Responsabilidad penal de la empresa y del empresario: doctrina y operativa actualizadas

“Lo que no es útil para la colmena, no es útil para la abeja “. Marco Aurelio dixit. General y estadista romano, siempre referencia y referente de un modelo ejemplar de gobernanza, basado en el crecimiento nacional desde el crecimiento personal. La colmena será la empresa. La abeja, el consejo de administración.

En el ámbito del compliance o cumplimiento normativo la gobernanza es el alma mater. A su vez, distinguimos dos gobiernos muy complementarios entre sí. Por un lado, el código ético (armazón de conductas recomendadas, pero sin capacidad sancionatoria alguna en caso de incumplimiento). Por otro lado, el modelo de cumplimiento normativo basado en: análisis de riesgos, evaluación de impactos y estrategia legal corporativa posterior.

Hablamos, por lo tanto, de tres mecanismos claves de todo corporate compliance penal: líneas de defensa (Sistemas Integrados de Gestión de Compliance ISO 37301 -, Compliance PENAL UNE 19601 y Compliance Corporativo ISO 37001 ) y el Estado de Información No Financiera (se incluye aquí el control general de tecnologías de la información: Ley Seguridad Servicios de la Información y Reglamento Unión Europea número 881 de 17 de abril de 2019).

Conllevará, a su vez, el cumplimiento de determinados estándares internacionales (normativa ISO – UNE, principalmente), cuyo no establecimiento o posterior incumplimiento puede dar pie a responsabilidad penal de dicha persona jurídica (según el artículo 31bis del Código Penal ), entre otro tipo de responsabilidades legales.

En este sentido, una reciente sentencia de la Sala de lo Penal del Tribunal Supremo (STS 372/2025) afianza el criterio jurisprudencial en este sentido: la comisión de un delito por parte de un directivo de la empresa no extiende a la empresa de manera automática. Requiere una correlación probatoria que confirme inexistencia de un sistema de cumplimiento normativo o el no funcionamiento eficaz del mismo. Véase, a este respecto, SSTS 154/2016 y 221/2016.

Por otro lado, la actualización de la UNE 19601 ha conllevado matices relevantes en la parte operativa. Así, se amplía y prioriza en lo relativo al análisis de riesgos de ámbito penal. Se crea un bloque nuevo (véase el n. 4.5). La mayor internacionalización del contexto operativo y organizativo de las empresas ha conllevado la plasmación práctica de una realidad corporativa diaria: la priorización por el crecimiento empresarial en el mercado internacional sin dejar de lado el crecimiento en el ámbito nacional. La multiplicidad de sedes, en varios países, de una misma corporación, requiere una estandarización diferente de los criterios de calidad y legalidad, sobre todo en lo referente a la transparencia de contratos, de pagos, de licitaciones, de conflictos de intereses y de due dilligence en general, y en la cadena de suministro en particular.

En beneficio de una mayor operatividad y ayuda a la empresa certificada, esta actualización incluye un nuevo apartado (véase el 6.3) sobre la planificación de los cambios. Se inspira, en parte, en la ISO 37301, que ya viene exigiendo la anticipación y previsión organizativa de posibles cambios internos o externos, que pudieran dar lugar a modificaciones significativas en el modelo de cumplimiento ya establecido para el ámbito penal. Afecta, por lo tanto, y de forma directa, a la gobernanza real y eficaz de la empresa.

En este sentido, se parte de una premisa esencial: sin gobernanza eficaz no hay crecimiento empresarial. Por ello, se matizan responsabilidades, cadenas de mando, repercusiones y funciones exclusivas del consejo de administración. Se reafirma una realidad ya consolidada en otros ámbitos de la empresa, principalmente en el ámbito de la ciberseguridad a raíz de la entrada en vigor de la Directiva NIS-2: la responsabilidad de la empresa también puede serlo del consejo de administración. (véase subapartado 5.1.5).

Finalmente, esta actualización de la UNE 19601, diferencia entre formación técnica y toma de conciencia ética. Este matiz aporta un gran valor añadido en la creación de actualizaciones de contenidos más específicos según el cargo y las cargas de cada departamento y según las necesidades reales de la corporación y del cumplimiento de los objetivos trazados por cada área.

Por todo ello, la gestión empresarial y la responsabilidad legal de la misma, se convierten en un binomio perfecto, desde una visión y misión claramente estoica (la gobernanza es el gobierno ético y eficaz de personas y proyectos, enfocados al crecimiento interior y al cumplimiento del deber basado en el bien común).

A su vez, toda acción humana se realiza con vistas a un fin y el fin de la acción es el Bien que se busca. El fin, por lo tanto, se debe identificar con el bien. En definitiva, colmena creciente con abejas sensatas y decentes. Marco Aurelio iubet!