logo_FEDER español
gss-logo-header
DemoSolicita una Demo
Cumplimiento

¿Qué es y para qué sirve la UNE 19601? Gestión de Compliance Penal

GlobalSuite Solutions
🕑 14 minutos de lectura

Tabla de contenidos

En un mundo empresarial cada vez más complejo y regulado, las organizaciones deben mantener altos niveles de ética y cumplimiento normativo. Para lograrlo, existen estándares que pueden ser de gran ayuda. Uno de los más relevantes es la norma UNE 19601, referencia clave para la gestión de compliance penal en España. En este artículo exploraremos qué es, para qué sirve, su estructura y componentes, los beneficios de su implementación y, sobre todo, qué cambia con la actualización de 2025.

Puntos clave de este artículo
  • Qué es la UNE 19601 y cuál es su relación con el Código Penal español.
  • Estructura y elementos clave del sistema de compliance penal.
  • Beneficios estratégicos de su implantación.
  • Principales cambios de la actualización 2025 respecto a la versión de 2017.
  • Evolución normativa: timeline desde 2010 hasta 2025.
  • Errores frecuentes, checklist de cumplimiento y comparativa con ISO 37301 / ISO 37001.
  • Por qué implantarla con un software GRC especializado.

¿Qué es la norma UNE 19601?

La Norma UNE 19601 es un estándar español desarrollado por el Comité Técnico de Normalización CTN 307 de UNE (Asociación Española de Normalización). Esta normativa se ha consolidado como un referente esencial para la gestión de cumplimiento en las organizaciones, ya que establece las prácticas recomendadas para la gestión efectiva de las obligaciones de cumplimiento en materia de delitos penales, incluyendo la gestión del riesgo penal.

Su alcance se extiende a empresas y organizaciones de todo tipo y tamaño, y es compatible con otras normas que rigen sistemas de gestión. La UNE 19601 ofrece orientación sobre cómo establecer, desarrollar, implementar, evaluar, mantener y mejorar sistemas de gestión de cumplimiento penal que sean eficaces y generen una respuesta proactiva por parte de la organización.

La Ley Orgánica 1/2015 de reforma del Código Penal reconoce la existencia de sistemas de gestión y control como elementos que pueden atenuar o exonerar la responsabilidad penal de las personas jurídicas. La UNE 19601 se ajusta a lo establecido en dicha reforma —en particular al artículo 31 bis— en lo que respecta a la prevención y detección de delitos.

Importante

La certificación UNE 19601 no garantiza automáticamente la exención de responsabilidad penal, pero constituye una prueba cualificada de diligencia debida que los tribunales valoran positivamente como indicio de un modelo de prevención eficaz (art. 31 bis.2 y 5 CP).

Estructura y elementos clave de la norma UNE 19601

La Norma UNE 19601 sienta las bases para los sistemas de gestión de compliance penal y proporciona un marco sólido para la prevención y detección de delitos, alineándose con las leyes y regulaciones vigentes en España. Se divide en varias secciones fundamentales que conforman un marco integral para la gestión de cumplimiento:

4
Contexto de la Organización
Identificación de factores externos (leyes, mercado) e internos (cultura, estructura) que influyen en el sistema. Comprensión de las expectativas de los grupos de interés y establecimiento del alcance.
5
Liderazgo
Papel crucial de la alta dirección: establecer, articular y comunicar una política de compliance penal clara, con responsabilidades y autoridades bien definidas.
6
Planificación
Identificación y análisis de riesgos penales, planificación de acciones de mitigación y establecimiento de objetivos claros para la prevención de delitos.
7
Elementos de Apoyo
Recursos necesarios: cultura de compliance, formación adecuada, concienciación, canales de comunicación e información documentada.
8
Operación
Procedimientos y controles para gestionar riesgos penales: diligencias debidas, controles financieros y no financieros, gestión de incidencias.
9
Evaluación del Desempeño
Seguimiento, monitoreo y medición del desempeño. Auditorías internas y revisiones periódicas por el órgano de compliance y la dirección.
10
Mejora
Ciclo de mejora continua: identificación de no conformidades, acciones correctivas y actualización sistemática del sistema.

