Un reciente auto de la Audiencia Nacional (AAN 730/2026) ha vuelto a poner de relieve una cuestión clave en materia de responsabilidad penal de las personas jurídicas: la existencia formal de un Modelo de Prevención de Delitos no resulta suficiente, por sí sola, para excluir dicha responsabilidad.

La resolución insiste en la presencia de elementos indiciarios que justifican la continuación de la investigación penal respecto de la entidad, subrayando que el análisis no puede limitarse a la mera existencia documental del modelo, sino que debe atender a su eficacia real.

Desde la perspectiva del Compliance penal, el Auto tiene especial relevancia al afirmar que los modelos de organización y gestión deben funcionar de manera efectiva en el conjunto de la organización. En esta fase procesal, no se trata de determinar cómo debería haberse diseñado idealmente el modelo, sino de apreciar si existen indicios de que no resultaba eficaz en la práctica.

Existencia de un Modelo de Prevención de Delitos

El Auto establece que la Entidad que está siendo investigada disponía de un modelo de prevención de delitos respaldado, además, por informes externos, en los que se afirmaba que “el funcionamiento de los controles para mitigar la comisión de los tipos penales que atraen la responsabilidad de la persona jurídica era correcto”. Así pues, es cierto que el modelo de la entidad incorporaba los elementos previstos en el artículo 31 bis.5 del Código Penal: identificación de actividades de riesgo, protocolos de decisión y ejecución, gestión de recursos financieros, obligación de informar de riesgos e incumplimientos, sistema disciplinario y mecanismos de verificación periódica.

Ahora bien, el Auto pone el acento no en la insuficiencia de su diseño formal, sino en la de su implementación efectiva, en la medida en que no alcanzaba a todos los miembros de la organización.

En primer lugar, y siguiendo los elementos enumerados en el artículo 31 bis.5, en relación con la evaluación de riesgos, dichos informes reconocen que “analiza los diferentes delitos que generan responsabilidad penal de la persona jurídica”, pero lo hace de manera “limitada”, al circunscribirse únicamente a “empleados y demás personas sometidas a su dirección”, dejando al margen de dicha evaluación a la Presidencia Ejecutiva y a la Alta Dirección.

Este extremo resulta especialmente relevante en la medida en que la evaluación de riesgos debe orientarse a identificar los riesgos penales propios de la persona jurídica y los escenarios, tanto reales como potenciales, en los que estos pueden materializarse en el seno de la organización. No se trata de alcanzar una predicción “judicial” exacta de probabilidades de comisión de cada delito —valoración que corresponde en última instancia a los órganos jurisdiccionales—, sino de aproximarse de forma razonable y fiel a la realidad operativa de cada organización, prestando especial atención a aquellos riesgos de mayor entidad o criticidad que, por su naturaleza, requieren un refuerzo de los mecanismos de control y prevención.

En segundo lugar, el Auto también describe la existencia de un Código de Conducta, que debe configurarse como un “protocolo o procedimiento que concreta el proceso de formación de la voluntad de la persona jurídica” de más alto estándar. Sin embargo, afirma que determinadas conductas llevadas a cabo por los miembros de la Alta Dirección de la Organización y que son objeto de la investigación “infringen numerosos preceptos del Código”, sin que ello determinara una reacción eficaz por parte del sistema interno de control, ni tampoco la adopción de medidas de comunicación o sanción.

Asimismo, se constata que la entidad contaba con procedimientos internos en materia de contratación, pagos y facturación, si bien su aplicación práctica resultó insuficiente en determinados casos, permitiendo actuaciones al margen de los controles previstos.

En tercer lugar, respecto del requisito del artículo 31 bis.5. 4.º CP, no puede afirmarse una ausencia absoluta de canales de información interna, pues el propio Auto recoge que en una ocasión se generó una alerta dirigida al departamento de cumplimiento normativo de la organización. Este dato permite sostener la existencia de canales de información interna; sin embargo, su funcionamiento no aparece descrito como homogéneo ni eficaz en toda la organización. En efecto, tal y como señala el propio Auto, una gran pluralidad de empleados conocía y “tuvo a su disposición haber denunciado los hechos”.

