidad-
penal-de-las-personas-juridicas-tras-la-reforma-del-codigo-penal/

24. 4- CONCLUSIONES
A modo de conclusiones puede decirse que la realidad actual a la que se enfrentan las
empresas ha venido para quedarse, por ello saber hacer frente a esta realidad de una forma
cada vez más eficiente resulta vital para el desarrollo y la competitividad de cualquier
empresa.
El núcleo de su asunto son las implicaciones legales que para una empresa puede tener la
cuestión y la base de la cuestión tiene que ser el buen "muro de contención" que se logre con
un buen compliance legal en general y un buen compliance penal en particular, pero con ello
no bastará.
Con ello no será suficiente debido a que se debe trabajar, ya no tan sólo desde una vertiente
meramente legalista, también se debe trabajar desde una vertiente de cambiar el enfoque
cultural, formativo a nivel tecnológico y muchos otros aspectos más que una empresa no debe
descuidar.
Y todo ello siempre teniendo presente que, aunque pueda parecer que gran parte de lo aquí
expuesto está destinado a las grandes empresas, en realidad para nada es así, pues todas las
empresas, incluso las más pequeñas y unipersonales pueden ser sujetas de la responsabilidad
penal establecida. Un buen ejemplo se encuentra en la siguiente sentencia:
"...La cuestión resulta además complicada por el hecho de que la entidad en cuestión, no tiene
en puridad una estructura corporativa compleja. Se trata de una sociedad unipersonal, en la
que existe una Administradora única, precisamente la acusada Dª. Inés. Se nos plantean aquí
varias cuestiones, de orden procesal algunas, como la efectiva imputación de la entidad, y de

25. orden sustantivo otras, como la vigencia del principio non bis in ídem, cuando se trata de
sancionar a entidades unipersonales por conductas de su único socio.
...
Así en orden a la naturaleza del delito, el Alto Tribunal parece decantarse por un sistema de
heterorresponsabilidad. Es decir, que el artículo 31 bis hace responder a la persona jurídica
por un hecho propio que se basa en dos circunstancias: " la previa constatación de la comisión
del delito por parte de la persona física integrante de la organización como presupuesto inicial
de la referida responsabilidad, en la exigencia del establecimiento y correcta aplicación de
medidas de control eficaces que prevengan e intenten evitar, en lo posible, la comisión de
infracciones delictivas por quienes integran la organización... "14
.
Por todo lo anterior, nadie está exento del debido cumplimiento normativo y el asunto aquí
tratado resulta de interés para todos los ámbitos, escalas y niveles.
14
Sentencia SJP 19/2017. Juzgado de lo Penal Nº 8 de Madrid.
http://www.poderjudicial.es/search/contenidos.action?action=contentpdf&databasematch=AN&reference=7
979966&links=sociedad%20unipersonal&optimize=20170403&publicinterface=true