Es importante destacar que la versión 2025 alinea completamente esta estructura con la Estructura de Alto Nivel (HLS) de las normas ISO, lo que facilita enormemente la integración con otros sistemas como ISO 37301, ISO 37001 o ISO 27001.

¿Cuáles son los beneficios de implementar la norma UNE 19601?

La integración de la Norma UNE 19601 en la cultura empresarial trae consigo una serie de beneficios estratégicos:

  • Prevención proactiva de riesgos penales: la norma ayuda a las organizaciones a identificar y gestionar riesgos de comisión de delitos de manera anticipada, reduciendo la probabilidad de sanciones legales y perjuicios a la reputación. La implantación de un sistema que facilite la detección de conductas inapropiadas por parte de empleados —sean directivos o no— resulta esencial.
  • Atenuación o exención de responsabilidad penal: potencial para reducir o eximir la responsabilidad legal de las personas jurídicas al demostrar la adopción de medidas preventivas y de control en el ámbito del cumplimiento normativo.
  • Mejora de la reputación corporativa: un sistema eficiente no solo garantiza el cumplimiento, sino que contribuye a una percepción más favorable de la organización ante clientes, inversores y partes interesadas, aumentando el valor de la marca.
  • Identificación integral de regulaciones aplicables: permite mapear las múltiples regulaciones que afectan a la organización. La UNE 19601 promueve la eficiencia al estandarizar procesos y procedimientos.
  • Mejor capacidad de respuesta ante crisis: la preparación ante situaciones de incumplimiento resulta en una mejor respuesta en escenarios de crisis, protegiendo la continuidad del negocio.
  • Integración con otros sistemas de gestión: la posibilidad de integrar el compliance penal con sistemas de responsabilidad social, transparencia y buenas prácticas (como la ISO 37001 contra el soborno) agrega un valor adicional.
  • Reducción de riesgo financiero: cumplir con las regulaciones disminuye el riesgo de multas y sanciones, cuyo impacto económico puede ser considerable.

Actualización 2025 de la UNE 19601: qué cambia y por qué importa

La revisión de 2025 representa la primera actualización significativa de la norma desde su publicación en 2017. No se trata de un ajuste menor: responde a ocho años de experiencia práctica, a la evolución de la jurisprudencia del Tribunal Supremo y a la necesidad de alinear el estándar con los marcos internacionales más recientes y con normativa clave como la Ley 2/2023 de protección al informante.

Comparativa: UNE 19601:2017 vs. UNE 19601:2025

Aspecto Versión 2017 Versión 2025 Impacto práctico
Análisis de riesgos penales Metodología abierta, catálogo general de delitos Mayor exigencia metodológica, incorporación de nuevos tipos penales (delitos informáticos, medioambientales actualizados) Revisar y ampliar el mapa de riesgos penales
Órgano de compliance Requisitos generales de independencia y recursos Refuerzo de la autonomía, competencias mínimas detalladas, requisitos de reporting al órgano de gobierno Revisar la estructura del órgano de cumplimiento
Canal de denuncias Requisito general de canal de comunicación Alineación con la Ley 2/2023 y Directiva Whistleblowing UE Actualizar canal y protocolo de gestión de denuncias
Due diligence de terceros Mención genérica a socios de negocio Procedimiento reforzado de evaluación de riesgos penales en la cadena de valor Implantar due diligence penal formal en terceros
Formación y cultura Plan de formación general Formación segmentada por nivel de riesgo, medición de eficacia, cultura documentada Rediseñar el plan formativo con métricas
Estructura de alto nivel Parcialmente alineada Alineación completa con HLS (Harmonized Structure ISO) Facilita la integración con ISO 37301, ISO 37001, ISO 27001
Supervisión y mejora Revisión periódica del sistema KPIs de eficacia obligatorios, revisiones basadas en datos Implantar dashboards y métricas de compliance
Digitalización Sin mención específica Reconocimiento del uso de herramientas tecnológicas para gestión, monitorización y evidencia Impulso a plataformas GRC especializadas
Recomendación

Las organizaciones que ya tienen certificada la UNE 19601:2017 disponen de un periodo de transición para adaptar su sistema. Es recomendable iniciar un gap analysis cuanto antes para identificar las brechas y planificar la actualización de forma progresiva.

