El compliance ya no es territorio exclusivo de las grandes corporaciones. Desde 2015, la reforma del Código Penal español introdujo la responsabilidad penal de las personas jurídicas, y desde entonces el ecosistema normativo que rodea a las empresas no ha parado de crecer. En 2026, una pyme de tamaño medio debe gestionar simultáneamente obligaciones derivadas de al menos seis marcos regulatorios distintos: protección de datos, ciberseguridad, prevención del blanqueo de capitales, igualdad, canal de denuncias y, en función del sector, normativa sectorial específica. Ignorar alguno de ellos no es una opción: las sanciones administrativas pueden superar los cientos de miles de euros y, en algunos casos, alcanzar la responsabilidad penal del administrador.
Este checklist no pretende sustituir el análisis jurídico personalizado —cada empresa tiene su propio perfil de riesgo—, sino darte un mapa de situación con el que identificar qué bloques son obligatorios para tu empresa, cuáles aplican según tu tamaño o sector, y cuáles conviene anticipar aunque todavía no sean exigibles. Al final encontrarás una tabla resumen con umbrales de aplicación y plazos.
Bloque 1: Compliance penal (programa de prevención de delitos)
El artículo 31 bis del Código Penal (Ley Orgánica 1/2015, de 30 de marzo) establece que las personas jurídicas son penalmente responsables de los delitos cometidos en su nombre o por su cuenta por sus representantes legales, administradores o empleados. La exención o atenuación de esa responsabilidad requiere haber adoptado y ejecutado con eficacia, antes de la comisión del delito, un modelo de organización y gestión que incluya medidas de vigilancia y control.
La Circular 1/2016 de la Fiscalía General del Estado delimita qué debe contener ese modelo para ser considerado idóneo por un tribunal. Los elementos mínimos son:
- Identificación de actividades de riesgo delictivo (mapa de riesgos penales).
- Protocolos y procedimientos específicos de prevención.
- Recursos financieros suficientes para aplicar el modelo.
- Imposición de obligaciones de información sobre posibles riesgos e incumplimientos al órgano de vigilancia.
- Sistema disciplinario que sancione el incumplimiento de las medidas.
- Verificación periódica del modelo y su actualización.
No existe un umbral legal de plantilla o facturación que exima a una empresa de la responsabilidad penal. Sin embargo, el artículo 31 bis.3 CP prevé un régimen simplificado para personas jurídicas de pequeñas dimensiones, en las que las funciones de supervisión pueden recaer directamente en el órgano de administración. En la práctica, nuestro equipo recomienda un programa de compliance penal estructurado para cualquier empresa a partir de 10 empleados o con actividad en sectores de riesgo elevado (construcción, transporte, alimentación, servicios financieros).
Bloque 2: Protección de datos (RGPD + LOPDGDD)
El Reglamento (UE) 2016/679 (RGPD) es de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018. En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta y complementa el reglamento europeo.
Las obligaciones básicas que afectan a cualquier empresa que trate datos de personas físicas son:
- Registro de actividades de tratamiento (RAT): obligatorio para todos los responsables y encargados (art. 30 RGPD). Exención parcial para empresas de menos de 250 empleados que no traten categorías especiales ni datos de condenas penales de forma habitual, pero en la práctica casi todas las pymes superan alguno de esos umbrales.
- Base jurídica para cada tratamiento: consentimiento, contrato, obligación legal, interés legítimo u otras bases del art. 6 RGPD. Documentarlas es obligatorio.
- Cláusulas informativas en formularios, contratos y políticas de privacidad.
- Contratos con encargados del tratamiento (art. 28 RGPD): con cada proveedor que acceda a datos personales (gestoría, nube, CRM, email marketing, etc.).
- Procedimiento de notificación de brechas a la AEPD en 72 horas (art. 33 RGPD).
- Delegado de Protección de Datos (DPO) obligatorio en determinados supuestos (art. 37 RGPD y art. 34 LOPDGDD): autoridades públicas, tratamiento a gran escala de categorías especiales, o monitorización sistemática a gran escala.
La AEPD publicó en 2024 una actualización de su guía de análisis de riesgos orientada específicamente a pymes. Las sanciones pueden alcanzar 20 millones de euros o el 4 % del volumen de negocio anual global, aplicándose la cuantía que resulte más elevada.
