Corporate Compliance · Sistemas de gestión

ISO 37301 vs UNE 19601: diferencias entre los sistemas de compliance

Dos normas certificables que se confunden a diario. Una cubre solo el riesgo penal en España; la otra, todo el cumplimiento a nivel internacional. Ni son lo mismo ni son incompatibles.

Fig. 1 — El compliance penal de la UNE 19601 es, en realidad, una parte del cumplimiento global que ordena la ISO 37301.

Elegir entre ISO 37301 y UNE 19601 no es elegir "la buena". Son normas con propósitos distintos: una protege frente al riesgo penal en España; la otra ordena todo el cumplimiento de la organización. La pregunta correcta no es cuál, sino para qué.

Ambas son piezas habituales de cualquier proyecto de corporate compliance, y se confunden con frecuencia porque comparten lenguaje, estructura y certificación. Vamos a separarlas con claridad: qué es cada una, en qué se diferencian y cómo encajan la una con la otra.

Qué es un sistema de gestión de compliance

Un sistema de gestión de compliance es el conjunto de políticas, procedimientos, controles y responsabilidades con los que una organización gestiona el cumplimiento de sus obligaciones. No se trata solo de "cumplir la ley", sino de acreditar que se dispone de los recursos y procesos adecuados para gestionar ese cumplimiento de forma ordenada y demostrable. Ahí es donde entran los estándares certificables.

Qué es la UNE 19601 (compliance penal)

La UNE 19601 es la norma española de sistemas de gestión de compliance penal, publicada en 2017. Establece los requisitos para implantar, mantener y mejorar un sistema orientado a prevenir y mitigar los riesgos penales de una organización, y está expresamente alineada con el artículo 31 bis del Código Penal.

En la práctica, certificar conforme a la UNE 19601 es la forma de estructurar y dar respaldo a un plan de prevención de delitos: ayuda a demostrar que el modelo es idóneo y eficaz, que es justo lo que el Código Penal exige para que pueda operar como eximente.

Qué es la ISO 37301 (compliance general)

La ISO 37301 es la norma internacional de sistemas de gestión de compliance, publicada en 2021. A diferencia de la UNE 19601, no se limita al ámbito penal: abarca todo el cumplimiento normativo de la organización (administrativo, laboral, medioambiental, fiscal, protección de datos, etc.). Es certificable y de alcance internacional.

La ISO 37301 sustituyó a la ISO 19600, que era solo una guía de directrices —recomendaciones, no requisitos— y, por tanto, no certificable. Ese es el gran salto: la ISO 37301 contiene requisitos, así que una organización puede certificarse conforme a ella.

Norma de referencia ISO 37301:2021 — Compliance management systems

Ficha oficial del estándar internacional de sistemas de gestión de compliance, en la web de la Organización Internacional de Normalización: iso.org — ISO 37301:2021 .

ISO 37301 vs UNE 19601: la diferencia clave

Toda la distinción se resume en una palabra: alcance. La UNE 19601 mira al riesgo penal; la ISO 37301 mira a todas las obligaciones. De ahí derivan el ámbito geográfico, la base normativa y el uso de cada una:

Fig. 2 · Cara a cara
La UNE 19601 es especializada y nacional; la ISO 37301 es transversal e internacional. Ambas son certificables.

Comparativa detallada

Punto por punto, así quedan las dos normas frente a frente:

Característica UNE 19601 ISO 37301
Alcance Solo riesgos penales Todo el cumplimiento normativo
Ámbito geográfico Nacional (España) Internacional
Año de publicación 2017 2021
¿Certificable?
Base de referencia Art. 31 bis del Código Penal Obligaciones legales, regulatorias y éticas
Enfoque del riesgo Identificar y evaluar riesgos penales Identificar obligaciones y riesgos de incumplimiento
Antecesora Sustituye a la ISO 19600 (no certificable)

¿Son excluyentes? Cómo se complementan

No hay que elegir. Las dos normas comparten la Estructura de Alto Nivel común a los sistemas de gestión ISO, lo que las hace armonizables: una organización puede integrar ambas sin duplicar esfuerzos. De hecho, es habitual certificar la UNE 19601 para la protección penal en España y la ISO 37301 para el cumplimiento global integrado.

Una forma sencilla de verlo: la ISO 37301 actúa como el marco integrador del cumplimiento, y dentro de él la UNE 19601 aporta la capa especializada de riesgo penal, la que importa para la responsabilidad del art. 31 bis. Las dos se apoyan en el mismo mapa de riesgos como punto de partida.

Detalle reciente

La ISO 37301 incorporó en 2024 una enmienda que integra de forma expresa el riesgo climático en los sistemas de gestión, reflejo de cómo el cumplimiento sostenible va ganando peso en la norma.

La familia de normas de compliance

La UNE 19601 y la ISO 37301 no están solas: forman parte de una familia de estándares que conviven y se integran entre sí. Conocerlos ayuda a decidir qué certificar:

Fig. 3 · La familia
Las normas especializadas (penal, antisoborno, tributario) encajan dentro del marco general que ordena la ISO 37301.
§ § §

¿Cuál necesita tu empresa?

La elección depende del objetivo, no de la moda:

  • Si lo prioritario es la responsabilidad penal en España (la del art. 31 bis), la UNE 19601 es la norma de referencia: respalda el modelo de prevención de delitos.
  • Si la empresa opera en varios países o quiere un marco global de cumplimiento, la ISO 37301 ordena todas sus obligaciones y aporta reconocimiento internacional.
  • Si quiere ambas cosas, lo razonable es integrar las dos: una base ISO 37301 con el módulo penal de la UNE 19601 (y, si aplica, antisoborno o tributario).

Errores frecuentes

  • Creer que la ISO 37301 cubre la responsabilidad penal del art. 31 bis. Es general; para el riesgo penal específico, la norma alineada es la UNE 19601.
  • Pensar que basta con certificar. Ningún certificado exime automáticamente: lo que protege es que el sistema sea idóneo, esté implantado y funcione de verdad.
  • Confundir la ISO 37301 con la antigua ISO 19600. La 19600 era una guía no certificable; la 37301 es una norma de requisitos certificable.
  • Implantar normas en silos. Sin aprovechar la Estructura de Alto Nivel común, se duplican controles y documentación que podrían integrarse.

Lo importante no es coleccionar certificados, sino que el sistema de compliance —el que sea— refleje los riesgos reales de la organización y funcione en el día a día. Esa es la diferencia entre un sello en la pared y una protección efectiva.

Corporate Compliance · Sistemas de gestión

¿UNE 19601, ISO 37301 o ambas?

Analizamos los riesgos de tu organización y te ayudamos a decidir e implantar el sistema de compliance adecuado —penal, general o integrado—, alineado con el art. 31 bis CP y preparado para certificación.

Solicitar asesoramiento

Seguir profundizando

Compliance

ISO 37301

Sistema de gestión de compliance general e internacional: requisitos, implantación y certificación del cumplimiento normativo.

Compliance

UNE 19601

Sistema de gestión de compliance penal alineado con el art. 31 bis CP para respaldar el modelo de prevención de delitos.

Compliance

Corporate compliance

Diseño e implantación del sistema de cumplimiento normativo de la empresa, integrando los estándares aplicables.