Skip to main content
Prueba Lexiel gratisProbar ahora →
Director de Cumplimiento Normativo: funciones, responsabilidades y régimen legal en España
Compliance11 minEquipo Lexiel

Director de Cumplimiento Normativo: funciones, responsabilidades y régimen legal en España

El Director de Cumplimiento Normativo (CCO) se ha convertido en figura clave tras la Ley 2/2023 y el auge del AI Act. Analizamos sus funciones, responsabilidad penal, relación con el canal de denuncias y las mejores prácticas según COSO y UNE 19601.

complianceLey 2/2023canal denunciasUNE 19601COSOresponsabilidad penal

¿Qué es el Director de Cumplimiento Normativo (CCO)?

El Director de Cumplimiento Normativo (en inglés Chief Compliance Officer (CCO)) es el responsable de que la organización opere dentro del marco legal y ético aplicable. Con la proliferación normativa de los últimos años (RGPD, AI Act, Ley 2/2023, DORA, NIS2), el CCO ha pasado de ser una figura ornamental a un pilar estratégico de la gobernanza corporativa.

Marco legal de referencia

Ley 2/2023 de Whistleblowing

La Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas, obliga a las organizaciones con 50 o más trabajadores a:

  • Implantar un canal de denuncias interno accesible y confidencial.
  • Designar a un responsable del sistema de información (que puede ser el CCO o un cargo equivalente).
  • Establecer una política de protección del denunciante que impida represalias.
  • Registrar el sistema ante la Autoridad Independiente de Protección del Informante (A.A.I.) cuando así lo exija la normativa sectorial.

El incumplimiento puede acarrear multas de hasta 1.000.000 € para personas jurídicas o hasta 300.000 € para personas físicas responsables.

Responsabilidad penal de la persona jurídica: Art. 31 bis CP

El artículo 31 bis del Código Penal estableció la responsabilidad penal de las personas jurídicas. Para exonerarla, la empresa debe demostrar que disponía de un modelo eficaz de organización y gestión («compliance penal») que incluya:

  1. Identificación de actividades en cuyo ámbito puedan cometerse los delitos.

  2. Establecimiento de protocolos o procedimientos de formación y supervisión.
  3. Disposición de recursos financieros para impedir los riesgos identificados.
  4. Obligación de denunciar posibles riesgos e incumplimientos al organismo de vigilancia.
  5. Sistema disciplinario que sancione el incumplimiento.

El organismo de vigilancia (típicamente el CCO o el Comité de Cumplimiento) debe tener poderes autónomos de iniciativa y control para que la exoneración sea efectiva.

UNE 19601: Estándar de Compliance Penal

La norma UNE 19601:2017 proporciona los requisitos para los sistemas de gestión de compliance penal en España. Su certificación:

  • Acredita la existencia de un sistema de gestión conforme al art. 31 bis CP.

  • Facilita la defensa ante procedimientos penales.
  • Puede obtenerse mediante auditoría por entidad acreditada por ENAC.

Funciones del CCO

1. Mapa de riesgos de cumplimiento

Identificar, evaluar y priorizar los riesgos normativos relevantes para la organización: penal, RGPD, laboral, sectorial, ESG.

2. Diseño y mantenimiento de políticas internas

Redactar y actualizar:

  • Código Ético.
  • Política Anticorrupción (Ley 10/1995 y OCDE).
  • Política de Conflicto de Intereses.
  • Política de Privacidad interna (RGPD).
  • Manual de Cumplimiento Penal.

3. Gestión del canal de denuncias

Supervisar la recepción, investigación y resolución de denuncias internas. Garantizar la confidencialidad del denunciante y la no represalia (art. 12 Ley 2/2023).

4. Formación y cultura

Diseñar programas de formación periódica en cumplimiento normativo para toda la plantilla, con especial atención a los cargos directivos y a los empleados en funciones de mayor riesgo.

5. Monitorización normativa

Mantenerse al día con las novedades legislativas (BOE, EUR-Lex, AEPD, CNMC) e identificar nuevas obligaciones en tiempo real.

6. Reporte al Consejo de Administración

Presentar informes periódicos al Consejo o al Comité de Auditoría sobre el estado del compliance, incidencias relevantes y acciones correctoras adoptadas.

COSO: Marco de control interno

El COSO (Committee of Sponsoring Organizations) establece el marco de referencia para el control interno y la gestión de riesgos más ampliamente utilizado a nivel global. Sus cinco componentes:

  1. Entorno de control: Integridad, valores éticos, supervisión del Consejo.

  2. Evaluación de riesgos: Identificación y análisis de riesgos de cumplimiento.
  3. Actividades de control: Políticas y procedimientos para mitigar riesgos.
  4. Información y comunicación: Flujos de información internos y externos.
  5. Actividades de supervisión: Monitorización continua y evaluaciones independientes.

Responsabilidad personal del CCO

El CCO puede incurrir en responsabilidad personal si:

  • Omite reportar infracciones conocidas al Consejo (posible responsabilidad civil por daños).
  • Falsea informes de cumplimiento (posible responsabilidad penal por falsedad documental, art. 390 CP).
  • No adopta medidas razonables ante riesgos conocidos (responsabilidad concurrente con la persona jurídica).

La STS (Sala 2ª) 154/2016 estableció que el órgano de control debe tener poderes suficientes para detectar e impedir incumplimientos. Un CCO sin recursos ni autonomía no puede exonerar a la empresa.

CCO en empresas con IA: AI Act

Con la entrada en vigor del Reglamento (UE) 2024/1689 (AI Act), el CCO deberá:

  • Inventariar todos los sistemas de IA de la organización.

  • Clasificar su nivel de riesgo (Art. 6 + Anexo III).
  • Implementar las obligaciones del proveedor/operador (IA de alto riesgo): evaluación de conformidad, registro en base de datos EU, documentación técnica.
  • Coordinar con el DPO (Delegado de Protección de Datos) para sistemas de IA que traten datos personales.

Conclusiones

El CCO moderno debe combinar conocimiento jurídico multidisciplinar (penal, laboral, RGPD, sectorial), visión estratégica y habilidades de gestión. La digitalización y la proliferación normativa hacen de esta figura un activo crítico, no un centro de coste.

Lexiel permite a los equipos de compliance analizar normativa compleja, redactar políticas internas y mantenerse al día con los cambios normativos en tiempo real, con citación de fuentes oficiales verificadas.

Prueba Lexiel gratis · 28 días

Usa el código LEX-BLOG para obtener el doble del período de prueba estándar. Cancela cuando quieras, sin compromiso.

LEX-BLOG
Comenzar gratis

Actualizaciones jurídicas semanales

Cambios legislativos, jurisprudencia relevante y novedades de Lexiel. Sin spam. Baja cuando quieras.

Cumplimos el RGPD. No compartimos tu email con terceros.