ISO 37301 vs UNE 19601: diferencias entre los sistemas de compliance
Dos normas certificables que se confunden a diario. Una cubre solo el riesgo penal en
España; la otra, todo el cumplimiento a nivel internacional. Ni son lo mismo ni son
incompatibles.
AutorMolina Law Boutique
PublicadoJunio 2026
Lectura10 min
CategoríaCorporate Compliance
Fig. 1 — El compliance penal de la UNE 19601 es, en realidad, una parte del cumplimiento global que ordena la ISO 37301.
Elegir entre ISO 37301 y UNE 19601 no es elegir "la buena". Son normas con propósitos
distintos: una protege frente al riesgo penal en España; la otra ordena todo el
cumplimiento de la organización. La pregunta correcta no es cuál, sino para qué.
Ambas son piezas habituales de cualquier proyecto de
corporate compliance,
y se confunden con frecuencia porque comparten lenguaje, estructura y certificación.
Vamos a separarlas con claridad: qué es cada una, en qué se diferencian y cómo encajan
la una con la otra.
Qué es un sistema de gestión de compliance
Un sistema de gestión de compliance es el conjunto de políticas, procedimientos,
controles y responsabilidades con los que una organización gestiona el cumplimiento de
sus obligaciones. No se trata solo de "cumplir la ley", sino de acreditar que se
dispone de los recursos y procesos adecuados para gestionar ese cumplimiento de
forma ordenada y demostrable. Ahí es donde entran los estándares certificables.
Qué es la UNE 19601 (compliance penal)
La UNE 19601 es la norma española de sistemas de gestión de
compliance penal, publicada en 2017. Establece los requisitos para implantar,
mantener y mejorar un sistema orientado a prevenir y mitigar los riesgos
penales de una organización, y está expresamente alineada con el
artículo 31 bis del Código Penal.
En la práctica, certificar conforme a la UNE 19601 es la forma de estructurar y dar
respaldo a un plan de prevención de delitos:
ayuda a demostrar que el modelo es idóneo y eficaz, que es justo lo que el Código Penal
exige para que pueda operar como eximente.
Qué es la ISO 37301 (compliance general)
La ISO 37301 es la norma internacional de sistemas de gestión
de compliance, publicada en 2021. A diferencia de la UNE 19601, no se limita al
ámbito penal: abarca todo el cumplimiento normativo de la organización
(administrativo, laboral, medioambiental, fiscal, protección de datos, etc.). Es
certificable y de alcance internacional.
La ISO 37301 sustituyó a la ISO 19600, que era solo una guía de
directrices —recomendaciones, no requisitos— y, por tanto, no certificable. Ese es el
gran salto: la ISO 37301 contiene requisitos, así que una organización puede certificarse
conforme a ella.
Norma de referenciaISO 37301:2021 — Compliance management systems
Ficha oficial del estándar internacional de sistemas de gestión de compliance, en la
web de la Organización Internacional de Normalización:
iso.org — ISO 37301:2021
.
ISO 37301 vs UNE 19601: la diferencia clave
Toda la distinción se resume en una palabra: alcance. La UNE 19601 mira
al riesgo penal; la ISO 37301 mira a todas las obligaciones. De ahí derivan el ámbito
geográfico, la base normativa y el uso de cada una:
Fig. 2 · Cara a cara
La UNE 19601 es especializada y nacional; la ISO 37301 es transversal e internacional.
Ambas son certificables.
Comparativa detallada
Punto por punto, así quedan las dos normas frente a frente:
Característica
UNE 19601
ISO 37301
Alcance
Solo riesgos penales
Todo el cumplimiento normativo
Ámbito geográfico
Nacional (España)
Internacional
Año de publicación
2017
2021
¿Certificable?
Sí
Sí
Base de referencia
Art. 31 bis del Código Penal
Obligaciones legales, regulatorias y éticas
Enfoque del riesgo
Identificar y evaluar riesgos penales
Identificar obligaciones y riesgos de incumplimiento
Antecesora
—
Sustituye a la ISO 19600 (no certificable)
¿Son excluyentes? Cómo se complementan
No hay que elegir. Las dos normas comparten la Estructura de Alto Nivel
común a los sistemas de gestión ISO, lo que las hace armonizables: una
organización puede integrar ambas sin duplicar esfuerzos. De hecho, es habitual
certificar la UNE 19601 para la protección penal en España y la
ISO 37301 para el cumplimiento global integrado.
Una forma sencilla de verlo: la ISO 37301 actúa como el marco integrador del
cumplimiento, y dentro de él la UNE 19601 aporta la capa especializada de riesgo penal,
la que importa para la responsabilidad del art. 31 bis. Las dos se apoyan en el mismo
mapa de riesgos
como punto de partida.
Detalle reciente
La ISO 37301 incorporó en 2024 una enmienda que integra de forma expresa el
riesgo climático en los sistemas de gestión, reflejo de cómo el
cumplimiento sostenible va ganando peso en la norma.
La familia de normas de compliance
La UNE 19601 y la ISO 37301 no están solas: forman parte de una familia de estándares
que conviven y se integran entre sí. Conocerlos ayuda a decidir qué certificar:
Fig. 3 · La familia
Las normas especializadas (penal, antisoborno, tributario) encajan dentro del marco
general que ordena la ISO 37301.
§ § §
¿Cuál necesita tu empresa?
La elección depende del objetivo, no de la moda:
Si lo prioritario es la responsabilidad penal en España (la del art.
31 bis), la UNE 19601
es la norma de referencia: respalda el modelo de prevención de delitos.
Si la empresa opera en varios países o quiere un marco global de cumplimiento,
la ISO 37301
ordena todas sus obligaciones y aporta reconocimiento internacional.
Si quiere ambas cosas, lo razonable es integrar las dos: una base ISO
37301 con el módulo penal de la UNE 19601 (y, si aplica, antisoborno o tributario).
Errores frecuentes
Creer que la ISO 37301 cubre la responsabilidad penal del art. 31 bis.
Es general; para el riesgo penal específico, la norma alineada es la UNE 19601.
Pensar que basta con certificar. Ningún certificado exime
automáticamente: lo que protege es que el sistema sea idóneo, esté implantado y
funcione de verdad.
Confundir la ISO 37301 con la antigua ISO 19600. La 19600 era una guía
no certificable; la 37301 es una norma de requisitos certificable.
Implantar normas en silos. Sin aprovechar la Estructura de Alto Nivel
común, se duplican controles y documentación que podrían integrarse.
Lo importante no es coleccionar certificados, sino que el sistema de compliance —el que
sea— refleje los riesgos reales de la organización y funcione en el día a día. Esa es la
diferencia entre un sello en la pared y una protección efectiva.
Corporate Compliance · Sistemas de gestión
¿UNE 19601, ISO 37301 o ambas?
Analizamos los riesgos de tu organización y te ayudamos a decidir e implantar el sistema
de compliance adecuado —penal, general o integrado—, alineado con el art. 31 bis CP y
preparado para certificación.