RESPONSABILIDAD PENAL CORPORATIVA Y DELITOS MEDIOAMBIENTALES: EL PAPEL DE LOS MAPAS DE RIESGO[1]

Corporate criminal liability and environmental crimes: the role of risk maps

Miguel Bustos Rubio[2]

Profesor Titular de Derecho Penal

Universidad Internacional de La Rioja, Logroño. España

https://orcid.org/0000-0003-0686-649X

https://doi.org/10.18543/ed.3443

Fecha de recepción: 23.09.2025

Fecha de aprobación: 16.12.2025

Fecha de publicación en línea: diciembre 2025

Resumen

La responsabilidad penal de las personas jurídicas y la delincuencia medioambiental aparecen íntimamente imbricadas en la práctica, toda vez que las empresas pueden ser causantes de peligros y daños al medioambiente con relativa frecuencia. La exigencia de un programa de cumplimiento medioambiental para las empresas exige tener muy en cuenta las particularidades y dificultades añadidas que aparecen en el sector normativo relativo a la protección del medioambiente y los recursos naturales, que combina la existencia de delitos muy técnicos con normas y sanciones de carácter administrativo. En el centro de estos programas de cumplimiento se sitúan los mapas de riesgos, que, si son eficaces, pueden determinar en la práctica la exención o atenuación de la pena aplicable a la empresa. En este trabajo se analizan todas estas cuestiones, y se centra la exégesis en las tres fases que componen el mapa de riesgos medioambiental: identificación, evaluación y gestión del riesgo.

Palabras clave

Programa de cumplimiento penal, mapa de riesgos, delitos medioambientales, responsabilidad penal corporativa.

Abstract

Corporate criminal liability and environmental crime are closely linked in practice. Companies can often cause environmental hazards and damage. The requirement that companies have an environmental compliance program requires an understanding of the difficulties that exist in the regulatory field of environmental protection. This area of law combines complex offenses with administrative regulations and sanctions. Risk maps are at the heart of these compliance programs, and if effective, they can effectively determine the exemption or reduction of the penalty applicable to the company. This paper analyzes all these issues, focusing on the three phases that comprise the environmental risk map: identification, assessment, and management.

Key Words

Criminal compliance program, risk map, environmental crimes, corporate criminal liability.

Sumario: I. Responsabilidad penal corporativa y delitos contra los recursos naturales y el medioambiente. II. El Compliance Program ambiental. III. El mapa de riesgos penales como herramienta de Compliance. 1. Identificación de riesgos penales. 2. Evaluación del riesgo: probabilidad e impacto. 3. Gestión y tratamiento del riesgo. IV. El diseño del mapa de riesgos ambientales. 1. Dos irregularidades previas. 2. Complejidades propias de los delitos medioambientales. 3. El risk mapping medioambiental. 3.1. Identificación de riesgos ambientales. 3.2. Evaluación de riesgos ambientales. 3.3. Gestión de riesgos ambientales. V. Conclusiones. VI. Referencias.

I. RESPONSABILIDAD PENAL CORPORATIVA Y DELITOS CONTRA LOS RECURSOS NATURALES Y EL MEDIOAMBIENTE

La introducción de la responsabilidad penal de las personas jurídicas en el ordenamiento jurídico español a través de la reforma del Código Penal del año 2010 (Ley Orgánica 5/2010) supuso un cambio de paradigma en el tratamiento penal de los delitos cometidos en el seno de las organizaciones. El sistema de responsabilidad penal empresarial es relativamente novedoso en nuestro sistema jurídico y, en general, en los sistemas penales del ámbito continental más próximo. No ocurre lo mismo con el modelo anglosajón, y específicamente el estadounidense (Fernández Castejón, 2017: 157 y ss.), donde este tipo de atribución de responsabilidad criminal a la empresa data de antiguo[3]. En estos sistemas, incluso, es posible encontrar que el estudio de los environmental compliances constituye una materia específica de estudio y tratamiento, en la que entre los clásicos corporate risks los ilícitos ambientales ocupan un lugar primordial, toda vez que el medioambiente responde a los rasgos de un sector regulado. En EEUU, por ejemplo, existe toda una estructura administrativa dedicada a fijar los estándares del riesgo permitido, lo que facilita enormemente la tarea de configurar los modelos de prevención en este tipo de delitos (Górriz Royo, 2019: 36).

Esta transformación normativa en el Código Penal español tuvo una relevancia especial en sectores como el medioambiental, donde las actividades empresariales pueden generar importantes daños colectivos, en numerosas ocasiones difíciles de imputar únicamente a personas físicas individualizadas (Muñoz Conde, García Álvarez, López Peregrín, 2025: 303). Ello al calor de la consideración e importancia que ha cobrado en los últimos años la necesaria protección del medioambiente y los recursos naturales, contrariamente a lo acontecido en el pretérito sistema penal orientado en exclusiva a la tutela de bienes jurídicos personales e individuales. No en vano, autores como Schünemann (2012: 437) consideran que el delito ambiental constituye hoy el “arquetipo del delito”, que puede definirse como “la irreversible explotación abusiva o destrucción de recursos naturales, que lesiona los principios de equidad intergeneracional”.

La tutela penal del medio ambiente ya aparece consagrada en el art. 45 de la Constitución Española[4], que fue una de las primeras en referirse a él como realidad digna de protección jurídica (Suárez-Mira Rodríguez, 2011: 55 y ss.) y expresamente jurídico-penal. Para algunos sectores de la doctrina, este precepto más que un principio rector de la política social y económica deviene como un auténtico derecho (Cuadrado Ruíz, 2012: 641-642). El legislador penal español del año 2010 incorporó en el catálogo de delitos que podían generar responsabilidad penal a las personas jurídicas los delitos medioambientales, en una clara vinculación con la normativa comunitaria sobre la materia (De la Mata Barranco, 2013: 198 y ss.; Iglesias Skuli, 2011: 35 y ss.), y también, directa o indirectamente, con la internacional (Roldán Barbero, 2012: 143 y ss.). En concreto, con el art. 6 de la Directiva 2008/99/CE, introduciendo penas de multa en el art. 327 CP (en relación con el delito contra el medioambiente del art. 325 CP), y otras penas de multa en el art. 328,6 CP. Más tarde, ya en la reforma operada por Ley Orgánica 1/2015, de 30 de marzo, el legislador optó por reubicar y unificar en una sola cláusula la referencia a dicha responsabilidad, en el art. 328 CP, haciéndola extensiva a cualesquiera delitos de los comprendidos en el Capítulo III del Título XVI del Libro II del Código Penal.

En este sentido, el reconocimiento de la responsabilidad penal corporativa ha sido fundamental para cerrar espacios de impunidad frente a conductas estructurales que comprometen la protección del entorno natural. En palabras de Nieto Martín (2011: 498) “las propias empresas multinacionales a través de la autorregulación plasmada en sus códigos éticos se autoproclaman ciudadanos responsables de evitar la comisión de los delitos de corrupción, el medio ambiente o las infracciones a los derechos humanos”.

Para muestra, un botón sobradamente conocido: en septiembre del año 2015 salió a la luz que la empresa Volkswagen había instalado un software con el objetivo de alterar los resultados de los controles técnicos de emisiones contaminantes en sus vehículos de motor diésel vendidos entre los años 2006 y 2015. Volkswagen se declaró culpable ante el Departamento de Justicia de los Estados Unidos, respecto de la acusación de estafa y violación de la Ley de Aire Limpio, entre otras. Como detallan Ramírez Barbosa y Ferré Olivé (2019: 41) “los cargos surgen del esquema de larga duración de la compañía para vender aproximadamente 590.000 vehículos diésel en los EE. UU. mediante el uso de un dispositivo de desactivación para engañar en las pruebas de emisiones exigidas por la Agencia de Protección Ambiental de Estados Unidos y la Junta de Recursos del Aire de California, y mentir y obstruir la justicia para promover el delito”. Además de la dimisión de su director ejecutivo, la empresa Volkswagen fue obligada al pago de una multa millonaria y, según el acuerdo de culpabilidad, acordó cooperar en la investigación y enjuiciamiento en curso de las personas responsables de los hechos y someterse a un control independiente. También se les exigió la designación de un oficial de cumplimiento corporativo para la supervisión de la empresa durante tres años. Como añaden estos autores en su análisis del caso: “además de los compromisos derivados de la judicialización penal de la empresa, sus directivos se comprometieron a implementar la estrategia de ‘cuatro ojos’, donde siempre serán dos personas las que desarrollen los dispositivos de control de los motores, al tiempo que las pruebas de emisiones del grupo se harán de forma externa e independiente. Los órganos de dirección de la empresa desarrollaron un plan estratégico, que incluye una reorganización estructural y de los miembros de la directiva”.

Los delitos contra los recursos naturales y el medio ambiente, regulados en los artículos 325 y siguientes del Código Penal español, presentan, pues, una especial relación con la actividad empresarial. Es frecuente que la comisión de este tipo de ilícitos se produzca en el marco de procesos industriales, productivos o logísticos donde intervienen múltiples órganos y diferentes niveles jerárquicos. De ahí que la responsabilidad penal de la persona jurídica no solo sea procedente sino necesaria para asegurar una respuesta penal eficaz y disuasoria. La propia estructura organizativa de la persona jurídica, sobre todo en el caso de empresas de grandes dimensiones (aunque no solo) puede ocultar decisiones peligrosas para el bien jurídico tutelado bajo una apariencia de fragmentación funcional, lo que justifica sobradamente su imputación directa cuando se evidencia una falta de cultura de cumplimiento, o compliance (Gómez-Jara Díez, 2010; Silva Sánchez, 2013: 100).

En efecto, como ocurre en general con la norma penal, la relevancia de la responsabilidad penal de la empresa en los delitos medioambientales no solo radica en su capacidad sancionadora, sino también en su eficacia preventiva. La posibilidad de que la persona jurídica sea penalmente perseguida incentiva la adopción de programas de compliance programs ambientales y sistemas de gestión responsables. El Derecho Penal, en este contexto, opera no solo como mecanismo de represión, sino como herramienta de gobernanza reguladora. Y ello en el marco en el que la mayoría de la doctrina, al menos en España, ubica la institución de la responsabilidad penal de las personas jurídicas en nuestro modelo normativo, que tendría por fin estimular comportamientos proactivos de autorregulación en el seno de la propia empresa, especialmente en sectores con alto riesgo de daño ecológico para el caso de los delitos medioambientales (Velasco Núñez y Saura Alberdi, 2016).

La exigencia de cumplimiento normativo que trajo consigo la responsabilidad penal de las personas jurídicas en el ordenamiento español exige a las empresas un principio de proactividad, esto es, la obligación de adoptar una serie de medidas y controles de diverso tipo, adaptadas a la naturaleza, ámbito y fines de la propia empresa, que le permitan demostrar que su comportamiento preventivo y de control ha sido suficiente (Simón Castellano, 2020: 32). Sobre ello volveremos de inmediato.

La Circular 1/2016 de la Fiscalía General del Estado ya subrayó la importancia de que los programas de cumplimiento devengan específicos, eficaces y adaptados a la realidad de cada empresa. Es algo que, por otra parte, ya establece el propio art. 31 bis, en su apartado 5, cuando determina las exigencias que ha de cumplir un programa de cumplimiento normativo en el ámbito de la empresa, que en el futuro pueda servir de eximente o atenuante de responsabilidad penal para la propia persona jurídica. En concreto esos programas: “1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. 2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos. 3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. 4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. 5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. 6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”[5].

