Cambios en la nueva normativa UNE 19601:2025
El pasado 24 de abril se publicó la nueva ISO 19601:2025 que establece los requisitos de los sistemas de gestión de compliance penal adoptando la Estructura Armonizada (HS) de ISO, la cual permite una integración más fácil y efectiva con otros sistemas de gestión basados en normas ISO. Esta nueva versión de la norma establece requisitos para sistemas de gestión de compliance, permitiendo una integración coherente y sistemática de los principios de compliance penal con otros aspectos del cumplimiento normativo.
Tras un análisis de la nueva norma, destacamos las modificaciones más relevantes acontecidas con ocasión de la aprobación de esta nueva versión de la Norma UNE 19601:
- Reubicación de la evaluación de riesgos penales pasando del apartado 6.2. incluido en la sección «Planificación» en la versión anterior al apartado 4.5. de la actual, encuadrado en la sección «Contexto de la organización». En la nueva versión de la Norma se integra la gestión de los riesgos penales de la organización en la planificación estratégica de éstas. Este cambio pretende integrar la gestión de riesgos con los objetivos del negocio y facilitar la incorporación del compliance penal a otros sistemas de gestión dentro de la organización, promoviendo una cultura ética y de cumplimiento. Esta modificación de la norma crea la obligación concreta de la identificación de los riesgos penales «en la versión más actualizada del Código Penal, en el momento de desarrollar el ejercicio de la evaluación».
En su lugar, se da un mayor espacio a la Planificación y la definición de objetivos con la aspiración de abordar los principales riesgos y oportunidades. - El refuerzo de los requisitos de liderazgo en materia de compliance en la organización, mediante la inclusión de dos concretos deberes nuevos al órgano de gobierno:
- Supervisión activa: Se requiere que el órgano de gobierno dirija y apoye activamente la implementación y efectividad del sistema de compliance penal. Esto incluye la revisión periódica de los informes de cumplimiento y la adopción de medidas correctivas cuando sea necesario.
- Colaborar en la promoción de la mejora continua del sistema de gestión de compliance penal.
- Adaptación de la nueva Norma a la Ley 2/2023 de protección del informante en temas como la confidenialidad y el anonimato.
- Distinción entre formación y concienciación: la UNE 19601:2025 distingue y separa expresamente las actividades de formación y concienciación, estableciendo requisitos específicos para cada una.
En concreto, este nuevo apartado incluye la obligación para la organización de impulsar actividades de toma de conciencia sobre los miembros de la organización, así como a sus socios de negocio, para que tomen conciencia general del sistema de compliance penal. Esto se refiere a obligaciones más concretas como la de fomentar de manera continua (de forma planificada) las actividades de concienciación; la actualización periódica de los programas para la toma de conciencia; y la puesta a disposición de los socios de negocio de contenidos que les permitan conocer y respetar los valores de la organización. - Se amplía y se profundiza sobre los controles y requisitos a cumplir en la norma con respecto de los procesos de diligencia debida.
La implantación de la norma tiene como objetivo definir y orientar a todas las empresas a estructurar el sistema de gestión de compliance alineándolo con el cumplimiento de los requisitos previstos en el artículo 31.bis. del Código Penal con el objetivo de poder evidenciar la eficacia de estos requisitos conforme a lo previsto en la Circular 1/2016 de la Fiscalía.
Centro de Competencia Compliance de Govertis, part of Telefónica Tech
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
