Documentos de Académico
Documentos de Profesional
Documentos de Cultura
nacional sobre
compliance
penal:
UNE 19601
Serie Compliance avanzado – 8
www.kpmgcumplimientolegal.es
© 2018
Serie Compliance avanzado – 8 – El estándar nacional sobre Compliance penal: UNE 19601 es
propiedad intelectual del autor, estando prohibida la reproducción total o parcial del documento
o su contenido sin su consentimiento expreso, así como su difusión por cualquier medio,
incluyendo, de forma no limitativa, los soportes en papel, magnéticos, ópticos, el acceso
telemático o de cualquier otra forma que resulte idónea para su difusión y conocimiento público.
La información contenida en esta publicación constituye, salvo error u omisión involuntarios, la
opinión del autor con arreglo a su leal saber y entender, opinión que no constituye en modo alguno
asesoramiento y que subordina tanto a los criterios que la jurisprudencia establezca, como a
cualquier otro criterio mejor fundado. Los comentarios planteados sólo recogen algunas cuestiones
de índole general, que pueden ser de utilidad a meros efectos informativos. Pero los contenidos
de dichos comentarios no pretenden ser exhaustivos y sólo reflejan el entendimiento del autor
de los aspectos que considera más relevantes respecto de las materias tratadas. El autor no se
responsabiliza de las consecuencias, favorables o desfavorables, de actuaciones basadas en las
opiniones e informaciones contenidas en este documento.
Los documentos de la Serie Compliance avanzado abordan aspectos relacionados con el
Compliance cuya adecuada comprensión e interpretación precisa conocimientos previos en
esta materia. Salvo que dispongas de ellos, sugiero consultar primero otros materiales sobre
Compliance, como son los Cuadernos sobre Cumplimiento Legal, la Serie de Errores sobre
Compliance, la Serie de Tests sobre Compliance, los Kits sobre despliegue de Compliance
o la Serie de videos Compliance Basics, todo ello de acceso libre en la página web:
www.kpmgcumplimientolegal.es
Presentación
Con el transcurso de los años, se han consolidado una serie
de buenas prácticas de Compliance, plasmadas en diversos
textos y que disfrutan de amplia aceptación internacional.
Algunas organizaciones, como Transparency International
(TI) o CREATE han elaborado documentos que localizan
la presencia de estas buenas prácticas en estándares y
Alain Casanovas guías producidas por diferentes plataformas, incluidas las
Socio de KPMG Abogados de normalización internacional. Es curioso observar las
acasanovas@kpmg.es coincidencias que existen a nivel conceptual, aunque
Perfil en Linkedin
cada texto recurra a estructuras y nomenclatura distintas.
Podemos afirmar que existen buenas prácticas de Compliance
generalmente aceptadas.
El Compliance se propaga en España a raíz de la incorporación
del régimen de responsabilidad penal de las personas jurídicas
en el ordenamiento penal en el año 2010, y la concreción de
los requisitos de Compliance penal en el año 2015. Se habla
entonces de modelos de organización y gestión para prevenir
la comisión de delitos, recurriendo a una regulación inspirada
en la italiana del año 2001. Tomar como referente en 2015 una
normativa con más de una década de antigüedad dificultó
que el Compliance penal español naciese alineado con las
buenas prácticas internacionales posteriores.
Habiendo participado España activamente en los comités
ISO de normalización sobre Compliance, se pensó en
aprovechar esta experiencia para elaborar un estándar
español sobre Compliance penal que estuviese a la altura de
sus equivalentes internacionales actuales. Era, además, una
labor muy necesaria, pues la somera regulación del Código
penal español propiciaba una gran diversidad de modelos de
Compliance penal, desde los más exigentes a los más laxos.
Presentación
(cont.)
Este contexto dificultaba la puesta en valor de modelos
de organización y gestión verdaderamente robustos, a falta
de un patrón general de medición. Frente a esta diversidad,
se corría el riesgo de que cualquier modelo de Compliance
penal fuera automáticamente cuestionado.