En el ámbito medioambiental lo anterior implica una evaluación minuciosa de los riesgos asociados a vertidos, emisiones, gestión de residuos, uso de recursos naturales o incumplimiento de autorizaciones administrativas, en función del delito que se trate de prevenir. La falta de diligencia en estos aspectos no solo expone a la empresa a sanciones administrativas o civiles, sino también a una respuesta propiamente penal que puede incluir multas, disolución o suspensión de actividades, conforme al artículo 33.7 del Código Penal (Fuentes Osorio, 2023: 77 y ss.).

Desde el plano doctrinal se ha puesto de relieve que la responsabilidad penal corporativa no debe entenderse como una excepción al principio de culpabilidad, sino como una manifestación moderna de la responsabilidad por el hecho propio, en tanto que la persona jurídica, como ente autónomo, puede incumplir sus deberes de control y prevención. En este sentido, la omisión de medidas adecuadas de vigilancia y la inexistencia de protocolos internos constituyen formas de culpabilidad organizacional relevantes para el Derecho Penal contemporáneo, especialmente en materia medioambiental, donde los efectos, como adelantamos supra, pueden resultar masivos, persistentes y de difícil reparación.

Aunque adentrarnos en el fundamento último de este sistema de responsabilidad penal empresarial superaría con creces el objeto directo de la presente investigación, conviene señalar, de manera muy resumida, las diferentes líneas interpretativas al respecto, que han sido patrocinadas desde la doctrina (Bajo Fernández, Feijoo Sánchez, Gómez-Jara Díez, 2016). Así, de un lado, se ha defendido que, efectivamente, las empresas poseen una culpabilidad propia, diferente y autónoma de la responsabilidad penal de las personas físicas. Se defiende desde esta perspectiva que al cometerse un determinado delito la persona jurídica manifiesta una culpabilidad propiamente penal, que debe serle reprochada. En esencia: la persona jurídica es penalmente responsable por ser culpable tras la comisión de un delito. De otro lado, otro sector de la doctrina ha venido defendiendo que debe desligarse este régimen de atribución de responsabilidad penal a las personas jurídicas de consideraciones culpabilísticas, debiendo responder la persona jurídica por un defecto de organización, que es el que ocasiona la producción de delitos. Este modelo opone a la tesis anterior la dificultad para declarar una culpabilidad propia de un ente ficticio (aunque necesario), como es la persona jurídica, en un modelo penal que se asienta sobre una teoría del delito especialmente diseñada para las personas físicas. Este defecto de organización responde a un modelo tradicional de corte anglosajón: así en EE. UU. se habla de la organizational negligence, o en el Reino Unido de la management failure. En esencia: la persona jurídica sería penalmente responsable no directamente por la comisión del delito, sino por no haberse organizado correctamente para evitarlo o prevenirlo. Es lo que da lugar al modelo de compliance, que exige a las empresas diseñar, implementar y dar seguimiento (actualizarlo, ampliarlo, derogarlo) a los llamados “programas de cumplimiento” o compliance programs, y de poner al frente a personas o departamentos dentro de la empresa que se encargan de ese seguimiento y supervisión (los conocidos como compliance officers).

Esta discusión dual sobre dónde reside el particular fundamento del sistema de responsabilidad penal de las personas jurídicas conduce igualmente a otra doble disyuntiva: para algunos autores nos encontramos ante un modelo de heterorresponsabilidad, en el que la responsabilidad penal de la persona jurídica se basa en una transferencia de responsabilidad derivada de la actuación de personas físicas, como directivos o subordinados. Se trata de una postura que defiende que el sistema actual se aparta del modelo tradicional de atribución de responsabilidad criminal previsto y diseñado para la persona física, pudiendo responder ahora la persona jurídica por hechos de terceros que no le son propios. Empero, esta idea choca frontalmente con uno de los principios básicos del modelo penal como es el principio de responsabilidad por el hecho, o principio de personalidad, que impide atribuir responsabilidad penal a un sujeto por los hechos delictivos cometidos por otros. Por otro lado, otros autores conciben que el modelo español es un modelo de autorresponsabilidad, en el que la atribución de responsabilidad penal a la persona jurídica se apoya en un hecho propio de aquella, cometido por esta y no por terceros sujetos, (bien por una culpabilidad directa, bien por un defecto de organización, como ya se expuso). En términos generales la autorresponsabilidad derivaría, según la doctrina mayoritaria, del hecho de no haberse autoorganizado para prevenir la comisión de delitos. El problema de esta línea interpretativa es que subsisten algunas barreras que impiden acomodar el modelo de atribución de responsabilidad penal de la persona jurídica en un marco normativo, como se dijo, más tradicional pensado para las personas físicas. Permanecen incólumes, pues, las siguientes cuestiones: ¿cómo puede encajar la conducta de la empresa, ente ficticio, en la teoría de la acción penal? ¿Cómo puede hacerse responder a la persona jurídica a título de dolo o imprudencia? ¿Cómo casa este modelo con el principio de culpabilidad previsto para la persona física? (Nieto Martín, 2008).

Empero, como decíamos, adentrarnos en el fondo de esta importante discusión sobre el fundamento del modelo español de responsabilidad penal empresarial excedería con mucho el objetivo de este trabajo, que pasa por, primero, destacar la importancia del sistema penal corporativo en el ámbito de los delitos medioambientales, y segundo, centrar el análisis en el que a nuestro juicio resulta el epicentro fundamental en orden a la prevención del delito medioambiental en el seno de este modelo de compliance: los mapas de riesgo.

En síntesis, podemos afirmar que la responsabilidad penal corporativa se erige hoy como un instrumento indispensable en la lucha contra los delitos medioambientales, especialmente desde la óptica preventiva. Su aplicación permite adaptar la respuesta punitiva a la realidad del riesgo empresarial y reforzar la protección de bienes jurídicos colectivos esenciales, máxime en la actualidad donde los bienes jurídicos de nueva generación han cobrado especial protagonismo y conciencia, como es el caso del medioambiente (Fuentes Osorio, 2021: 73 y ss.; Vercher Noguera, 2024: 52 y ss.), bien sea desde una perspectiva antropocéntrica, como medio indispensable para la vida y desarrollo de las personas, bien desde una perspectiva ecocéntrica, en la que se señala al propio entorno natural como objeto directo de tutela penal por sus propias características y significación, aunque lo más habitual es encontrar posturas eclécticas o intermedias (Silva Sánchez y Montaner Fernández, 2012: 26-27; Alzina Lozano, 2023: 140; Górriz Royo, 2015: 35 y ss.; De Luis García, 2019: 137 y ss.). Además, actúa como motor de cambio en la cultura empresarial, promoviendo estructuras internas más responsables, sostenibles y respetuosas con el medio ambiente. El avance hacia una empresa penalmente responsable, como ha ocurrido en nuestro ordenamiento jurídico desde la incorporación de la responsabilidad penal de la persona jurídica en el año 2010 resulta, en última instancia, una auténtica garantía para el interés general y, en concreto y a lo que nuestros efectos interesan, una exigencia para la preservación de un Estado de Derecho ambiental[6].

II. EL COMPLIANCE PROGRAM AMBIENTAL

Como fácilmente se colige a partir de las líneas previas, gran parte del modelo español de responsabilidad penal de las personas jurídicas se apoya en el mandato de que las mismas se autoorganicen internamente para prevenir y evitar la comisión de delitos. Esto conduce a implementar un modelo de cumplimiento ético-empresarial, que en la terminología anglosajona se conoce como compliance program o programa de cumplimiento (Fernández Teruelo, 2020), que procede de la expresión “to comply with”, esto es, “cumplir con”. En palabras de Kuhlen (2013: 51) el compliance es el resultado de la suma de medidas “mediante las cuales las empresas pretenden asegurarse de que sean cumplidas las reglas vigentes para ellas y su personal, que las infracciones se descubran y que eventualmente se sancionen”. Programa que deberán tener diseñado, implementado y controlado las personas jurídicas que quieran evitar incurrir en esta responsabilidad penal, y cuyo seguimiento y modificación se atribuye a un órgano autónomo dentro de la persona jurídica (que puede ser unipersonal o colegiado), y que se conoce como compliance officer (a salvo de que se trate de una empresa de pequeñas dimensiones, en cuyo caso tales funciones puede llevarlas a cabo el propio órgano de administración de la persona jurídica). La introducción de este régimen tuvo como resultado dos consecuencias prácticas de importancia: por un lado, la obligación actual de que todas las personas jurídicas a las que se aplica el modelo posean un programa de cumplimiento eficaz para la prevención de delitos, y, por otro, la creación o surgimiento de una nueva figura que tendrá suma relevancia en el mundo económico-empresarial, el oficial de cumplimiento.

El compliance program posee una trascendencia fundamental situándose en el epicentro del modelo de atribución de responsabilidad penal a las personas jurídicas. Tiene implicaciones positivas, al suponer un filtro de control y prevención de delitos a futuro (con funciones eminentemente preventivas), contando con unos requisitos mínimos que, como ya adelantamos más arriba, introdujo el legislador penal de 2015 en el propio Código Penal[7], y también evita consecuencias negativas, pues si es correcto y eficaz podrá suponer la completa exención de responsabilidad penal o, en su caso, servir como atenuante si no se dan por completo todas las condiciones (González Cussac, 2020).

El término “cumplimiento normativo” o compliance deviene en un concepto jurídico indeterminado, incluso tras la reforma que en el año 2015 incorporó al Código Penal unos requisitos mínimos que tales programas deberían contener (y que de inmediato desgranaremos). Y ello porque, aún con dicha reforma, el grado de cumplimiento solo podrá valorarse de modo correcto observando las características y particularidades de cada empresa (Simón Castellano, 2020). En el caso de las empresas que puedan causar daños medioambientales, habrá de valorarse si su grado de cumplimiento resulta suficiente en relación con el control, aseguramiento y prevención de dichos daños o peligros.

Como han destacado entre nosotros Ramírez Barbosa y Ferré Olivé (2019: 51) “la criminalidad corporativa se relaciona con el compliance y la existencia de sistemas internos de detección de las conductas contrarias a la norma, la implementación de adecuados programas de cumplimiento regulatorio y la adopción de estrategias empresariales para anticipar la intervención preventiva frente a la comisión del delito. Ello supone la existencia de un sistema de alertas tempranas en las compañías, las cuales deben articularse para garantizar la injerencia legal anticipada frente a las causas y a los factores que propician la realización de los delitos”.

Los requisitos mínimos que hoy debe cumplir un programa de cumplimiento son los siguientes (Gómez Tomillo, 2015):

En primer lugar, las personas jurídicas han de identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. No todas las personas jurídicas desarrollan las mismas funciones ni se dedican a las mismas finalidades, por lo que el modelo de compliance debe comenzar por identificar y explicar al detalle qué actividades desarrolla la empresa y qué delitos pueden ser cometidos en el despliegue de estas (risk assessment). En el ámbito de los delitos medioambientales, las empresas que puedan generar riesgos para el medioambiente o los entornos naturales habrán de identificar tales peligros con precisión en sus modelos de compliance. Este primer elemento resulta de especial interés a los efectos de nuestra investigación, pues es en el que se van a enmarcar los conocidos como mapas de riesgo.

En segundo lugar, las empresas han de establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de estas con relación a aquéllos. El compliance program, por tanto, debe recoger el régimen de funcionamiento interno de la persona jurídica, y explicar cómo se adoptan y ejecutan las decisiones en su seno, especificando el organigrama y funciones y competencias de sus miembros. Esto permitirá identificar, en su caso, dónde existen problemas que han de ser subsanados. Por ejemplo, esto resultará útil en el caso de los delitos medioambientales al momento de identificar el departamento o persona responsable en esta materia.

En tercer lugar, las personas jurídicas deberán disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Esto implica que el modelo de cumplimiento debe contar con un sistema de gestión que vigile y controle la utilización de los recursos financieros de la empresa, elemento central del sistema de responsabilidad penal de la persona jurídica.

