La Asociación Española de Normalización (AENOR) ha publicado la tan esperada UNE 19601: 2017 sobre Sistemas de gestión de compliance penal. Después de su antecesora más directa –la norma UNE-ISO 19600 sobre Sistemas de gestión de compliance-, la regulación normativa técnica en materia de cumplimiento adquiere un perfil específicamente de compliance penal.
Desde la perspectiva de los penalistas que nos dedicamos al Corporate Defense se hace necesario poner de manifiesto algunos aspectos relevantes de esta reciente normativa. En primer lugar, cabe recordar que se trata de una norma de carácter técnico y no jurídico. Ello implica que, por un lado, su adopción por parte de las empresas es algo voluntario y, por otro, que aunque las empresas implanten y desarrollen un sistema de cumplimiento penal siguiendo este estándar, ello no excluye su posible responsabilidad penal con base en el Código penal. Ahora bien, todo parece apuntar que la adopción de los parámetros contenidos en esta norma servirá para concretar cuáles son las medidas idóneas para la prevención, detección y gestión de riesgos penales.
En segundo lugar, también es relevante señalar que, en tanto que la UNE 19601 utiliza el término de “organización” y no de “persona jurídica”, los parámetros en ella establecidos pretenden ser aplicables también para entidades sin personalidad jurídica. Atendiendo al panorama empresarial español esto va a ser relevante, por ejemplo, para los grupos de empresas y para las uniones temporales de empresas. Si bien esta clase de organizaciones no pueden responder penalmente con base en el art. 31 bis CP, sí pueden ser destinatarias de las denominadas consecuencias accesorias del art. 129 CP. Por tanto, para la elaboración de los modelos de prevención de delitos no solamente deberá prestarse atención, según la UNE 19601, a los riesgos penales vía art. 31 bis CP, sino también a aquellos que puedan ser relevantes sobre la base del art. 129 CP.
En tercer lugar, es conveniente poner de manifiesto que, si bien la UNE 19601 se proclama aplicable a todo tipo de organizaciones, cualquiera que sea su dimensión, sigue siendo necesario adoptar un parámetro de proporcionalidad en lo que respecta a las exigencias en materia de cumplimiento penal. Por último, es necesario aludir a uno de los grandes protagonistas en el marco del criminal compliance. A saber: el denominado órgano de cumplimiento penal. Entre las atribuciones que debería tener este órgano –colegiado o unipersonal-, merece destacar una de ellas. Según la UNE 19601, este órgano «debe personificar la posición de máximo garante de la supervisión, vigilancia y control de las obligaciones de compliance en la organización».
Por tanto, sin perjuicio de las competencias y responsabilidades del órgano de gobierno y la alta dirección, respecto los deberes de vigilancia en materia de cumplimiento en la organización, el principal responsable –según la UNE 19601- debería ser el órgano de cumplimiento penal. En efecto, esto no solamente implica la necesidad de que su posición en la empresa esté revestida de la máxima independencia posible –pues también va a tener que supervisar, vigilar y controlar al órgano de gobierno y alta dirección-, sino que también podrá implicar relevantes consecuencias en relación con su propia responsabilidad por la infracción de esta posición de garantía en materia de supervisión del cumplimiento penal.
Sin duda, estas son algunos de los comentarios que se suscitan a propósito de la lectura de esta norma técnica. Para finalizar, cabe señalar que la UNE 19601 es una norma certificable (¡!). Esto, desde luego, también va a dar mucho que hablar.
