La responsabilidad del administrador en el Art. 31 bis del Código Penal es una realidad que muchas empresas -sobre todo pymes- todavía no han terminado de asumir.
Hay una idea que sigue circulando con demasiada tranquilidad:
«Si pasa algo, responderá la empresa».
El problema es que esa frase parte de un malentendido.
Desde que el Código Penal incorporó la responsabilidad penal de las personas jurídicas en el año 2010, la empresa puede responder… sí. Pero eso no borra la responsabilidad de las personas físicas.
Y además coloca el foco en una pregunta muy concreta:
¿La organización tenía controles reales para prevenir delitos y se aplicaban de verdad?
Ahí es donde el Art. 31 bis CP cambia el tablero.
Y donde la figura del administrador deja de ser “solo” un rol mercantil para convertirse también en una posición jurídicamente expuesta.
Qué regula realmente el art. 31 bis del Código Penal
El Art. 31 bis CP regula cuándo una empresa puede ser penalmente responsable por delitos cometidos:
-
por sus administradores o representantes legales,
-
o por quienes estén sometidos a su autoridad, cuando haya fallado el debido control (sus trabajadores, por ejemplo).
Pero lo verdaderamente relevante no es la imputación, sino la exoneración.
El precepto permite que la persona jurídica quede exenta si ha adoptado y ejecutado con eficacia —antes del delito— un modelo de organización y gestión adecuado para prevenirlo.
No habla de “tener un documento”.
Habla de adoptar y ejecutar con eficacia.
Esa diferencia lo cambia todo.
Por qué el compliance penal no puede ser solo un documento
Una empresa puede tener un manual bien maquetado, un código ético colgado en la intranet, un canal interno que nadie utiliza, una formación firmada “por si acaso”.
Y aun así estar completamente descubierta.
Porque lo que se analiza en sede penal no es la estética del sistema, sino su eficacia real.
La propia Circular 1/2016 de la Fiscalía General del Estado lo dejó claro en su día: lo relevante no es la mera existencia formal del modelo, sino cómo ha actuado la organización en la situación concreta.
Y el Tribunal Supremo en su STS 613/2016 insistió en que lo que debe examinarse es si el delito fue posible por ausencia de una cultura de respeto al Derecho traducida en formas concretas de vigilancia y control.
Cuando algo estalla —fraude interno, delito fiscal, administración desleal, corrupción privada— la instrucción reconstruye una fotografía muy sencilla:
¿Quién podía decidir?
¿Quién debía controlar?
¿Qué controles existían?
¿Se ignoraron alertas?
¿Había trazabilidad?
Y esa foto afecta a la empresa… pero también a quien la dirige.
Requisitos para eximir la responsabilidad penal de la empresa
El Art. 31 bis CP estructura la exención en cuatro pilares:
-
El órgano de administración debe haber adoptado y ejecutado con eficacia, antes del delito, modelos con medidas idóneas de vigilancia y control.
-
Debe existir supervisión del modelo atribuida a un órgano o persona con autonomía real.
-
El autor individual debe haber eludido fraudulentamente el modelo.
-
No debe haberse producido una omisión o ejercicio insuficiente de la supervisión.
Traducido:
Si el modelo era papel mojado, si nadie supervisaba o si se toleraban prácticas de riesgo, la exoneración es inviable.
Responsabilidad del administrador: dónde está el riesgo real
Aquí está el punto verdaderamente delicado.
El Art. 31 bis no sustituye la responsabilidad individual. La complementa.
El administrador sigue sometido a los deberes de diligencia propios del ámbito societario, recogidos en la Ley de Sociedades de Capital (art. 225 y ss.).
La diligencia del “ordenado empresario” en 2026 ya no puede limitarse a revisar balances o firmar cuentas. Incluye organizar la compañía de manera razonable para prevenir riesgos penales previsibles según su actividad.
Cuando falta lo básico, el reproche suele formularse de manera muy simple:
“El delito fue posible porque la empresa estaba organizada de forma que nadie controlaba nada.”
Y si tú diriges, esa frase te afecta.
Qué debe tener un programa de compliance penal eficaz
No hace falta un sistema inasumible.
Hace falta uno proporcionado y adaptado.
Un estándar mínimo razonable incluiría:
-
Mapa de riesgos penal ajustado a la actividad real.
-
Protocolos en áreas sensibles (pagos, compras, contratación, terceros, comisiones, subvenciones, datos, etc.).
-
Sistema interno de información efectivo.
-
Formación periódica por perfiles.
-
Sistema disciplinario coherente.
-
Supervisión con autonomía real.
-
Revisión y actualización cuando cambian circunstancias.
Eso no es postureo. Es estructura de gobierno.
Qué hacer si el delito ya se ha producido
El Código Penal contempla atenuantes para la persona jurídica cuando, tras el delito, se colabora con la investigación, se repara el daño o se adoptan medidas eficaces antes del juicio oral (art. 31 quáter).
En términos prácticos:
-
Tapar el problema agrava el escenario.
-
Activar investigación interna, preservar pruebas y corregir fallos puede modular consecuencias.
No es garantía de impunidad.
Pero sí es diferencia entre gestión negligente y gestión responsable ante una crisis.
La pregunta que todo administrador debería hacerse
La cuestión no es:
“¿Tenemos compliance?”
La cuestión es:
“¿Podría demostrar ante un juez que hice lo razonable, con los recursos disponibles, para prevenir y detectar delitos en mi organización?”
El art. 31 bis no premia la estética.
Premia la organización.
Y cuando la organización falla, el administrador no queda al margen.
Queda en el centro.