Evolución normativa: del Código Penal a la UNE 19601:2025

Para entender el contexto de la norma es imprescindible conocer el recorrido legislativo y normativo que la sustenta:

2010
LO 5/2010: España introduce por primera vez la responsabilidad penal de las personas jurídicas en el Código Penal.
2015
LO 1/2015 (Reforma del art. 31 bis CP): Se establecen las condiciones para la exención o atenuación de la responsabilidad penal corporativa. Nace el concepto de «compliance penal» en el marco legal español.
2016
Circular 1/2016 de la FGE: La Fiscalía General del Estado publica criterios para valorar la eficacia de los programas de compliance.
Mayo 2017
Publicación de la UNE 19601:2017: Primera norma certificable de compliance penal en España. Marco estructurado para cumplir con el art. 31 bis CP.
2018 – 2024
Consolidación y jurisprudencia: Sentencias clave del Tribunal Supremo consolidan la importancia del compliance penal. Crece el número de certificaciones UNE 19601.
Febrero 2023
Ley 2/2023 de protección al informante: Obliga a contar con canales internos de denuncia, impactando directamente en los sistemas de compliance penal.
2025
Actualización UNE 19601:2025: Revisión integral con lecciones de 8 años de aplicación, alineación con HLS ISO y requisitos reforzados.

Relación entre la UNE 19601 y el artículo 31 bis del Código Penal

El artículo 31 bis del Código Penal es la base de la responsabilidad penal corporativa en España. Establece que una persona jurídica puede ser responsable por delitos cometidos por sus representantes o empleados cuando exista un incumplimiento grave de los deberes de supervisión. No obstante, prevé una causa de exención si la organización demuestra que ha adoptado un modelo de organización y gestión eficaz.

La UNE 19601 traduce estos requisitos legales en un sistema auditable y certificable. La siguiente tabla muestra cómo cada exigencia del Código Penal se corresponde con una cláusula concreta de la norma:

Requisito del art. 31 bis CP Cláusula UNE 19601 Implementación práctica
Modelo de organización y gestión Cláusulas 4, 5, 6 Política de compliance, análisis del contexto, compromiso de la dirección
Medidas de vigilancia y control idóneas Cláusula 8 Controles preventivos, protocolos de decisión, due diligence, canal de denuncias
Órgano de supervisión autónomo Cláusula 5.3 Designación formal, independencia, recursos, acceso directo al consejo
Identificación de riesgos de delito Cláusula 6.1 Mapa de riesgos penales, matriz de probabilidad/impacto
Obligación de informar de incumplimientos Cláusula 8.8 Canal de denuncias, protección del informante, protocolo de investigación
Sistema disciplinario Cláusula 8.7 Catálogo de infracciones y sanciones por incumplimiento del compliance
Verificación periódica Cláusulas 9 y 10 Auditorías internas, revisión por la dirección, acciones correctivas, mejora continua

Errores comunes en la implantación de la UNE 19601

La experiencia acumulada tras años acompañando a organizaciones en este proceso permite identificar los errores que se repiten con mayor frecuencia:

Compliance «de papel»

Crear documentación sin que los controles se apliquen en la práctica. Los tribunales evalúan la eficacia real, no la existencia de documentos.

Órgano de compliance sin independencia

Designar al órgano sin dotarle de autonomía, recursos ni acceso directo al consejo. Invalida su función supervisora.

Mapa de riesgos genérico

Copiar mapas estándar sin adaptarlos a la actividad, sector y contexto específico de la organización.

Formación superficial

Impartir formación genérica sin segmentar por nivel de riesgo ni medir su eficacia real en la organización.

Canal de denuncias inoperante

Tener un canal que no se usa, no se comunica o no garantiza la protección del informante conforme a la Ley 2/2023.

No actualizar el sistema

Implantar y olvidar. El compliance penal es un proceso vivo que requiere revisión y actualización continua.

