Asesoría jurídica especializada en la implantación y certificación de la UNE 19601:2025: sistema de gestión de compliance penal alineado con el art. 31 bis del Código Penal, diseñado para prevenir delitos, atenuar o exonerar la responsabilidad penal de las personas jurídicas y fortalecer la cultura ética.
Consulta gratuita UNE 19601
Te respondemos en menos de 24 h
Seis áreas de apoyo jurídico para diseñar, implantar, mantener y certificar tu Sistema de Gestión de Compliance Penal conforme a la UNE 19601:2025.
Análisis del estado actual del sistema de prevención frente a los 10 apartados de la norma y los requisitos del art. 31 bis CP: identificación de brechas, priorización y hoja de ruta de implantación.
Modelo de prevención de delitos: matriz de riesgos penales, catálogo de controles, canal de denuncias, procedimientos de investigación y arquitectura documental completa.
Diseño del órgano de compliance (CCO/OCI), estatuto, reporte al consejo, independencia, presupuesto y acceso a información según exige la UNE 19601.
Procedimientos de diligencia debida para socios de negocio, proveedores y empleados clave conforme al Anexo B de la norma, con segmentación por riesgo.
Planes de formación segmentados (directivos, operativos, terceros), acciones de sensibilización y métricas de concienciación para fortalecer la cultura de compliance.
Preparación para auditoría de certificación por entidad acreditada por ENAC (AENOR, Bureau Veritas, DNV, TÜV SÜD, Intertek) y acompañamiento en todo el ciclo.
Un Sistema de Gestión de Compliance Penal eficaz no se improvisa con un manual: combina gobernanza real, risk management, controles operativos y evidencia continua. Esto es lo que pide la norma y lo que valora un juez al analizar la eximente del art. 31 bis CP.
"La alta dirección impulsa la política de compliance penal, asigna recursos al órgano y rinde cuentas ante el consejo. Sin compromiso visible, el sistema no se sostiene en auditoría."
"Identificación, análisis y valoración de los riesgos penales asociados a la actividad real, con metodología documentada y revisión periódica. Es el eje exigido por la norma."
"Procedimientos, segregación de funciones, controles en procesos sensibles (compras, RRHH, fiscal, competencia, datos) y canal de denuncias conforme a la Ley 2/2023."
"Seguimiento, auditoría interna, revisión por el órgano de compliance, por la alta dirección y por el órgano de gobierno. El sistema debe evolucionar y quedar documentado."
La responsabilidad penal de la persona jurídica existe desde 2010 y se concretó en 2015. Un modelo de prevención eficaz puede ser eximente o atenuante; uno inexistente o cosmético es un amplificador del daño en caso de delito.
Responsabilidad penal autónoma de la persona jurídica por delitos cometidos por representantes, directivos o empleados en beneficio de la entidad (art. 31 bis CP).
Eximente total o atenuante si se acredita un modelo de prevención eficaz, adoptado y ejecutado con anterioridad al delito, que cumpla los requisitos del art. 31 bis.2 CP.
Canal de denuncias obligatorio para empresas con 50+ empleados por la Ley 2/2023, perfectamente integrable en el sistema UNE 19601.
Multas por delitos societarios, corrupción entre particulares, fraude fiscal, blanqueo o contra la competencia, además de disolución o suspensión de actividad.
Licitaciones públicas, tratos con multinacionales y financiación bancaria exigen cada vez más certificación de compliance penal acreditada.
Desde esa fecha, los certificados UNE 19601 sin acreditación ENAC han perdido validez efectiva: la certificación debe emitirse por entidad acreditada.
Te ayudamos a construir un modelo de prevención de delitos realista, proporcionado a tu actividad y defendible frente a un juez y a una auditoría de certificación acreditada por ENAC.
La UNE 19601 es el estándar español certificable que establece los requisitos de un Sistema de Gestión de Compliance Penal. Fue publicada originalmente en mayo de 2017 por AENOR y actualizada mediante la UNE 19601:2025, en vigor desde el 23 de abril de 2025 (la versión 2017 quedó anulada).
Es la referencia técnica utilizada por las empresas para estructurar su modelo de prevención de delitos alineado con el art. 31 bis del Código Penal.
La norma cumple tres funciones: prevenir la comisión de delitos en el seno de la organización, detectar y gestionar incumplimientos y fortalecer la cultura ética de la empresa. Su Anexo A establece la relación directa entre los apartados de la norma y los requisitos del art. 31 bis CP.
Una certificación no es, por sí sola, eximente automática de responsabilidad penal: es un principio de prueba cuya eficacia se analiza caso por caso.