En cuarto lugar, las personas jurídicas deberán imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. De este modo, se debe materializar en el programa de cumplimiento el modo o sistema por el que cualquier persona que conozca irregularidades en el seno de la empresa pueda comunicarlos al compliance officer. Solo recibida esa información el oficial de cumplimiento podrá llevar a cabo su tarea con eficacia, y solo así podrá funcionar correctamente el modelo preventivo.

En quinto lugar, el Código Penal dispone que las empresas deberán establecer un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. Esto es, el compliance program debe disponer de un apartado propio de sanciones aplicables ad intra en caso de incumplimientos.

Ya, por último, las empresas tendrán que realizar una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. Y ello porque el modelo de compliance es un modelo dinámico, no estático: el programa de cumplimiento debe ser vigilado, modificado y adaptado en su caso a los cambios que se puedan producir en la actividad empresarial, para hacer frente a la comisión de delitos de un modo eficaz.

Una vez enumerados los requisitos legales del modelo de compliance program, en adelante nos centraremos en analizar uno de los elementos básicos y nucleares de este modelo de cumplimiento y prevención de delitos en el marco de los injustos contra el medioambiente y los recursos naturales: el mapa de riesgos.

III. EL MAPA DE RIESGOS PENALES COMO HERRAMIENTA DE COMPLIANCE

Como ha advertido entre nosotros Matallín Evangelio (2022: 65) “no basta con tener un programa cualquiera para conseguir los efectos señalados, sino que, como demuestra la práctica jurisprudencial, la existencia formal de un modelo de organización y gestión puede resultar inoperante, si el mismo no merece el calificativo de eficaz, lo que sucede, en no pocas ocasiones, aunque las empresas hayan invertido muchos recursos en su elaboración”. De ahí la importancia del mapa de riesgos, que, aunque no resulta una herramienta de preceptiva implementación (al menos no lo exige de manera expresa el Código Penal español) deviene fundamental a la hora de exponer los riesgos generales de la entidad, sus consecuencias e impacto, sobre la base de un cálculo probabilístico de ocurrencia, como de inmediato veremos.

El mapa de riesgos penales (risk mapping) constituye una herramienta esencial dentro del modelo de prevención penal o compliance de una persona jurídica (González Cussac, 2019: 341). Su objetivo principal es identificar, evaluar y priorizar los riesgos delictivos a los que se expone la organización en función de su actividad, estructura interna y sector económico en el que opera o participa. Desde una perspectiva jurídico-penal, el mapa de riesgos permite anticipar escenarios de comisión de delitos imputables a la persona jurídica, lo cual resulta especialmente relevante para cumplir con las exigencias del artículo 31 bis del Código Penal. De este modo, el mapa se convierte en el eje sobre el que se edifica todo el sistema de cumplimiento normativo, al permitir implementar controles adecuados que prevengan infracciones penales y, en su caso, sirvan de base para una eventual exoneración de responsabilidad (Rodríguez, Piñero, Del Llano, 2013).

La implementación de un compliance program penal eficaz implica necesariamente en la práctica la elaboración de un mapa de riesgos, que no deja de ser un documento que refleja la realidad organizativa y económica de la empresa, y explica cómo se desarrollará verdaderamente el control interno en la misma.

La base legal de esta herramienta se encuentra, como es fácil averiguar, en el ya analizado artículo 31 bis 5 del Código Penal, que, como se ha visto, alude en su conjunto a los requisitos que debe cumplir un modelo de organización y gestión para que la persona jurídica pueda quedar exenta de responsabilidad penal. Entre ellos, se exige expresamente la identificación de las actividades en cuyo ámbito puedan cometerse los delitos que deben ser prevenidos. En este contexto, el mapa de riesgos penales es la expresión técnica y metodológica de dicho requisito, ya que permite detectar las zonas críticas o vulnerables desde el punto de vista penal, lo que habilita a diseñar mecanismos específicos de control y vigilancia (León Alapont, 2020: 478). Así, la elaboración de un mapa de riesgos penales no es un simple ejercicio formal, sino un elemento sustancial que refleja la voluntad de la empresa de adoptar una cultura real de cumplimiento.

En palabras de Ramírez Barbosa y Ferré Olivé (2019: 86) debe diseñarse “una hoja de ruta que consigne una descripción detallada de lo que se hará para autorregularse favoreciendo el cumplimiento de la ley y el respeto de la ética empresarial. Obviamente no existe total libertad para desarrollar estos documentos, si se pretende que cumplan los objetivos exonerantes o atenuantes que consagra el Código Penal. Debe respetarse el marco normativo general, conciliando las peculiaridades de la actividad y procesos productivos de la empresa (su riesgo específico) y las reglas de ordenación estatal”. Pero, como añaden acertadamente estos autores, la cuestión se torna aún más compleja cuando entran en juego otras normativas y regulaciones sectoriales que también han de ser tenidas en cuenta en la elaboración del mapa de riesgos (como ocurre, verbigracia, con las recomendaciones del Grupo de Acción Financiera Internacional, el GAFI, en el ámbito propio del blanqueo de capitales). Sobre las dificultades que acontecen en el ámbito propio de los delitos medioambientales volveremos más adelante.

La construcción del mapa de riesgos penales implica un proceso técnico que se desarrolla en tres etapas, que a continuación se analizan.

1. Identificación de riesgos penales

En primer lugar, debe procederse a la identificación de los riesgos penales, esto es, la determinación de los tipos delictivos del Código Penal que pueden ser cometidos por la persona jurídica en función de sus actividades. Como ha destacado Simón Castellano (2020: 42-43) “la apreciación del riesgo permite comprender el riesgo y su impacto potencial, proporciona información relevante para el órgano de administración de la empresa, ayuda en la selección de las opciones de tratamiento y simplifica el establecimiento de prioridades, identifica los factores principales y los puntos débiles en los sistemas y organizaciones, contribuye a la prevención de incidentes y proporciona información decisiva a la hora de evaluar si se debería aceptar el riesgo cuando se compara con criterios predefinidos”. La apreciación del riesgo viene definida en las normas y estándares internacionales ISO 19600 y 31000. La ISO 19600 es una norma de directrices para la gestión de cumplimiento, que establece requisitos para sistemas de gestión de cumplimiento corporativo, mientras que la ISO 31000 proporciona un marco para la gestión de riesgos ayudando a las organizaciones a identificar, evaluar y gestionar riesgos en todas sus actividades. La ISO 19600 se enfoca en asegurar que la organización cumple con las normativas y leyes aplicables, mientras que la ISO 31000 aborda la gestión de cualquier tipo de riesgo que pueda afectar a la organización, incluyendo los derivados del incumplimiento. Para ello, se toma como referencia el catálogo de delitos por los que las personas jurídicas pueden ser responsables, conforme al artículo 31 bis 1 del Código Penal, que instituye un modelo numerus clausus[8]. Entre estos, tal y como demuestra la propia práctica, resultan especialmente relevantes los delitos medioambientales, a los que de inmediato nos referiremos, pero también otros de índole socioeconómica como el cohecho, la corrupción en los negocios, el blanqueo de capitales o los delitos contra la Hacienda Pública y los derechos de los trabajadores, según el sector en el que opere la empresa. En el caso de los delitos contra los recursos naturales y el medioambiente (arts. 325 y siguientes del Código Penal), es el art. 328 el que instituye que las empresas podrán resultar penalmente responsables.

Para la identificación de los riesgos se puede atender a muy diversas fuentes de información; por ejemplo, entrevistas, revisión de registros, lluvia de ideas o cuestionarios (León Alapont, 2020: 480). Pueden existir distintos tipos de riesgos que habrán de ser considerados; así riesgos estratégicos (objetivos clave a largo plazo en el marco de la actividad empresarial), riesgos operativos (de tipo tecnológico, seguridad laboral, etc.), riesgos financieros (relacionados con fluctuaciones en los mercados financieros y el manejo correcto de sus recursos), riesgos de cumplimiento (legales o contractuales) o riesgos reputacionales (asociados a la imagen y reputación de la propia empresa) (Salvador Lafuente, 2020: 79).

2. Evaluación del riesgo: probabilidad e impacto

Una vez identificados los riesgos, se evalúan y analizan dichos riesgos atendiendo a dos parámetros fundamentales: la probabilidad de que el riesgo se materialice, y el impacto que dicha materialización tendría en términos legales, económicos y reputacionales para la empresa. La combinación de estos factores permite obtener un índice de riesgo residual, esto es, un nivel de exposición real de la empresa al riesgo, una vez considerados los controles y medidas existentes (Martínez López, 2020: 129 y ss.). Con base en este análisis, se lleva a cabo una priorización de los riesgos detectados, lo que permite focalizar los recursos de la empresa en aquellos ámbitos que presentan mayor criticidad penal. Como explica Simón Castellano (2020: 45) “la valoración del riesgo está inextricablemente vinculada a la matriz de riesgos que se construye en función del método que se emplea”, y según la probabilidad y el impacto asociado a las posibles amenazas, es posible para la empresa determinar el nivel de riesgo inherente a su actividad.

Los valores de probabilidad y de impacto o gravedad deben ser definidos de la forma más específica posible teniendo en cuenta el contexto y expectativas de la organización. Lo más común es asignar diferentes niveles de intensidad tanto para la evaluación de la probabilidad (baja, media, alta) como para la medición del impacto o gravedad del riesgo (insignificante, moderado, significativo) (López Lemos, 2023: 35). Y dado que nos encontramos ante riesgos penales, los factores de probabilidad y de impacto habrán de venir siempre referidos a uno o a varios ilícitos penales (Fernández Hernández 2023: 73); y, para el caso que nos ocupa, a los delitos contra el medioambiente y los recursos naturales.

Para algunos autores (Ramírez Barbosa y Ferré Olivé, 2019: 87-88), a la hora de confeccionar correctamente un mapa de riesgos han de diferenciarse dos aspectos: el control interno (o autocontrol) y el control externo (o heterocontrol). El primero de ellos exigiría identificar la forma en la que se vigilarán las fuentes de riesgo, y englobaría varios tipos de control dependiendo del caso: un control financiero (aspectos mercantiles, financieros, prevención de la corrupción o el blanqueo, etc.) y un control operacional o sectorial (que dependería de la propia empresa y su sector de actividad, la calidad de sus productos, procesos productivos, riesgos laborales específicos o, en lo que a nuestro estudio interesa, riesgos para el medioambiente y los recursos naturales derivados de su actividad). Este tipo de control es el que realizaría la propia empresa, normalmente a través de los compliance officers. El segundo de estos tipos de controles, el externo, demandaría instrumentos que describan cómo se evaluará externamente, por parte de examinadores imparciales, el autocontrol emprendido por la empresa (a modo de auditoría, o por agencias expertas en el ámbito de actividad concreto). Esta, que no deja de ser una clasificación particular, no deviene exigible, no obstante, desde la letra de la norma (aunque sí pudiera resultar de obligatorio cumplimiento en según qué ámbitos de actividad).

3. Gestión y tratamiento del riesgo

Una vez elaborado, el mapa de riesgos se convierte en la piedra angular del sistema de compliance penal, como dijimos. A partir de los riesgos detectados, se diseñan protocolos específicos de actuación, mecanismos de control y formación, y se asignan responsabilidades de supervisión. Además, permite implementar canales de denuncia internos (los conocidos whistleblowing), establecer procedimientos disciplinarios y revisar periódicamente el modelo, en consonancia con la evolución normativa y organizativa, y con lo dispuesto en el propio art. 31 bis 5 ya analizado. Esta etapa última permite igualmente implementar procedimientos y políticas internas, planes de formación o sensibilización, auditorías, controles financieros, etc. (López Lemos, 2023: 47). La integración del mapa de riesgos en el modelo de cumplimiento asegura una protección activa frente a la responsabilidad penal corporativa (bien a modo de eximente, bien como atenuante de dicha responsabilidad, según el caso) y facilita una respuesta más ágil y eficaz ante posibles incumplimientos. Esta sería la etapa final del proceso: la de gestión y tratamiento del riesgo, para minimizar o mitigar sus posibles efectos. En palabras de Simón Castellano (2020: 45) “el riesgo inherente se puede tratar con el objetivo de reducir o mitigar el mismo, en función de la medida que se adopte, hasta situar el riesgo residual en un nivel que se considere razonable”.

