El compliance o cumplimiento normativo es el conjunto de procesos, políticas y controles mediante los cuales una organización asegura que sus actividades respetan las leyes aplicables, las normas sectoriales y sus propios códigos internos de conducta. No es un departamento que dice «no», sino una función de gestión del riesgo: identifica las obligaciones a las que la empresa está sujeta, evalúa la probabilidad y el impacto de incumplirlas, y diseña los controles que mantienen ese riesgo dentro de un nivel aceptable. En España el compliance dejó de ser una buena práctica voluntaria para convertirse en una necesidad jurídica a raíz de la reforma del Código Penal que introdujo la responsabilidad penal de las personas jurídicas.
El marco penal: responsabilidad de la persona jurídica y el programa eximente
La Ley Orgánica 5/2010 introdujo en España el artículo 31 bis del Código Penal, que permite imputar penalmente a la empresa por delitos cometidos en su nombre y beneficio. La reforma de la Ley Orgánica 1/2015 precisó la pieza clave: una organización puede quedar exenta de responsabilidad si demuestra que había implantado, antes de la comisión del delito, un modelo de organización y gestión eficaz para prevenirlo. Ese modelo —el programa de compliance penal— debe reunir los requisitos del artículo 31 bis: identificar las actividades de riesgo, establecer protocolos de decisión, gestionar recursos financieros para prevenir delitos, imponer la obligación de informar de riesgos, prever un sistema disciplinario y, de forma destacada, contar con un órgano de supervisión autónomo (el compliance officer) con poderes propios.
La Circular 1/2016 de la Fiscalía General del Estado y la jurisprudencia del Tribunal Supremo han subrayado que el programa no vale como mero documento: ha de ser real, vivo y supervisado. Un manual archivado que nadie aplica no exime; al contrario, puede agravar la posición de la empresa al evidenciar que conocía el riesgo y no actuó. El estándar internacional de referencia para estructurar esta función es la norma ISO 37301 (sistemas de gestión de compliance), que sustituyó a la ISO 19600, complementada por la ISO 37001 específica de sistemas antisoborno. En España existe además la norma UNE 19601 sobre sistemas de gestión de compliance penal, certificable y muy valorada como evidencia de diligencia.
Los pilares del programa: del mapa de riesgos al canal de denuncias
Un programa de compliance se construye sobre un análisis riguroso. El primer pilar es el mapa de riesgos: un inventario de los riesgos legales y de conducta a los que se expone la organización por su sector, su tamaño y su geografía, evaluados por probabilidad e impacto. De ese mapa se derivan los controles y las políticas: código ético, política anticorrupción, política de regalos e invitaciones, prevención del blanqueo de capitales cuando aplica, y procedimientos específicos por área de riesgo. El tercer pilar es la formación y comunicación: las políticas solo previenen si los empleados las conocen y entienden, lo que exige formación periódica y registrada.
| Componente | Función | Evidencia de eficacia |
|---|---|---|
| Mapa de riesgos | Identificar y priorizar riesgos legales | Documento revisado periódicamente |
| Compliance officer / órgano | Supervisar el modelo con autonomía | Recursos, independencia y reporte al órgano de gobierno |
| Políticas y controles | Prevenir conductas de riesgo | Código ético firmado, controles operativos |
| Canal de denuncias | Detectar incumplimientos a tiempo | Canal confidencial y protección al informante |
| Formación y registro | Difundir y acreditar conocimiento | Asistencia y evaluaciones documentadas |
| Auditoría y revisión | Verificar y mejorar el sistema | Informes de auditoría interna y planes de acción |
El cuarto pilar, que ha cobrado fuerza legal propia, es el canal de denuncias o canal interno de información. La Directiva (UE) 2019/1937 de protección del denunciante, traspuesta en España por la Ley 2/2023, obliga a las empresas de 50 o más empleados a disponer de un canal interno confidencial, con plazos de respuesta tasados, garantías de no represalia y la designación de un responsable del sistema. El incumplimiento de esta obligación es sancionable de forma autónoma, con independencia del fondo de las denuncias.
Privacidad de datos: el compliance del RGPD
Una de las áreas de cumplimiento con mayor exposición sancionadora es la protección de datos. El RGPD y la Ley Orgánica 3/2018 (LOPDGDD) imponen un modelo de responsabilidad proactiva (accountability): no basta con cumplir, hay que poder demostrarlo. Esto se traduce en obligaciones concretas como el registro de actividades de tratamiento, la evaluación de impacto (EIPD) en tratamientos de alto riesgo, la notificación de brechas a la autoridad en 72 horas, y la designación de un Delegado de Protección de Datos (DPO) cuando procede. Las sanciones del RGPD alcanzan hasta el 4 % de la facturación anual mundial, lo que sitúa la privacidad en la primera línea del mapa de riesgos de cualquier organización que trate datos personales a escala.
El compliance de privacidad se integra con el resto del programa: el DPO y el compliance officer comparten metodología de riesgos y, a menudo, el mismo canal de denuncias para incidentes. La documentación de la AEPD ofrece guías prácticas sobre cómo articular estas obligaciones. En entornos con sistemas de inteligencia artificial, el horizonte regulatorio incluye además el AI Act europeo, que añade obligaciones de gobernanza a determinados usos.
