¿Por qué la UNE 19601 sobre Sistemas de Gestión del Compliance Penal va en camino de convertirse en un marco de referencia de aplicación extraterritorial? Es esta la cuestión que me planteo resolver en la presente entrega, situando el Compliance penal en el contexto latinoamericano.
Ayer 24 de abril entró en vigor la nueva versión 2025 de la norma española UNE 19601 sobre “Sistemas de Gestión del Compliance Penal”, anulando y sustituyendo la primera edición que se remonta al mes de mayo de 2017. Ocho años que han transcurrido rápidamente, pero no por ello inadvertidos para el impulso del Compliance penal en otras latitudes, especialmente en distintos países latinoamericanos.
Desde una mirada desprevenida de la UNE 19601, podría concluirse que esta norma técnica se reduce a la formulación, implementación y funcionamiento de programas de cumplimiento desarrollados por parte de aquellas organizaciones cobijadas por el sistema de responsabilidad penal de personas jurídicas vigente en España desde 2010. Sin embargo, desde una visión estratégica del Compliance, basada en las mejores prácticas internacionales y desprendida de formalismos regulatorios, esta norma se está convirtiendo en un importante marco de referencia para la gestión de riesgos criminales en organizaciones situadas por fuera de fronteras españolas. Veamos:
Al respecto, lo primero que debe resaltarse es que la misma norma se autoconcibe como una guía útil para la gestión de riesgos delictivos aplicable a organizaciones que operan en otras jurisdicciones. En los siguientes términos lo establece la norma: “Esta norma queda abierta, además, a su posible aplicación y utilización en otros países donde la legislación contemple la responsabilidad penal o administrativo-sancionadora de las personas jurídicas, o de otro tipo de organizaciones”[1]. Anótese que, esta vocación transnacional de la norma, ya se contenía en la primera versión de 2017[2].
Lo segundo que debe anotarse es que la norma invita, aunque implícitamente, a hablar de riesgos “criminales” como categoría general que incluye los “penales”. Esto, porque su texto prevé la posibilidad de administrar no sólo los efectos jurídico-penales derivados de la infracción de dicho régimen de responsabilidad penal de personas jurídicas en este país, sino también aquellos asociados a marcos de responsabilidad administrativo-sancionatorios derivados de infracciones delictivas (como sucede, por ejemplo, en Colombia con la Ley 2195 de 2022)[3]. El adjetivo “criminal”, por disposición de la misma norma, permite incluso extender el respectivo sistema de gestión a conductas catalogadas como “fraude interno” (compliance ad intra)[4]. Esta posibilidad, valga anotar, también se consagraba en la versión 2017 de la norma[5]. Por todo esto, quizá, resulte útil el anglicismo “Criminal-Compliance”.
Y lo tercero que cabe resaltar es la posibilidad de aplicarlo a diversos tipos de entes. Por ello, la norma habla de “organizaciones”, propio del estándar ISO. Esto trae consigo que el marco técnico establecido por la UNE 19601 pueda aplicarse a la gestión de los actos delictivos que se generan en el contexto de otros tipos de entidades distintas a las corporaciones de carácter privado (sociedades comerciales, asociaciones, fundaciones, etc.), como lo podrían ser las entidades del sector público (v. gr., en la administración pública) o sujetos individualmente considerados (v. gr., sus gestores). En el primer caso, la misma norma establece en su apartado introductorio que: “La presente norma puede aplicarse a organizaciones (3.20) de todos los tamaños y actividades, tanto del sector privado como público, con o sin ánimo de lucro”[6]. Y, en el segundo caso, si nos remitimos a la definición de “organización” que incorpora la misma norma, claramente podría pensarse en la extensión del Compliance penal a los riesgos jurídico-penales que podrían enfrentar personalmente administradores, directores y otros gestores a raíz de la comisión -no tolerada- de conductas delictivas por parte de sus subalternos en el marco de las actividades de la organización que presiden[7].
La razón de su factible adopción en cualquier organización que haya puesto en marcha un sistema o programa de Compliance general o especial de alcance criminal (LAFT, corrupción, etc.) en cualquier ubicación territorial, es que la norma se articula bajo la estructura de alto nivel (HLS) que caracteriza el estándar ISO (la UNE es una norma ISO, por así decirlo). Además, la UNE 19601 recoge las buenas prácticas establecidas por la ISO 37301 sobre Sistemas de Gestión de Compliance y otros marcos especiales del mismo estándar (sistemas de gestión antisoborno, sistemas de gestión de denuncias de irregularidades, etc.).
Pero hay al menos otras tres razones de peso para plantearse su implementación por parte de organizaciones que operen por fuera de fronteras españolas: Primero, porque es una norma que no se reduce al cumplimiento de requisitos conforme a una legislación penal determinada, sino que apunta a la generación de culturas éticas y de cumplimiento que redunden positivamente en la prevención, detección y gestión de actos delictivos dentro de las organizaciones[8]. Como puede inferirse, este propósito mayor es transversal, connatural y útil con respecto a cualquier sistema de gestión de Compliance orientado a precaver riesgos de esta índole. Segundo, con independencia del país, en términos de la misma norma, porque el delito “erosiona el gobierno corporativo” y deriva en la potencial lesión de bienes jurídicos de sus ciudadanos e instituciones[9]. Y tercero, porque la norma podría servir de marco de referencia para autoridades judiciales o administrativas de otros países al momento de evaluar la responsabilidad penal o sancionadora de una determinada organización o de sus gestores[10]. Este último segmento de aplicación, de un lado, dado que la responsabilidad no suele ser de tipo objetiva en los Estados constitucionales y de Derecho (por lo que caben los principios asociados al Derecho de defensa y otras garantías sustantivas y procesales), y de otro lado, porque los programas de cumplimiento regulados de distintos países, en general, incorporan los principios y elementos que desarrolla la citada norma UNE.
