Compliance es la función dentro de la empresa que garantiza que la organización cumple con todas las normas externas e internas que le aplican. No es una moda corporativa: en España el incumplimiento se traduce en sanciones, responsabilidad penal de la persona jurídica y daño reputacional medible. Esta guía explica qué es compliance en 2026, qué tipos existen, qué normativa española los regula, quién es el compliance officer, cómo se construye un programa y qué certificaciones ayudan a demostrar que se ha hecho bien.
¿Qué es compliance? Definición clara y por qué importa hoy
Compliance significa «cumplimiento» en inglés, y en el contexto empresarial se refiere al conjunto de políticas, procedimientos, controles y formación que una organización implanta para asegurar el cumplimiento de la normativa que le es aplicable. Eso incluye leyes, reglamentos sectoriales, estándares internacionales (ISO 37301, UNE 19601, ISO 37001) y normas internas de la propia empresa (código ético, políticas de obsequios, anticorrupción, conflictos de interés).
El motivo por el que importa hoy más que nunca es triple. Primero, la responsabilidad penal de la persona jurídica introducida en España por la reforma del Código Penal (art. 31 bis), las empresas pueden ser condenadas por delitos cometidos por sus directivos o empleados. Segundo, las obligaciones de compliance integradas en otras normas (Ley 2/2023 de canal de denuncias, RGPD, normativa AML/PBC, Ley 10/2010, NIS2 en ciberseguridad). Tercero, la presión del mercado: due diligence de inversores, exigencias de grandes clientes B2B y certificaciones para licitar.
Origen y evolución del compliance corporativo
El compliance moderno nace en Estados Unidos en los años 70-80 con la legislación anticorrupción (Foreign Corrupt Practices Act, 1977) y la regulación financiera. Aterriza en Europa en los años 2000 con las grandes reformas de gobierno corporativo y se consolida en España a partir de 2010 con la reforma del Código Penal que introduce la responsabilidad penal de las personas jurídicas. Desde entonces ha pasado de ser una función residual del departamento legal a una función transversal con dirección propia y comité de cumplimiento en empresas medianas y grandes.
Tipos de compliance: penal, laboral, fiscal, AML/PBC, datos, ESG
La función de compliance se subdivide en áreas, cada una con su normativa y su lógica de control:
| Tipo | Foco | Norma de referencia |
|---|---|---|
| Compliance penal (corporate compliance) | Prevención de delitos imputables a la persona jurídica | Código Penal art. 31 bis; UNE 19601 |
| Antisoborno y anticorrupción | Prevención del soborno público y privado | ISO 37001; UNE 19601; CP art. 286 bis |
| Compliance laboral | Cumplimiento de obligaciones laborales y de Seguridad Social | Estatuto de los Trabajadores; LISOS |
| Compliance fiscal | Buenas prácticas tributarias y prevención del fraude | UNE 19602; LGT |
| AML / PBC (prevención de blanqueo) | Detección y prevención de blanqueo de capitales | Ley 10/2010; Directivas UE; SEPBLAC |
| Protección de datos | Cumplimiento RGPD y LOPDGDD | RGPD; LOPDGDD; ISO 27701 |
| Ciberseguridad | Gestión de riesgos digitales | NIS2; Esquema Nacional de Seguridad; ISO 27001 |
| ESG | Sostenibilidad y responsabilidad social | CSRD; Ley 11/2018; ISO 14001 |
| Whistleblowing | Canal interno de denuncias | Ley 2/2023 (transpone Directiva UE 2019/1937) |
Marco normativo en España (Código Penal art. 31 bis, UNE 19601, ISO 37301)
Los pilares regulatorios del compliance en España son:
- Código Penal, artículo 31 bis: Responsabilidad penal de la persona jurídica. La empresa puede ser condenada por delitos cometidos por directivos o empleados, salvo que demuestre que tenía implantado un modelo de prevención eficaz antes de los hechos.
- Código Penal, artículo 31 quater: Atenuantes y eximentes asociados a la existencia de un programa eficaz.
- UNE 19601: Norma española sobre sistemas de gestión de compliance penal. Es la referencia más utilizada por las empresas españolas que quieren acreditar que su modelo es serio.
- ISO 37301: Norma internacional ISO sobre sistemas de gestión de compliance, sucesora de la ISO 19600. Reconocida globalmente.
- ISO 37001: Norma internacional específica sobre sistemas de gestión antisoborno.
- UNE 19602: Sistemas de gestión de compliance tributario.
