La pregunta sobre l'obligatorietat del compliance penal a Espanya exigeix comprendre què significa exactament aquest concepte que ha irromput amb força en l'àmbit empresarial. El terme compliance, provinent del verb anglès "to comply" (complir), designa el conjunt de procediments i bones pràctiques adoptats per les organitzacions per identificar i classificar els riscos operatius i legals als quals s'enfronten, establint mecanismes interns de prevenció, gestió, control i reacció. Quan parlem de compliance penal, ens referim a programes enfocats a la prevenció de delictes mitjançant la implantació de protocols, polítiques internes, codis ètics, canals de denúncies i sistemes de supervisió destinats a evitar que administradors, directius o empleats cometin delictes en nom o en benefici de l'empresa. Es tracta de crear una cultura corporativa de respecte a l'ordenament jurídic que minimitzi el risc de conductes delictives.

La qüestió nuclear rau a determinar si les empreses espanyoles estan obligades legalment a implantar aquests sistemes. La resposta no és categòrica: encara que formalment el Codi penal no imposa la seva implantació de manera expressa, la realitat pràctica i els riscos associats a la seva inexistència configuren una obligació de facto que cap empresari prudent hauria d'ignorar. L'origen d'aquesta situació es troba en la reforma del Codi penal operada per la Llei Orgànica 5/2010, posteriorment modificada per la Llei Orgànica 1/2015, que va introduir a l'article 31 bis la responsabilitat penal directa de les persones jurídiques. Des d'aquell moment, les empreses poden ser condemnades penalment per delictes comesos en el seu si, juntament amb o independentment de la persona física que els va executar materialment.

El catàleg de delictes pels quals una persona jurídica pot respondre penalment és tancat i abasta, entre d'altres, blanqueig de capitals, delictes contra la Hisenda Pública, suborn, corrupció entre particulars, estafes, delictes contra la propietat intel·lectual, delictes mediambientals, tràfic d'éssers humans, delictes informàtics i urbanístics. Les conseqüències són especialment greus: multes que poden assolir fins al quíntuple del benefici obtingut, dissolució de l'entitat, suspensió d'activitats fins a cinc anys, clausura de locals, prohibició d'activitats fins a quinze anys, inhabilitació per obtenir subvencions i contractar amb el sector públic, i intervenció judicial, conforme a l'article 33.7 del Codi penal.

L'article 31 bis no estableix l'obligació d'implantar un model de prevenció de delictes, però sí que el configura com l'única via per eximir o atenuar la responsabilitat penal quan es comet un delicte. L'empresa que disposi d'un programa de compliance eficaç, adoptat abans del delicte i que inclogui mesures idònies de vigilància i control, podrà quedar exempta si es compleixen condicions rigoroses, sempre que l'autor hagi eludit fraudulentament el model i no hagi existit omissió en la supervisió per part de l'òrgan de control. Aquestes condicions varien segons si el delicte ha estat comès per un alt directiu o per un empleat subordinat. En pimes, l'òrgan d'administració pot assumir directament la funció de compliment. És fonamental que el model s'hagi implantat abans del delicte; la seva implantació posterior únicament tindrà efecte atenuant.

La paradoxa del sistema espanyol resideix en aquesta configuració: el compliance penal no és formalment obligatori, però la seva absència impedeix qualsevol exempció de responsabilitat penal. Una empresa pot operar legalment sense ell, però si es comet un delicte del catàleg, mancarà de la principal via eximent i veurà agreujada la seva posició processal. Aquesta situació ha portat la doctrina i la jurisprudència a considerar que, en activitats amb risc penal rellevant, l'omissió d'un model proporcional pot constituir un incompliment del deure de diligència dels administradors conforme a la Llei de societats de capital.

No existeix una obligació sectorial general de compliance penal en l'ordenament espanyol. Sí que hi ha obligacions de control en marcs sectorials específics (prevenció del blanqueig de capitals, sector financer) i exigències contractuals derivades de plecs de contractació pública o requisits de proveïdors que el fan pràcticament imprescindible. L'article 31 bis, apartat 5, estableix els requisits: identificació i avaluació de riscos penals, protocols preventius, gestió de recursos financers, obligació d'informar de riscos, sistema disciplinari i verificació periòdica. L'acreditació documental mitjançant actes, registres de formació i investigacions internes resulta essencial.

L'estàndard tècnic de referència és la norma UNE 19601, publicada el 24 d'abril de 2025 en la seva versió actualitzada (versió anterior 2017), integrable amb la ISO 37301:2021 i la ISO 37001:2016. Introdueix millores en cultura de compliance, governança, formació i gestió de comunicacions. La Llei 2/2023 obliga les empreses de 50 a 249 treballadors a implantar canals interns de denúncia des de l'1 de desembre de 2023; per a empreses amb 250 o més treballadors, el termini va ser de tres mesos des de l'entrada en vigor.

En conclusió, tot i que el compliance penal no sigui obligatori de manera generalitzada, la seva absència exposa les organitzacions a riscos de tal magnitud que la seva implantació s'ha de considerar una exigència ineludible d'una gestió empresarial diligent i responsable.