Adaptarse a los cambios normativos nunca es una tarea menor. Pero cuando hablamos de compliance penal, la actualización deja de ser una opción para convertirse en una necesidad estratégica. La nueva versión de la norma UNE 19601 introduce ajustes relevantes que afectan directamente a la forma en que las empresas previenen, detectan y gestionan riesgos penales.
En este contexto, no se trata solo de cumplir con una exigencia formal, sino de reforzar la cultura de cumplimiento y proteger la organización frente a posibles responsabilidades legales. Por ello, entender los nuevos requisitos, anticipar los plazos y definir una estrategia clara de adaptación es clave para cualquier empresa que quiera mantenerse alineada con las mejores prácticas.
¿Qué es la norma UNE 19601?
La norma UNE 19601 es el estándar de referencia en España para la implantación de sistemas de gestión de compliance penal. Su objetivo principal es ayudar a las organizaciones a prevenir la comisión de delitos en su seno y, en caso de que estos se produzcan, demostrar que se han adoptado medidas eficaces de control.
Aunque se trata de una norma española, está estrechamente alineada con estándares internacionales como la ISO 37301. Esta alineación facilita que las empresas integren el compliance penal dentro de sistemas más amplios de cumplimiento normativo y buen gobierno.
En la práctica, esta norma no solo permite cumplir con la normativa, sino que también actúa como una herramienta para mejorar la gobernanza, reforzar la cultura ética y generar confianza entre clientes, inversores y otros grupos de interés.
Novedades clave de la nueva versión
La actualización de UNE 19601 no supone una ruptura con el modelo anterior, pero sí introduce matices importantes que las empresas deben tener en cuenta.
Por un lado, se refuerza el enfoque basado en riesgos, exigiendo un análisis más profundo y dinámico de los riesgos penales. Ya no basta con un mapa de riesgos estático; ahora se espera una revisión continua y adaptada al contexto real de la organización.
Además, se pone mayor énfasis en la cultura de compliance. Esto implica que no solo se valoran los procedimientos, sino también el compromiso real de la alta dirección y la integración del cumplimiento en el día a día de la empresa.
Otro aspecto relevante es el fortalecimiento de los canales de denuncia, que deben ser más accesibles, confidenciales y alineados con la normativa vigente en materia de protección del informante.
Por último, se incrementa el nivel de exigencia en cuanto a la trazabilidad y documentación de las decisiones, lo que obliga a las organizaciones a ser más rigurosas en el registro de sus actuaciones en materia de compliance.
Plazos legales para la adaptación
Uno de los aspectos que más preocupa a las organizaciones certificadas con la norma anterior es el calendario de transición. La nueva UNE 19601 sustituye a la versión de 2017, estableciendo un periodo de adaptación limitado.
En primer lugar, el primer hito relevante es el 30 de octubre de 2026, cuando las entidades acreditadas ya no podrán realizar auditorías iniciales ni de recertificación bajo la versión UNE 19601:2017, lo que significa el cierre operativo de la norma anterior.
El segundo gran hito es el 30 de abril de 2027, momento en el que todos los certificados emitidos conforme a la versión de 2017 dejarán de ser válidos a efectos de acreditación.
En términos prácticos, esto supone que las empresas disponen de un periodo aproximado de 24 meses de transición, pero con una limitación importante: no todo ese tiempo es operativo para certificar bajo el modelo anterior.
Aunque el plazo puede parecer amplio, la realidad es que los cambios afectan a aspectos estructurales del sistema de compliance. Por eso, retrasar la adaptación puede generar cuellos de botella, especialmente en organizaciones complejas o reguladas.
Estrategias para una transición exitosa
Afrontar la adaptación a la nueva UNE 19601 con garantías requiere algo más que una revisión superficial de documentos. Es un proceso que implica análisis, coordinación y, sobre todo, una visión estratégica.
El primer paso debería ser realizar un diagnóstico del sistema actual. Esto permite identificar brechas entre el modelo existente y los nuevos requisitos, y priorizar las áreas de actuación.
A continuación, es fundamental actualizar el mapa de riesgos penales, incorporando nuevos escenarios y revisando la probabilidad e impacto de los riesgos ya identificados. Este ejercicio debe hacerse con una visión realista del negocio, no como un trámite formal.
Paralelamente, conviene revisar las políticas internas y los procedimientos, asegurando que reflejan los nuevos estándares y que son comprensibles para toda la organización. De poco sirve un sistema sofisticado si no se aplica correctamente en la práctica.
Otro elemento clave es reforzar los canales de denuncia y los mecanismos de investigación interna. Esto no solo responde a una exigencia normativa, sino que también contribuye a generar confianza dentro de la organización.
Por último, no hay que olvidar la formación y la comunicación. La adaptación será mucho más efectiva si las personas entienden el porqué de los cambios y cómo les afectan en su trabajo diario.
En conclusión, adaptarse a la nueva versión de UNE 19601 no es solo una cuestión de cumplimiento, sino una oportunidad para fortalecer el sistema de compliance y avanzar hacia una gestión más sólida, transparente y alineada con las mejores prácticas.
