7 claves de un programa de compliance penal y defensa de la competencia (CNMC) para reducir sanciones

Respuesta rápida

Un programa eficaz de compliance penal y de defensa de la competencia exige liderazgo, formación, canal de denuncias, independencia del compliance officer, mapa de riesgos con controles, gestión de investigaciones y régimen disciplinario. Documentarlo y evidenciarlo es lo que más pesa ante la CNMC y otras autoridades.

El 10 de junio la CNMC publicó su Guía de Programas de Cumplimiento en relación con la Defensa de la Competencia. El mensaje central es claro: la eficacia se valora caso por caso, según los recursos y la exposición real al riesgo.

En la práctica, la CNMC refuerza una idea que ya está en la UNE 19601:2017 (compliance penal) y en la UNE-ISO 37001 (antisoborno): los programas sólidos se construyen sobre pilares comunes, independientemente de la materia (penal, competencia, anticorrupción, etc.). Si quieres situar este enfoque dentro del marco general, te ayudará revisar qué es el compliance, sus tipos y obligaciones en España.

A continuación tienes las 7 claves que comparten los programas de compliance penal y los de defensa de la competencia, explicadas en formato de preguntas y con el enfoque operativo que más ayuda a demostrar eficacia.

¿Por qué la CNMC puede valorar tu programa de compliance para atenuar una sanción?

Problema: muchas empresas tienen políticas en papel, pero no pueden probar que funcionan cuando llega una inspección, un expediente o una denuncia interna.

Agitación: sin evidencias (formación trazable, controles ejecutados, investigaciones documentadas, medidas disciplinarias), el programa se percibe como cosmético. Eso puede traducirse en multas más altas, daño reputacional y mayor exposición a responsabilidad penal corporativa.

Solución: implantar un sistema de compliance con controles, flujos y evidencias auditables. Aquí es donde Compass Compliance (Laworatory) aporta valor: centraliza políticas, riesgos, controles, formación, canal interno, investigaciones y reporting para que el programa sea demostrable, no solo declarativo.

¿Qué significa programa de compliance eficaz en competencia y en compliance penal?

Significa que el programa:

• Previene conductas ilícitas (penales o anticompetitivas) con controles proporcionales al riesgo.
• Detecta señales tempranas (denuncias, alertas, incumplimientos).
• Responde con investigaciones internas, medidas correctoras y disciplina.
• Demuestra todo lo anterior con evidencias trazables (quién, cuándo, qué, por qué).

1) ¿Cómo demostrar liderazgo real del órgano de administración y la alta dirección?

Qué espera la CNMC (y también la UNE 19601 e ISO 37001): compromiso visible, recursos y supervisión.

Qué evidencias suelen marcar la diferencia

• Política de compliance aprobada por el órgano de gobierno y comunicada.
• Asignación de recursos (presupuesto, herramientas, personal).
• Revisión periódica del programa (informes, KPIs, decisiones).
• Tono desde arriba: mensajes, campañas internas, tolerancia cero.

Cómo ayuda Compass Compliance (Laworatory)

• Registro de aprobaciones y control de versiones de políticas.
• Cuadros de mando para reporting a dirección (riesgos, denuncias, acciones).
• Calendario de revisiones y evidencias de seguimiento.

2) ¿Cómo diseñar una formación eficaz en compliance penal y competencia?

Problema: la formación genérica no cambia conductas ni prueba comprensión.

Agitación: si un empleado participa en un cártel, en un intercambio de información sensible o en una conducta delictiva, la empresa necesitará demostrar que formó, evaluó y reforzó el aprendizaje.

Solución: formación por roles, con evaluación y trazabilidad.

Buenas prácticas de formación defendible

• Segmentación por riesgo: compras, ventas, dirección, licitaciones, etc.
• Casos prácticos (competencia: precios, reparto de mercado, información sensible).
• Evaluación (test) y refuerzo periódico.
• Registro de asistencia y resultados.

Cómo ayuda Compass Compliance (Laworatory)

• Asignación de formación por colectivos y recordatorios automáticos.
• Evidencias de completitud, evaluaciones y trazabilidad por usuario.
• Reporting para auditorías internas y externas.

3) ¿Por qué necesitas un canal de denuncias y qué exige la Directiva Whistleblowing?

Un canal interno es clave tanto para el artículo 31 bis del Código Penal (modelos de prevención) como para la Directiva (UE) 2019/1937 (Whistleblowing), que obliga a muchas entidades (por tamaño o riesgo) a disponer de canal y seguimiento. Si necesitas el detalle práctico, te interesa nuestra guía del canal de denuncias y la Ley 2/2023.

Qué debe tener un canal para ser útil (y no un riesgo)

• Confidencialidad y, cuando aplique, posibilidad de anonimato.
• Acuse de recibo y comunicación con el informante.
• Gestión de plazos y estados del caso.
• Protección frente a represalias y control de accesos.
• Registro de actuaciones (cadena de custodia documental).