No. La UNE 19601 es voluntaria. Lo obligatorio es disponer de un modelo de prevención de delitos eficaz si se quiere invocar la eximente del art. 31 bis.2 CP, pero el modelo no tiene que estar necesariamente certificado.
Ahora bien, certificar el sistema conforme a UNE 19601 aporta objetividad, trazabilidad y reconocimiento frente a administraciones, clientes y tribunales.
La UNE 19601 tiene estructura de alto nivel (HLS) y se organiza en: 1) Objeto y campo de aplicación; 2) Normas para consulta; 3) Términos y definiciones; 4) Contexto de la organización; 5) Liderazgo; 6) Planificación; 7) Apoyo; 8) Operación (diligencia debida y controles); 9) Evaluación del desempeño; 10) Mejora, además de seis anexos (A-F).
El Anexo A relaciona la norma con el CP; el B detalla due diligence de terceros; el C el mínimo documental; el D la implantación en filiales.
La UNE 19601 es compliance penal; la UNE 19602 es compliance tributario; la ISO 37301 es el sistema genérico de gestión del cumplimiento y la ISO 37001 se centra en antisoborno. Comparten estructura HLS y se integran perfectamente en un único sistema integrado.
Una organización madura suele apoyarse en UNE 19601 (eje penal) y sumar ISO 37001 o UNE 19602 según su perfil de riesgo.
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, exige un Sistema Interno de Información (canal de denuncias) a las empresas de 50+ empleados.
La UNE 19601 incorpora el canal como elemento central del SGCP, por lo que ambas exigencias se implementan de forma integrada y eficiente.
Para una pyme, entre 3 y 6 meses hasta la fase de auditoría; para una multinacional, entre 9 y 15 meses, con fases graduales por filial. Los plazos dependen del punto de partida, del perfil de riesgo y de la disponibilidad del equipo interno.
La certificación por entidad acreditada por ENAC añade normalmente 1-2 meses al cronograma.
Hoy certifican, entre otras, AENOR, Bureau Veritas, DNV, TÜV SÜD e Intertek, todas acreditadas por ENAC. Desde abril de 2023 la acreditación ENAC es exigible para que la certificación tenga plena validez en el mercado.
Conviene comparar experiencia sectorial, criterios de auditoría y coste antes de seleccionar entidad.
Un sistema UNE 19601 sólido no es un conjunto de documentos bien redactados: es una arquitectura de decisiones trazables. La norma es la hoja de ruta; el trabajo real consiste en convertirla en un sistema vivo que sobreviva a una auditoría y a un proceso penal.
UNE 19601:2025 (sustituye a UNE 19601:2017, anulada el 23/04/2025); art. 31 bis del Código Penal; LO 1/2015 de reforma del CP; Ley 2/2023 de canal de denuncias; ISO 37301, ISO 37001 y UNE 19602 como normas complementarias.
La nueva UNE 19601:2025 enfatiza el control de la diligencia debida, introduce explícitamente la gobernanza en compliance penal y segmenta la formación y la toma de conciencia, alineándose con las mejores prácticas internacionales.
Un sistema proporcionado al perfil real de la organización, con controles operativos en los procesos sensibles (compras, finanzas, RRHH, comercial, datos), trazabilidad documental y un órgano de compliance independiente y con recursos.
En sectores regulados, el SGCP se interrelaciona con otras obligaciones específicas: PBC (Ley 10/2010) y lista GAFI para riesgo país, emisores de EMT MiCA y participantes en el sandbox financiero en fintech/cripto, o SGIIC y consejeros independientes de ESI en mercado de valores.
La UNE 19601 no se implanta con plantillas: requiere una arquitectura de procesos, decisiones y evidencias. Este es el panel operativo que recorremos en cada proyecto de compliance penal.
1) GobernanzaAprobación de política por el órgano de gobierno, nombramiento del órgano de compliance con independencia efectiva y asignación de recursos suficientes y verificables.
2) RiesgosIdentificación de los tipos del art. 31 bis CP aplicables, análisis de probabilidad/impacto, mapeo a procesos y dueños, y evaluación documentada.
3) ControlesBatería de controles preventivos y detectivos: segregación, aprobaciones, límites, conciliaciones, revisiones y monitorización con KPI del sistema.
4) Canal e investigacionesCanal de denuncias conforme a la Ley 2/2023, protocolo de investigación interna, protección del informante, gestión de conflictos de interés y custodia de pruebas.
Ciclo completoContexto, política, riesgos, objetivos, roles y recursos.
Controles, due diligence, canal ético, formación y documentación.
Auditoría interna, revisiones por dirección y mejoras continuas.
Política formal aprobada por el órgano de gobierno, comunicada e integrada en la estrategia.