Así se inició en 2015 un proyecto de normalización sobre
Compliance penal en el seno de la Asociación Española de
Normalización UNE que, tras dos años de trabajo, obtuvo
consenso y dio lugar a la norma UNE 19601:2017.
Se trata del estándar elaborado por la entidad que tiene
atribuidas en España capacidades de normalización en
el ámbito privado. Su proceso de elaboración, regulado,
participativo y transparente, convierte a este texto en el
referente español en materia de Compliance penal. Al estar
inspirado en documentos internacionales modernos, no sólo
cubre los requisitos del Código penal sino también muchos
de los presentes en los estándares ISO 19600:2014 e ISO
37001:2016.
En este documento explicaré el origen y contenido esencial
de la norma española, así como el modo de migrar los
contenidos de un programa clásico de Compliance al
sistema de gestión que regula su contenido.
Índice
Fuentes adoptadas 2
Serie Compliance 14
Fuentes
adoptadas
En enero de 2015, la Asociación Management Systems (ABMS). Por
Española de Normalización UNE inició otra parte, aunque no era obligado, se
el proceso para elaborar el estándar quiso adoptar en España la llamada
sobre Compliance penal UNE 19601. “estructura de alto nivel” (High Level
Con ello, se quería dar respuesta a la Structure, HLS) de ISO, que determina
necesidad de disponer de un patrón una configuración y contenidos
de Compliance sobre dicha materia, comunes que facilita la coherencia
que no sólo diese respuesta a los entre los sistemas de gestión
requisitos del Código penal español normalizados internacionalmente.
sino que estuviese también alineado Encontrarás más información sobre
con buenas prácticas internacionales la HLS en el documento número 7 de
ampliamente reconocidas. Como tal esta Serie (“Estándares internacionales
objetivo sobrepasaba las exigencias en Compliance“). Otros reputados
básicas de la normativa penal, se dejó estándares nacionales previos, como
claro que no cumplir los requisitos la norma australiana AS 3806:2006 o
del estándar español en modo alguno la británica BS 10500:2011, no habían
agotaba la posibilidad de exención de recurrido a la HLS, fijando índices,
responsabilidad criminal regulada en la estructuras y redacción singulares.
normativa española. Con más motivo Como explicaré más adelante, el
al tratarse de un estándar de aplicación grupo español ad-hoc de normalización
voluntaria. pensó que los sistemas de gestión
de Compliance penal españoles
Al iniciarse el proceso nacional de
posiblemente se integrarían con otros
normalización se encontraba publicado
sistemas de gestión de Compliance de
el estándar ISO 19600:2014 sobre
alcance distinto y, por eso, se decidió
Compliance Management Systems
emplear la HLS, que facilitaría esta
(CMS), y se disponía de una versión
labor y redundaría en una economía de
avanzada del borrador de estándar
costes.
ISO 37001 sobre Anti-Bribery
El estándar nacional sobre 3
Compliance penal:UNE 19601
Estructura y
contenidos del
estándar español
La estructura de la Norma UNE diligencia debida, tanto en socios de
19601:2017 coincide con la HLS. No negocio como sobre los miembros
obstante, la norma española añade de la organización (en particular, sobre
elementos que vienen determinados por las personas que ocupan posiciones
las exigencias del Código penal español, especialmente expuestas).
así como la adopción de la mayoría de
Anexo C (normativo). Es la relación
prácticas contenidas en los estándares
de información documentada que la
ISO 19600:2014 e ISO 37001:2016.
organización precisa para acreditar el
Existe algún cambio de ubicación de
cumplimiento de los requisitos de la
contenidos respecto de estos textos,
Norma UNE 19601. Se trata de evidencias
como los relativos a la evaluación de
sobre la existencia del sistema de gestión
riesgos penales, que no se localizan en
y su aplicación práctica.
el Capítulo 4 Contexto de la organización
sino en el 6 Planificación. Anexo D (informativo). Incluye consejos
prácticos sobre cómo impulsar modelos
La Norma UNE incorpora 6 anexos
de Compliance penal en filiales y socios
que ayudan a su aplicación práctica.
de negocio.