Es imprescindible que el mapa de riesgos penales esté adecuadamente documentado, actualizado y sea trazable, ya que ello facilita su control y verificación tanto interna como externamente. La existencia de un documento estructurado, que evidencie una evaluación rigurosa de los riesgos penales, resulta clave para acreditar ante la autoridad judicial o el Ministerio Fiscal que el modelo de cumplimiento penal no es meramente formal, sino efectivo y adaptado a la realidad de la organización. La eficacia del compliance penal dependerá pues en gran medida de la calidad técnica y jurídica del mapa de riesgos y de la concreta metodología de medición que se emplee.

Desde la perspectiva jurisprudencial cada vez adquiere mayor importancia la existencia de un mapa de riesgos penales como indicador de una cultura preventiva real en el seno de la empresa. La Fiscalía General del Estado, en su Circular 1/2016 sobre la responsabilidad penal de las personas jurídicas, señaló expresamente que los programas de cumplimiento debían basarse en una evaluación adecuada de los riesgos delictivos, lo que implica una individualización del análisis y no una aplicación genérica. En consecuencia, los órganos jurisdiccionales valoran positivamente los mapas de riesgos correctamente elaborados, en especial cuando son coherentes con la actividad empresarial y demuestran una implementación efectiva de medidas preventivas.

En el ámbito de los delitos medioambientales, el mapa de riesgos adquiere una relevancia especial debido al elevado grado de regulación y al impacto social de este tipo de conductas. En una empresa del sector industrial, por ejemplo, los riesgos penales podrían referirse a vertidos no autorizados, superación de límites legales de emisiones o manipulación indebida de residuos peligrosos. Estos riesgos deben evaluarse con detalle, atendiendo a la frecuencia y a la gravedad de sus consecuencias, para establecer controles proporcionales que aseguren la legalidad de la actividad. Sobre esta cuestión particular volveremos en el siguiente epígrafe de este trabajo.

En conclusión, el mapa de riesgos penales no es una herramienta accesoria, sino un componente esencial y nuclear del sistema de compliance penal. Su correcta elaboración, implementación y actualización permite a la empresa cumplir con los requisitos legales establecidos en el Código Penal y, en última instancia, prevenir la comisión de delitos que puedan dar lugar a la responsabilidad penal corporativa. En sectores con alta carga normativa, como el medioambiental, su papel es aún más crítico, y constituye una garantía tanto para la integridad empresarial como para el propio bien jurídico que se pretende tutelar con estos delitos.

IV. EL DISEÑO DEL MAPA DE RIESGOS AMBIENTALES

Centrándonos ya en el ámbito propio de los delitos contra los recursos naturales y el medioambiente, la implantación de un programa de compliance penal constituye un paso decisivo para que las personas jurídicas puedan exonerarse o modificar su responsabilidad penal conforme al artículo 31 bis del Código Penal. Y en este contexto, el mapa de riesgos penales representa la piedra angular del sistema, pues es el instrumento que permite concretar, con rigor técnico y jurídico, los ámbitos de la empresa susceptibles de dar lugar a la comisión de delitos, como ya dijimos. En el caso de estos delitos la elaboración de este mapa de riesgos adquiere una complejidad añadida y exige una metodología específica y particularmente adaptada al entorno ecológico.

1. Dos irregularidades previas

Con carácter previo no queremos dejar pasar la oportunidad para exponer dos irregularidades técnicas que afectan a la tarea de elaborar un mapa de riesgos penales en materia de delitos contra los recursos naturales y el medioambiente.

En primer lugar, como ha resaltado muy acertadamente Matallín Evangelio (2023: 330 y ss.), de manera inexplicable el legislador penal ha dejado fuera del sistema de atribución de responsabilidad penal de las personas jurídicas previsto en el cuerpo del Código Penal a una serie de delitos que también pueden ser considerados, al menos en sentido amplio, como medioambientales; en concreto los referidos a las diversas especies de fauna y flora silvestres (arts. 332 y ss. del Código Penal), que sin embargo sí aparecen expresamente recogidas en la Directiva 2008/99/CE, de 19 de noviembre, relativa a la protección del medioambiente mediante el Derecho penal. A pesar de que no cabe duda de que los delitos contra la biodiversidad pueden ser perfectamente considerados como delitos de empresa, y como atentados contra el conjunto del medioambiente, la realidad es que el Código Penal español ha optado por no incluir estas figuras en el catálogo de atribución de responsabilidad penal empresarial, donde solo se han querido incluir los delitos urbanísticos y los delitos contra los recursos naturales y el medio ambiente que son objeto del presente trabajo. Esta situación, que teóricamente se quiso subsanar mediante la previsión de esa responsabilidad en la Ley Orgánica 12/1995, de 12 de diciembre, de represión del contrabando, deja todavía incólume el problema del cumplimiento de España con los compromisos comunitarios previstos en la citada Directiva. Y, además, en palabras de la autora (2023: p. 336), “no podemos pretender una tutela integral del medio ambiente si excluimos de dicho sistema a la segunda forma de criminalidad medioambiental en importancia porcentual, pues dicha exclusión no es adecuada teniendo en cuenta las gravísimas consecuencias que la pérdida de biodiversidad está ocasionando en el medio ambiente y en la supervivencia del ser humano”. Convendría, pues, ampliar la responsabilidad penal empresarial también a este conjunto de delitos contra la fauna y la flora.

Y, en segundo lugar (Górriz Royo, 2015: 345 y ss.; Vercher Noguera, 2024: 207 y ss.), en el marco del Capítulo III del Título XVI del Libro II del Código Penal donde se regulan los delitos contra los recursos naturales y el medioambiente, encontramos un particular delito especial en el art. 329 CP, que sanciona a la autoridad o funcionario público que a sabiendas “hubiere informado favorablemente la concesión de licencias manifiestamente ilegales que autoricen el funcionamiento de las industrias o actividades contaminantes a que se refieren los artículos anteriores, o que con motivo de sus inspecciones hubiere silenciado la infracción de leyes o disposiciones normativas de carácter general que las regulen, o que hubiere omitido la realización de inspecciones de carácter obligatorio”. Igualmente se sanciona a aquellos sujetos que hubiesen votado a favor de la concesión de esas licencias a sabiendas de su carácter injusto. Desde una interpretación sistemática, este precepto está llamado a generar responsabilidad penal a la empresa toda vez que el art. 328 CP extiende dicha responsabilidad a todos los artículos que se ubican en el mencionado Capítulo III del Título XVI, donde se encuentra enmarcado el precepto. Empero, en la práctica, tal y como ha puesto de manifiesto León Alapont (2020: 497) “dado que la acción debe ser realizada por autoridad o funcionario público difícilmente podrá atribuirse esta a la persona jurídica, pues el art. 31 bis 1 CP exige que los delitos sean cometidos por los representantes legales de la empresa, personas autorizadas a tomar decisiones en su nombre, que ostenten facultades de organización y control, o por los subordinados”. Las únicas excepciones que pudieran darse, como bien matiza el autor, serían: (I) sociedades mercantiles públicas que, estando dirigidas por autoridades o funcionarios públicos, ejecuten políticas públicas o presten servicios de interés económico general (que sí están sujetas a responsabilidad penal en virtud de lo dispuesto en el art. 31 quinquies 1 CP), y (II) responsabilidad penal de la empresa en virtud de la cláusula del art. 65,3 CP, en el supuesto en el que las personas a las que se refiere el art. 31 bis 1 CP actúen como inductores o como cooperadores necesarios. Eso podría suceder, como indica Górriz Royo (2019: 31-32) “si una persona física que dirige o administra una persona jurídica, por cuenta y beneficio de ésta en los términos del art. 31 bis) 1º a) CP, coopera o induce a uno de los sujetos cualificados (autoridad, funcionario público o inspector ambiental) a cometer algún delito del art. 329 CP. Pese a ser un ‘extraneus’ no es impensable que la persona física que responda a título de partícipe o inductor, pueda transferir la responsabilidad penal a la persona jurídica”.

2. Complejidades propias de los delitos medioambientales

Como ocurre en cualquier ámbito delictivo, y como así se desprende de los requisitos establecidos en el Código Penal, en la tarea de diseñar e implementar un mapa de riesgos no es suficiente aplicar un enfoque genérico. Esto, en el complejo y amplio ámbito del medioambiente, es especialmente importante y, como decimos, supone una complejidad añadida a la hora de elaborar correctamente un mapa de riesgos[9].

El diseño de un mapa de riesgos en el compliance ambiental debe partir de un análisis a la vez holístico y minucioso: conocer las actividades industriales, la tecnología empleada por la empresa, las materias primas que se utilizan, los productos generados, los residuos, las emisiones, los vertidos y las propias condiciones del entorno. Por ejemplo, una empresa que utilice disolventes deberá identificar con precisión los puntos críticos de manipulación, almacenamiento y eliminación de dichos líquidos para evaluar los riesgos penales derivados de derrames o manejos inadecuados, llegado el caso.

Además, hay que tener en cuenta el marco regulatorio aplicable, que en el ámbito medioambiental es extremadamente fragmentado: normas autonómicas, estatales y comunitarias pueden establecer límites distintos para emisiones o residuos, o exigir autorizaciones específicas (evaluaciones de impacto, depósito de residuos, emisiones a la atmósfera…) (Navarro Cardoso, 2021: 90 y ss.). A ello ha de sumarse la configuración de muchos de estos delitos ecológicos como auténticas normas penales en blanco, con la problemática que ello trae consigo (Ochoa Figueroa, 2015: 180 y ss.). La ignorancia de estos límites puede dar lugar a infracciones con trascendencia penal, y el desconocimiento de lo realmente prohibido para el destinatario dificulta su labor de identificación y consecuentemente de evaluación y control del programa. Y, aunque se comparta con la doctrina especializada que es precisamente en este tipo de delitos donde se hace necesario el empleo de estas técnicas de remisión normativa, no deja de existir el inconveniente que en la actualidad se plantea si se tiene en cuenta la constante evolución de la normativa ambiental nacional, internacional, autonómica e incluso local. Esta evolución, que además tiende a producirse en el sentido de una extensión de las prohibiciones, puede hacer, como ha hecho notar De Luis García (2019: 150) “que una conducta que hoy es lícita, mañana deje de serlo, con la consecuente inseguridad jurídica para los operadores económicos. Del mismo modo, la despenalización de las conductas por modificaciones en la normativa ambiental, conllevaría indudables problemas derivados de la retroactividad de la norma favorable, con la consecuente necesidad de revisar las sentencias condenatorias dictadas al amparo de la norma modificada”. En la práctica, desde el punto de vista constitucional las Comunidades Autónomas asumen competencias ambientales, lo que incrementa esta complejidad. Como ha advertido Vercher Noguera (2024: 193) “es evidente que a un mayor rol de las Comunidades Autónomas en lo que respecta a la producción legislativa ambiental, se produce un incremento de posibilidades de que su normativa acabe siendo utilizada para completar normas penales en blanco”. En este sentido, el mapa de riesgos debe reflejar con exactitud la normativa que afecta a cada proceso de la organización.

