- El cumplimiento de los requisitos de notificación a la AIPI impacta directamente en la arquitectura organizativa y responsabilidades corporativas, entre otras novedades
El año 2025 marca un punto de inflexión en la evolución del compliance corporativo en España y Europa. La confluencia de nuevas normativas, avances tecnológicos y exigencias judiciales más rigurosas está redefiniendo las obligaciones empresariales en materia de cumplimiento normativo, convirtiendo esta disciplina en un elemento estratégico indispensable para la supervivencia y reputación corporativa.
La renovación normativa: UNE 19601:2025 y los estándares ISO
La publicación el pasado 24 de abril de la nueva Norma UNE 19601:2025 sobre sistemas de gestión de compliance penal constituye uno de los hitos más relevantes del año. Esta actualización, que sustituye a la versión de 2017, incorpora cambios sustanciales que reflejan la maduración de la disciplina tras años de aplicación práctica.
Entre las modificaciones más destacadas figura la reubicación de la evaluación de riesgos penales desde la sección de planificación al contexto organizacional, promoviendo una integración más profunda del compliance con los objetivos estratégicos del negocio. Esta transformación subraya que la gestión del riesgo penal no puede concebirse como un ejercicio aislado, sino como parte integral de la gobernanza corporativa.
Paralelamente, la comunidad internacional ha adoptado nuevos estándares que complementan el marco existente. La ISO 37302:2025, publicada en julio, establece por primera vez un sistema estructurado para medir la efectividad de los sistemas de gestión de compliance mediante indicadores que evalúan políticas, cultura organizacional y resultados tangibles. Esta norma responde a la pregunta crítica que juristas y directivos formulan constantemente: ¿cómo demostrar que nuestro programa realmente funciona?
La Autoridad Independiente de Protección del Informante: nueva realidad sancionadora
El 1 de septiembre de 2025 marcó otro acontecimiento trascendental: la puesta en funcionamiento de la Autoridad Independiente de Protección del Informante (AIPI). Este organismo, creado en aplicación de la Ley 2/2023 y la Directiva Whistleblowing, asume competencias sancionadoras que pueden alcanzar el millón de euros por incumplimientos en la implementación de canales de denuncia internos.
Las empresas con 50 o más trabajadores afrontan obligaciones inmediatas: deben notificar a la AIPI la designación de los responsables de sus sistemas internos de información. Este requisito, aparentemente administrativo, tiene implicaciones profundas en la arquitectura del compliance empresarial, pues exige estructuras organizativas específicas y profesionalizadas para gestionar las comunicaciones de irregularidades.
La potestad sancionadora de la AIPI refuerza el mensaje legislativo: los canales de denuncia no son meras formalidades documentales, sino mecanismos operativos que deben garantizar confidencialidad, protección efectiva frente a represalias y tramitación diligente de las comunicaciones recibidas.
Diligencia debida en sostenibilidad: el compliance amplía su perímetro
La entrada en vigor de la Directiva (UE) 2024/1760 sobre diligencia debida en materia de sostenibilidad representa una expansión significativa del ámbito tradicional del compliance. Las empresas de mayor dimensión deben ahora implementar procesos sistemáticos para identificar, prevenir y mitigar efectos adversos sobre derechos humanos y medio ambiente en sus cadenas de actividad, incluyendo proveedores directos e indirectos.
Este nuevo paradigma exige la adopción de políticas de diligencia debida que comprendan seis etapas: integración en políticas y sistemas de gestión, detección y evaluación de efectos adversos, prevención y minimización de impactos, supervisión de la eficacia, comunicación y reparación. La responsabilidad civil derivada del incumplimiento puede extenderse solidariamente a filiales y socios comerciales, amplificando exponencialmente el riesgo corporativo.
La interconexión entre compliance penal, sostenibilidad (ESG) y gestión de terceros constituye una de las tendencias definitorias de 2025. Las organizaciones deben ahora evaluar a proveedores no solo por criterios financieros o de calidad, sino también por su desempeño ético, laboral y medioambiental, implementando controles robustos en toda la cadena de suministro.
