La responsabilidad penal de las personas jurídicas se introdujo en nuestro ordenamiento jurídico con la reforma del código penal del año 2010, modificado en el año 2015, regulando la exoneración de esa responsabilidad si la persona jurídica dispone de un modelo de organización y gestión para prevenir la comisión de delitos aprovechando las estructuras empresariales.
El artículo 31bis del código penal regula algunos requisitos de ese modelo, como son haber realizado una evaluación de riesgos penales, establecer protocolos para la formación de la voluntad en la toma de decisiones, disponer de modelos de gestión de los recursos financieros, disponer de un órgano de vigilancia, establecer un régimen disciplinario para incumplimientos de los protocolos de actuación, establecer la obligación de informar de incumplimientos de los protocolos y supervisar el funcionamiento del sistema de prevención.
Esos requisitos, dependiendo de quién los lea y cómo los entienda pueden resultar insuficientes. Es por ello que se ha elaborado la norma UNE 19601 que pretende completar los requisitos del modelo de prevención establecidos en el código penal, y que se ha alineado con las normas de alto nivel para favorecer su integración con otros sistemas de gestión (9001, 14001, 27001, etc.).
Si bien la certificación en compliance no es un elemento que pueda per se exonerar de responsabilidad penal como apunta la Fiscalía en su Circular 1/2016, no deja de ser un elemento de juicio más para que los juzgados y tribunales puedan apreciar que se dispone de un modelo preventivo, sirviendo además para la evaluación de la eficacia y eficiencia del mismo sin perjuicio de los controles internos que las empresas puedan desarrollar.