Esta situación conduce a que en los mapas de riesgos de un compliance penal medioambiental también deban ser consideradas (especialmente en la primera fase de identificación de riesgos) las posibles infracciones administrativas que se prevean en la legislación extrapenal, con la consecuente discusión sobre la relación que deba tener, según el caso, la norma penal y la administrativa (Fuentes Osorio, 2012: 707 y ss.). Como indicábamos, cuando se habla de delitos medioambientales la tipicidad penal se construye en su mayoría sobre la normativización, con remisiones normativas o bajo la técnica de la ley penal en blanco, que obliga a conocer la normativa sectorial administrativa que ya prevé el tipo de controles exigidos por la Administración competente. Esto, como advierte Górriz Royo (2019: 51), facilita “de un lado, la delimitación de los mayores riesgos de comisión de determinadas conductas, atendiendo al dato de si, como mínimo, se cuenta con los requisitos administrativos previos (por lo general, autorizaciones o licencias). De otro lado, aquella accesoriedad del derecho administrativo, también puede facilitar el diseño de las medidas correctoras y preventivas con las que conjurar aquellos riesgos. Para ello una tarea básica a realizar en un criminal compliance ambiental, consistirá en revisar las relaciones que la concreta empresa deba entablar con la Administración competente en el sector, cerciorándose de si, en su caso, el directivo o empleado competente cumplió, con obligaciones”. Como añade ilustrativamente la autora (p. 52): “por ejemplo, habrá que considerar las infracciones y sanciones de, entre otras, la Ley de Aguas, las leyes de contaminación atmosférica, la ley del Suelo, o las leyes sobre ruidos. Y no solo aquellas vigentes en el ámbito estatal sino, allí donde existan, también en el ámbito autonómico o incluso local como, con frecuencia, sucederá en relación con la contaminación acústica. En efecto, la causación de ruidos puede ser uno de los riesgos que comporten mayores dificultades para su prevención, pues la contaminación acústica se regula, por lo general, en una plétora de normativas administrativas (de ámbito autonómico y municipal), a veces, difíciles de desentrañar y dirigidas a un amplio espectro de empresas (desde las del sector servicios, v.gr. restauración u hostelería, hasta el industrial)”.

A lo anterior se suma también el hecho de que en la actualidad la formulación de políticas ambientales que acaban recogiéndose en normas internacionales, comunitarias o nacionales nacen desde la sociedad civil, oenegés, y otros actores privados que “no solo han incrementado su protagonismo en la formulación de políticas ambientales a través de su influencia indirecta en las decisiones de los poderes públicos mediante las tradicionales actividades de lobbying, sino que asumen un papel directo en el diseño y gestión de las políticas ambientales mediante su negociación directa con los Estados, organizaciones supranacionales, administraciones locales y con otros grupos de intereses; se convierten así en los ‘socios’ principales de los poderes públicos a las horas de la implementación de las políticas de protección del medioambiente” (Mercado Pacheco, 2012: 106).

Pero aún es más: en el diseño de un mapa de riesgos ambiental no solo influyen los elementos anteriormente descritos, que ya de por si añaden dificultades a la tarea, sino también otros muchos relacionados con la propia estructura y forma que adopte la empresa: no será lo mismo diseñar un mapa de riesgos para una pequeña/mediana empresa (o PYME) que para una empresa del tercer sector, o para una empresa que opera en internet, o para organizaciones que trabajan en el sector público o intervienen en procesos de contratación pública (algo que puede ocurrir más o menos de forma frecuente en sectores como el medioambiental). Todos estos elementos, pues, han de tenerse en consideración en el momento de implementar un mapa de riesgos eficaz. No obstante, en materia de medioambiente en nuestro país los compliance programs adquieren todo el sentido no solo respecto de las grandes empresas o multinacionales, sino también para el caso de las PYMES, pues todas ellas ya vienen previamente obligadas por el Derecho administrativo a instaurar sistemas de control interno. Por ello el medioambiente sería “el caso paradigmático de sector donde las empresas pueden asumir programas de autorregulación normativa, como los compliance programs ambientales, en un contexto muy predeterminado por la legislación administrativa ya existente. Así, desde la regulación pública, puede fomentarse una nueva correlación de responsabilidades en la gestión y minimización de riesgos ambientales, de modo que los poderes públicos persigan una implicación efectiva de las empresas en la tutela del ambiente a través de técnicas de autorregulación, de carácter persuasivo o de cooperación” (Górriz Royo, 2019: 47).

Incluso, como ha puesto de manifiesto Ortiz de Urbina Gimeno (2011: 128), la valoración de los riesgos que pueden afectar a una persona jurídica no debe acotarse solamente a los que se desprenden de su propia actividad (en este caso contra el medioambiente y los recursos naturales) sino que debe considerar también todos aquellos riesgos derivados de su propia organización y estructura interna, a saber: tamaño y estructura de la empresa, ámbito geográfico de actuación y localización o deslocalización de la misma (algo especialmente importante en el ámbito del medioambiente), forma de adopción de decisiones, distribución del poder, políticas de selección del personal, etc.

A la hora de diseñar e implementar un mapa de riesgos penal en la empresa, con el objeto de controlar y prevenir daños y peligros medioambientales o contra los recursos naturales contamos con modelos y metodologías previas de muy diversa índole, que pueden resultar de utilidad si se adaptan correctamente a las características particulares y singularidades propias de la empresa. Como señala Simón Castellano (2020: 46), todas estas metodologías son válidas “de hecho, para una misma actividad o escenario de riesgo podemos aplicar métodos diversos tanto parta la apreciación como para la valoración, evaluación y tratamiento de la amenaza. De ese modo podemos seguir distintas metodologías de forma paralela para luego contrastar resultados”.

Esta situación conduce a Fernández Hernández (2023: 69) a concluir que “no existen, y se prevé complicado que pueda haberlos a corto y medio plazo, ni una metodología específicamente diseñada para su elaboración, ni un sistema objetivo y fiable al que atenerse. Nos movemos, por tanto, en el ámbito de la subjetividad. Y no sólo porque el compliance cuente con una naturaleza innegablemente prospectiva […] sino porque los criterios a valorar y, a su vez, el valor atribuible a los mismos, no puede hacerse sobre la base de datos numéricos fiables, habida cuenta de la dificultad existente […] a la hora de obtenerlos”. No en vano, la Agencia Española de Normalización y Certificación (AENOR) incluye en su Norma UNE-EN 31010 (anexo II) un total de 25 técnicas diferentes de apreciación del riesgo, sin decantarse por ninguna en concreto.

Sin pretender analizar al detalle todas y cada una de estas metodologías previas, que se ponen a disposición de la empresa a la hora de diseñar su mapa de riesgos ambiental, a continuación enumeramos algunas de ellas sin ánimo de exhaustividad: (1) análisis preliminar de riesgos o APR, (2) metodología FRAP, (3) metodología MAGERIT, (4) metodología OCTAVE, (5) metodología GIRO, (6) metodología CRAMM, (7) estándar norma ISO/IEC 19600:2015, (8) estándar norma ISO/IEC 31000:2018, (9) estándar norma ISO/IEC 31010:2009, (10) estándar norma ISO/IEC 27005:2018, (11) la norma NIST SP 800-39, (12) el método Mosler, (13) el Esquema Nacional de Seguridad, (14) metodología OCEG, y (15) los COSO I, II y III (Simón Castellano, 2020: 47 y ss.; López Lemos, 2023: 29 y ss.).

Resulta especialmente interesante la metodología expresamente señalada en el art. 34,1 del Real Decreto 2090/2008, de 22 de diciembre, por el que se aprueba el Reglamento de desarrollo parcial de la Ley 26/2007, de 23 de octubre, de responsabilidad medioambiental, que remite al esquema recogido en la norma UNE 150008. En concreto en este precepto se señala lo siguiente: “1. El análisis de riesgos medioambientales será realizado por el operador o un tercero contratado por éste, siguiendo el esquema establecido por la norma UNE 150.008 u otras normas equivalentes. Asimismo, con un grado de detalle adecuado al carácter hipotético del daño, en la elaboración del análisis de riesgos deberán utilizarse los criterios recogidos en el capítulo II respecto a los siguientes parámetros: a) La caracterización del entorno donde se ubica la instalación. b) La identificación del agente causante del daño y de los recursos y servicios afectados. c) La extensión, intensidad y escala temporal del daño, para el escenario con el índice de daño medioambiental más alto, seleccionado conforme al procedimiento establecido en el artículo 33. d) Una evaluación de la significatividad del daño. e) La identificación de las medidas de reparación primaria. No obstante, para la cuantificación se tendrán en cuenta las siguientes reglas: f) La incertidumbre asociada a la estimación de la magnitud del daño medioambiental de una hipótesis de accidente, se delimitará preferentemente con la utilización de modelos de simulación del comportamiento del agente causante del daño medioambiental. g) Los daños agudo, crónico y potencial equivalen a una pérdida de recurso natural o servicio de recurso natural de un 75, 30 y 5 por ciento, respectivamente. 2. Los análisis de riesgos tendrán en cuenta en qué medida los sistemas de prevención y gestión de riesgos adoptados por el operador, de manera permanente y continuada, reducen el potencial daño medioambiental que pueda derivarse de la actividad. 3. El operador actualizará el análisis de riesgos medioambientales siempre que lo estime oportuno y en todo caso, cuando se produzcan modificaciones sustanciales en la actividad, en la instalación o en la autorización sustantiva”.

Se puede alcanzar la conclusión de que el mapa de riesgos penales en materia medioambiental debería estar presente en prácticamente todas las empresas, que en la práctica son las causantes de los más graves ataques medioambientales (siempre discriminando por sectores de producción, como de inmediato comprobaremos). Empresas que, por otro lado, ya se encuentran, como dijimos, obligadas por la normativa administrativa a implementar mecanismos de control, pues, como ha manifestado Górriz Royo (2019: 47) “mediante la técnica administrativa de la autorregulación regulada se garantizaría un método indirecto de intervención pública. De hecho, como demuestra la experiencia estadounidense, la adopción de compliance programs, como modalidad de autorregulación normativa, ha ido asentándose en las empresas bajo la presión ejercida por la Administración y como reacción a los grandes desastres ecológicos, vinculados a la criminalidad de empresa, que hicieron aumentar la aversión hacia las corporaciones. En nuestro país, la adopción de criminal compliances ambientales puede entenderse como una estrategia indirecta de regulación pública de los autocontroles establecidos en la empresa para evitar incurrir en el riesgo de cometer delitos ambientales, desde el momento en que el Código penal ofrece la opción de eximir o atenuar la responsabilidad penal a aquellos entes que adopten ‘modelos de organización y gestión’”.

3. El risk mapping medioambiental

3.1. Identificación de riesgos ambientales

La primera fase del proceso de risk mapping ambiental pasa por identificar los riesgos medioambientales, que como ya subrayamos más arriba deben ser siempre riesgos penales, lo que nos conduce directamente a los tipos penales contenidos en el Capítulo III del Título XVI del Libro II del Código Penal.

La etapa de identificación exige inventariar los riesgos medioambientales más comunes en la empresa, mediante su plasmación en un documento que “habrá de dirigirse al órgano de dirección de la empresa (para que, eventualmente, adopte decisiones sobre cómo gestionar los riesgos). En dicho documento habrá que analizar, de manera cualitativa, los riesgos que se pueden producir, no solo en el seno de la propia empresa, sino, en su caso, en el de las de aquella/s que sea filial o matriz y, si es relevante, se plasmará su relación con proveedores o clientes que puedan generar riesgos” (Górriz Royo, 2019: 53).

