En el derecho español, cuando un trabajador/a cometía un delito en el seno de su compañía, las penas derivadas de esa infracción recaían solamente sobre sus hombros. Sin embargo, tras la reforma del Código Penal de 2010 se introdujo un nuevo y rupturista concepto jurídico: la responsabilidad penal de las personas jurídicas, posteriormente desarrollado en la reforma del Código Penal de 2015.
Por lo tanto, ¿qué sucede ahora si un dirigente de una organización aprovecha, por ejemplo, su posición dentro del control financiero de la entidad para cometer un fraude? La respuesta es que si no se ha establecido un plan de control sobre las actividades en las que sus empleados pueden cometer ciertos delitos, será tan responsable penalmente como su trabajador. La norma establece que las personas jurídicas pasan a ser responsables, por lo que deben adoptar medidas de prevención para evitar que se cometan los delitos.
Aunque no tiene carácter obligatorio, el único modo que tienen las organizaciones de eximirse o ver atenuada su responsabilidad penal consiste en implementar un sistema de control de cumplimiento normativo que parta de un análisis previo o mapa de riesgos sobre los delitos que son susceptibles de cometerse por razón de su actividad. Del mismo modo que existe la prevención de riesgos laborales, las organizaciones deben continuar con esta mentalidad para lo penal, estableciendo en su cultura corporativa el cumplimiento de buenas prácticas para suprimir o por lo menos minimizar el riesgo de infracción.