- Ley 2/2023: Sistema interno de información y canal de denuncias. Obliga a empresas de 50+ empleados, todas las del sector financiero y entidades del sector público. Para más detalle, lee nuestra guía whistleblower y Ley 2/2023.
- Ley 10/2010: Prevención del blanqueo de capitales y financiación del terrorismo (transposición de directivas AML de la UE).
Si tu empresa trabaja con la administración pública o gestiona información sensible, conviene que conozcas también el Esquema Nacional de Seguridad (ENS), que fija los requisitos de ciberseguridad para tratar con el sector público.
Si quieres profundizar en cómo se gestiona la figura responsable del sistema interno de información, te interesa cómo dar de alta al responsable del SII ante la AIPI.
Compliance officer: rol, funciones y relación con DPO y RSC
El compliance officer (CCO) es la persona responsable de implantar, supervisar y mantener el programa de compliance. Sus funciones principales:
- Identificar los riesgos legales y normativos aplicables a la organización.
- Diseñar y mantener políticas y procedimientos para mitigarlos.
- Formar a empleados y directivos.
- Supervisar el cumplimiento mediante auditorías internas.
- Investigar denuncias e incidentes a través del canal interno.
- Reportar al órgano de administración con autonomía e independencia.
- Mantener actualizada la matriz de riesgos y el plan anual.
Funcionalmente, el compliance officer convive con dos figuras adyacentes pero distintas: el DPO, que es el especialista en protección de datos (ver nuestra guía DPO 2026), y el responsable de RSC, que se ocupa de la sostenibilidad y la responsabilidad social. En empresas medianas y pequeñas las tres figuras pueden recaer en una persona o ser externalizadas; en empresas grandes son roles claramente separados con reporte propio.
Programa de compliance: ¿cómo se construye?
Un programa de compliance penal eficaz, en línea con el art. 31 bis CP y la UNE 19601, requiere los siguientes elementos mínimos:
- Mapa de riesgos penales: Identificar los delitos que la empresa puede cometer por su actividad y los procesos donde se materializa el riesgo.
- Modelo de prevención (plan): Documento que recoge políticas, procedimientos y controles. Incluye código ético y políticas específicas (anticorrupción, conflictos de interés, regalos, terceros).
- Órgano de cumplimiento: Compliance officer o comité con autonomía e independencia, reportando al máximo órgano de administración.
- Canal interno de información (Ley 2/2023): Imprescindible para empresas de 50+ empleados; opcional pero altamente recomendable para el resto.
- Régimen disciplinario: Sanciones internas por incumplimiento, comunicadas y aplicadas con consistencia.
- Formación periódica: Tanto general como específica por función. Documentada.
- Investigación interna: Procedimiento documentado para gestionar denuncias e incidentes.
- Revisión periódica: Como mínimo anual; obligatoria tras cualquier incidente material.
- Documentación y evidencias: Sin trazabilidad, el modelo no sirve para acreditar nada ante un juez.
Si tu empresa ya implantó un programa hace años, lo importante es que esté vivo: formación reciente, denuncias gestionadas, controles ejecutados y auditoría interna del último año disponible.
Compliance en pymes: cómo escalar sin asfixiar la operación
La objeción habitual de la pyme es «esto es para multinacionales, no para nosotros». Es un error. La responsabilidad penal de la persona jurídica aplica a todas las empresas con personalidad jurídica, sin importar el tamaño. La diferencia es de proporcionalidad: un programa para una pyme de 25 personas no es el mismo que para una empresa cotizada, pero existe en ambos casos.
El enfoque sensato en pyme es:
- Compliance officer externo o función combinada con asesoría jurídica.
- Mapa de riesgos centrado en los delitos plausibles del sector (corrupción comercial, alzamiento de bienes, fraude fiscal, blanqueo, delitos contra los trabajadores, etc.).
- Código ético breve y aplicable, no un documento de 80 páginas.
- Canal de denuncias externo (más barato y más independiente que uno propio).
- Formación anual presencial o e-learning corto pero documentado.
El software de compliance adecuado reduce mucho la carga administrativa de mantener todo esto.
Compliance vs auditoría vs gestión de riesgos
| Compliance | Auditoría interna | Gestión de riesgos | |
|---|---|---|---|
| Foco | Cumplimiento normativo | Eficacia del control interno | Riesgos del negocio |
| Horizonte | Preventivo y continuo | Periódico (anual) | Continuo |
| Reporte | Órgano de administración | Comité de auditoría | Dirección general |
| Independencia | Alta | Total | Funcional |
Las tres funciones se complementan. La auditoría interna verifica que el compliance funciona; la gestión de riesgos identifica los riesgos que el compliance debe mitigar.