Como ha advertido Górriz Royo (2019: 50) esta tarea de identificación y concreción de los riesgos puede resultar compleja y difícil de abarcar en el Derecho penal del medioambiente pues “es el ámbito por excelencia donde se generan multitud de riesgos cuyo origen es, a menudo, difícil de demostrar o incluso incierto. Pero la cuantificación de riesgos relativos a un criminal compliance ambiental ha de transitar del plano genérico de delimitación de riesgos, al ámbito específico del análisis de cuáles son los principales delitos contra el medio ambiente en que cabe incurrir. Para ello habrá que abordar, básicamente, dos tareas: de un lado, un estudio de la actividad que desarrolla la empresa; de otro lado, un análisis de los concretos delitos ambientales en que puede incurrir”.

Si bien los pasos siguientes de la elaboración del mapa de riesgos dependerán de la propia actividad, estructura y organización de la empresa que se trate (gap análisis) (Coca Vila, 2013: 57), parece claro que en la primaria fase de identificación de riesgos todas las empresas que puedan generar peligros o daños al medioambiente o a los recursos naturales habrán de considerar por igual el siguiente listado de riesgos (León Alapont, 2020: 495 y ss.):

En primer lugar, provocar o realizar directa o indirectamente emisiones, vertidos, radiaciones, extracciones o excavaciones, aterramientos, ruidos, vibraciones, inyecciones o depósitos, en la atmósfera, el suelo, el subsuelo o las aguas terrestres, subterráneas o marítimas, incluido el alta mar, con incidencia incluso en los espacios transfronterizos, así como las captaciones de aguas que, por sí mismos o conjuntamente con otros, cause o pueda causar daños sustanciales a la calidad del aire, del suelo o de las aguas, o a animales o plantas. También habrán de considerarse las actividades que puedan perjudicar gravemente el equilibrio de los sistemas naturales o crear un grave riesgo de perjuicio para la salud de las personas (art. 325 CP) (Mendo Estrella, 2009; Puente Aba, 2011a). De modo resumido puede concretarse este riesgo sobre la base de tres elementos fundamentales: una conducta potencialmente contaminante de la empresa, una infracción de la normativa extrapenal que aplique, y una determinada peligrosidad (Muñoz Conde, García Álvarez, López Peregrín, 2025: 265). Como ha señalado Górriz Royo (2019: 24-25) la acumulación de acciones típicas tan diversas en esta primera conducta es de tal magnitud que, a efectos de configurar eficazmente el compliance habrá que desglosar qué actividades empresariales dan lugar a aquellas clases de contaminación penalmente relevantes. Y, siguiendo a la autora, generará igualmente problemas prácticos el hecho de delimitar correctamente la expresión por sí mismos o conjuntamente con otros, toda vez que la cláusula podría suponer una auténtica ampliación de la tipicidad a conductas que se cometen frecuentemente en el ámbito de las empresas que operan en medio ambiente; por ejemplo “cuando se pueden causar daños sustanciales al agua, por la acción ‘conjunta’ de vertidos realizados a un mismo río, pero procedentes de diversas explotaciones industriales. Parece que ahora, y con independencia de la gravedad de cada vertido, cabría imputar penalmente a cada persona jurídica interviniente”.

En segundo lugar, recoger, transportar, valorizar, transformar, eliminar o aprovechar residuos, o no controlar o vigilar adecuadamente tales actividades, de modo que se cause o pueda causar daños sustanciales a la calidad del aire, del suelo o de las aguas, o a animales o plantas, muerte o lesiones graves a personas, o se pueda perjudicar gravemente el equilibrio de los sistemas naturales. E igualmente, trasladar una cantidad no desdeñable de residuos, tanto en el caso de uno como en el de varios traslados que aparezcan vinculados, en alguno de los supuestos a que se refiere el Derecho de la Unión Europea relativo a los traslados de residuos (art. 326 CP) (Górriz Royo, 2015: 233 y ss.; Puente Aba, 2011a: 237 y ss.). De modo paralelo a lo que acontecía con el anterior delito, también aquí se exigiría valorar tres elementos: una conducta relacionada con la gestión de residuos, la infracción de normas o disposiciones de carácter general y la causación de un determinado resultado lesivo o de un peligro potencial (Muñoz Conde, García Álvarez, López Peregrín, 2025: 287).

En tercer lugar, habrá de considerarse como riesgo el llevar a cabo la explotación de instalaciones en las que se realice una actividad peligrosa o en las que se almacenen o utilicen sustancias o preparados peligrosos de modo que causen o puedan causar daños sustanciales a la calidad del aire, del suelo o de las aguas, a animales o plantas, muerte o lesiones graves a las personas, o puedan perjudicar gravemente el equilibrio de los sistemas naturales (art. 326 bis CP). Como ha puesto de relieve la doctrina, en este delito la conducta típica está definida de un modo tan amplio e impreciso que podría aplicarse indistintamente a muchos tipos de empresas (centrales nucleares, almacenes de explosivos, sótanos en los que se manipulen ciertas sustancias, etc.), además de tenerse en cuenta el hecho de que el incorrecto tratamiento o manejo de estas sustancias y materiales ya está expresamente previsto en otros tipos del Código Penal (Muñoz Conde, García Álvarez, López Peregrín, 2025: 294).

En cuarto lugar, deberán considerarse igualmente como riesgos que la industria o actividad funcione clandestinamente, sin haber obtenido la preceptiva autorización o aprobación administrativa de sus instalaciones, que se hayan desobedecido las órdenes expresas de la autoridad administrativa de corrección o suspensión de las actividades tipificadas en el artículo 326 bis CP, que se haya falseado u ocultado información sobre los aspectos ambientales de la misma, que se haya obstaculizado la actividad inspectora de la Administración, que se haya producido un riesgo de deterioro irreversible o catastrófico, y que se produzca una extracción ilegal de aguas en período de restricciones (art. 327 CP) (Puente Aba, 2011b: 280 y ss.).

Y en quinto y último lugar, dañar gravemente alguno de los elementos que hayan servido para calificar un espacio natural protegido (art. 330 CP) (Ramón Ribas, 2011: 297 ss.). En este caso se exige la efectiva causación de un daño, por lo que el delito lo es de resultado lesivo y deberá ser demostrado causalmente e imputado objetivamente a la conducta del autor.

Todo lo anterior sin obviarse que los delitos pueden ser imputados a título de dolo pero también por imprudencia grave, tal como dispone el art. 331 CP. El debate relativo a la atribución de un delito cometido por imprudencia a una persona jurídica no resulta en modo alguno baladí. Como ha advertido Górriz Royo (2019: 32) “la cuestión no es, en absoluto, desdeñable pues de su respuesta depende la posibilidad de imputar responsabilidad penal por delitos ambientales en su modalidad imprudente a las personas jurídicas, lo que implica ampliar el ámbito de dicha responsabilidad y, a su vez, también condiciona el contenido que pueda darse a los compliance programs”. En este sentido, y siguiendo a la autora, podrían defenderse dos interpretaciones:

Por un lado, considerar desde un entendimiento estricto que el art. 331 CP no prevé ningún “delito” sino una cláusula de extensión de responsabilidad penal a delitos del Capítulo III del Título XV que se hubieran cometido por imprudencia grave. Pero dado que la cláusula del art. 328 CP habla de delitos recogidos en este capítulo, sería posible entender que la imprudencia solo aplicará a las personas físicas que los cometan, más no a las personas jurídicas, excluyéndose su castigo “para todo el vasto campo de los delitos ambientales cometidos imprudentemente por una persona física e imputables a aquéllas”.

De otro lado, sería también posible entender, especialmente tras la reforma operada en el año 2015, que aunque el art. 331 CP no alude a “delitos” sí que faculta a que el resto de los incluidos en el Capítulo III del Título XV puedan ser castigados en su modalidad imprudente, por lo que nada impediría entender incluidos en este grupo delitos contra el medioambiente cometidos por imprudencia, que podrían cometer las personas físicas y por ello ser después imputados a personas jurídicas en función de los elementos exigidos en el régimen de atribución dispuesto en el art. 31 bis 1 CP. Esta parece ser la interpretación más acorde al sentido de la ley, pues como nuevamente ha defendido Górriz Royo (2019: 32-33) “de lo contrario podría darse la paradoja de desproteger el bien jurídico frente a imprudencias muy frecuentes en la práctica, imputables a personas jurídicas, que ponen en peligro y/o causan daños graves al medio ambiente. Más aún, las medidas preventivas a adoptar en un compliance pueden ser especialmente eficaces para evitar la comisión imprudente de unos delitos ambientales que, no huelga recordarlo, son accesorios del Derecho administrativo, y por ello, el cumplimiento de la normativa ambiental puede reforzarse, asociándose al incentivo de que la persona jurídica vea su responsabilidad penal excluida o atenuada en la vía penal”.

En cualquier caso, para el ámbito concreto de los delitos contra el medioambiente y los recursos naturales, el grado de imprudencia y su consideración como grave o no, dependerá del conocimiento exigible a la persona jurídica sobre los riesgos, la realización de una adecuada valoración de dichos riesgos y la adopción o no de unas mínimas medidas eficaces para contrarrestarlo (entre otros factores) por lo que nuevamente cobra protagonismo el mapa de riesgos y, en general, el enviromental compliance program, que se construyen sobre tales elementos.

Es evidente que la empresa en cuestión no se verá finalmente obligada a plasmar en su programa de cumplimiento todos y cada uno de los riesgos medioambientales que hemos señalado (y que, por supuesto, se limitan a un campo específico: el penal, pudiendo la empresa referir otros muchos riesgos de interés extrapenal), sino que deberá discriminar por sectores de producción aquellos peligros que le resulten inherentes a su actividad con el objetivo, además, de llevar a cabo unos criterios de cálculo eficaces. Así por ejemplo, en la actualidad es muy común considerar que la agricultura y la ganadería son actividades especialmente contaminantes; en palabras de Matallín Evangelio (2022: 72) “en el marco de esta […] actividad las granjas de producción industrial de animales generan una importante cantidad de residuos contaminantes (ej. vertidos por purines), a lo que se une la problemática del uso masivo de fármacos para la prevención de enfermedades en esos centros industriales, que determinan filtraciones de restos de esas sustancias a través de la orina animal, lo que, a su vez, contaminará las aguas […]”. En el ámbito de la agricultura y la ganadería, pues, se tratará de concretar aquellos riesgos penales que pueda generar la empresa teniendo en cuenta su función de producción y los injustos penales que se han señalado. Así, por ejemplo, la gestión de excretas (purines y estiércol) son actividades susceptibles de realizar emisiones o vertidos contaminantes que habrán de ser identificadas en el mapa de riesgos de la empresa. Pero también, por ejemplo, la gestión de sustancias inflamables y materiales combustibles que se utilicen para el funcionamiento de la explotación ganadera, que podrían ser el origen del vertido de sustancias contaminantes. O la gestión de residuos ganaderos, o la fermentación entérica (digestión de rumiantes) que genera metano, y con ello emisiones contaminantes (emisión de gases de efecto invernadero). O incluso la producción de piensos, o fabricación de fertilizantes o pesticidas para cultivos puede ser un importante riesgo por considerar en este ámbito (Matallín Evangelio, 2022: 92 y ss.).

Con todo, y siguiendo a la última autora citada, lo cierto es que no suele ser muy común que la empresa realice una elaboración selectiva “por el mayor esfuerzo que acarrea, así como por el dato de que en materia medioambiental los riesgos son casi inabarcables, lo que obliga a realizar un mayor trabajo de síntesis, seleccionando, en principio, aquellos sectores de producción que evidencian mayores riesgos de comisión delictiva por parte de las entidades” (Matallín Evangelio, 2022: 78).

