El impacto en los sistemas de Compliance y el Derecho Societario de la normativa Anticorrupción e Integridad

El presente informe ha sido elaborado por el equipo de Compliance de Pulchra con el objetivo de analizar el nuevo marco regulatorio en materia de anticorrupción y diligencia debida, tanto a nivel europeo como nacional, y su impacto directo sobre los sistemas de prevención y cumplimiento normativo de las empresas. A continuación, se exponen los principales desarrollos legislativos y jurisprudenciales, así como las implicaciones prácticas que de ellos se derivan para los órganos de gobierno corporativo.

Los recientes desarrollos regulatorios en el ámbito europeo y nacional —la Directiva Anticorrupción (UE 2026/1021), la Directiva de Diligencia Debida (UE 2024/1760) y el Anteproyecto de Ley Orgánica de Integridad Pública— suponen un punto de inflexión para los sistemas de compliance de todas las empresas que operen en el espacio europeo. Se puede decir que ha concluido la era del compliance formal y cosmético: la nueva exigencia es un cumplimiento real, preventivo, demostrable y con trazabilidad plena.

La reciente STS de 418/26 de 22 de junio de 2026 (caso “mascarillas), recogiendo claramente los postulados de la Directiva Anticorrupción ha plasmado claramente la preocupación existente por la corrupción y la necesidad de tomar las medidas adecuadas para paliar ese grave problema, tal y como reflejamos a continuación. 

El punto de partida de cualquier análisis ha de ser la articulación que ofrecen el artículo 31 bis del Código Penal —que regula la responsabilidad penal de las personas jurídicas— y el artículo 225 y concordantes de la Ley de Sociedades de Capital, junto con la consolidada jurisprudencia del Tribunal Supremo y la Audiencia Nacional.

Es precisamente la interrelación entre las obligaciones dimanantes de ambos preceptos la que confiere un alcance diferenciado a la interpretación del resto del ordenamiento, (la nueva directiva anticorrupción y el Proyecto de Ley Organica de Integridad de la Administración) y otorga una relevancia especialmente cualificada a los sistemas de compliance, bajo los parámetros de buena gobernanza que corresponde instaurar a los órganos de gobierno societarios.

La tendencia internacional: convergencia de estándares y Directiva Europeas

Junto al marco nacional, resulta determinante la orientación de las principales organizaciones internacionales hacia una intensificación de los mecanismos de control en materia de cumplimiento, en particular respecto a corrupción y fraude. Los referentes más relevantes son:

DOJ/SEC 2026 (EE.UU.): Ya no bastará la existencia formal de un modelo de compliance. Se exigirá la acreditación de su eficacia real, su funcionamiento continuo y su capacidad de respuesta rápida ante conductas ilícitas.

OCDE — Good Practice Guidance: El artículo de la OCDE de 30 de abril de 2026 («Why strong anti-bribery enforcement and smart compliance are becoming business assets») constituye una de las formulaciones más claras de la nueva visión global del compliance, alineando las guías del DOJ, las recomendaciones de la OCDE y la Directiva Anticorrupción europea. Se demandan programas medibles, efectivos y capaces de demostrar una auténtica cultura de integridad corporativa.

SFO (Reino Unido): Modelo centrado en el análisis de riesgos concretos: se evalúa si la empresa identificó adecuadamente los riesgos específicos de soborno, fraude o corrupción, y si diseñó controles proporcionados para mitigarlos.

World Bank Group — Integrity Compliance Guidelines: Exigen que el programa de compliance sea proporcional, adaptado al riesgo, demostrablemente implementado y capaz de prevenir, detectar e investigar irregularidades, con énfasis en la evidencia de funcionamiento efectivo.

La conjunción de toda esta normativa internacional, en unión de las Directivas europeas sobre la materia y los proyectos normativos nacionales plantean un panorama que bajo ningún concepto se puede obviar por parte del sector empresarial so pena de conculcar sus órganos de gobierno las obligaciones dimanantes del Art 225 LSC y concordantes, con las graves consecuencias inherentes a ello.

La Directiva Anticorrupción (UE 2026/1021) configura el cumplimiento normativo de las empresas como un deber de organización y diligencia reforzado, considerando la corrupción un riesgo sistémico con repercusión penal, administrativa, societaria y reputacional.