Inteligencia Artificial: oportunidad y desafío para el compliance
La integración de la inteligencia artificial en los programas de compliance ofrece capacidades sin precedentes para el análisis de grandes volúmenes de datos, detección de patrones anómalos y monitorización continua de transacciones. Sin embargo, el Tribunal Supremo ha advertido que la mera implementación tecnológica no garantiza la exención de responsabilidad penal si no se acompaña de una gobernanza humana efectiva y una cultura organizacional de cumplimiento.
La reforma penal de 2025 ha tipificado específicamente delitos cometidos mediante inteligencia artificial, incluyendo la creación de deepfakes, suplantación de identidad digital y automatización de conductas fraudulentas. Esta evolución legislativa obliga a las empresas a incorporar en sus mapas de riesgo las amenazas emergentes asociadas al uso de IA, tanto por terceros maliciosos como por aplicaciones internas inadecuadamente supervisadas.
Jurisprudencia del Tribunal Supremo: Criterios de Efectividad
El año 2025 ha presenciado un desarrollo jurisprudencial intenso en materia de responsabilidad penal de personas jurídicas. Las sentencias 768/2025 y 836/2025 del Tribunal Supremo han modificado nuevamente el criterio sobre la carga probatoria de la eficacia de los modelos de compliance, retornando a la doctrina que exige a la acusación demostrar el incumplimiento grave de los deberes de supervisión, en lugar de imponer a la defensa la prueba de la eficacia del programa.
Esta oscilación jurisprudencial, aunque criticada por generar inseguridad jurídica, refuerza un mensaje inequívoco: los tribunales examinarán con rigor creciente si los programas de compliance son efectivos en la práctica o meras declaraciones formales desprovistas de aplicación real. La existencia documental de políticas, códigos éticos y protocolos resulta insuficiente si no se acredita su implementación genuina, su conocimiento por parte de la organización y su efectiva supervisión por órganos autónomos.
Cultura Ética: El Fundamento Invisible del Compliance
Más allá de las estructuras normativas y los controles procedimentales, emerge en 2025 con particular intensidad el concepto de cultura ética organizacional. La ISO 37302 dedica atención específica a medir cómo los valores de integridad permean efectivamente los comportamientos cotidianos de la organización, reconociendo que ningún sistema de compliance prospera sobre el miedo a las sanciones, sino sobre el compromiso voluntario arraigado en la identidad corporativa.
El liderazgo ejemplar desde los órganos de gobierno, la comunicación transparente, la formación continua y los canales de denuncia accesibles constituyen pilares insustituibles de esta cultura. Las organizaciones más avanzadas están transitando de modelos reactivos basados en el control a modelos proactivos fundamentados en la prevención y el fomento de comportamientos éticos intrínsecos.
Reflexión Final: Compliance como Ventaja Competitiva
El compliance en 2025 ha dejado definitivamente de ser percibido como un coste regulatorio para convertirse en un activo estratégico que genera valor mediante la reducción de riesgos, el fortalecimiento reputacional y la confianza de stakeholders. Las empresas que adopten una visión integral —articulando tecnología, procesos, gobernanza y cultura— no solo cumplirán con obligaciones legales crecientemente exigentes, sino que se posicionarán ventajosamente en mercados que valoran cada vez más la transparencia, la responsabilidad y la sostenibilidad.
La convergencia de nuevas normas técnicas, autoridades supervisoras especializadas, exigencias de diligencia debida ampliada, capacidades tecnológicas avanzadas y jurisprudencia rigurosa configura un ecosistema de compliance maduro y complejo. Navegarlo exitosamente requiere visión estratégica, compromiso genuino desde la cúpula directiva y profesionalización de las funciones de cumplimiento normativo. El año 2025 no es solo un punto de llegada en la evolución del compliance corporativo, sino el umbral de una nueva era donde integridad y excelencia empresarial resultan indisociables.