3.2. Evaluación de riesgos ambientales

Más allá de la identificación de las potenciales infracciones, el mapa debe incluir una valoración robusta del nivel de riesgo: es decir, debe asignar una probabilidad de ocurrencia y una evaluación del impacto en términos de sanciones penales, daño reputacional y multa. Este enfoque comparativo orienta la toma de decisiones estratégicas y ayuda a priorizar los recursos. Un buen mapa de riesgos medioambiental deberá servir después para definir controles específicos: formación obligatoria para el personal, inspecciones periódicas a las instalaciones, o protocolos de actuación rápida en casos de vertidos.

En palabras de Górriz Royo (2019: 50) en esta segunda fase el mapa de riesgos tendrá que “estimar la probabilidad de que con su actuación, la concreta empresa, a través de su personal, incurra en un riesgo que, a la postre, se materialice en un delito ambiental y, en su caso, si éste conlleva daños, habrán de ser evaluados. Esta estimación de riesgos ha de atender no solo a la específica actividad que realiza la empresa sino a cómo la lleva a cabo”.

Como ya dijimos supra, la evaluación del mapa de riesgos debe atender principalmente a dos elementos: el de probabilidad del riesgo y del de impacto del mismo. Y ha de tenerse presente que son elementos muy diferentes. Por ejemplo, el riesgo de vertido no controlado de sustancias peligrosas a sistemas acuáticos puede tener una probabilidad media (en caso de que existan controles parciales) pero un impacto muy alto por la gravedad del daño ecológico causado. El mapa debe representar ese riesgo en un nivel crítico, justificado por cálculos técnicos, históricos de incumplimientos o auditorías previas. Una vez identificado, es necesario vincularlo a medidas específicas que incluyan desde detección automática de fugas hasta simulacros de respuesta o formación técnica especializada.

Hay que tener muy presente que el mapa de riesgos no puede diseñarse solo desde un enfoque jurídico: requiere la participación activa de técnicos ambientales, ingenieros, responsables de planta y expertos en procesos operativos. La falta de perspectiva técnica en el marco de los delitos medioambientales suele conducir a la creación práctica de mapas poco realistas o desconectados de la realidad operativa. Es necesaria una comisión interna de compliance, con representación de cada área funcional, que revise los procesos, los riesgos derivados y las medidas a adoptar, y que en su caso las corrija, perfeccione o redefina. Este enfoque colaborativo también favorece que el mapa sea interiorizado por toda la organización, aumentando su aceptación y eficacia. Cuando un responsable de planta o un operario identifica una situación de riesgo en su mapa de riesgos real, respaldado técnicamente y con medidas claras, estará mejor predispuesto a alertar y a aplicar los protocolos previstos.

Para realizar una correcta evaluación y análisis de los riesgos medioambientales previamente detectados también deberán tenerse en cuenta otros muchos factores como la complejidad de la actividad social, su estructura empresarial, la posible adopción previa de programas preventivos, riesgos en los que hayan incurrido empresas de idéntico sector, si el personal de la empresa requiere una especial cualificación o tecnologías particulares para su funcionamiento, o incluso el nivel de formación de sus empleados (Górriz Royo, 2019: 51).

Como dijimos, los resultados de probabilidad (primero) y de impacto (después), dependerán de la concreta metodología seguida por la empresa en el mapa de riesgos. Para ello se utiliza la matriz de riesgos, que según la terminología ISO 73:2015 se refiere a la herramienta que permite clasificar y visualizar los riesgos mediante la definición de categorías de consecuencias y de su probabilidad (Matallín Evangelio, 2022: 105). Una vez concluida la operación de cálculo, a cada riesgo previamente identificado se le asignará un nivel de riesgo (normalmente en escala de menor a mayor, bien de forma numérica, bien en función de un calificativo: crítico, grave, moderado, leve o no relevante).

Igualmente ha de tenerse presente que el simple hecho de que el programa sea finalmente certificado por la entidad correspondiente no será suficiente para que, en el futuro y llegado el caso, al programa de cumplimiento se le otorgue el calificativo de “eficaz” y resulte validado. Ello es así porque las certificaciones del modelo, si bien ponen de relieve que el mismo cumple con las condiciones y requisitos legales exigidos, solamente constituyen un elemento más para valorar la idoneidad del mismo, pero no determinan de forma definitiva el calificativo de “eficaz”, que siempre quedará a la valoración exclusiva del órgano judicial (Matallín Evangelio, 2022: 66).

Una consecuencia práctica de este entendimiento es que, por lo general, la prueba sobre la existencia o inexistencia de un compliance program y un mapa de riesgos eficaz o ineficaz, o su falta de adecuación o idoneidad, deberá ser ventilada en fase de juicio oral, antes del dictado de sentencia, correspondiendo la carga de la prueba a la acusación, sin que pueda recaer en ningún caso en el lado de la persona jurídica la carga de demostrar una autoorganización adecuada (Górriz Royo, 2019: 20).

3.3. Gestión de riesgos ambientales

En último término, una vez la empresa ha identificado y evaluado los riesgos medioambientales de forma correcta, afrontando su programa de organización y gestión con un enfoque basado en el riesgo, ha de dirigir su actuación hacia la gestión eficaz del mismo, esto es, en palabras de Matallín Evangelio (2022: 67), “hacia su control y supervisión, como elementos fundamentales del gobierno corporativo mediante los que la persona jurídica, a diferencia de lo que ocurre con las personas físicas, dispondrá de un privilegio que debe utilizar dentro de un marco global de actuación orientada al cumplimiento normativo”.

La eficacia del mapa dependerá siempre de que sus contenidos se reflejen correctamente en el sistema de gestión de la empresa: protocolos operativos, formación, supervisión, canales de denuncia y consecuencias disciplinarias, nuevamente al albur de lo dispuesto en el art. 31 bis 5 del Código Penal. En múltiples casos, como adelantamos, con la existencia de un documento no es suficiente: es necesario que los riesgos identificados guíen decisiones concretas, como el cierre de una línea de producción si no se cumplen requisitos normativos o la adopción de medidas urgentes ante un incidente ambiental. Por ejemplo, si el mapa señala como crítico el riesgo de emisión superior a los límites legales, se deben instaurar controles automáticos, registros verificables, alertas y formación obligatoria del personal. Finalmente, todo ello debe estar vinculado con un sistema sancionador interno que penalice las negligencias, reforzando así una cultura operativa coherentemente enfocada a la prevención penal y ambiental.

No debe obviarse, nuevamente al calor de lo dispuesto en el art. 31 bis 5 del Código Penal, que un mapa de riesgos pasivo puede quedar obsoleto en poco tiempo, máxime en un entorno como el medioambiental, sumamente cambiante y con unas normativas muy dispersas, como vimos. Las instalaciones cambian, la tecnología evoluciona, surge nueva normativa, se introducen operaciones externas… Los programas de cumplimiento deben ser vívidos, dinámicos y no estáticos (como ya apuntamos supra), sujetos a revisiones periódicas y a revisión extraordinaria ante cualquier novedad relevante. Como ha indicado muy acertadamente Górriz Royo (2019: 52), la delimitación y seguimiento del mapa de riesgos “es un paso esencial pues, en todo caso, ha de comprobarse para admitir la eficacia tanto eximente como atenuante de un compliance ambiental, teniendo en cuenta que además la misma dependerá de la adaptación real de cada modelo de organización y gestión, a la concreta empresa”. Una revisión bien documentada, con actas, fechas, implicación de responsables y actualización de medidas, no solo mejora la prevención, sino que constituye un activo probatorio de diligencia debida llegado el caso, que puede resultar decisivo a la hora de condenar penalmente a una empresa por delito medioambiental, o por el contrario a la hora de apreciar una circunstancia eximente o atenuante para la misma. La documentación del proceso de identificación y evaluación de riesgos (quién participó, qué se revisó, qué fuentes y qué análisis se realizaron) resulta, pues, esencial. La trazabilidad convierte el mapa en prueba ante un eventual proceso judicial. Los informes generados, las actas de comisión, los registros de formación, auditorías y revisiones deben integrarse bajo un sistema documental interno, guardado conforme a la normativa de archivo y conservado para su revisión futura.

Finalmente, la eficacia del mapa de riesgos medioambiental descansa en su internalización en el marco de la persona jurídica. En efecto, como resultado del análisis de riesgos y del mapa de estos, resultará un diagnóstico certero sobre cómo prevenir en la práctica los concretos riesgos penales en la empresa del sector, asignándose objetivamente concretas medidas preventivas y correctoras, para contener cada riesgo previamente identificado (Górriz Royo, 2019: 55).

Por último, se deben planificar acciones formativas adaptadas a niveles jerárquicos: desde formación técnica específica para operarios hasta sensibilización de mandos intermedios y reporting directo a la alta dirección. Una cultura de cumplimiento penal ambiental exige que los riesgos identificados en el mapa no sean solo conocidos, sino asumidos e interiorizados como parte central del funcionamiento, implicando así un cambio real y no meramente formal de comportamiento, e implementándose con ello una verdadera cultura de cumplimiento y autorresponsabilidad empresarial.

V. CONCLUSIONES

La responsabilidad penal corporativa se ha convertido en un instrumento esencial para afrontar los riesgos derivados de la actividad empresarial en materia medioambiental. La complejidad técnica de estos delitos, su estrecha vinculación con procesos operativos y la frecuente intervención de normativa administrativa convierten al compliance ambiental en un eje estratégico para garantizar la legalidad empresarial y la protección de los bienes jurídicos en esta materia.

La investigación desarrollada evidencia que el modelo español de responsabilidad penal de las personas jurídicas descansa en la exigencia de autoorganización: las empresas deben dotarse de estructuras de control internas capaces de prevenir delitos. En este esquema, los mapas de riesgos penales constituyen el elemento nuclear del compliance, pues permiten identificar, evaluar y gestionar los riesgos delictivos derivados de la actividad empresarial. Su relevancia es tal que pueden determinar, en la práctica, la exención o atenuación de la responsabilidad penal conforme al artículo 31 bis del Código Penal.

Como se ha puesto de manifiesto, en el ámbito medioambiental los mapas de riesgos requieren de una metodología especialmente rigurosa debido al carácter sumamente técnico de las conductas sancionadas y a la dispersión normativa existente. La identificación de riesgos no puede limitarse al catálogo penal: debe integrar también la normativa administrativa sectorial, la propia estructura organizativa de la empresa, el funcionamiento real de sus procesos y los restantes requisitos técnicos que le sean aplicables. Como ha quedado demostrado, esta fase es particularmente exigente porque los riesgos ecológicos suelen ser difusos, multidimensionales y difíciles de demostrar en términos causales.

La evaluación del riesgo exige, pues, ponderar elementos como la probabilidad y el impacto, recurriendo a metodologías objetivas (como las matrices ISO) pero también apoyándose en datos técnicos, auditorías y experiencia previa. Esta evaluación condiciona la adopción de controles específicos, protocolos operativos, sistemas de alerta y formación interna en la empresa.

Finalmente, la gestión del riesgo requiere un modelo dinámico y documentado. Un mapa de riesgos inmóvil resulta inútil ante un entorno normativo altamente cambiante, como lo es, en la práctica, el de la regulación medioambiental. Por ello, la revisión periódica, la actualización continua y la trazabilidad documental se convierten en garantías esenciales tanto para la prevención real como para su acreditación judicial en el futuro.

En conjunto, del presente trabajo se puede concluir que los compliance ambientales (y, en su núcleo, los mapas de riesgo) no solo sirven para prevenir delitos y evitar consecuencias penales, sino que actúan como verdaderas herramientas de gobernanza corporativa que fomentan una cultura empresarial responsable. Su adecuada implementación contribuye decisivamente a la consolidación de un auténtico Estado de Derecho ambiental, donde las empresas asumen un rol proactivo en la protección del entorno natural.

VI. REFERENCIAS

Alzina Lozano, A. (2023). El derecho penal y la política medioambiental de la Unión Europea, Ed. Iustel, Madrid.