Cómo ayuda Compass Compliance (Laworatory)

• Canal de denuncias con flujo de tramitación, roles y evidencias.
• Gestión de casos (triaje, asignación, tareas, documentación).
• Auditoría de accesos y acciones para demostrar la integridad del proceso.

CTA (informativo): si quieres, podemos enseñarte un ejemplo de expediente defendible (denuncia, investigación y medidas) y qué evidencias pide normalmente un auditor o una autoridad. Solicita una revisión orientativa del flujo con Compass Compliance en laworatory.com.

4) ¿Qué significa independencia y autonomía del Compliance Officer en la práctica?

Qué se busca: que el responsable de cumplimiento (o comité) pueda supervisar sin interferencias y con recursos suficientes.

Indicadores de independencia real

• Acceso directo al órgano de administración.
• Capacidad de iniciar investigaciones y pedir información.
• Ausencia de conflictos (por ejemplo, no depender operativamente del área investigada).
• Recursos: tiempo, presupuesto, herramientas, apoyo.

Cómo ayuda Compass Compliance (Laworatory)

• Roles y permisos para separar funciones (investigación, aprobación, revisión).
• Workflows que evitan saltos informales y dejan rastro de auditoría.
• Reporting directo para comités y consejo.

5) ¿Cómo identificar riesgos y diseñar protocolos o controles que realmente mitiguen?

Problema: sin mapa de riesgos, se invierte en controles irrelevantes y se dejan huecos críticos (competencia, licitaciones, intermediarios, etc.).

Agitación: un riesgo no identificado se convierte en infracción: acuerdos anticompetitivos, intercambio de información, abuso de posición o delitos corporativos. El coste suele ser mayor que el de prevenir. Conviene apoyarse en un estándar reconocido como la UNE 19602 de cumplimiento normativo.

Solución: evaluación de riesgos, controles proporcionales y evidencias de ejecución.

Qué debe incluir un mapa de riesgos defendible

• Riesgos por procesos (ventas, compras, licitaciones, asociaciones sectoriales).
• Probabilidad e impacto y criterios de valoración.
• Controles (preventivos y detectivos) asignados a responsables.
• Plan de acción con fechas, seguimiento y cierre.
• Revisión periódica y actualización por cambios (mercado, estructura, operaciones de M&A).

Cómo ayuda Compass Compliance (Laworatory)

• Gestión de riesgos con matrices, responsables, controles y evidencias.
• Planes de acción y seguimiento con trazabilidad.
• Repositorio de protocolos y procedimientos con control de versiones.

6) ¿Cómo debe ser el procedimiento interno para gestionar denuncias e investigar infracciones?

La ISO 37001 (punto 8.9, Planteamiento de inquietudes) y la Guía de la CNMC convergen en lo mismo: debe existir un procedimiento claro para pedir asesoramiento, reportar, investigar y corregir.

Elementos mínimos de un procedimiento robusto

• Recepción y triaje: clasificación, urgencia, conflicto de interés.
• Plan de investigación: alcance, responsables, fuentes, cronograma.
• Medidas cautelares cuando proceda (preservación de evidencias, accesos).
• Conclusiones y propuesta de medidas correctoras.
• Lecciones aprendidas: actualización de controles y formación.

Cómo ayuda Compass Compliance (Laworatory)

• Gestión integral de casos: tareas, hitos, documentación y evidencias.
• Cadena de custodia documental y registro de actuaciones.
• KPIs de tiempos de respuesta, tipologías y recurrencia.

7) ¿Qué debe incluir un sistema disciplinario para que el programa sea creíble?

Qué se exige: un régimen disciplinario con conductas tipificadas, proporcionalidad y evidencia de aplicación. También ayuda gestionar bien situaciones cotidianas como el conflicto de intereses en la empresa.

Claves para que funcione (y se pueda probar)

• Catálogo de infracciones (incluyendo competencia y delitos relevantes).
• Graduación de sanciones y criterios de proporcionalidad.
• Aplicación consistente (sin excepciones por jerarquía).
• Registro de medidas y acciones correctoras asociadas.

Cómo ayuda Compass Compliance (Laworatory)

• Vinculación entre investigación, conclusiones y medidas adoptadas.
• Evidencias para auditoría: quién aprobó, cuándo, qué se ejecutó.
• Seguimiento de acciones correctoras para evitar reincidencias.

Conclusión: ¿por qué un programa de compliance penal facilita el de competencia (y viceversa)?

Porque comparten los mismos pilares: liderazgo, formación, canal, independencia, riesgos y controles, investigación y disciplina. Si ya has avanzado en compliance penal (31 bis), tienes gran parte del camino hecho para la defensa de la competencia.

La diferencia real no está en tener documentos, sino en poder demostrar eficacia con evidencias: controles ejecutados, formación trazable, denuncias gestionadas, investigaciones cerradas y medidas aplicadas.

CTA: si quieres reducir la exposición a sanciones y estar preparado para una revisión de la CNMC o una auditoría, solicita una demo de Compass Compliance de Laworatory en CompaaS Compliance y te mostramos cómo convertir tu programa en un sistema auditable de principio a fin.