Documento aprobado con fecha, firma y registro de difusión interna y externa.
Metodología documentada, alcance (delitos del art. 31 bis CP) y revisión periódica.
Matriz de riesgos con probabilidad, impacto, controles y responsables por proceso.
Independencia, recursos, acceso a información y reporte directo al órgano de gobierno.
Estatuto, presupuesto, minutas de reporte y nombramientos del órgano o persona responsable.
Sistema interno de información conforme a Ley 2/2023, con protección del informante.
Herramienta accesible, políticas, protocolo de investigación, registros y estadística.
Procedimientos para socios de negocio, proveedores y personal clave (Anexo B).
Expedientes de screening, cuestionarios, contratos con cláusulas de compliance, monitorización.
Planes de formación y sensibilización segmentados por perfil y riesgo.
Contenido, evidencias de asistencia, evaluaciones y medición de cultura ética.
Indicios que detectan los auditores y, en caso de proceso penal, los peritos de la acusación particular.
Si vas a implantar, mantener o certificar un sistema UNE 19601, estos términos aparecen en la norma, en el Código Penal y en las auditorías de las entidades acreditadas por ENAC.
Conjunto integrado de políticas, procesos, controles y recursos destinado a prevenir y detectar delitos bajo la cobertura de la persona jurídica.
Artículo que regula la responsabilidad penal de las personas jurídicas y las condiciones para su atenuación o exoneración mediante modelos de prevención eficaces.
Conjunto estructurado de medidas de vigilancia y control destinado a prevenir delitos, cuya existencia y eficacia pueden eximir o atenuar la responsabilidad penal.
Persona u órgano independiente con autonomía, recursos y reporte directo al órgano de gobierno, responsable de supervisar el sistema.
Canal de denuncias obligatorio para empresas de 50+ empleados, con protección del informante y protocolo de investigación.
Procedimientos de evaluación de socios de negocio y personal clave, con segmentación por nivel de riesgo y seguimiento continuo.
Organismo que acredita a las entidades de certificación. Desde abril de 2023, la certificación UNE 19601 requiere entidad acreditada por ENAC.
Estructura de alto nivel común a las normas ISO/UNE de gestión, que facilita la integración del SGCP con ISO 37301, ISO 37001 y UNE 19602.
Norma hermana orientada a la prevención, detección y gestión de riesgos fiscales, totalmente integrable con la UNE 19601.
La UNE 19601 es la respuesta técnica del ecosistema normalizador español al régimen de responsabilidad penal de las personas jurídicas introducido por la reforma de 2010 y concretado por la Ley Orgánica 1/2015, de 30 de marzo, que reformó el Código Penal. Su vocación es instrumental: convertir las exigencias del art. 31 bis CP en un sistema de gestión auditable.
La norma se publicó originalmente en mayo de 2017 (UNE 19601:2017), desarrollada por el Comité Técnico de AENOR en materia de compliance y buen gobierno. El 23 de abril de 2025, esa versión fue anulada y sustituida por la UNE 19601:2025, que refuerza el control de la diligencia debida, introduce explícitamente la gobernanza en compliance penal y segmenta la formación y toma de conciencia.
El Anexo A de la UNE 19601 establece la correspondencia entre los apartados de la norma y los requisitos del art. 31 bis del CP. Esto convierte la norma en un mapa de navegación para demostrar la existencia y eficacia del modelo de prevención exigido por la ley como eximente o atenuante.
La UNE 19601 adopta la High Level Structure (HLS) común a las normas ISO de sistemas de gestión, lo que facilita su integración con ISO 37301 (compliance general), ISO 37001 (antisoborno) y UNE 19602 (compliance tributario). Su contenido se organiza en 10 apartados y 6 anexos (del A al F).
La Ley 2/2023, de 20 de febrero, obliga a las empresas de 50+ empleados a disponer de un Sistema Interno de Información. La UNE 19601 incorpora este canal como pieza central del SGCP, permitiendo un cumplimiento integrado y eficiente de ambas exigencias.
El 28 de abril de 2023 finalizó el plazo de validez efectiva de los certificados UNE 19601 emitidos sin acreditación ENAC. Hoy, la certificación plena se obtiene a través de entidades acreditadas (AENOR, Bureau Veritas, DNV, TÜV SÜD, Intertek, entre otras).
La jurisprudencia del Tribunal Supremo y la Fiscalía General del Estado (Circular 1/2016) dejan claro que la certificación no genera automáticamente la eximente: es un principio de prueba que debe ser examinado por el tribunal. Un sistema bien diseñado, implementado y operado es, sin embargo, el mejor argumento de defensa posible.