Checklist de cumplimiento UNE 19601:2025

Utiliza esta lista de verificación para evaluar si tu organización cumple con los requisitos fundamentales de la norma actualizada:

  • Política de compliance penal aprobada por el órgano de gobierno y comunicada a toda la organización.
  • Órgano de compliance penal designado formalmente, con independencia, recursos y reporting directo al consejo.
  • Evaluación documentada de riesgos penales específicos (mapa de riesgos actualizado).
  • Catálogo de delitos aplicables identificado y priorizado según la actividad y sector.
  • Controles preventivos y detectivos implantados para cada riesgo relevante.
  • Protocolos de toma de decisiones y autorizaciones en procesos de riesgo.
  • Due diligence penal de socios comerciales, proveedores y terceros críticos.
  • Canal interno de información conforme a la Ley 2/2023, operativo y comunicado.
  • Protocolo de investigación interna de denuncias documentado.
  • Régimen disciplinario por incumplimiento del compliance aprobado y difundido.
  • Plan de formación segmentado por nivel de riesgo, con registro y medición de eficacia.
  • KPIs de compliance penal definidos y monitorizados.
  • Auditoría interna del sistema planificada y ejecutada.
  • Revisión por la dirección documentada con acciones de mejora.
  • Información documentada completa, controlada y accesible.

UNE 19601 vs. ISO 37301 vs. ISO 37001: ¿cómo se complementan?

Es frecuente que las organizaciones se pregunten cómo se relaciona la UNE 19601 con otros estándares de compliance. La siguiente tabla aclara las diferencias y complementariedades:

Criterio UNE 19601 ISO 37301 ISO 37001
Alcance Compliance penal (delitos del CP español) Compliance general (todas las obligaciones regulatorias) Gestión antisoborno
Ámbito geográfico España (norma UNE) Internacional (ISO) Internacional (ISO)
Marco legal Código Penal español (art. 31 bis) Legislación de cumplimiento de cada jurisdicción FCPA, UK Bribery Act, etc.
Certificable Sí (ENAC) Sí (organismos acreditados ISO) Sí (organismos acreditados ISO)
Canal de denuncias Obligatorio (Ley 2/2023) Recomendado Obligatorio
Complementariedad Se complementa con ISO 37301 para compliance integral Marco general que engloba al compliance penal Especialización antisoborno integrable con ambas
Enfoque recomendado

Para organizaciones con operaciones internacionales, la combinación UNE 19601 + ISO 37301 ofrece la cobertura más completa. Si el riesgo de corrupción es alto, incorporar adicionalmente la ISO 37001 refuerza significativamente el sistema. La versión 2025 facilita esta integración al compartir la estructura de alto nivel ISO.

Indicadores clave (KPIs) exigidos por la versión 2025

Una de las principales novedades de la actualización es la exigencia de indicadores medibles de eficacia. Estos KPIs permiten demostrar —ante auditorías, certificaciones y, llegado el caso, ante los tribunales— que el sistema de compliance es un mecanismo vivo y eficaz:

Empleados formados en compliance penal
Objetivo: ≥95%
Riesgos penales evaluados con controles asignados
Objetivo: 100%
Denuncias gestionadas dentro del plazo
Objetivo: ≥90%
Terceros críticos con due diligence penal
Objetivo: ≥80%
Resolución de no conformidades
Objetivo: ≤30 días

¿Por qué implantar la norma UNE 19601 con un software GRC?

La Norma UNE 19601 es esencial en un entorno empresarial regulado. Implementarla no solo garantiza la conformidad legal, sino que también impulsa la eficiencia y la confianza. Ahora bien, gestionar manualmente un sistema de compliance penal conforme a los requisitos de la versión 2025 se ha vuelto insostenible en organizaciones de cierta complejidad.

La propia actualización 2025 reconoce explícitamente el valor de las herramientas tecnológicas para la gestión, monitorización y evidencia del sistema. Una plataforma GRC especializada como GlobalSuite® permite centralizar y automatizar toda la gestión:

Funcionalidad Beneficio para el compliance penal
Gestión de riesgos penales Mapa de riesgos dinámico con evaluación de probabilidad, impacto y controles asociados.
Control y seguimiento de medidas Monitorización y evidencia de controles preventivos y detectivos por cada riesgo identificado.
Canal de denuncias integrado Conforme a la Ley 2/2023, con trazabilidad completa y gestión automatizada de investigaciones.
Gestión documental Repositorio centralizado de políticas, procedimientos y evidencias con control de versiones.
Auditorías y evaluaciones Planificación, ejecución y seguimiento con hallazgos, no conformidades y planes de acción.
Formación y concienciación Plan formativo con seguimiento individualizado, pruebas de conocimiento y métricas de eficacia.
KPIs y dashboards Cuadros de mando en tiempo real con los indicadores exigidos por la norma 2025.
Integración multisistema Gestión integrada con ISO 37301, ISO 37001, ISO 27001, ENS y otros marcos en una plataforma.

