La norma UNE 19601 es el estándar en España en materia de Compliance Penal que define cómo se deben gestionar los distintos procedimientos y protocolos internos de las personas jurídicas para conformar un verdadero Sistema de Gestión de Compliance Penal, y así, llegado el caso, poder exonerar o atenuar la responsabilidad penal de la persona jurídica, por violación de dichos procedimientos y protolocos por personal propio o por terceros. Esta norma se publicó por AENOR (Asociación Española de Normalización y Certificación) en mayo de 2017.
La norma UNE 19601 tiene su origen en la norma ISO 19600, que es el estándar internacional. Sin embargo, la norma ISO 19600 no es certificable como tal, ya que se compone únicamente de recomendaciones; a diferencia de la norma UNE 19601 que sí es certificable.
La norma UNE 19601 es certificable por entidades que hayan sido acreditadas, con carácter previo, por ENAC (Entidad Nacional de Acreditación; que es el único organismo nacional de acreditación, según el Reglamento Europeo nº765/2008.
Por tanto, si una persona jurídica cumple con lo dispuesto en la norma UNE 19601 se presume “iuris tantum”, es decir, cabe prueba en contra; que la persona jurídica cuenta con los protocolos y procedimientos precisos para una eventual exoneración o atenuación de delitos cometidos en el seno de la misma. Asimismo, la circular 1/2016 de la Fiscalía General del Estado la considera estas certificaciones sobre la idoneidad del modelo como “un elemento adicional más de su observancia”.
El contenido mínimo que una persona jurídica ha de cumplir para poder gozar de la certificación de la UNE 19601 es el siguiente:
a) Alcance en la persona jurídica del sistema de gestión del Compliance Penal. (Es decir, si afecta a toda o a algunas de las áreas o departamentos).
b) Definición de la política de Compliance Penal. (Es decir, concreción de los principales rasgos de la política de Compliance).
c) Procedimientos para la delegación de facultades. (En aquellos casos en los que exista riesgo penal).
d) Identificación, análisis y evaluación de los riesgos penales o «mapa de riesgos penales» (Así como, la metodología y criterio utilizados).
e) Objetivos del Compliance Penal (Es decir, la tolerancia cero de la organización respecto de los riesgos penales).
f) Estándar común y publicado que la persona jurídica se compromete a cumplir (Es decir, lo que se conoce como “Código Ético”).
g) Nivel de competencia y conocimientos del Compliance Officer.
h) Procedimientos para la diligencia debida con los miembros de la organización. (Por ejemplo, obtención de referencias y opiniones acerca de las incorporaciones de personal).
i) Información sobre la formación y mejora del conocimiento en Compliance del personal de la persona jurídica.
j) Información necesaria para la eficacia del Compliance Penal.
k) Información externa de relevancia para el cumplimiento del sistema de gestión de compliance penal.
l) Información sobre las evidencias de los procedimientos y protocolos implantados.
m) Procedimientos para filiales y entidades bajo control.
n) Procedimientos para incumplimientos e irregularidades
o) Informes de prevención y resultados del seguimiento realizado a las políticas.
p) Resultados de las auditorías realizadas
q) Resultados de las correspondientes revisiones realizadas por el Compliance Officer, alta dirección y órgano de gobierno.
Desde Sistemius recomendamos a las empresas la obtención de la certificación en la norma UNE 19601, como complemento a la previa implantación de un sistema de gestión de Compliance Penal tutelado por un Compliance Officer.
José Nogueira
Abogado
Sistemius