Bajo Fernández, M., Feijoo Sánchez, B., y Gómez-Jara Díez, C. (2016). Tratado de responsabilidad penal de las personas jurídicas, Ed. Aranzadi, 2ª edic., Navarra.

Bustos Rubio, M. (2017). Delitos acumulativos, Ed. Tirant lo Blanch, Valencia.

Bustos Rubio, M. (2025a): “El modelo latino de responsabilidad penal de la persona jurídica: un estudio comparado entre España e Italia”, en Revista La Ley Penal, nº 174.

Bustos Rubio, M. (2025b): “Il modelo latino di responsabilità penale della persona giuridica: uno studio comparato tra Spagna e Italia”, en Nullum Crimen, nº 2.

Coca Vila, I. (2013). “¿Programas de cumplimiento como forma de autorregulación regulada?”, en Silva Sánchez, J. M. (dir.) y Montaner Fernández, R. (coord.), Criminalidad de empresa y compliance. Prevención y reacciones corporativas, Ed. Atelier, Barcelona.

Cuadrado Ruiz, M. A. (2012). “Protección jurídica del medio ambiente (internacional, europea, constitucional y penal”, en Pérez Alonso, E., Arana García, E., Mercado Pacheco, P., y Serrano Moreno, J. L. (eds.), Derecho, globalización, riesgo y medio ambiente, Ed. Tirant lo Blanch, Valencia.

De la Mata Barranco, N. (2013). “El cumplimiento por el legislador español del mandato de la Unión Europea de sancionar a las personas jurídicas”, en De la Cuesta Arzamendi, J. L. (dir.), De la Mata Barranco, N. (coord.), Responsabilidad penal de las personas jurídicas, Ed. Aranzadi, Navarra.

De Luis García, E. (2019). El derecho al medio ambiente. De su tutela penal a la respuesta procesal, Ed. Tirant lo Blanch, Valencia.

Fernández Castejón, E. B. (2017). Individualización de la responsabilidad penal por la actividad empresarial en EEUU. ¿Un modelo para el Derecho penal español?, ed. Bosch, Barcelona.

Fernández Hernández, A. (2023).“Dos cuestiones relativas a los programas de cumplimiento penal: los criterios para medir su eficacia y el diseño de los mapas de riesgos”, en Matallín Evangelio, A. y Fernández Hernández, A.: Criminal compliance programs y mapas de riesgos, Ed. Tirant lo Blanch, Valencia.

Fernández Teruelo, J. G. (2020). Parámetros interpretativos del modelo español de responsabilidad penal de las personas jurídicas y su prevención a través de un modelo de organización o gestión (compliance), Ed. Cizur Menor, Navarra.

Fuentes Osorio, J. L. (2012). “Accesoriedad administrativa y delito ecológico”, en Pérez Alonso, E., Arana García, E., Mercado Pacheco, P., y Serrano Moreno, J. L. (eds.), Derecho, globalización, riesgo y medio ambiente, Ed. Tirant lo Blanch, Valencia.

Fuentes Osorio, J. L. (2021). Delitos contra el medio ambiente, Ed. Ad Hoc, Buenos Aires.

Fuentes Osorio, J. L. (2023).: Sistema de determinación de las penas impuestas a las personas jurídicas, Ed. Bosch, Barcelona.

González Cussac, J. L. (2019). “Condiciones y requisitos para la eficacia eximente o atenuante de los programas de prevención de delitos” en Gómez Colomer, J. L. (dir.), Tratado sobre compliance penal. Responsabilidad penal de las personas jurídicas y modelos de organización y gestión, Ed. Tirant lo Blanch, Valencia.

González Cussac, J. L. (2020). Responsabilidad penal de las personas jurídicas y programas de cumplimiento, Ed. Tirant lo Blanch, Valencia.

Gómez Tomillo, M.: Introducción a la responsabilidad penal de las personas jurídicas, Ed. Aranzadi, Navarra, 2015.

Gómez-Jara Díez, C.: “La nueva responsabilidad penal de las empresas en España”, en Economist & Jurist, nº 144, 2010.

Górriz Royo, E. (2019) “Criminal compliance ambiental y responsabilidad de las personas jurídicas a la luz de la LO 1/2015, de 30 de marzo”, en inDret, nº 4.

Górriz Royo, E. (2015). Delitos contra los recursos naturales y el medio ambiente, Ed. Tirant lo Blanch, Valencia.

Iglesias Skuli, A. (2011). “La protección del medio ambiente en la Unión Europea”, en Faraldo Cabana, P. (dir.), Puente Aba, L. M. (coord.), Ordenación del territorio, patrimonio histórico y medio ambiente en el Código Penal y la legislación especial, Ed. Tirant lo Blanch, Valencia.

Kuhlen, L. (2013). “Cuestiones fundamentales de compliance y Derecho penal”, en Kuhlen. L., Montiel, J. P., y Ortiz de Urbina Gimeno, I. (eds.), VV. AA., Compliance y teoría del Derecho penal, Ed. Marcial Pons, Madrid.

López Lemos, P. (2023). “Gestión de riesgos y el compliance penal”, en Matallín Evangelio, A. y Fernández Hernández, A.: Criminal compliance programs y mapas de riesgos, Ed. Tirant lo Blanch, Valencia.

León Alapont, J. (2020). “La prevención de delitos ambientales en la era compliance: mapa de riesgos”, en VV. AA., Estudios jurídicos en memoria de la profesora Doctora Elena Górriz Royo, Ed. Tirant lo Blanch, Valencia.

Martínez López, I. (2020). “Aplicación práctica de la gestión de riesgos”, en Simón Castellano, P. y Abadías Selma, A.: Mapa de riesgos penales y prevención del delito en la empresa, Ed. Wolters Kluwer, Madrid.

Matallín Evangelio, A. (2022). “Los delitos medioambientales en la ganadería: mapa de riesgos del sector”, en Cuadernos de Política Criminal, nº 137.

Matallín Evangelio, A. (2023). “Responsabilidad penal de las personas jurídicas en delitos contra la biodiversidad: distorsiones del sistema”, en Matallín Evangelio, A. y Fernández Hernández, A.: Criminal compliance programs y mapas de riesgos, Ed. Tirant lo Blanch, Valencia.

Mendo Estrella, A. (2009). El delito ecológico del artículo 325,1 del Código Penal, Ed. Tirant lo Blanch, Valencia.

Mercado Pacheco, P. (2012). “Desarrollo sostenible y gobernanza: retóricas del derecho global y de la justicia ambiental”, en Pérez Alonso, E., Arana García, E., Mercado Pacheco, P., y Serrano Moreno, J. L. (eds.), Derecho, globalización, riesgo y medio ambiente, Ed. Tirant lo Blanch, Valencia.

Mongillo,V. (2023). “La responsabilidad penal de las personas jurídicas en Italia: puntos fuertes, problemas de aplicación y perspectivas de reforma”, en Estudios Penales y Criminológicos, nº 43.

Muñoz Conde, F., García Álvarez, P. y López Peregrín, M. C. (2025). Manual de Derecho penal medioambiental, Ed. Tirant lo Blanch, Valencia, 3ª ed.

Navarro Cardoso, F.: (2021). El delito de contaminación acústica, Ed. Tirant lo Blanch, Valencia.

Nieto Martín, A. (2011). “Bases para un futuro Derecho penal internacional del medio ambiente”, en Revue Internationale de Droit Penal, nº 3.

Nieto Martin, A. (2008). La responsabilidad penal de las personas jurídicas: un modelo legislativo, Ed. Iustel, Madrid.

Ochoa Figueroa, A. (2015). La tutela del agua mediante el Derecho penal y el Derecho administrativo, Ed. Servicio de Publicaciones de la Facultad de Derecho UCM, Madrid.

Ortiz de Urbina Gimeno, I. (2011). “Responsabilidad penal de las personas jurídicas y programas de cumplimiento empresarial (‘compliance programs’), en Goñi Sein, J. L. (dir.), Ética empresarial y códigos de conducta, Ed. Wolters Kluwer, Madrid.

Puente Aba, L. M. (2011a): “Los delitos contra los recursos naturales y el medio ambiente: art. 325 y 326”, en Faraldo Cabana, P. (dir.), Puente Aba, L. M. (coord.), Ordenación del territorio, patrimonio histórico y medio ambiente en el Código Penal y la legislación especial, Ed. Tirant lo Blanch, Valencia.

Puente Aba, L. M. (2011b): “Los delitos contra los recursos naturales y el medio ambiente: art. 327”, en Faraldo Cabana, P. (dir.), Puente Aba, L. M. (coord.), Ordenación del territorio, patrimonio histórico y medio ambiente en el Código Penal y la legislación especial, Ed. Tirant lo Blanch, Valencia.

Ramírez Barbosa, P. A., y Ferré Olivé, J. C. (2019). Compliance, Derecho penal corporativo y buena gobernanza empresarial, Ed. Tirant lo Blanch, Bogotá.

Ramón Ribas, E. (2011). “Los delitos contra los recursos naturales y el medio ambiente: art. 328 a 330”, en Faraldo Cabana, P. (dir.), Puente Aba, L. M. (coord.), Ordenación del territorio, patrimonio histórico y medio ambiente en el Código Penal y la legislación especial, Ed. Tirant lo Blanch, Valencia.

Rodríguez M., Piñero, C. y Del Llano, P. (2013). “Mapa de riesgos: identificación y gestión de riesgos”, en Atlantic Review of Economics, nº 2.

Roldán Barbero, J. (2012). “España y la protección internacional del medioambiente”, en Pérez Alonso, E., Arana García, E., Mercado Pacheco, P., y Serrano Moreno, J. L. (eds.), Derecho, globalización, riesgo y medio ambiente, Ed. Tirant lo Blanch, Valencia.

Salvador Lafuente, A. (2020). “Mapa de riesgos: identificación y análisis de riesgos y controles”, en Simón Castellano, P. y Abadías Selma, A.: Mapa de riesgos penales y prevención del delito en la empresa, Ed. Wolters Kluwer, Madrid.

Schünemann, B. (2012). “La destrucción ambiental como arquetipo del delito”, en Pérez Alonso, E., Arana García, E., Mercado Pacheco, P., y Serrano Moreno, J. L. (eds.), Derecho, globalización, riesgo y medio ambiente, Ed. Tirant lo Blanch, Valencia.

Silva Sánchez, J. M. (2013). “Deber de vigilancia y compliance empresarial”, en Kuhlen. L., Montiel, J. P., y Ortiz de Urbina Gimeno, I. (eds.), VV. AA., Compliance y teoría del Derecho penal, Ed. Marcial Pons, Madrid.

Silva Sánchez, J. M. y Montaner Fernández, R. (2012). Los delitos contra el medio ambiente, Ed. Atelier, Barcelona.

Simón Castellano, P. (2020). “Responsabilidad penal de las personas jurídicas, mapa de riesgos y cumplimiento en la empresa”, en Simón Castellano, P. y Abadías Selma, A.: Mapa de riesgos penales y prevención del delito en la empresa, Ed. Wolters Kluwer, Madrid.

Suárez-Mira Rodríguez, C. (2011). “La protección penal del medio ambiente en la Constitución Española”, en Faraldo Cabana, P. (dir.), Puente Aba, L. M. (coord.), Ordenación del territorio, patrimonio histórico y medio ambiente en el Código Penal y la legislación especial, Ed. Tirant lo Blanch, Valencia.

Velasco Núñez, E. y Saura Alberdi, B. (2016). Cuestiones prácticas sobre responsabilidad penal de la persona jurídica y compliance, Ed. Aranzadi, Navarra.

Vercher Noguera, A. (2024). Tropiezos éticos y prácticos en la protección penal del medio ambiente, Ed. Tirant lo Blanch, Valencia.

---