Compliance para pymes: obligaciones clave en 2026

·

El compliance ya no es territorio exclusivo de las grandes corporaciones. Desde 2015, la reforma del Código Penal español introdujo la responsabilidad penal de las personas jurídicas, y desde entonces el ecosistema normativo que rodea a las empresas no ha parado de crecer. En 2026, una pyme de tamaño medio debe gestionar simultáneamente obligaciones derivadas de al menos seis marcos regulatorios distintos: protección de datos, ciberseguridad, prevención del blanqueo de capitales, igualdad, canal de denuncias y, en función del sector, normativa sectorial específica. Ignorar alguno de ellos no es una opción: las sanciones administrativas pueden superar los cientos de miles de euros y, en algunos casos, alcanzar la responsabilidad penal del administrador.

Este checklist no pretende sustituir el análisis jurídico personalizado —cada empresa tiene su propio perfil de riesgo—, sino darte un mapa de situación con el que identificar qué bloques son obligatorios para tu empresa, cuáles aplican según tu tamaño o sector, y cuáles conviene anticipar aunque todavía no sean exigibles. Al final encontrarás una tabla resumen con umbrales de aplicación y plazos.

Bloque 1: Compliance penal (programa de prevención de delitos)

El artículo 31 bis del Código Penal (Ley Orgánica 1/2015, de 30 de marzo) establece que las personas jurídicas son penalmente responsables de los delitos cometidos en su nombre o por su cuenta por sus representantes legales, administradores o empleados. La exención o atenuación de esa responsabilidad requiere haber adoptado y ejecutado con eficacia, antes de la comisión del delito, un modelo de organización y gestión que incluya medidas de vigilancia y control.

La Circular 1/2016 de la Fiscalía General del Estado delimita qué debe contener ese modelo para ser considerado idóneo por un tribunal. Los elementos mínimos son:

No existe un umbral legal de plantilla o facturación que exima a una empresa de la responsabilidad penal. Sin embargo, el artículo 31 bis.3 CP prevé un régimen simplificado para personas jurídicas de pequeñas dimensiones, en las que las funciones de supervisión pueden recaer directamente en el órgano de administración. En la práctica, nuestro equipo recomienda un programa de compliance penal estructurado para cualquier empresa a partir de 10 empleados o con actividad en sectores de riesgo elevado (construcción, transporte, alimentación, servicios financieros).

Bloque 2: Protección de datos (RGPD + LOPDGDD)

El Reglamento (UE) 2016/679 (RGPD) es de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018. En España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) adapta y complementa el reglamento europeo.

Las obligaciones básicas que afectan a cualquier empresa que trate datos de personas físicas son:

La AEPD publicó en 2024 una actualización de su guía de análisis de riesgos orientada específicamente a pymes. Las sanciones pueden alcanzar 20 millones de euros o el 4 % del volumen de negocio anual global, aplicándose la cuantía que resulte más elevada.

Bloque 3: Canal de denuncias (Ley 2/2023)

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (transposición de la Directiva UE 2019/1937, conocida como Directiva Whistleblowing), establece la obligación de disponer de un canal de denuncias interno.

Los umbrales de aplicación son:

El canal debe garantizar confidencialidad, acuse de recibo en 7 días, respuesta en 3 meses e independencia del responsable del sistema. La Autoridad Independiente de Protección del Informante (A-I) supervisa el cumplimiento. Las sanciones por incumplimiento oscilan entre 1.001 y 1.000.000 euros según el artículo 64 de la ley.

Bloque 4: Ciberseguridad (NIS2 / RD 43/2021)

La Directiva (UE) 2022/2555, conocida como NIS2, amplía significativamente el ámbito de aplicación de la anterior Directiva NIS. En España, la trasposición está en curso mediante proyecto de ley que a la fecha de este artículo (abril de 2026) se encuentra en tramitación parlamentaria, aunque el marco de referencia del Real Decreto 43/2021 sigue vigente para operadores de servicios esenciales y proveedores de servicios digitales.

NIS2 incorpora dos categorías de entidades obligadas:

Las obligaciones incluyen políticas de seguridad de sistemas de información, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro y uso de criptografía. Las sanciones para entidades esenciales pueden llegar al 2 % del volumen de negocio anual global o a 10 millones de euros.