Sanciones por incumplimiento (casos recientes 2024-2026)
En los últimos años la AEPD, la CNMV, el SEPBLAC y la jurisdicción penal han sancionado a empresas españolas por fallos en compliance. Los importes oscilan entre decenas de miles y varios millones de euros, dependiendo del sector y la gravedad. Más allá del importe, lo costoso suele ser la pérdida de contratos y el daño reputacional asociado.
En lo penal, sentencias del Tribunal Supremo han confirmado que un programa de compliance bien diseñado e implementado puede actuar como atenuante o, en su caso, eximente del art. 31 bis. La clave en la práctica judicial es la evidencia documental de que el modelo se aplicaba, no solo de que existía en un cajón.
Certificaciones útiles (ISO 37001 antisoborno, ISO 37301)
- ISO 37301: Sistema de gestión de compliance. Es la certificación general más reconocida internacionalmente.
- ISO 37001: Sistema antisoborno. Útil especialmente en empresas con operaciones internacionales o que licitan con la administración.
- UNE 19601: Sistemas de gestión de compliance penal (España).
- UNE 19602: Sistemas de gestión de compliance tributario.
- ISO 27001 y ISO 27701: Para la dimensión de seguridad y privacidad del compliance.
Una certificación no es obligatoria, pero suma puntos en licitaciones, due diligence y procesos de M&A. Un ejemplo reciente es el caso APROSU, que alcanzó la excelencia en compliance con el apoyo de Laworatory.
Preguntas frecuentes sobre compliance
¿Está obligada mi empresa a tener un programa de compliance?
No existe una obligación general explícita de tener «un programa de compliance» para toda empresa. Pero la combinación de responsabilidad penal de la persona jurídica (art. 31 bis CP), Ley 2/2023 (canal de denuncias para 50+ empleados), Ley 10/2010 (sujetos obligados AML) y RGPD hace que prácticamente cualquier empresa con cierto tamaño tenga obligaciones de compliance específicas que cumplir.
¿Cuánto cuesta implantar compliance en una pyme?
El proyecto inicial (mapa de riesgos, código ético, manual de compliance, canal de denuncias, formación inicial) oscila entre 3.500 € y 12.000 € en una pyme con tratamientos sencillos. Mantenimiento anual desde 200-500 €/mes.
¿Quién puede ser compliance officer?
No hay titulación obligatoria, pero el perfil habitual combina formación jurídica con conocimientos de gestión y, deseablemente, certificación específica (CESCOM, IAB, IAC). En pymes lo más eficiente es externalizar la función.
¿Es lo mismo el canal de denuncias que el sistema interno de información?
El Sistema Interno de Información (SII) de la Ley 2/2023 incluye el canal de denuncias, pero es más amplio: cubre también el procedimiento de gestión, la figura del responsable del sistema (AIPI alta), las garantías de confidencialidad y el régimen disciplinario.
¿Sirve un código ético genérico descargado de internet?
No. El código ético debe estar adaptado a la actividad, los riesgos reales y la cultura de la organización. Un documento genérico no acredita absolutamente nada ante un juez.
¿Cada cuánto hay que actualizar el programa de compliance?
Mínimo una revisión anual. Obligatoria tras cualquier incidente material, cambio relevante en la actividad o reforma normativa significativa.
¿Qué relación hay entre compliance y ESG?
ESG (sostenibilidad y RSC) es una de las áreas del compliance moderno. La CSRD (Directiva de Reporte de Sostenibilidad Corporativa) ha aumentado las obligaciones de compliance en esta dimensión para empresas medianas y grandes.
¿Pueden las pymes externalizar todo el compliance?
Sí. El compliance officer externo es perfectamente válido siempre que tenga acceso real a la organización, recursos y respaldo del órgano de administración. Es la opción más extendida en pyme.
Pide tu diagnóstico de compliance con Laworatory
Si quieres saber dónde está tu empresa hoy en términos de compliance, qué obligaciones tienes pendientes y qué proyecto realista te conviene en los próximos 12 meses, te ayudamos. Laworatory acompaña a pymes y empresas medianas con un enfoque práctico: traducimos la norma a acciones concretas, priorizamos por riesgo real y dejamos documentado todo lo necesario. Si quieres una visión cruzada con privacidad, lee también nuestra guía DPO 2026 y la pieza sobre conflicto de intereses en la empresa.