No hemos de olvidar, al menos en lo que respecta al grueso de países de Latinoamérica, que las personas jurídicas en la mayoría de ordenamientos jurídicos ya responden sea penal o administrativamente por la comisión de unos u otros tipos delictivos. En consecuencia, echar mano de un estándar especializado para la gestión de riesgos criminales como la UNE 19601 constituye una opción acertada para las áreas de cumplimiento de organizaciones situadas en estos países que busquen optimizar o llevar a otro nivel su correspondiente SGCP.
Esta proyección transnacional de la norma UNE 19601 en conexión con otros marcos del estándar ISO integrables al mismo objetivo y alcance (ISO 31000, ISO 37301, ISO 37001, ISO 37302, etc.), es justamente uno de los aspectos que destaqué en mi obra “Criminal-Risk Management & Compliance: Un modelo para el gerenciamiento de riesgos penales corporativos”[11]. En ésta, exploré cómo los principios y elementos desarrollados por la UNE 19601, pueden extrapolarse a cualquier sistema de gestión de Compliance penal aplicable en Latinoamérica.
[1] UNE 19601:2025, Sistemas de gestión del compliance penal. Requisitos con orientación para su uso. Sobre esta vocación de aplicación transnacional, también prevé la norma en su Introducción que: “Esta norma facilita la implementación de sistemas de gestión del compliance penal (3.31), no sólo respetuosos con las exigencias legales españolas, sino también dirigidos a cumplir con las expectativas que normalmente se depositan en las organizaciones (3.20) que operan en los mercados internacionales”.
[2] UNE 19601:2017, Sistemas de gestión de compliance penal. Requisitos con orientación para su uso: “Esta norma UNE facilita la implementación de sistemas de gestión de compliance penal (3.31), no sólo respetuosos con las exigencias legales españolas, sino también dirigidos a cumplir las expectativas que normalmente se depositan en las organizaciones (3.20) que operan en los mercados internacionales”.
[3] UNE 19601:2025, Op. cit., “Esta norma queda abierta, además, a su posible aplicación y utilización en otros países donde la legislación contemple la responsabilidad penal o administrativo-sancionadora de las personas jurídicas, o de otro tipo de organizaciones”.
[4] UNE 19601:2025, Op. cit., “No obstante, la organización (3.20) puede decidir extender el alcance, tanto de la política de compliance penal (3.24) como del sistema de gestión del compliance penal (3.31) a estas esferas, en caso de que le resulte de utilidad”.
[5] UNE 19601:2017, Op. cit., “Esta norma UNE no se proyecta específicamente sobre riesgos (3.28) que hallándose relacionados con la esfera penal o suponiendo incumplimientos de la normativa, no guardan relación directa con ilícitos penales cometidos con el objetivo de beneficiar a la persona jurídica, como pueda ser el riesgo (3.28) de fraude en perjuicio de la organización (3.20). No obstante, la organización (3.20) puede decidir extender el alcance, tanto de la política de compliance penal (3.24), como del sistema de gestión de compliance penal (3.31) a estas esferas, en caso de que le resulte de utilidad”.
[6] UNE 19601:2025, Op. cit.
[7] UNE 19601: 2017, Op. cit., “3.20 organización: Persona o grupo de personas que tienen sus propias funciones, con responsabilidades, autoridades y relaciones para el logro de sus objetivos”.
[8] UNE 19601:2025, Op. cit., “Esta norma facilita diseñar o evaluar sistemas de gestión del compliance penal (3.31), que permitan generar o mejorar una adecuada cultura (3.8) organizativa sensible a la prevención y detección penal y opuesta a las malas praxis que toleran o amparan conductas ilícitas en el seno de las personas jurídicas”.
[9] UNE 19601:2025, Op. cit., “La comisión de comportamientos delictivos en el desarrollo de las actividades propias de las organizaciones (3.20) no sólo genera ventajas anticompetitivas en relación con aquellos operadores respetuosos con el cumplimiento de la legalidad, sino que erosiona los fundamentos del buen gobierno corporativo y pone en riesgo (3.28) bienes jurídicos especialmente protegidos”.
[10] Con relación a la norma UNE 19601:2025, Op. cit., señala el documento que: “De igual modo, la experiencia enseña que su contenido también es una referencia para los tribunales de justicia y demás operadores jurídicos a la hora de disponer de criterios para valorar el nivel de cumplimiento por parte de las personas jurídicas u otras organizaciones (3.20) de las exigencias previstas en la legislación penal”.
[11] Amézquita, Jorge Andrés, Criminal-Risk Management & Compliance: un modelo para el gerenciamiento de riesgos penales corporativos, Bogotá: Tirant lo Blanch, 2024.