Responsabilidad penal de las personas jurídicas: el art. 31 bis CP
Desde 2010, una empresa puede sentarse en el banquillo. Pero el mismo Código Penal le
ofrece una salida: un modelo de prevención de delitos idóneo puede eximirla de
responsabilidad.
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura12 min
CategoríaCorporate Compliance
Fig. 1 — La responsabilidad de la empresa es autónoma: puede condenarse aunque no se identifique a la persona física.
Durante siglos rigió el principio de que la sociedad no podía delinquir. Hoy una
empresa puede ser investigada, juzgada y condenada por sí misma. La buena noticia es
que prevenir activamente los delitos tiene premio legal.
La responsabilidad penal de las personas jurídicas es el núcleo del llamado
compliance penal y la razón de ser de buena parte del
corporate compliance.
Entenderla bien es lo que separa a una empresa expuesta de una empresa protegida. Vamos
a verlo en claro: qué es, cómo nace, por qué delitos y cómo defenderse.
Qué es la responsabilidad penal de las personas jurídicas
Es la posibilidad de que una empresa (o una fundación, asociación u otra entidad con
personalidad jurídica) sea condenada penalmente por sí misma, con
independencia de la responsabilidad individual de las personas físicas que materialmente
cometieron el delito. Su base está en el artículo 31 bis del Código Penal.
Un rasgo esencial: esta responsabilidad es autónoma. La empresa puede
ser condenada aunque la persona física concreta sea absuelta, haya fallecido o ni
siquiera llegue a identificarse. No se trata de "pagar por" el empleado, sino de
responder por un defecto de organización propio.
De dónde viene: LO 5/2010 y LO 1/2015
El legislador español introdujo este régimen mediante la Ley Orgánica 5/2010,
que rompió con el viejo principio societas delinquere non potest. Cinco años
después, la Ley Orgánica 1/2015 dio el paso decisivo: reguló los
compliance programs —los modelos de organización y gestión— y les otorgó valor
eximente de la responsabilidad penal.
Fuente legalArtículo 31 bis del Código Penal
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (texto consolidado), donde
se regula la responsabilidad penal de las personas jurídicas:
boe.es — Código Penal (art. 31 bis)
.
Las dos vías por las que responde una empresa
El art. 31 bis prevé dos formas de imputación. La empresa responde, en primer lugar,
por los delitos cometidos por sus representantes legales y por quienes están
autorizados para tomar decisiones u ostentan facultades de organización y control
(la cúpula). Y responde, en segundo lugar, por los delitos de los empleados
sometidos a su autoridad cuando han podido cometerse por haberse incumplido
gravemente los deberes de supervisión, vigilancia y control.
En ambos casos hay un requisito común: el delito debe haberse cometido en nombre o por
cuenta de la persona jurídica y en su beneficio directo o indirecto.
Si la empresa no obtiene ningún provecho, no entra en juego este régimen.
Por qué delitos responde: el sistema de numerus clausus
Una empresa no responde por cualquier delito. El Código Penal sigue un
sistema de numerus clausus: solo cabe responsabilidad de la persona jurídica
en los tipos penales que expresamente lo prevén. Hoy esa lista supera la treintena de
delitos.
Entre los más relevantes en la práctica empresarial están los delitos contra la Hacienda
Pública y la Seguridad Social, el blanqueo de capitales,
las estafas, los delitos contra los derechos de los trabajadores, los delitos contra el
medio ambiente, la corrupción en los negocios y los delitos informáticos. Cada empresa
debe identificar cuáles son relevantes para su actividad concreta: ese es, precisamente,
el punto de partida del modelo de prevención.
El primer paso siempre es el mismo
Antes de diseñar controles hay que saber a qué delitos está expuesta la organización.
Por eso todo modelo de prevención arranca con un
mapa de riesgos penales
adaptado a la actividad real de la empresa.
El compliance penal como eximente
Aquí está la pieza clave que introdujo la reforma de 2015: si, antes de
la comisión del delito, el órgano de administración ha adoptado y ejecutado con
eficacia un modelo de organización y gestión idóneo para prevenir delitos de
esa naturaleza, la persona jurídica puede quedar exenta de responsabilidad.
No basta con tener el documento. La exención (art. 31 bis 2) exige además que la
supervisión del modelo se haya confiado a un órgano con poderes autónomos de
iniciativa y control —el órgano de cumplimiento o compliance officer—,
que los autores hayan cometido el delito eludiendo fraudulentamente el
modelo y que no haya habido una omisión o ejercicio insuficiente de las funciones de
supervisión. Si el cumplimiento es solo parcial, opera como atenuante,
no como eximente.
