El pasado 20 de noviembre Fide, celebró la sesión “Responsabilidad penal y grupos de sociedades” como parte del Foro “Retos de los Grupos de Sociedades”. Durante la sesión se abordaron distintas cuestiones relacionadas con la responsabilidad penal de las personas jurídicas, el cumplimiento normativo (en inglés, compliance) y las obligaciones de los grupos de sociedades en esta materia.
Intervinieron como ponentes José María Ayala de la Torre, socio director de Ayala de la Torre Abogados y Enrique Remón Peñalver, socio de Procesal y Arbitraje de CMS Albiñana & Suárez de Lezo. José María Rojí, socio de Corporate y M&A de CMS Albiñana & Suárez de Lezo, moderó la sesión.
El derecho penal económico ha evolucionado hacia el derecho penal de empresa tras una serie de reformas como la atribución de responsabilidad penal a las personas jurídicas, la modificación del delito de administración desleal, la tipificación de las insolvencias punibles y la aprobación de la Ley 2/2023, de Protección del denunciante. Esta evolución busca depurar responsabilidades dentro de las organizaciones y fomentar la cultura de cumplimiento mediante la incorporación de programas de compliance.
Los primeros documentos que marcaron esta transición fueron las Circulares de la Fiscalía General del Estado 1/2011, que opta por el modelo de responsabilidad de tipo vicarial (o “de transferencia”) y la 1/2016 (posterior a la reforma del Código Penal de 2015), que afirmaba que los modelos de organización y gestión no definen la culpabilidad de la empresa ni constituyen el fundamento de su imputación sino que los deberes de supervisión, vigilancia y control siguen atribuidos a las personas físicas que se mencionan en el art. 31 bis 1.a) del Código Penal.
La posición jurisprudencial del Tribunal Supremo sobre esta cuestión ha ido evolucionando a lo largo de los años:
- La STS 154/2016, de 29 de febrero afirma que el fundamento de la responsabilidad penal de la persona jurídica respecto de los actos delictivos cometidos por las personas físicas en el seno de aquella será la ausencia de las medidas de control adecuadas que eviten la comisión de delitos.
- La STS 221/2016, de 16 de marzo señaló que la carga de la prueba corresponde a la acusación, que debe realizar el mismo esfuerzo probatorio que en los delitos cometidos por personas físicas.
- La primera definición de programa de compliance del Tribunal Supremo se recoge en la STS 365/2018, de 18 de julio, que señala como sus elementos definitorios (i) que se trata de un conjunto de normas de carácter interno, (ii) que han sido establecidas en la empresa a iniciativa del órgano de administración, y (iii) con la finalidad de implantar en ella un modelo de organización y gestión eficaz e idóneo que les permita mitigar el riesgo de la comisión de delitos y exonerar a la empresa y, en su caso, al órgano de administración, de la responsabilidad penal de los delitos cometidos por sus directivos y empleados.
- La STS 894/2022, de 11 de noviembre confirma el sistema de autorresponsabilidad y de responsabilidad penal de la persona jurídica por comisión de un delito propio.
- Aunque es un caso excepcional al criterio aplicado por el Tribunal Supremo, la STS 298/2024, de 8 de abril señala el delito corporativo consiste en la omisión de medidas para impedir la comisión de delitos, estableciendo requisitos para imputar responsabilidad y trasladando la carga probatoria a la defensa.
- Por otro lado, en la STS 372/2025, de 11 de abril se afirma que “la culpabilidad solo puede ser proclamada por el hecho propio, en el presente caso, por la falta de unos planes de prevención o cumplimiento que eviten el riesgo”. En la misma línea, la STS 768/2025, de 25 de septiembre y la STS 836/2025, de 14 de octubre, reafirman como núcleo de la responsabilidad de la persona jurídica la ausencia de las medidas de control adecuadas (lo que confirma la STS 298/2024, de 8 de abril como un caso aislado).
El programa de compliance debe adaptarse a cada empresa, ser claro, preciso y eficaz, y complementarse con medidas específicas (mapa de riesgos, código ético, auditorías, protocolos, certificaciones) para acreditar que el riesgo se mantiene dentro de lo permitido. De este modo, si el programa es eficaz, la responsabilidad recae en la persona física que elude el control y no en la persona jurídica. La clave está en destinar recursos, ya que la inversión en compliance refleja la cultura de cumplimiento y refuerza la protección del informante. En relación con esto, las investigaciones internas son esenciales (preventivas, confirmatorias, defensivas y reactivas), deben proteger al informante y garantizar confidencialidad, reforzada por la intervención de abogados (Auto del Tribunal Supremo 391/2021, de 13 de mayo).
En los grupos de sociedades es habitual que exista una política general que establezca los principios generales en materia de prevención de delitos. A este respecto, se recomienda que en los grupos de sociedades haya sistemas internos diferenciados para cada sociedad, evitando los órganos unipersonales y estableciendo un sistema de reporte al consejo de cada filial, singularizando los controles (aunque exista una política general de la matriz). En definitiva, si el delito se comete en el ámbito de la filial, por su empleado o directivo, y en su beneficio, no debe imputarse a la matriz. Es fundamental que en las estructuras societarias complejas haya una separación total entre la matriz y sus filiales, de modo que cada una tenga su política, su código ético, su sistema de prevención de delitos, sus informes internos y externos, certificaciones, etc. Asimismo, conviene que cada una cuente con su propio órgano de cumplimiento, siendo aconsejable que (i) sea colegiado, (ii) cuente con miembros externos independientes y (iii) reporte al órgano de administración de la matriz o de la filial, respectivamente, a través de la correspondiente comisión de auditoría.