Cinco de ellos son informativos
(recomendaciones de aplicación Anexo E (informativo). Se recogen
voluntaria), pero uno es normativo algunos contenidos de utilidad a la
(exigencia a efectos de certificación): hora de redactar y aplicar cláusulas
contractuales con salvaguardas de
Anexo A (informativo). Es una tabla de
Compliance.
correspondencias de los requisitos del
Código penal con el contenido de la Anexo F (informativo). Señala
Norma UNE 19601. determinadas cautelas a tener en
cuenta en cuanto se desarrollan
Anexo B (informativo). Recoge
restructuraciones societarias. Recuerda
sugerencias sobre cómo ejercer la
que, en España, la responsabilidad
El estándar nacional sobre 5
Compliance penal:UNE 19601
Migración a modelos
de mayor valor añadido
La Norma UNE 19601 se publicó en En cualquier caso, la Norma UNE
Mayo de 2017, esto es, transcurridos 19601:2017 no exige desechar los
casi 7 años desde la modificación modelos ya implantados, sino asegurarse
del Código penal que introdujo en de que contemplan sus requisitos, tal vez
España el régimen de responsabilidad reformulando prácticas y documentos.
penal de las personas jurídicas. Recuerda que la norma española no
Apareció, por lo tanto, cuando muchas determina un modelo “monolítico” de
organizaciones habían instaurado sus Compliance penal, sino un sistema de
modelos de organización y gestión para gestión adaptable a las circunstancias
la prevención de delitos. La ausencia de cada organización, que termina
de un estándar nacional sobre esta amparando infinitas variaciones.
materia propició modelos tan variados
Sin perjuicio de lo anterior, es cierto
como interpretaciones emergieron
que la Norma UNE 19601:2017 es un
de la somera regulación del Código
estándar exigente, que trasciende los
penal. Dentro de esta gran diversidad
rudimentos establecidos en el Código
concurrían modelos de organización
penal y se alinea con buenas prácticas
y gestión robustos, junto con otros
internacionales. Por ello, antes de
mucho más livianos, favoreciendo el
avanzar hacia un proyecto de adaptación
escepticismo general. La Norma UNE
a sus requisitos, es aconsejable plantear
19601:2017 estableció un lenguaje de
un estudio sobre su nivel actual de
comunicación común en esta materia,
cobertura (gap analysis): te ayudará a
que es precisamente la encomienda de
comprender los esfuerzos necesarios
la administración pública a las entidades
a tales efectos y prever un horizonte
de normalización. Actualmente, es
temporal de adaptación. Ante ciertas
fácil ponderar los diversos modelos de
exigencias, algunas organizaciones
organización y gestión en materia penal
pueden rehusar alinearse con la Norma
comparándolos con el estándar nacional:
UNE 19601:2017, que no significa
los más robustos estarán cerca de
necesariamente incumplir los requisitos
sus requisitos, mientras que los más
del Código penal español ni tener
livianos precisarán un mayor esfuerzo
limitadas las capacidades de defensa
de adaptación.
penal.
El estándar nacional sobre 10
Compliance penal:UNE 19601
Integración con
ISO 19600 e ISO 37001
La Norma UNE 19601 recurrió a la Compartir estructura y definiciones
HLS para facilitar su integración con los estándares internacionales
dentro de sistemas de gestión de ayuda a la comprensión de la
Compliance de mayor alcance, norma española fuera de nuestro
eventualmente diseñados sobre la territorio y facilita las iniciativas de
base del estándar ISO 19600:2014, o integración indicadas anteriormente.
para acoger en su seno los requisitos Así, por ejemplo, una Política de
de sistemas de gestión específicos Compliance (ISO 19600:2014)
anti-soborno acordes con el estándar puede incluir los contenidos de una
ISO 37001:2016, por ejemplo. Son dos Política de Compliance penal (UNE
modalidades de integración vertical, 19601:2017) que también puede
según explicaré más detalladamente en cubrir los requisitos de una Política
el documento número 10 de esta Serie anti-soborno (ISO 37001:2016).