La norma eleva el nivel sancionador, refuerza la represión penal, define con mayor precisión los tipos delictivos, introduce nuevas figuras (entre ellas el enriquecimiento ilícito) y refuerza los componentes preventivos que deben incorporar los Estados miembros.

La Directiva reconoce expresamente el valor exculpatorio del compliance e identifica dos supuestos de especial relevancia:

  • Controles internos previos o posteriores: haber aplicado, antes o después de la comisión del delito, controles internos eficaces, medidas de concienciación y programas de cumplimiento para prevenir la corrupción (siempre que ello no constituya ya una causa de exención de responsabilidad).
  • Comunicación voluntaria: haber informado a las autoridades de forma rápida y voluntaria, una vez descubierto el delito, y haber adoptado medidas de reparación.

La Directiva advierte expresamente que los programas de compliance de carácter cosmético o meramente formal no producirán efecto alguno a estos fines.

Hay que tener en cuenta la posible extraterritorialidad que permite la Directiva. El artículo 18 de la Directiva establece que los estados lo puedan determinar en determinadas condiciones, Por tanto, por ejemplo, un cohecho o soborno cometido fuera de la UE puede ser perseguido en Europa o en España si genera un beneficio para una filial en el seno de una actuación desarrollada en la Unión. Ello obligará a las multinacionales y a sus filiales europeas a reestructurar adecuadamente sus sistemas de compliance.

Asimismo, en función de cómo cada Estado miembro transponga el criterio de cómputo, un incumplimiento cometido por una filial española podría determinar una base de cálculo sancionadora vinculada a la cifra de negocio consolidada del grupo (entre el 3 % y el 5 % de la facturación mundial anual), y no únicamente a la de la entidad española. Esta realidad hace imprescindible revisar asimismo las pólizas de responsabilidad corporativa y evaluar la cobertura efectiva del programa de compliance.

La Directiva de Diligencia Debida (UE 2024/1760) extiende las obligaciones de compliance más allá de las grandes empresas, alcanzando a todo el tejido empresarial a través del deber de control que las grandes compañías ostentan sobre su cadena de valor —incluyendo clientes y proveedores—. Las empresas de menor tamaño deberán acreditar su adecuación en materia de compliance para poder mantener su posición en esas cadenas de suministro.

3.Normativa nacional.

A nivel nacional, el Anteproyecto de Ley Orgánica de Integridad de las Administraciones Públicas incorpora las obligaciones dimanantes de la Directiva Anticorrupción e implica la modificación de hasta dieciocho leyes (seis de ellas orgánicas), estructuradas en torno a cinco ejes fundamentales:

  • Prevención de riesgos y fortalecimiento de los controles internos.
  • Investigación y sanción de conductas ilícitas.
  • Sensibilización ciudadana e integridad institucional.
  • Recuperación de activos de origen ilícito.
  • Protección reforzada de informantes (whistleblowers).

Las modificaciones previstas alcanzarán al Código Penal, la Ley Orgánica del Poder Judicial, la normativa reguladora de la CNMC y otras disposiciones sectoriales, con consecuencias operativas y comerciales de primer orden para las empresas: exclusión de contratación pública, impacto en operaciones de M&A, insuficiencia de coberturas aseguradoras y responsabilidad por actuaciones del grupo.

El nuevo modelo procesal que se proyecta con la reforma de la Ley de Enjuiciamiento Procesal implica un cambio de paradigma: la cuestión relevante ya no será únicamente si se cometió un delito, sino si la empresa adoptó las medidas necesarias para prevenirlo. En este contexto adquiere especial importancia la evidencia de que las decisiones sensibles —fiscales, financieras y operaciones corporativas— fueron analizadas con criterios de diligencia reforzada.

La clave de la responsabilidad no será solo qué se decidió, sino cómo se decidió y qué evidencia queda de ello.

Consecuencias.

Las consecuencias dimanantes de la futura normativa se concentrarán especialmente en aquellas empresas que se relaciones con la Administración, reciban subvenciones relevantes u operen en ámbitos donde la exposición a riesgos de integridad sea mayor. En la práctica, esto afectará a una parte considerable de las compañías que interactúan con el sector público. No obstante, el Proyecto de ley de integridad incorpora el principio de proporcionalidad como criterio de aplicación en cuanto a las exigencias del compliance.  En este contexto, las pequeñas empresas que mantengan relaciones con el sector público deberían contar con algunos elementos básicos de control interno.

