Que una empresa tenga diez empleados, un único administrador y una facturación modesta no la sitúa fuera del alcance del derecho penal corporativo.
Esta premisa, que el magistrado del Tribunal Supremo Julián Sánchez Melgar dejó asentada en la ponencia inaugural del Congreso, vertebró durante toda la jornada los debates del I Congreso de ASCOM sobre Compliance en pequeñas organizaciones, celebrado en el salón de actos del Instituto de Ingeniería de España, en Madrid, bajo el título «Compliance en las Pequeñas Organizaciones».
El evento, articulado en torno a cuatro mesas de trabajo encadenadas, partió de una constatación incómoda: la mayor parte de los modelos de cumplimiento normativo disponibles en el mercado han sido concebidos para grandes corporaciones con estructuras complejas, departamentos jurídicos propios y recursos abundantes.
Trasladarlos sin adaptación a una pyme no solo es inútil, sino contraproducente.
El objetivo del congreso fue precisamente el contrario: demostrar que el Compliance eficaz y defendible es posible en organizaciones pequeñas, siempre que se diseñe con proporcionalidad, rigor y evidencia.
Dos empresas ficticias, un debate real
El grueso de la jornada giró en torno a dos casos prácticos construidos para la ocasión: Zapatos Flulinos, empresa mediana con consejo de administración, alta dirección y cierta madurez organizativa, sirvió como referencia de mayor complejidad; y Termas Zenit, negocio familiar pequeño con estructura concentrada en una administradora única y sus hermanos como apoderados, actuó como contrapunto y como espejo de la realidad de miles de pymes españolas.
La primera mesa, dedicada a Zapatos Flulinos, trabajó, sobre el título «Claves técnicas para realizar una implantación eficaz del sistema de Compliance Penal en una empresa mediana», tres ejes que condicionan cualquier sistema de Compliance: la gobernanza, el alcance de los riesgos y la gestión de terceros.
El debate más vivo se produjo en torno al diseño del Sistema Interno de Información —el canal de denuncias— y el problema del conflicto de intereses en quien lo supervisa.
Se analizaron tres fórmulas posibles: un responsable interno dependiente del consejo, un «Compliance Officer» que asume también esa función, o un comité colegiado con perfiles internos y externos.
La conclusión no fue elegir una opción ganadora, sino identificar qué riesgo concreto introduce cada alternativa y qué mecanismo de control neutraliza ese riesgo de forma creíble.
El caso Termas Zenit planteó un reto distinto y, para muchos asistentes, más cercano. Cuando administración y gestión recaen en la misma persona, cuando los empleados de confianza son también familiares y cuando el margen económico para estructuras sofisticadas es escaso, la pregunta no es qué modelo ideal aplicar, sino cuál es la gobernanza mínima defendible.
La mesa subrayó que en entornos de fuerte proximidad personal la arquitectura formal importa menos que la percepción real de imparcialidad.
Si el informante no cree que su denuncia va a ser tratada con independencia, acudirá a canales externos, debilitando todo el sistema.
Las actas periódicas, el registro de decisiones y el uso de sellos de tiempo para documentar la diligencia de la administradora emergieron como herramientas básicas pero eficaces.
Formación que cambia conductas, no que acumula firmas
La tercera mesa –»Planificación y ejecución de programas de formación y concienciación en pequeñas y medianas organizaciones: supuestos prácticos»– abordó uno de los puntos donde el Compliance de papel es más frecuente: la formación y la concienciación.
La distinción entre ambos conceptos —que la nueva UNE 19601:2025 recoge formalmente— fue el punto de partida. La formación transmite conocimiento aplicable y capacidad de actuación para quienes tienen exposición directa a riesgos.
La concienciación mantiene alerta al conjunto de la plantilla y refuerza hábitos de cumplimiento en el día a día. Confundirlas, o diseñarlas como si fueran lo mismo, es uno de los errores más documentados en organizaciones pequeñas y uno de los más citados en la jurisprudencia cuando se evalúa si un sistema de Compliance era real o meramente formal.
Para las pymes, el congreso propuso metodologías realistas: formaciones breves y participativas basadas en casos reales, píldoras de refuerzo continuo, integración de los mensajes de Compliance en formaciones ya existentes —prevención de riesgos laborales, protección de datos, calidad— y evidencias mínimas pero útiles. No se trata de acumular firmas de asistencia, sino de acreditar comprensión y cambio de conducta observable.
Cómo elegir al consultor externo sin cometer un error de Compliance
La cuarta y última mesa –»La relación profesional entre expertos y pequeñas organizaciones: cuestiones éticas y operativas»– cerró el ciclo con una cuestión práctica que muchas organizaciones pequeñas evitan afrontar con rigor: cómo seleccionar a un consultor externo de Compliance.
La premisa de partida fue clara: externalizar esta función no es una solución automática. Elegir mal al consultor puede producir exactamente el resultado que se quiere evitar, un sistema de papel, sobredimensionado, desconectado de la cultura de la organización y sin capacidad real de defensa ante un tribunal.
El Congreso propuso tratar la contratación del consultor como un proceso de gestión de riesgos en sí mismo. Antes de contratar, la organización debe identificar sus vacíos internos, implicar a la dirección y definir el alcance del proyecto.
Los criterios de selección deben incluir experiencia demostrable en proyectos similares, independencia real respecto a los asesores legales habituales, integridad profesional, conocimiento sectorial y cobertura de responsabilidad civil.
El contrato debe precisar objeto, entregables, plazos, obligaciones de medios y cláusulas de compliance propias. Y el seguimiento debe ser activo, con un responsable interno de enlace, reuniones periódicas y validación de resultados.
Un modelo para quienes no pueden permitirse improvisar
El hilo conductor del congreso fue coherente de principio a fin: el tamaño de una organización puede ser una limitación de recursos, pero no una excusa para renunciar a un sistema de Compliance eficaz, trazable y defendible.
Zapatos Flulinos mostró hasta dónde puede llegar una pyme mediana con voluntad y método.
Termas Zenit demostró que incluso en los entornos más reducidos y familiares es posible construir una gobernanza creíble.
Las mesas de formación y de contratación externa completaron el marco con herramientas concretas y criterios aplicables desde el día siguiente.
Lo que el I Congreso de ASCOM dejó sobre la mesa no fue una declaración de intenciones, sino una hoja de ruta.
Para las miles de pequeñas organizaciones españolas que aún tratan el Compliance como un trámite ajeno a su realidad, el mensaje fue directo: el derecho penal ya no distingue por tamaño.
Pero sí admite que quien se ha organizado bien para evitar el delito tenga una defensa real cuando llega el momento de sentarse frente a un tribunal.