Auditoría interna y mejora continua
Un programa de compliance no es estático. La auditoría interna periódica verifica que los controles existen, funcionan y son eficaces, e identifica desviaciones antes de que se conviertan en incumplimientos. El ciclo PDCA (Planificar, Hacer, Verificar, Actuar) que estructura las normas ISO de gestión aplica aquí íntegramente: el mapa de riesgos se revisa cuando cambia la normativa o el negocio, los controles se ajustan según los hallazgos de auditoría, y el órgano de gobierno recibe un reporte que cierra el bucle de responsabilidad. La eficacia del programa se mide con indicadores: denuncias recibidas y gestionadas en plazo, formación completada, incidencias detectadas por controles internos frente a externos, y tiempo de cierre de planes de acción.
Compliance de terceros: la cadena de suministro como riesgo propio
Uno de los frentes donde más empresas tropiezan es el riesgo que entra por la puerta de los proveedores, distribuidores y socios. La responsabilidad penal y reputacional no se detiene en los límites de la organización: si un intermediario paga un soborno en nombre de la empresa, o un proveedor incumple la normativa laboral o ambiental, la exposición alcanza a la matriz. Por eso un programa maduro incorpora la due diligence de terceros: un proceso de conocimiento del socio (KYC, know your counterparty) proporcional al riesgo de cada relación, que verifica su titularidad real, su solvencia, sus antecedentes y su propio nivel de cumplimiento antes de contratar.
Esta diligencia se gradúa por riesgo. Un proveedor de material de oficina en territorio nacional exige una comprobación básica; un agente comercial que opera en una jurisdicción con alto índice de corrupción para conseguir contratos públicos exige una verificación reforzada, cláusulas contractuales anticorrupción y derecho de auditoría. La norma ISO 37001 antisoborno dedica atención específica a estos controles sobre socios de negocio, y la directiva europea sobre diligencia debida en materia de sostenibilidad empresarial (CSDDD) extiende a las grandes empresas obligaciones de vigilancia sobre los derechos humanos y el medio ambiente a lo largo de su cadena de actividad.
El compliance de terceros se conecta con el mapa de riesgos y con el canal de denuncias: las alertas sobre conductas de un proveedor deben poder canalizarse y gestionarse igual que las internas. Documentar esta diligencia —qué se verificó, cuándo y con qué resultado— es, de nuevo, la evidencia que sostiene la posición de la empresa si un tercero comete una irregularidad pese a los controles establecidos. Sin ese rastro documental, la organización queda expuesta a responder por una conducta que no pudo prevenir ni demostrar haber intentado prevenir.
Errores comunes en la implantación del compliance
- El programa de cartón. Un manual elaborado y archivado que nadie aplica no exime de responsabilidad; puede agravarla al probar que el riesgo era conocido.
- Compliance officer sin autonomía ni recursos. Si el órgano de supervisión depende de quien debe vigilar o carece de medios, el modelo no cumple el artículo 31 bis.
- Canal de denuncias sin garantías. Un buzón sin confidencialidad ni protección frente a represalias disuade el uso y vulnera la Ley 2/2023.
- Copiar políticas genéricas. Un código ético descargado de internet, sin mapa de riesgos propio, no refleja las actividades reales de riesgo de la empresa.
- No revisar el modelo. Un programa que no se actualiza ante cambios normativos o de negocio queda obsoleto y pierde su valor eximente.
Preguntas frecuentes
¿El compliance es obligatorio para todas las empresas? El modelo de prevención penal no es formalmente obligatorio, pero sin él la empresa pierde la posibilidad de eximirse de responsabilidad penal. El canal de denuncias sí es obligatorio desde 50 empleados, y las obligaciones del RGPD aplican a quien trate datos personales.
¿Qué diferencia hay entre compliance y auditoría? El compliance diseña y opera los controles que previenen incumplimientos; la auditoría interna verifica de forma independiente que esos controles existen y funcionan. Son funciones complementarias y separadas.
¿Sirve certificarse en UNE 19601 o ISO 37301? La certificación no exime automáticamente, pero constituye evidencia sólida de diligencia ante un juez o una autoridad, al acreditar que un tercero verificó el sistema conforme a un estándar reconocido.
¿Puede el mismo profesional ser DPO y compliance officer? Es posible en organizaciones pequeñas, pero debe valorarse el conflicto de interés y la carga de trabajo. Ambas funciones requieren autonomía y especialización propias.
Conclusión: el compliance se prueba con hechos, no con manuales
La lección que la jurisprudencia española ha repetido desde 2015 es inequívoca: el valor de un programa de compliance no reside en el grosor de sus manuales, sino en la evidencia de que funciona. Un modelo eficaz se reconoce porque el mapa de riesgos está actualizado, el compliance officer tiene autonomía y recursos reales, el canal de denuncias se usa y protege a quien informa, la formación deja rastro documental y la auditoría interna detecta los problemas antes que el inspector. Cuando todo ello existe y se mantiene vivo, el programa cumple su doble función: previene de verdad los delitos y, llegado el caso, sostiene ante un tribunal que la organización actuó con diligencia. Lo contrario —un dosier impecable sin práctica detrás— no solo no exime, sino que delata. En Summum Consultoría implantamos sistemas de compliance conforme a UNE 19601 e ISO 37301, integrados con la protección de datos y el canal de denuncias de la Ley 2/2023, diseñados para resistir la prueba que importa: la de los hechos.