Bloque 3: Canal de denuncias (Ley 2/2023)
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (transposición de la Directiva UE 2019/1937, conocida como Directiva Whistleblowing), establece la obligación de disponer de un canal de denuncias interno.
Los umbrales de aplicación son:
- Obligatorio desde la entrada en vigor (13 de junio de 2023) para empresas con 250 o más trabajadores.
- Obligatorio desde el 1 de diciembre de 2023 para empresas con 50 a 249 trabajadores.
- Voluntario pero recomendable para empresas con menos de 50 trabajadores, salvo que operen en el sector financiero, en cuyo caso la obligación puede derivar de normativa sectorial (p. ej., la Directiva DORA para entidades financieras).
El canal debe garantizar confidencialidad, acuse de recibo en 7 días, respuesta en 3 meses e independencia del responsable del sistema. La Autoridad Independiente de Protección del Informante (A-I) supervisa el cumplimiento. Las sanciones por incumplimiento oscilan entre 1.001 y 1.000.000 euros según el artículo 64 de la ley.
Bloque 4: Ciberseguridad (NIS2 / RD 43/2021)
La Directiva (UE) 2022/2555, conocida como NIS2, amplía significativamente el ámbito de aplicación de la anterior Directiva NIS. En España, la trasposición está en curso mediante proyecto de ley que a la fecha de este artículo (abril de 2026) se encuentra en tramitación parlamentaria, aunque el marco de referencia del Real Decreto 43/2021 sigue vigente para operadores de servicios esenciales y proveedores de servicios digitales.
NIS2 incorpora dos categorías de entidades obligadas:
- Entidades esenciales: energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable, aguas residuales, infraestructura digital, administración pública y espacio. Por encima de 250 empleados o 50 millones de euros de facturación anual.
- Entidades importantes: servicios postales, gestión de residuos, fabricación de productos críticos, productos químicos, alimentación, fabricación en general, proveedores digitales y de servicios de investigación. Entre 50 y 250 empleados o entre 10 y 50 millones de euros.
Las obligaciones incluyen políticas de seguridad de sistemas de información, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro y uso de criptografía. Las sanciones para entidades esenciales pueden llegar al 2 % del volumen de negocio anual global o a 10 millones de euros.
Bloque 5: Prevención del blanqueo de capitales (PBC/FT)
La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (modificada sucesivamente, la última vez por la Ley 4/2022) y su Reglamento (RD 304/2014) establecen un régimen de diligencia debida para los denominados sujetos obligados. No afecta a todas las empresas, sino exclusivamente a determinadas actividades:
- Entidades financieras (bancos, aseguradoras, gestoras).
- Notarios, registradores, abogados y auditores que intervengan en determinadas operaciones.
- Promotores inmobiliarios y agentes de la propiedad inmobiliaria.
- Joyerías, casas de subastas y galerías de arte (a partir de 10.000 euros en efectivo).
- Establecimientos de cambio de moneda y empresas de transferencia de fondos.
- Operadores de juegos de azar.
- Gestores de activos virtuales (criptomonedas): obligación reforzada desde la trasposición de la 5ª AMLD.
Si tu empresa es sujeto obligado, debes contar con: manual de PBC, oficial de cumplimiento designado, política de aceptación de clientes, procedimientos de diligencia debida (básica, simplificada y reforzada), formación continua del personal y comunicación de operaciones sospechosas al SEPBLAC.
Bloque 6: Igualdad y registro retributivo (obligaciones laborales)
El Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres, exige a todas las empresas (sin umbral mínimo de plantilla) disponer de un registro retributivo de toda su plantilla, desagregado por sexo y categoría profesional, con referencia a la brecha salarial.
Adicionalmente, el Real Decreto 901/2020 regula los planes de igualdad. La obligación de negociar y registrar un plan de igualdad aplica a:
- Empresas de 50 o más trabajadores (umbral vigente desde el 7 de marzo de 2022).
- Empresas de cualquier tamaño cuando así lo establezca el convenio colectivo aplicable.
- Empresas sancionadas por discriminación sexual, cuando la autoridad laboral lo imponga.
El plan debe registrarse en el Registro de Planes de Igualdad (REGCON) del MITES. El incumplimiento puede generar sanciones de hasta 225.018 euros por infracción muy grave según la LISOS (RDL 5/2000).
