La Norma UNE 19601 se publicó el año 2017, convirtiéndose en el texto de referencia en España para la implantación y evaluación de modelos de compliance penal. Inspirada en los estándares internacionales ISO 19600:2014 (compliance general) e ISO 37001:2016 (compliance anti-soborno), no se limitó a cubrir los requisitos del Código Penal español, incorporando buenas prácticas generalmente aceptadas a nivel internacional.
Sin embargo, los progresos tanto en el marco legal como en la normalización internacional aconsejaban su revisión, que finalmente se ha publicado este mes de abril. A continuación, comento algunas de las mejoras más destacadas:
Aunque los textos ISO ya relacionaban los cometidos de la función de compliance, el estándar ISO 37301:2021 fue el primero en diferenciar entre actividades de su responsabilidad directa respecto de otras que debía impulsar, pero cuyo resultado final no podía garantizar. Es una distinción útil que ahora incorpora el Capítulo 5 Liderazgo de la Norma UNE, y que concreta las actividades core de compliance, cuya desatención provocarían lo que se ha denominado “fallo de bulto”.
La Norma UNE estuvo influida por el estándar ISO 37001:2014, que consideraba ambos términos sinónimos y los trataba conjuntamente. Sin embargo, el posterior estándar ISO 37301:2021 clarificó su naturaleza diversa: la formación equivale a capacitación para el desempeño de una actividad, mientras que la finalidad de la toma de conciencia es más general. Esta diferenciación es especialmente útil en contextos donde proyectar actividades de formación sobre socios de negocio afecta a su independencia, pudiendo incluso ser interpretadas como indicios de laboralidad.
En esta línea, la versión actualizada de la Norma UNE proyecta la formación para los miembros de la organización, abriendo las actividades de toma de conciencia tanto para éstos y como también para socios de negocio. Ambas actividades se tratan ahora de manera separada en sendos subapartados del Capítulo 7 Elementos de apoyo.
En los estándares internacionales ISO sobre compliance, el ejercicio de evaluación de riesgos venía ubicándose en el Capítulo 4 Contexto de la organización. Sin embargo, la Norma UNE los ubicó en el Capítulo 6 Planificación, queriendo recalcar la regularidad de su desarrollo. Curiosamente, en la transformación del estándar internacional ISO 19600:2014 en ISO 37301:2021, se localizó temporalmente en ese mismo Capítulo 6 por idénticos motivos, pero terminó regresando al Capítulo 4, como hace ahora la Norma UNE. De la serie de estándares españoles, sólo la Norma UNE 19602:2019 sobre compliance tributario sigue ubicándolo en el Capítulo 6.
El marco normativo conformado por la Directiva (UE) 2019/1937 de protección al informante, y la Ley 2/2023 que la implementa en España, impacta en la Norma UNE, como también el estándar internacional ISO 37002:2021 sobre sistemas de gestión para la denuncia de irregularidades. El Capítulo 8 Operación se ve condicionado por todo ello. Sus contenidos son vanguardistas, contemplando, por ejemplo, las denuncias de personas jurídicas y exigiendo la protección al informante ante “conductas perjudiciales”, que engloban las “represalias” pero también a comportamientos negligentes pero dañinos. Son mejoras provenientes de dicho estándar ISO 37002:2021 que, lamentablemente, no se consideraron en el citado marco normativo.
Todo modelo de compliance es instrumental a una finalidad trascendente: establecer, mantener y mejorar una cultura organizativa que promueva el cumplimiento de las normas y las conductas éticas. La Norma UNE adapta su definición de “cultura” a la del estándar ISO 37301:2021 (adoptada también por el recién revisado estándar ISO 37001:2025), incorporando la célebre secuencia de “Valores / Ética / Creencias / Conductas”, clave para comprender el compliance moderno.
Además, el modo de reconocer la cultura de compliance penal se localiza ahora en el Capítulo 5 Liderazgo en lugar del 7 Planificación, y adopta una aproximación híbrida que tiene en consideración no sólo el nivel de implementación de los requisitos de la norma (enfoque indiciario, quer era el adoptado inicialmente), sino también las opiniones de las partes interesadas (enfoque de percerpciones de las partes interesadas, que se añade ahora al indiciario). En dicho capítulo también se refuerzan cuestiones vinculadas con la gobernanza de compliance, en línea con los contenidos del estándar ISO 37301:2021.
Distintos apartados de la Norma UNE diferencian clamente los objetivos de compliance penal respecto de su marco de fijación. Se quiere evitar considerar por error declaraciones generales o programáticas -que pueden hallarse en la Política de compliance penal, por ejemplo-, con los objetivos propiamente tales de un periodo, a documentar separadamente.
En relación con los procesos de diligencia debida sobre entidades participadas tratados en el Capítulo 8 Operación, la Norma UNE aclara que no procede su aplicación ante casos de inversiones financieras, estableciendo una definición conceptual de las mismas.
Ni la Norma UNE inicial ni esta versión revisada precisan emplear las estructuras y contenidos esenciales que exige ISO, antes recogidos en la llamada “estructura de alto nivel” (HLS) y desde 2021 en la “estructura armonizada” (HS). Pero se decidió que así fuera, para garantizar su encaje con sistemas de gestión de compliance impulsados por ISO. No obstante, al ser una opción completamente voluntaria, en España se han podido modular algunos contenidos concretos, que son imperativos para los sistemas de gestión de ISO.
En concreto, se han obviado las menciones sobre el cambio climático que introdujo ISO en la HS: su Capítulo 4 Contexto de la organización precisa atender a estas cuestiones no solamente respecto de la organización, sino también de los requisitos fijados por sus partes interesadas. Al tratarse de contenido normativo no vinculado directamente con el objeto de la Norma UNE, y para evitar un aluvión de interpretaciones variadas, se ha preferido evitar estas menciones. No sucede así el recién revisado estándar internacional ISO 37001:2025 que, sin capacidad para omitir los contenidos de la HS, los incoropra en su redacción.
Sin perjuicio de lo anterior, la Norma UNE sí adopta el redactado actualizado de la HS de algunas definiciones y notas aclaratorias.
En definitiva, la actualización de la Norma UNE no presenta un cambio drástico respecto de su versión inicial, pero sí incorpora nuevos contenidos derivados de la evolución normativa y de la estandarización, clarificando contenidos y facilitando no sólo que se mantenga actualizado, sino que siga también siendo, según reconoce su Introducción, el referente consolidado de prevención penal en sede judicial en España.
Deja un comentario