Según la jurisprudencia (STS 747/2022, de 27 de julio y STS 1073/2024, de 26 de noviembre) se prohíbe la condena simultánea a personas jurídicas y a personas físicas en sociedades unipersonales por un mismo hecho, criterio aplicable a matrices y filiales: se sigue la misma lógica que en las sociedades unipersonales dado que el 100% del capital de la filial pertenece a la matriz.
No existe una definición normativa sobre la responsabilidad del administrador por no implementar correctamente programas de compliance. Así, no se establecen obligaciones ni sanciones concretas, salvo la excepción recogida en la Ley 2/2023, que exige un canal de denuncias en empresas con más de 50 trabajadores. Las reformas de 2013 y 2023 intentaron tipificar la falta de medidas como delito, incorporándose con la última reforma determinados elementos obligatorios que pueden determinar la responsabilidad del administrador. El deber de diligencia del artículo 227 del texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto legislativo 1/2010, de 2 de julio (“LSC”), implica adoptar medidas de cuidado, dentro de las que se considera integrado el programa de compliance. También se debate si la omisión por parte del órgano de administración de adoptar medidas de cuidado relacionadas con el compliance puede calificarse como delito de administración desleal (artículo 253 del Código Penal) o de comisión por omisión (artículo 11 del Código Penal), aunque no existe jurisprudencia que lo confirme. No obstante, si concurre obligación legal o contractual y la omisión genera un riesgo podría derivar en responsabilidad penal, aunque la doctrina mayoritaria lo rechaza. La función del administrador es estratégica y de control de riesgos, no de microgestión, lo que amplía su deber y su responsabilidad.
A continuación se mencionaron varios ejemplos: (i) el Anteproyecto de ley orgánica por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, de 2013 contemplaba el delito por omisión, pero luego fue eliminado y hoy, la falta de canal de denuncias genera un riesgo; (ii) el artículo 130.2 del Código Penal prevé que las modificaciones estructurales no extinguen la responsabilidad penal, salvo disolución de la sociedad (en estos casos, la adquirente solo responde cuando ha participado en el delito de la sociedad absorbida, comprada o fusionada), lo que refuerza la necesidad de realizar una due diligence completa en los procesos de adquisición o modificación estructural de sociedades; (iii) autos y sentencias (STS 109/2020, de 11 de marzo) confirman que las absorciones aparentes no eliminan la responsabilidad, lo que refuerza la importancia de la due diligence. Además, al riesgo económico se añade el reputacional.
La creación de la Autoridad Independiente de Protección del Informante (AIPI) genera dudas sobre su independencia a efectos del artículo 267 del Tratado de Funcionamiento de la Unión Europea y como órgano legitimado para plantear cuestiones prejudiciales ante el Tribunal de Justicia de la Unión Europea, dado que el nombramiento y el cese de su Presidente se aprueba por Real Decreto a propuesta del Ministerio de Justicia de conformidad con el artículo 53.2 de la Ley 2/2023. Sus funciones incluyen fomentar la cultura de la información (artículo 43.5 Ley 2/2023) y notificar el nombramiento y cese del responsable interno (artículo 8).
Se destacó la importancia de admitir denuncias anónimas y de otorgarles validez para proteger al informante frente a represalias, considerando el modelo equilibrado y que debería extenderse a otros sectores mediante normativa específica, siguiendo ejemplos internacionales.
Respecto a la responsabilidad penal de la persona jurídica y grupos empresariales, se incidió en que incluso en caso de absolución en un proceso penal existe riesgo de sufrir consecuencias económicas y reputacionales.
En relación con todo ello, se planteó una serie de propuestas de mejora:
- La conveniencia de realizar “auditorías públicas” (por la AIPI o entidades de derecho público, como la Cámara de Comercio de España) de los sistemas de prevención de delito que permitan certificar su idoneidad. Así, se podría facilitar la pronta exoneración de responsabilidad de la persona jurídica en fase de instrucción, reduciendo el daño reputacional que implica estar incurso en procedimientos penales.
- La atribución a la Fiscalía del monopolio de la acción penal en los procesos en relación con la persona jurídica.
- La elaboración por la Fiscalía de guías donde aparezcan los requisitos que deba tener un Programa de Prevención de Delitos (PPD) para ser eficaz y donde, a través de los casos aprendidos, pueda fijar requisitos relativos a la colaboración de las empresas con Fiscalía para que esta, a cambio, se comprometa a no acusar.
- Guías y circulares de la AIPI con igual fin.
- Incorporación del modelo de Estados Unidos relativo a acuerdos con Fiscalía: declination letter, NPA (non-prosecution agreement), DPA (data processing agreement) y plea guilty (sistema que ha sido incorporado al derecho francés).
Finalmente, se planteó la posible creación de un Libro Blanco sobre cumplimiento penal empresarial con carácter general, que determine los elementos para evaluar la eficacia del sistema de compliance y que recoja las mejores prácticas en materia de cumplimiento.
Resumen elaborado para Fide por Blanca Souviron López-Pinto, Trainee en ECIJA