Bloque 7: ESG y sostenibilidad (CSRD para la cadena de valor)
La Directiva (UE) 2022/2464, conocida como CSRD (Corporate Sustainability Reporting Directive), obliga a publicar informes de sostenibilidad bajo los estándares ESRS. Las fechas de aplicación directa son:
- Ejercicio 2024: grandes empresas ya sujetas a NFRD (más de 500 empleados).
- Ejercicio 2025: grandes empresas nuevas (más de 250 empleados o 25 millones de activos o 50 millones de cifra de negocios).
- Ejercicio 2026: pymes cotizadas (con estándar simplificado VSME).
Sin embargo, las pymes que no cotizan y quedan fuera del ámbito directo de la CSRD se ven afectadas indirectamente a través de la cadena de suministro: sus clientes grandes les trasladarán cuestionarios ESG como condición de homologación como proveedor. Anticiparse con una declaración de sostenibilidad voluntaria basada en el estándar VSME (publicado por EFRAG en diciembre de 2024) es una ventaja competitiva real en licitaciones y concursos de proveedores.
Bloque 8: AI Act (aplicación gradual 2024-2026)
El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024 con un calendario de aplicación gradual:
- 2 de febrero de 2025: prohibición de prácticas de IA inaceptables (manipulación subliminal, puntuación social por el sector público, etc.).
- 2 de agosto de 2025: aplicación de las obligaciones de gobernanza y modelos de IA de propósito general (GPAI).
- 2 de agosto de 2026: plena aplicación para sistemas de IA de alto riesgo (Anexo III).
Para la mayoría de las pymes, la obligación inmediata es clasificar los sistemas de IA que utilizan o despliegan según el Anexo III del reglamento y verificar si son de alto riesgo. Si una pyme emplea herramientas de IA para la toma de decisiones sobre recursos humanos (selección, evaluación del rendimiento), concesión de créditos, acceso a servicios esenciales o componentes de infraestructuras críticas, probablemente está ante un sistema de alto riesgo con obligaciones de transparencia, documentación técnica, registro y supervisión humana.
Tabla resumen: umbrales y plazos de compliance 2026
| Bloque normativo | Norma principal | Umbral de aplicación | Sanción máxima | Estado en 2026 |
|---|---|---|---|---|
| Compliance penal | Código Penal art. 31 bis (LO 1/2015) | Todas las personas jurídicas | Disolución / multa hasta el quíntuplo del beneficio | Vigente |
| RGPD / LOPDGDD | Reglamento (UE) 2016/679 + LO 3/2018 | Toda empresa que trate datos personales | 20 M€ o 4 % volumen negocio global | Vigente |
| Canal de denuncias | Ley 2/2023 | ≥ 50 trabajadores (desde dic. 2023) | Hasta 1.000.000 € | Vigente |
| NIS2 / Ciberseguridad | Directiva (UE) 2022/2555 | Sectores esenciales/importantes ≥ 50 empleados | Esenciales: 10 M€ o 2 % vol. global; importantes: 7 M€ o 1,4 % | Transposición en curso (ES) |
| PBC/FT | Ley 10/2010 + RD 304/2014 | Solo sujetos obligados por sector | Hasta el duplo del beneficio obtenido | Vigente |
| Igualdad / Plan | RD 901/2020 + RD 902/2020 | Registro retributivo: todas; Plan: ≥ 50 | Hasta 225.018 € (LISOS) | Vigente |
| CSRD / ESG | Directiva (UE) 2022/2464 | Directa: ≥ 250 emp.; pymes: presión cadena | Variable por Estado miembro | Escalonado 2024-2026 |
| AI Act | Reglamento (UE) 2024/1689 | Toda empresa que use/despliegue IA | 35 M€ o 7 % vol. negocio global | Escalonado 2025-2026 |
Cómo construir tu mapa de cumplimiento en cuatro pasos
Paso 1: Inventario de actividades y activos
Antes de determinar qué normas aplican, necesitas saber qué hace tu empresa, con qué datos trabaja, qué tecnología emplea y en qué sectores opera. Un inventario de procesos de negocio, tratamientos de datos y sistemas de información es el punto de partida de cualquier diagnóstico de compliance serio. Sin este inventario, el análisis de brechas será superficial.