Los requisitos del modelo de prevención de delitos
El art. 31 bis 5 fija qué debe contener un modelo de organización y gestión para
poder cumplir su función. Son seis elementos y deben concurrir todos:
Fig. 2 · Requisitos del modelo
Un modelo "de cajón" no sirve: debe estar vivo, adaptado a la empresa y respaldado por
un órgano de cumplimiento que lo supervise de verdad.
Exención, atenuación o condena: cómo se decide
Cuando se comete un delito en el seno de la empresa, lo que determina la consecuencia
es si existía —y funcionaba— un modelo de prevención. El esquema de decisión es este:
Fig. 3 · Decisión
La carga de probar que el modelo era idóneo y eficaz recae, en la práctica, sobre la
propia empresa. De ahí la importancia de documentarlo y mantenerlo vivo.
Qué penas se le pueden imponer a una empresa
Las penas aplicables a la persona jurídica están en el art. 33.7 del Código
Penal y van mucho más allá de la multa. Algunas pueden suponer, de hecho, el
fin de la actividad:
Pena
Alcance
Multa
Por cuotas o proporcional al beneficio o perjuicio causado.
Disolución
La más grave: extingue la personalidad jurídica de la empresa.
Suspensión de actividades
Por un plazo que no podrá exceder de cinco años.
Clausura de locales y establecimientos
Por un plazo que no podrá exceder de cinco años.
Prohibición de actividades
De aquellas en cuyo ejercicio se cometió, favoreció o encubrió el delito.
Inhabilitación
Para subvenciones y ayudas, contratar con el sector público y obtener beneficios fiscales.
Intervención judicial
Para salvaguardar derechos de trabajadores o acreedores, por el tiempo necesario.
A las consecuencias penales hay que sumar el daño reputacional y la
eventual exclusión de la contratación pública, que para muchas empresas pesa tanto o
más que la propia multa.
§ § §
Qué entidades quedan excluidas
No todas las personas jurídicas están sujetas a este régimen. El Código Penal excluye,
entre otras, al Estado, las Administraciones públicas territoriales e
institucionales, los organismos reguladores, las agencias y entidades públicas
empresariales, los partidos políticos y los sindicatos, así como a las
organizaciones internacionales de Derecho público. Para el resto del tejido empresarial
—sociedades, fundaciones, asociaciones— el régimen sí aplica.
Criterio de la FiscalíaCircular 1/2016 de la Fiscalía General del Estado
Documento que fija el criterio del Ministerio Fiscal sobre la responsabilidad penal de
las personas jurídicas tras la reforma de 2015, incluido el valor eximente de los
modelos de organización:
boe.es — Circular 1/2016 FGE
.
Cómo proteger a la empresa: por dónde empezar
Proteger a la organización no consiste en comprar un manual y archivarlo. Un programa de
compliance penal que de verdad exima exige un trabajo ordenado:
Mapa de riesgos penales. Identificar a qué delitos del catálogo está
realmente expuesta la empresa según su sector y operativa.
Órgano de cumplimiento. Designar un órgano con poderes autónomos de
iniciativa y control que supervise el modelo de forma efectiva.
Canal de denuncias e investigaciones internas. Habilitar la vía de
comunicación y un procedimiento ordenado de
investigaciones internas.
Certificación y revisión. Apoyarse en estándares como la
UNE 19601
(sistema de gestión de compliance penal) y verificar el modelo periódicamente.
Errores frecuentes
El modelo "de cajón". Un manual genérico no adaptado a la empresa no
prueba diligencia y difícilmente exime.
Adoptarlo, pero no ejecutarlo. El Código exige adopción y
ejecución eficaz; un modelo dormido no protege.
Órgano de cumplimiento sin medios ni autonomía. Sin poderes reales de
iniciativa y control, no cumple la condición de la exención.
No actualizarlo. Cambios de actividad, fusiones o nuevos riesgos sin
revisión dejan el modelo desfasado e ineficaz.
La diferencia entre quedar exenta y sentarse en el banquillo no la marca tener "un
compliance", sino tener uno idóneo, vivo y supervisado. Esa es la decisión que conviene
tomar antes de que aparezca el problema, no después.
Corporate Compliance · Compliance penal
¿Tu empresa está protegida frente al art. 31 bis CP?
Elaboramos el mapa de riesgos penales, diseñamos e implantamos el modelo de prevención
de delitos con los requisitos del art. 31 bis 5, configuramos el órgano de cumplimiento
y el canal de denuncias y mantenemos el modelo vivo para que pueda cumplir su función
eximente.