(“Integraciones horizontales y verticales Esta integración vertical permite
en Compliance”). consolidar políticas, o mantenerlas
separadas pero simplificando su
Las entidades de normalización
contenido, centrándose cada una de
nacional no están obligadas a recurrir
ellas en su especialidad y evitando
a la HLS, como sí sucede en los
regular aspectos generales cubiertos
sistemas de gestión que normaliza
en políticas de mayor alcance. La
ISO (obligatorio para los de tipo A –de
integración puede también concurrir
requisitos- y recomendado para los de
a nivel orgánico y de otros muchos
tipo B –de directrices-).
componentes del sistema de gestión.
El estándar nacional sobre 11
Compliance penal:UNE 19601
Certificación del
estándar nacional
Puesto que la aplicación de la Norma La emisión de una opinión de
UNE 19601:2017 es voluntaria, también conformidad (certificación) por parte
lo es certificarse en relación con su de un tercero independiente solo será
contenido. Es una opción a valorar con posible ante el cumplimiento de la
el objeto de generar confianza en el totalidad de los requisitos de la norma
mercado y evidenciar la diligencia de española, incluyendo obviamente
los administradores ante su propia los que guardan relación directa
organización: recordemos que en con las exigencias del Código penal
Italia, país donde se inspira nuestro pero no limitándose a ellos. Aunque
régimen de responsabilidad penal de normalmente se asocia la opinión de
las personas jurídicas, se han producido un tercero independiente a un proceso
acciones legales de regreso por parte de certificación, existe un elenco de
de empresas contra sus administradores posibilidades más extenso, según
por no implantar un modelo de expuse en el documento número 1 de
prevención de delitos adecuado a las esta Serie (“Certificaciones y auditorías
exigencias de su entorno. No obstante, de Compliance“).
ten presente que el mejorar la posición
de defensa de la organización y/o sus
administradores no es el objeto de la
Norma UNE 19601:2017, sino una mera
consecuencia de su correcta aplicación.
En cualquier caso, aplicar estándares
ISO o UNE sobre Compliance no
garantiza que no se hayan producido
irregularidades o que no vayan
a producirse, aunque reducen la
probabilidad de que esto suceda cuando
se aplican de manera adecuada.
El estándar nacional sobre 12
Compliance penal:UNE 19601
Aspectos relacionados
con la prueba
El artículo 31 bis del Código penal Este régimen permite identificar dos
español cubre dos escenarios de estadios claramente diferenciados: (i)
responsabilidad penal de la persona la sujeción al tipo penal por haberse
jurídica. El primero es la comisión de producido un delito en ausencia
delitos en su beneficio por personas que de supervisión y (ii) concurriendo
la representan u ostentan facultades tal sujeción, la exención de la
de organización y control. Son perfiles responsabilidad criminal por disponer
susceptibles de ocupar la cúspide de un modelo de organización y
jerárquica de las organizaciones, y sobre gestión acorde con los requisitos del
los que es difícil ejercer supervisión, Código penal. En el primer estadio, la
especialmente en sistemas monistas organización se esforzará por acreditar
donde el resto de órganos e instancias su diligencia en las actividades de
están sometidas a sus decisiones. supervisión y control sobre el tipo de
El segundo consiste en delitos, delito cometido, tratando de escapar
producidos también en beneficio de la a la aplicación del tipo penal por la
organización pero por quienes están ausencia de uno de sus requisitos (la
sometidos a la autoridad de los sujetos falta grave de vigilancia). En el segundo
anteriores, cometidos por negligencia estadio, que sólo concurrirá cuando la
grave en la supervisión, vigilancia y organización esté sujeta al tipo penal, la
control. Este último es entorno natural organización procurará demostrar que
de los modelos de Compliance. dispone de un modelo de organización
y gestión adecuado, testimoniando
Producido un delito en su seno, la
que la comisión del delito fue un hecho
persona jurídica puede quedar exenta
marcadamente excepcional y contrario
de responsabilidad criminal cuando
a la cultura que propugna. A partir de ahí,
concurren determinadas circunstancias,
el órgano judicial valorará la exención
incluyendo la existencia, antes de
o, por lo menos, atenuación de su
su comisión, de un modelo de
responsabilidad penal.
organización y gestión adecuado para
prevenir delitos de la naturaleza del que
fue cometido o para reducir de forma
significativa el riesgo de su comisión.