Paso 2: Análisis de brechas por bloque
Para cada uno de los ocho bloques anteriores, evalúa si la norma aplica a tu empresa (criterio de tamaño, sector o actividad), qué controles tienes actualmente implementados y qué distancia existe entre tu situación real y las exigencias normativas. El resultado es una matriz de brechas priorizada por nivel de riesgo y urgencia.
Paso 3: Plan de remediación con responsable y plazo
Cada brecha identificada debe traducirse en una acción concreta, con un responsable interno designado y una fecha límite. En la práctica, las empresas que fracasan en el compliance no lo hacen por desconocimiento de la norma, sino por falta de asignación clara de responsabilidades y de mecanismos de seguimiento.
Paso 4: Sistema de vigilancia continua
El compliance no es un proyecto con fecha de fin: es un sistema de gestión permanente. Las normas cambian, los negocios evolucionan y los riesgos se transforman. Una revisión anual del mapa de cumplimiento, combinada con el seguimiento de novedades regulatorias (BOE, EUR-Lex, circulares de la AEPD, INCIBE, SEPBLAC), es el mínimo exigible para mantener la vigencia del sistema.
Preguntas frecuentes
¿Necesito un programa de compliance penal si soy una empresa pequeña?
La responsabilidad penal de las personas jurídicas no tiene umbral mínimo de plantilla ni facturación. Lo que sí prevé el Código Penal (art. 31 bis.3) es un régimen simplificado para empresas de pequeñas dimensiones, en las que el órgano de administración puede asumir directamente las funciones de vigilancia. Esto no significa que no haya que implantar nada: significa que el modelo puede ser más ligero, pero debe existir. Una empresa de 15 empleados que opera en logística o construcción tiene un perfil de riesgo penal real (accidentes laborales, cohecho, fraude fiscal) y la ausencia de un modelo documentado le impide acreditar la exención o atenuación ante un tribunal.
¿Qué ocurre si mi empresa tiene menos de 50 trabajadores y no tengo canal de denuncias?
Para empresas con menos de 50 empleados, la Ley 2/2023 no impone la obligación de disponer de canal interno propio, aunque pueden adherirse a uno compartido (por ejemplo, a través de una asociación empresarial). Sin embargo, si el convenio colectivo de tu sector lo exige, o si tu empresa pertenece al sector financiero o recibe fondos europeos, puede existir obligación derivada. En cualquier caso, disponer de un canal —aunque no sea obligatorio— reduce significativamente el riesgo de que una denuncia llegue directamente a la autoridad sin pasar por un filtro interno.
¿Cómo sé si mi empresa está afectada por NIS2?
El primer filtro es el sector: NIS2 afecta a sectores de alta criticidad (energía, transporte, banca, sanidad, infraestructura digital, administración pública) y a sectores importantes (fabricación, alimentación, servicios postales, proveedores digitales). El segundo filtro es el tamaño: generalmente, más de 50 empleados o más de 10 millones de euros de facturación. Si tu empresa supera ambos filtros en alguno de esos sectores, es probable que sea entidad importante u esencial. La trasposición española (pendiente a la fecha de este artículo) puede introducir matices adicionales. Lo más prudente es hacer un diagnóstico de situación antes de que la ley entre en vigor.
¿El AI Act me afecta aunque solo use herramientas de IA de terceros?
Sí. El AI Act distingue entre proveedores (quienes desarrollan sistemas de IA), desplegadores (quienes los utilizan en un contexto profesional) e importadores. Si tu empresa usa una herramienta de IA de un tercero para tomar decisiones que afectan a personas (empleados, clientes, candidatos), actúas como desplegador y tienes obligaciones propias: verificar que el sistema cumple los requisitos del reglamento, mantener registros de uso, garantizar supervisión humana y, en algunos casos, realizar una evaluación de impacto sobre los derechos fundamentales. No es suficiente con confiar en el proveedor.
Si quieres evaluar tu situación de partida o estructurar un programa de compliance integral para tu empresa, el equipo de Summum Consultoría lleva desde 2007 acompañando a pymes y empresas de tamaño medio en la implantación de sistemas de cumplimiento normativo en Castilla y León y Canarias. El punto de partida siempre es el mismo: saber exactamente dónde estás antes de decidir qué hacer.