Tras ocho años de vigencia, el estándar normativo UNE 19601 –marco de referencia completo para las organizaciones empresariales para la adopción, implementación, mantenimiento y mejora continua de un Sistema de Gestión de Compliance– ha sido objeto de un proceso de revisión y actualización que ha culminado con la publicación, el 24 de abril de 2025, de la nueva versión de la Norma UNE 19601:2025 "Sistemas de Gestión de Compliance Penal - Requisitos de orientación para su uso"
Esta nueva versión, como se indica en su introducción, no supone cambios de enfoque respecto de la versión inicial, pero incorpora ajustes para adaptarse a los cambios normativos y de normalización internacional habidos desde el año 2017, así como para facilitar su integración con otros sistemas de gestión normalizados.
Las modificaciones más relevantes son las siguientes:
1. Nueva ubicación de la evaluación de riesgos penales
El proceso de evaluación de riesgos penales (identificación, análisis y valoración) pasa del apartado 6.2 incluido en el Capítulo 6 “Planificación” al apartado 4.5 dentro del Capítulo 4 “Contexto de la Organización”.
Con ello, se pretende la alineación de la norma con la Estructura Armonizada de alto nivel (HLS) de la ISO 37301:2021 y otros estándares ISO modernos, facilitando su integración en otros sistemas de gestión existentes en una organización empresarial.
Se traslada el proceso de la evaluación del riesgo penal en la fase inicial del diseño del Sistema sobre el que se fundamentarán el resto de los elementos que lo integran.
En el proceso de evaluación del riesgo se añade una nueva directriz o requisito en la fase de identificación de los riesgos penales. Así en el apartado 4.5.2 “Identificación de los riesgos penales” dispone que se deberán tener en consideración “TODOS” los riesgos penales, entiéndase delitos corporativos, contemplados en la versión más actualizada del Código Penal, en el momento de desarrollar el ejercicio de evaluación. Ello implica la necesidad de elaborar un informe de valoración jurídico penal de todos los delitos corporativos en el que se valore el nivel de exposición de la organización a cada uno de los riesgos penales y, en su caso, motivar su no exposición.
2. Liderazgo y compromiso
Se refuerza el carácter del órgano de gobierno como máximo garante de la gestión eficaz del Sistema.
En este sentido se incorporan dos nuevas obligaciones para el órgano de gobierno para demostrar su liderazgo y compromiso que implican una mayor proactividad en aras a una gestión eficaz del Sistema.
Así, la letra h) del apartado 5.1.1 “dirigir y apoyar a las personas para contribuir a la eficacia del Sistema” y la letra i) del mismo apartado “promover la mejora continua del sistema”.
3. Órgano de Compliance Penal – Función de Compliance
La nueva versión realiza una restructuración de las funciones y obligaciones del órgano de cumplimiento en la gestión del Sistema, diferenciando, por un lado, obligaciones relacionadas con la operativa/gestión del Sistema sobre las que tiene una responsabilidad directa y, por otro lado, obligaciones de supervisión sobre actividades y acciones de las que no es responsable directo, pero debe supervisar.
Se añade de forma expresa, en la nota 2 del apartado 5.1.2 que los roles y responsabilidades de la función de Compliance no sustituyen ni descargan las responsabilidades que corresponden a otros miembros de la organización.
Con ello, se refuerza la idea de que la eficacia de un Sistema no recae de forma única en el órgano de cumplimiento, sino que recae y depende de todos los miembros de la organización empresarial quienes deben conocer y cumplir, tanto con las obligaciones o requerimientos de cumplimiento penal asociados a sus puestos de trabajo, como con las funciones y responsabilidades asociadas a su posición dentro de la gestión operativa del Sistema.
4. Cultura de Compliance Penal
En la nueva versión la Cultura de Compliance Penal se ubica en el Capítulo de “Liderazgo”, pasando a ser una directriz o requisito de la Norma, estableciendo la obligación para las organizaciones empresariales de desarrollar, mantener y promover una cultura de Compliance penal a todos los niveles de la organización. Viene a ser un criterio de eficacia del Sistema.
Con ello, la Norma se alinea con lo manifestado por la Fiscalía General del Estado en su Circular 1/2016 y por el Tribunal Supremo cuando afirman que el objetivo prioritario de todo Sistema de Compliance Penal debe ser implementar y mantener una cultura corporativa ética y de respeto a la legalidad en general, teniendo un papel destacado el órgano de gobierno y la alta dirección.
5. Gobernanza del Compliance Penal
Dentro Capítulo 5 “Liderazgo” se añade un nuevo apartado “Gobernanza del Compliance Penal” en el que, a las cualidades de independencia y autonomía del órgano de cumplimiento para el ejercicio de sus funciones, se añade de forma expresa la de autoridad.
La autoridad se traduce en una adecuada posición jerárquica dentro del organigrama de la organización que le otorgue autoridad suficiente para dirigirse a otras áreas o funciones de la organización para recabar información o acceder a registros y documentación para el desarrollo de sus funciones, así como solicitar colaboración.
Dicha cualidad también se añade en el apartado 5.2 “Política de Compliance Penal” en su letra j) “contemple la función de Compliance penal, señalando su autoridad, autonomía e independencia, cuando no coindice con el órgano de gobierno”.
6. Diferencia entre formación y concienciación
La nueva versión separa las acciones de formación y concienciación estableciendo directrices distintas para cada una de ellas.
En el apartado 7.3.1 “Formación”, se establece la obligación de proporcionar formación a los miembros de la organización que conforme a los resultados de la evaluación del riesgo penal tengan un rol decisivo o destacado en actividades expuestas a riesgos penales.
Y en el apartado 7.3.2 “Toma de conciencia”, se establece la obligación de impulsar acciones de toma de conciencia sobre los miembros de la organización no incluidos en el apartado 7.3.1, así como a los socios de negocio.
Con esta distinción se evita que las acciones de concienciación puedan ser interpretadas como indicios de laboralidad.
7. Canal interno de denuncias
La aprobación de la Ley 2/2023, de 20 de febrero, reguladora de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, también ha afectado a la Norma.
Así, se refuerzan las garantías de confidencialidad y anonimato, y la prohibición de represalias y la protección del informante ante conductas perjudiciales.
Las organizaciones que dispongan o pretendan implementar un Sistema de Compliance Penal conforme a la UNE 19601 deberán implementar las medidas oportunas que les permitan garantizar el cumplimiento de los requisitos introducidos con esta nueva versión del estándar.
Desde el Área de Compliance de Toda & Nel-lo, ofrecemos asesoramiento experto en el diseño, revisión e implementación de Sistemas de Gestión de Compliance Penal, incluyendo el acompañamiento en procesos de certificación y seguimiento conforme a la UNE 19601.
Nota informativa - Compliance - Nueva versión UNA 19601:2025 Sistemas de Gestión de Compliance Penal
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.