Por último, el Auto también hace referencia a la existencia de un departamento de cumplimiento normativo encargado de la supervisión del modelo, lo que confirma que no se trata de una ausencia de Compliance, sino de un déficit en su aplicación efectiva dentro de la organización.

En cuanto a los restantes elementos del artículo 31 bis.5 CP, si bien el Auto no realiza un análisis individualizado de los sistemas de gestión de recursos financieros, del régimen disciplinario o de la verificación periódica del modelo, su propia existencia puede inferirse del hecho mismo de la implantación de un modelo estructurado, sin que ello permita, no obstante, extraer conclusión alguna sobre su intensidad o grado de efectividad en este caso concreto.

Si contaba con un Modelo de Prevención de Delitos… ¿qué falló?

A lo largo del Auto se repasan los distintos elementos del Modelo de Prevención de Delitos de la Entidad y los incumplimientos que se han producido en el mismo, pero haciendo hincapié en que las medidas de prevención existían. Sin embargo, la cuestión determinante no radica en la mera existencia de dichos mecanismos de control, sino en su configuración y, especialmente, en su eficacia real respecto de la Alta Dirección.

Este es el elemento más característico del Auto —y el que explica la negativa al archivo en esta fase—: que el modelo de control no alcanzaba de forma efectiva los niveles superiores de la organización, lo que generaba un espacio en el que las decisiones se adoptaban sin un control real.

En este sentido, la resolución pone de relieve la existencia de una cultura organizativa en la que predominaba la obediencia sobre el cumplimiento, en palabras literales, “la Presidencia Ejecutiva y los Altos Directivos no cumplían, o no respetaban tales Códigos, lo que dio pie al paso de la cultura del cumplimiento a la cultura de la obediencia”. Ello permite explicar que determinadas actuaciones no fueran percibidas como desviaciones aisladas y clandestinas por parte de un individuo que elude los controles establecidos por la organización, sino como parte del funcionamiento interno y ordinario de la entidad, favorecido por la estructura jerárquica y por la ausencia de mecanismos de control efectivos sobre el nivel superior.

En esta línea, el Auto pone de manifiesto que un modelo de prevención idóneo debe tener en cuenta la asimetría propia de las relaciones laborales y evitar que las decisiones de la Alta Dirección queden al margen de control, articulando fórmulas que permitan su supervisión o revisión.

Desde esta perspectiva, y en conexión con el apartado 2 del artículo 31 bis del Código Penal —que exige, para la exención de responsabilidad de la persona jurídica, que los autores individuales hayan cometido el delito “eludiendo fraudulentamente los modelos de organización y prevención” —, las actuaciones investigadas no pueden entenderse como el resultado de una elusión fraudulenta de los mecanismos de control, sino como la manifestación de un déficit estructural del propio modelo, en línea, también, con la evolución jurisprudencial que vincula la responsabilidad penal de la persona jurídica a fallos en los mecanismos de supervisión, vigilancia y control, y no solo a la mera acreditación del delito por la persona física (entre otras, STS 154/2016 y STS 298/2024).

Así, si el modelo no opera de forma efectiva en la cúspide organizativa, difícilmente puede apreciarse la concurrencia de una verdadera elusión fraudulenta en los términos del mencionado artículo 31 bis.2, en la medida en que el defecto no reside en la conducta del sujeto que lo elude, sino en la propia ineficacia del modelo de prevención.

En definitiva, el Auto confirma una línea ya consolidada en la jurisprudencia: no basta con un “Compliance de papel”, esto es, con la mera existencia formal de códigos, procedimientos o controles. Lo verdaderamente relevante es que el modelo sea eficaz en términos reales, que opere de forma efectiva en la organización y que se proyecte de manera transversal en el conjunto de todos sus miembros. En este sentido, la exigencia no se satisface con la implantación formal del modelo como eventual causa de exención de responsabilidad penal, sino que debe orientarse a la prevención y a la generación de una auténtica cultura ética y de cumplimiento, que necesariamente ha de partir de la alta dirección y extenderse al conjunto de la organización, configurándose así como un elemento estructural del sistema de control y no como un mero instrumento formal de defensa.