Nuestra experiencia y compromiso en la consultoría y auditoría de compliance brindan a las organizaciones la garantía de un proceso de implementación efectivo y eficiente, con un enfoque integral.

Preguntas frecuentes sobre la UNE 19601

¿Es obligatoria la certificación UNE 19601?
No es obligatoria por ley. Sin embargo, disponer de un sistema de compliance penal certificado constituye una prueba cualificada de que la organización ha adoptado medidas eficaces de prevención de delitos, lo que puede ser determinante para la exención o atenuación de la responsabilidad penal corporativa según el artículo 31 bis del Código Penal.
¿Qué diferencia hay entre la UNE 19601:2017 y la versión 2025?
La versión 2025 refuerza la evaluación de riesgos penales, exige indicadores de eficacia (KPIs), alinea completamente la norma con la estructura de alto nivel ISO, incorpora requisitos actualizados sobre el canal de denuncias (Ley 2/2023), amplía la due diligence de terceros y reconoce el uso de herramientas tecnológicas para la gestión del sistema.
¿Cuánto tiempo lleva implantar un sistema de compliance penal?
Depende del tamaño y complejidad de la organización. Como referencia, una empresa mediana puede implantar el sistema en 4-8 meses. Si ya cuenta con otros sistemas de gestión (ISO 37301, ISO 27001), el plazo puede reducirse significativamente al aprovechar elementos comunes.
¿Es aplicable la UNE 19601 fuera de España?
La norma está diseñada para el marco jurídico-penal español. Para organizaciones con operaciones internacionales, se recomienda complementarla con la ISO 37301 (compliance general) y, si procede, con la ISO 37001 (antisoborno). La versión 2025, al alinearse con la estructura HLS, facilita enormemente esta integración.
¿Qué ocurre si mi organización no tiene un sistema de compliance penal?
Si la organización no dispone de un modelo de prevención eficaz y se comete un delito en su seno, podrá ser condenada como persona jurídica responsable, con penas que incluyen multas, disolución, suspensión de actividades, inhabilitación para obtener subvenciones o intervención judicial, entre otras (art. 33.7 CP).
¿Puede una pyme certificarse en UNE 19601?
Sí. La norma permite escalar el sistema al tamaño y complejidad de la organización. Para una pyme, el mapa de riesgos será más acotado y los controles más sencillos, pero los elementos esenciales (política, órgano de compliance, evaluación de riesgos, canal de denuncias, formación) deben estar presentes.
¿Cómo se relaciona la UNE 19601 con el canal de denuncias obligatorio?
La Ley 2/2023 obliga a organizaciones con más de 50 empleados a disponer de un sistema interno de información. La UNE 19601:2025 integra este requisito dentro de su marco, exigiendo que el canal cumpla con los estándares de protección al informante, confidencialidad y trazabilidad establecidos por la ley.
¿Necesito software para gestionar el compliance penal?
No es un requisito normativo explícito, pero la complejidad de gestionar riesgos, controles, evidencias, formación, denuncias y auditorías de forma manual hace que una plataforma GRC especializada sea prácticamente indispensable, especialmente con las nuevas exigencias de KPIs de la versión 2025.

Quizá te puede interesar:

Gestiona tu compliance penal con la plataforma líder en GRC

GlobalSuite® te ayuda a implantar, gestionar y certificar tu sistema de compliance penal conforme a la UNE 19601:2025 desde una única plataforma integrada.

Solicitar demo gratuita

Compartir:

GlobalSuite Solutions
. GlobalSuite Solutions es una innovadora plataforma GRC que automatiza la gestión de riesgos, garantiza el cumplimiento de las normativas y optimiza los procesos.

Más artículos