Eduardo de URBANO | Of counsel en Kepler-Karst
El pasado 24 de abril se cumplió un año de la publicación de la UNE 19601:2025, norma de gran importancia para ayudar a elaborar los “modelos de organización y gestión” de los riesgos empresariales a los que se refiere el art.31 bis del CP, para eximir o atenuar la responsabilidad penal de las personas jurídicas.
La nueva norma se inscribe en la reciente jurisprudencia (SSTS 768/2025 y 836/2025) que ha reafirmado, corrigiendo una deriva que había invertido la carga hacia la defensa, que corresponde a la acusación acreditar que el modelo de prevención era insuficiente o inexistente. Esto es una buena noticia para las empresas que se toman el compliance en serio. Y una advertencia para las que no: si la acusación puede señalar que el programa no se actualiza, que el canal de denuncias es decorativo o que nadie con autoridad real lo supervisa, ese compliance no solo no exonera, sino que puede volverse en contra.
Y es que lo importante no es tanto contar con un sistema de compliance, sino que este sea razonablemente eficaz para prevenir los delitos de empresa. En ese marco cobra especial relevancia la UNE 19601:2025, que ha sustituido a la anterior de 2017 y reafirma una serie de puntos clave para ayudar a contar con un sistema solvente de prevención de riesgos de delito, para las empresas.
Lo más destacado, en nuestra opinión, es el desplazamiento de la evaluación de los riesgos penales desde la planificación hacia el contexto organizacional. En tal sentido, la estructura preventiva para la detección de dichos riesgos se incardina en la alta dirección, poniéndose más énfasis en la supervisión efectiva y en el seguimiento de su funcionamiento, sugiriendo la aportación de los recursos necesarios y alineándose con las normas ISO más modernas. Además, se incluye una mayor precisión a los distintos roles implicados en esta tarea. Y no falta, el tratamiento de la Ley 2/2023 de protección del informante.
No olvidemos, por otra parte, que este fenómeno ha estado ligado desde su comienzo a la idea de seguir estándares internacionales para homogeneizar códigos de conducta, reglas y buenas prácticas empresariales.
Así, el Comité de Basilea (una organización de los bancos centrales de los países afiliados, unos 150), aprobó en 2004 un documento oficial sobre la “función de compliance”, con el que se pretendía procurar el buen cumplimiento de “leyes, reglas y estándares” generales y específicos relacionados con la actividad productiva que corresponda, haciéndolo para la “cultura de empresa”.
Luego los ISO han ido concretando esas ideas, basadas en la mejora continua en materia de aspectos como cumplimiento legal, transparencia, ética corporativa y buen gobierno.
Es decir, con este sistema, se trata de introducir prácticas de ética empresarial para conseguir una buena reputación y así determinar la existencia de un buen gobierno de la entidad que no sólo se preocupe de producir y vender, sino de hacerlo conforme a las pautas legales y éticas.
En 2017, la Asociación Española de Normalización publicó la norma UNE 19601, el primer estándar nacional sobre compliance penal, cuyo principal objetivo era fijar unas bases homogéneas de entendimiento sobre lo que es un sistema de gestión de compliance penal efectivo. En 2019, apareció la UNE 19602 dedicada a la prevención de dichos riesgos en el ámbito tributario y de utilidad, por analogía, para el resto de la actividad económica, en lo que pudiera ser aplicable.
Ahora la norma UNE 19601:2025 sigue en esa línea de proporcionar ideas para diseñar el compliance que se ajuste a las características de cada organización, dado que ya no cabe discutir que resulta esencial contar con un plan de prevención cuyo diseño e implantación requiere una serie de requerimientos específicos, a fin de obtener lo que la STS 316/2018, bautizó como una “buena praxis corporativa” que garantice que este tipo de hechos (los delitos empresariales) no se cometan o que dificulten las acciones de fraudes económicos y otros abusos.
La nueva norma no supone un cambio en la esencia y contenido general, pero sí modifica una serie de elementos clave con el objetivo de alinearse con el compliance internacional (por ejemplo, UNE-ISO 37301 y UNE-ISO 31000) y a los cambios normativos de estos años.
Otra idea que queremos señalar es que los tribunales -por ejemplo la AN- para evaluar dichos programas están utilizando tanto las normas del Departamento de Justica de EEUU (los “Filip factors”) como la “Companies Act” británica de 2006, y de ambos referentes cabe destacar que es preciso comprobar si los controles existen, y si son continuos; los fondos y recursos con los que se cuenta; efectividad del asesoramiento externo; la metodología de detección de riesgos; la formación impartida en esta materia en la empresa; el historial de la firma; si el delito es algo aislado y producido por un directivo en solitario; o la antigüedad del hecho delictivo…
En definitiva, la certificación de prevención de delitos AENOR UNE 19601 reduce el riesgo penal en las organizaciones, fomentando una cultura de prevención de delitos y cumplimiento normativo. Por eso nos ha parecido oportuno recordar la efeméride comentada.