El estándar nacional sobre 13
Compliance penal:UNE 19601
Serie Compliance
avanzado
1. Certificaciones y auditorías de 3. Corrupción: taxonomía moderna de
Compliance actividades conflictivas
La existencia de reconocidos estándares Los estándares modernos de
nacionales e internacionales sobre Compliance han ido perfilando
Compliance ha permitido desarrollar actividades aparentemente normales
trabajos tanto de diseño como de que, sin embargo, son propicias para
evaluación de programas y sistemas de encubrir comportamientos ilícitos.
gestión sobre la base de sus contenidos. Normalmente, no se trata de actividades
En relación con estas evaluaciones de necesariamente prohibidas, aunque
conformidad, existen diferentes enfoques y su desarrollo inadecuado puede llegar
alcances de revisión que brindan diferentes a canalizar actos de corrupción. Este
niveles de confort a las organizaciones. documento trata la taxonomía más
Este documento aborda las dudas más moderna de este tipo de actividades,
frecuentes sobre esta materia. de gran utilidad para la definición de
políticas anti-soborno y establecimiento
de controles tanto preventivos como
2. Psicología social y cognitiva en detectivos.
Compliance
Las organizaciones aglutinan a un
4. Carreras profesionales en Compliance
volumen cada vez mayor de personas.
En estos contextos, conocer aspectos La madurez de los cometidos asociados
que afectan tanto al comportamiento al Compliance abren la posibilidad
individual como al colectivo de las de diferentes carreras profesionales
personas es clave para una gestión en este ámbito, que van desde el
exitosa de Compliance. En este Compliance en ámbitos específicos por
documento se tratan algunos sesgos motivo de materia (prevención penal
relevantes a tales efectos, identificados general, prevención de la corrupción,
a lo largo de estudios y experimentos prevención del blanqueo de capitales y
desarrollados en los ámbitos de la financiación del terrorismo, protección
psicología cognitiva y de la psicología de la privacidad y los datos personales,
social. prevención medioambiental, etc) o
El estándar nacional sobre 15
Compliance penal:UNE 19601
Bibliografía
del autor
Compliance Penal Normalizado – Control de Riesgos Legales en la
El estándar UNE 19601 empresa
Alain Casanovas Alain Casanovas
Prólogo de José Manuel Maza Martín Prólogo de Lord Daniel Brennan Q.C.,
former President of the Bar of England and
Coedición: Thomson Reuters Aranzadi,
Wales
AENOR Publicaciones.
Editor, Grupo Difusión
Madrid 2017
Difusión Jurídica y Temas de Actualidad, S.A.
Madrid 2008
Legal Compliance - Principios de
Cumplimiento Generalmente Aceptados
Alain Casanovas
Prólogo de José Manuel Maza,
Magistrado del Tribunal Supremo
Editor, Grupo Difusión
Difusión Jurídica y Temas de Actualidad, S.A.
Madrid 2013
Obra digital
del autor
Cuadernos sobre Cumplimiento Legal
Alain Casanovas
www.kpmgcumplimientolegal.es
Madrid 2013
Tests de Compliance
Alain Casanovas
www.kpmgcumplimientolegal.es
Madrid 2015
Perfil en
LinkedIn
© 2018 KPMG Abogados S.L.P. sociedad española de responsabilidad limitada profesional y firma miembro de la red KPMG
de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”), sociedad suiza. Todos los
derechos reservados
KPMG y el logotipo de KPMG son marcas registradas de KPMG International Cooperative (“KPMG International”),
sociedad suiza.
La información aquí contenida es de carácter general y no va dirigida a facilitar los datos o circunstancias concretas de
personas o entidades. Si bien procuramos que la información que ofrecemos sea exacta y actual, no podemos garantizar
que siga siéndolo en el futuro o en el momento en que se tenga acceso a la misma. Por tal motivo, cualquier iniciativa que
pueda tomarse utilizando tal información como referencia, debe ir precedida de una exhaustiva verificación de su realidad y
exactitud, así como del pertinente asesoramiento profesional.