Bloque 5: Prevención del blanqueo de capitales (PBC/FT)

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (modificada sucesivamente, la última vez por la Ley 4/2022) y su Reglamento (RD 304/2014) establecen un régimen de diligencia debida para los denominados sujetos obligados. No afecta a todas las empresas, sino exclusivamente a determinadas actividades:

Si tu empresa es sujeto obligado, debes contar con: manual de PBC, oficial de cumplimiento designado, política de aceptación de clientes, procedimientos de diligencia debida (básica, simplificada y reforzada), formación continua del personal y comunicación de operaciones sospechosas al SEPBLAC.

Bloque 6: Igualdad y registro retributivo (obligaciones laborales)

El Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres, exige a todas las empresas (sin umbral mínimo de plantilla) disponer de un registro retributivo de toda su plantilla, desagregado por sexo y categoría profesional, con referencia a la brecha salarial.

Adicionalmente, el Real Decreto 901/2020 regula los planes de igualdad. La obligación de negociar y registrar un plan de igualdad aplica a:

El plan debe registrarse en el Registro de Planes de Igualdad (REGCON) del MITES. El incumplimiento puede generar sanciones de hasta 225.018 euros por infracción muy grave según la LISOS (RDL 5/2000).

Bloque 7: ESG y sostenibilidad (CSRD para la cadena de valor)

La Directiva (UE) 2022/2464, conocida como CSRD (Corporate Sustainability Reporting Directive), obliga a publicar informes de sostenibilidad bajo los estándares ESRS. Las fechas de aplicación directa son:

Sin embargo, las pymes que no cotizan y quedan fuera del ámbito directo de la CSRD se ven afectadas indirectamente a través de la cadena de suministro: sus clientes grandes les trasladarán cuestionarios ESG como condición de homologación como proveedor. Anticiparse con una declaración de sostenibilidad voluntaria basada en el estándar VSME (publicado por EFRAG en diciembre de 2024) es una ventaja competitiva real en licitaciones y concursos de proveedores.

Bloque 8: AI Act (aplicación gradual 2024-2026)

El Reglamento (UE) 2024/1689, conocido como AI Act, entró en vigor el 1 de agosto de 2024 con un calendario de aplicación gradual:

Para la mayoría de las pymes, la obligación inmediata es clasificar los sistemas de IA que utilizan o despliegan según el Anexo III del reglamento y verificar si son de alto riesgo. Si una pyme emplea herramientas de IA para la toma de decisiones sobre recursos humanos (selección, evaluación del rendimiento), concesión de créditos, acceso a servicios esenciales o componentes de infraestructuras críticas, probablemente está ante un sistema de alto riesgo con obligaciones de transparencia, documentación técnica, registro y supervisión humana.

Tabla resumen: umbrales y plazos de compliance 2026

Bloque normativo Norma principal Umbral de aplicación Sanción máxima Estado en 2026
Compliance penal Código Penal art. 31 bis (LO 1/2015) Todas las personas jurídicas Disolución / multa hasta el quíntuplo del beneficio Vigente
RGPD / LOPDGDD Reglamento (UE) 2016/679 + LO 3/2018 Toda empresa que trate datos personales 20 M€ o 4 % volumen negocio global Vigente
Canal de denuncias Ley 2/2023 ≥ 50 trabajadores (desde dic. 2023) Hasta 1.000.000 € Vigente
NIS2 / Ciberseguridad Directiva (UE) 2022/2555 Sectores esenciales/importantes ≥ 50 empleados Esenciales: 10 M€ o 2 % vol. global; importantes: 7 M€ o 1,4 % Transposición en curso (ES)
PBC/FT Ley 10/2010 + RD 304/2014 Solo sujetos obligados por sector Hasta el duplo del beneficio obtenido Vigente
Igualdad / Plan RD 901/2020 + RD 902/2020 Registro retributivo: todas; Plan: ≥ 50 Hasta 225.018 € (LISOS) Vigente
CSRD / ESG Directiva (UE) 2022/2464 Directa: ≥ 250 emp.; pymes: presión cadena Variable por Estado miembro Escalonado 2024-2026
AI Act Reglamento (UE) 2024/1689 Toda empresa que use/despliegue IA 35 M€ o 7 % vol. negocio global Escalonado 2025-2026

Cómo construir tu mapa de cumplimiento en cuatro pasos

Paso 1: Inventario de actividades y activos

Antes de determinar qué normas aplican, necesitas saber qué hace tu empresa, con qué datos trabaja, qué tecnología emplea y en qué sectores opera. Un inventario de procesos de negocio, tratamientos de datos y sistemas de información es el punto de partida de cualquier diagnóstico de compliance serio. Sin este inventario, el análisis de brechas será superficial.

