La norma UNE 19601:2017 Sistemas de gestión de Compliance penal nació el 18 de mayo de 2017, como un estándar nacional de mejores prácticas para prevenir delitos, reducir el riesgo y fomentar una cultura empresarial ética y de cumplimiento.
Esta norma está confeccionada y emitida por la entidad responsable del desarrollo de las normas técnicas en España, la Asociación Española de Normalización UNE que, establece los requisitos para implantar, mantener y mejorar continuamente un sistema de gestión de Compliance penal en las empresas con el objetivo de prevenir la comisión de delitos en su seno y reducir el riesgo penal, a través del impulso de una cultura ética y de cumplimiento.
La norma UNE 19601 facilita la implementación de sistemas de gestión de Compliance penal, no sólo respetuosos con las exigencias legales españolas, sino también dirigidos a cumplir las expectativas que normalmente se depositan en las organizaciones que operan en los mercados internacionales. En este sentido, su contenido recoge las exigencias de nuestro Código Penal bajo la estructura de alto nivel desarrollada por ISO para mejorar el alineamiento entre sus normas internacionales para sistemas de gestión e incorporar buenas prácticas ya reguladas en la Norma UNE-ISO 37301 de Sistemas de gestión de Compliance, en Norma UNE-ISO 37001 de Sistemas de gestión antisoborno, así como en la Norma UNE-ISO 31000 de Gestión de Riesgos.
Los requisitos y directrices que dispone la norma se encuentran alineados con lo que exige la legislación penal española respecto los sistemas de control y gestión para la prevención y detección de delitos, tanto en su forma como en su fondo. Por ello, los objetivos fundamentales de esta norma son:
- El cumplimiento de las exigencias legales españolas.
- El cumplimiento de las expectativas depositadas en las organizaciones que operan en los mercados internacionales.
- Prevenir, detectar y gestionar conductas ilícitas.
El apartado 4 del Artículo 31 bis del Código Penal considera los modelos de prevención de delitos como posibles elementos de exoneración y atenuación de la responsabilidad penal de la persona jurídica, siempre y cuando cumplan una serie de requisitos. Así, el precepto dispone que:
- Si el delito fuera cometido por las personas indicadas en la letra b) del apartado 1, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.
En este caso resultará igualmente aplicable la atenuación prevista en el párrafo segundo del apartado 2 de este artículo.
- Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:
1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
Fuerza probatoria de la norma UNE 19601.–
Respecto la fuerza probatoria de la certificación de la empresa, conforme cumple con el estándar de la UNE 19601:2017, hay que tener en cuenta que:
- La certificación de la misma no se aprecia como un elemento adicional de la adecuación del modelo ni acredita de modo alguno la eficacia del programa, potestad que es exclusiva de los órganos judiciales.
- El cumplimiento de la UNE 19601 no asegura completamente que no se hayan producido o vayan a producirse delitos en la empresa ni asegura la absoluta eliminación del riesgo en la comisión de delitos.
- La norma UNE 19601 ayuda a prevenir, detectar y gestionar conductas ilícitas, generando así la cultura de cumplimiento que pueda fundamentar, en última instancia, la exoneración de su responsabilidad.
- El contenido de la UNE podría servir de referencia a los juzgados y tribunales para valorar el cumplimiento por parte de la empresa de las exigencias previstas en nuestra legislación penal.
Empresas que pueden contar con la implementación de la norma UNE 19601.–
La norma UNE 19601 puede aplicarse a cualquier organización, con independencia de su tipo, tamaño, naturaleza o actividad:
- Grandes empresas y pymes
- Sector público y privado.
- Organizaciones con ánimo o sin ánimo de lucro
- Actividades desarrolladas por los miembros de la organización.
- Actividades desarrolladas por los socios de negocio.
A la hora de diseñar un sistema de gestión de Compliance penal hay que tener en cuenta el contexto de la organización: determinar la comprensión de la organización, la identificación de las partes interesadas, la determinación del alcance del sistema de gestión de Compliance penal y los objetivos del sistema de gestión de Compliance penal con relación al riesgo penal.
Los objetivos del sistema de gestión de Compliance penal.-
Los objetivos del sistema de gestión de Compliance penal en relación con el riesgo constan de las siguientes fases:
- Evaluación: la fase de evaluación de la probabilidad y el impacto de los riesgos penales asociados a la actividad de la empresa.
- Prevención: en la fase de prevención se aplican los controles destinados a prevenir la materialización del riesgo.
- Detección: en la fase de detección actúan los controles implantados con el objetivo de detectar la materialización de un riesgo penal.
- Gestión: en la fase de gestión se gestionan de manera temprana los riesgos penales detectados.
Para llevarlo a cabo, la empresa debe adoptar, implementar y mejorar un sistema que incluya:
- Políticas, procedimientos y procesos necesarios, así como sus interacciones.
- Medidas diseñadas para detectar, prevenir y evaluar el riesgo penal, así como gestionarlo de manera temprana.
Como en todas las normas ISO y UNE, el sistema de gestión de Compliance penal debe estar sujeto a un proceso de mejora continua, que exige:
- Adoptar el sistema de gestión de Compliance.
- Implantarlo en la organización.
- Mantenerlo y verificar su eficacia.
- Mejorarlo de forma continuada.
En CERRILLO GOMEZ BOUTIQUE LAW FIRM contamos con profesionales expertos en materia de Compliance penal que le asesorarán para la confección e implementación de un programa de cumplimiento en su entidad, adecuado a los designios marcados por el Código Penal, así como otras normas regulatorias. Contacte con nosotros a través del número de teléfono 93 122 91 91, o mediante la dirección de correo electrónico blf@cerrillogomez.com y le atenderemos encantados.
Arnau Moreno i del Campo
Letrado