Empresas extranjeras y grupos internacionales. Las consideraciones anteriores resultan plenamente aplicables —con especial intensidad— a las empresas procedentes de entornos habitualmente calificados como de riesgo elevado. Su incorporación al mercado europeo deberá estar sustentada en sistemas de compliance que presten especial atención al control de normativa y prácticas propias de esos entornos.

A ello se añade el alcance extraterritorial previsto en la Directiva Anticorrupción, que hace exigible una revisión completa de los modelos de cumplimiento de cualquier multinacional con presencia en Europa.

Como síntesis operativa, a partir de ahora los sistemas de compliance habrán de contemplar, entre otros aspectos:

  • Funcionamiento real, preventivo y demostrable; el compliance no puede ser un mero documento.
  • Evidencia clara de una gobernanza adecuada y toma de decisiones trazable.
  • Configuración como obligación de organización y diligencia debida reforzada.
  • Revisión y actualización de mapas de riesgos, incluyendo los nuevos tipos armonizados (enriquecimiento ilícito).
  • Análisis específicos sobre fraude, corrupción y conflictos de interés, con matrices de riesgo desagregadas por países.
  • Salto cualitativo en la due diligence de terceros: enfoque multinivel (país, sector, función, transacción).
  • Reconfiguración de controles internos financieros y no financieros.
  • Política anticorrupción extendida a toda la cadena de suministro.
  • Refuerzo de los canales de denuncia conforme a parámetros más exigentes.
  • Control reforzado de actuaciones con Administraciones Públicas y acceso a fondos o subvenciones.
  • Transparencia en procedimientos de ejecución pública y endurecimiento de las causas de exclusión.
  • Revisión de las pólizas de responsabilidad corporativa a la luz de las nuevas bases de cálculo sancionadoras.

Conclusiones

El deber de vigilancia del Consejo de Administración sobre el modelo de prevención de delitos y el control de la Sociedad no está supeditado al calendario de transposición de la Directiva Anticorrupción: es exigible hoy mismo, conforme al estándar de diligencia del artículo 225 LSC y al propio artículo 31 bis del Código Penal. Ello obliga a realizar un análisis previo sobre el estado del sistema de compliance existente —para adecuarlo— o a implementarlo en caso de que aún no exista.

La sustancia material del programa de Compliance —frente a su mera existencia formal— es el criterio decisivo tanto en la jurisprudencia española consolidada como en el nuevo marco regulatorio, que advierte expresamente contra los programas de cumplimiento de fachada. Es imperativo actualizar los mapas de riesgo, controles de terceros, conflictos de interés, y reforzar los controles anticorrupción.

Los programas de compliance deberán acreditar no solo que existen políticas y procedimientos, sino que son capaces de identificar riesgos, detectar incumplimientos, investigar incidentes, adoptar medidas correctoras y generar una mejora continua de la organización. En definitiva:

El compliance y los sistemas anticorrupción han de ser reales, previsibles, probados, eficaces y con una trazabilidad adecuada.

Quien no lo asegure así, asume un riesgo regulatorio, penal, reputacional y comercial que ninguna organización responsable puede permitirse ignorar

Es necesario, por tanto, una evaluación clara y rigurosa de los sistemas de compliance existente, y una urgente implementacion en caso de no existir.

En este nuevo escenario regulatorio, la cuestión ya no es si las empresas deben contar con un sistema de compliance, sino si ese sistema será capaz de demostrar, llegado el momento, que el Consejo de Administración y la Alta Dirección actuaron con la diligencia exigible. En Pulchra y Estudio de Abogados Martín Villa & Asociados, acompañamos a las organizaciones en el diseño, implantación, revisión y actualización de modelos de compliance eficaces, adaptados a la realidad de cada empresa, integrando la prevención de riesgos en la toma de decisiones estratégicas y en la cultura corporativa. Porque hoy, proteger el valor de la empresa exige también proteger a quienes la dirigen mediante sistemas de cumplimiento que sean reales, proporcionados y plenamente acreditables.

Fecha: 30-06-26