Paso 2: Análisis de brechas por bloque

Para cada uno de los ocho bloques anteriores, evalúa si la norma aplica a tu empresa (criterio de tamaño, sector o actividad), qué controles tienes actualmente implementados y qué distancia existe entre tu situación real y las exigencias normativas. El resultado es una matriz de brechas priorizada por nivel de riesgo y urgencia.

Paso 3: Plan de remediación con responsable y plazo

Cada brecha identificada debe traducirse en una acción concreta, con un responsable interno designado y una fecha límite. En la práctica, las empresas que fracasan en el compliance no lo hacen por desconocimiento de la norma, sino por falta de asignación clara de responsabilidades y de mecanismos de seguimiento.

Paso 4: Sistema de vigilancia continua

El compliance no es un proyecto con fecha de fin: es un sistema de gestión permanente. Las normas cambian, los negocios evolucionan y los riesgos se transforman. Una revisión anual del mapa de cumplimiento, combinada con el seguimiento de novedades regulatorias (BOE, EUR-Lex, circulares de la AEPD, INCIBE, SEPBLAC), es el mínimo exigible para mantener la vigencia del sistema.

Preguntas frecuentes

¿Necesito un programa de compliance penal si soy una empresa pequeña?

La responsabilidad penal de las personas jurídicas no tiene umbral mínimo de plantilla ni facturación. Lo que sí prevé el Código Penal (art. 31 bis.3) es un régimen simplificado para empresas de pequeñas dimensiones, en las que el órgano de administración puede asumir directamente las funciones de vigilancia. Esto no significa que no haya que implantar nada: significa que el modelo puede ser más ligero, pero debe existir. Una empresa de 15 empleados que opera en logística o construcción tiene un perfil de riesgo penal real (accidentes laborales, cohecho, fraude fiscal) y la ausencia de un modelo documentado le impide acreditar la exención o atenuación ante un tribunal.

¿Qué ocurre si mi empresa tiene menos de 50 trabajadores y no tengo canal de denuncias?

Para empresas con menos de 50 empleados, la Ley 2/2023 no impone la obligación de disponer de canal interno propio, aunque pueden adherirse a uno compartido (por ejemplo, a través de una asociación empresarial). Sin embargo, si el convenio colectivo de tu sector lo exige, o si tu empresa pertenece al sector financiero o recibe fondos europeos, puede existir obligación derivada. En cualquier caso, disponer de un canal —aunque no sea obligatorio— reduce significativamente el riesgo de que una denuncia llegue directamente a la autoridad sin pasar por un filtro interno.

¿Cómo sé si mi empresa está afectada por NIS2?

El primer filtro es el sector: NIS2 afecta a sectores de alta criticidad (energía, transporte, banca, sanidad, infraestructura digital, administración pública) y a sectores importantes (fabricación, alimentación, servicios postales, proveedores digitales). El segundo filtro es el tamaño: generalmente, más de 50 empleados o más de 10 millones de euros de facturación. Si tu empresa supera ambos filtros en alguno de esos sectores, es probable que sea entidad importante u esencial. La trasposición española (pendiente a la fecha de este artículo) puede introducir matices adicionales. Lo más prudente es hacer un diagnóstico de situación antes de que la ley entre en vigor.

¿El AI Act me afecta aunque solo use herramientas de IA de terceros?

Sí. El AI Act distingue entre proveedores (quienes desarrollan sistemas de IA), desplegadores (quienes los utilizan en un contexto profesional) e importadores. Si tu empresa usa una herramienta de IA de un tercero para tomar decisiones que afectan a personas (empleados, clientes, candidatos), actúas como desplegador y tienes obligaciones propias: verificar que el sistema cumple los requisitos del reglamento, mantener registros de uso, garantizar supervisión humana y, en algunos casos, realizar una evaluación de impacto sobre los derechos fundamentales. No es suficiente con confiar en el proveedor.

Si quieres evaluar tu situación de partida o estructurar un programa de compliance integral para tu empresa, el equipo de Summum Consultoría lleva desde 2007 acompañando a pymes y empresas de tamaño medio en la implantación de sistemas de cumplimiento normativo en Castilla y León y Canarias. El punto de partida siempre es el mismo: saber exactamente dónde estás antes de decidir qué hacer.