​ 

Un nuevo avance en la estandarización de los modelos de prevención de delitos: la ISO 37002 sobre gestión de sistemas de denuncia.

 

En el año 2021 la International Organization for Standardization publicó el estándar ISO 37002, para guiar a las organizaciones a administrar sus sistemas de gestión de denuncias como parte de su programa de cumplimiento normativo, en este estándar se muestran cuáles son los criterios básicos de los sistemas de denuncia.

Aunque este estándar no es de obligatorio cumplimiento, ni es susceptible de certificación, podemos intuir que se convertirá en un referente importante en la actuación de las empresas en materia de cumplimiento.

La ISO 37002 es el complemento perfecto a la Directiva 2019/1937 relativa a la protección de las personas denunciantes, ya que ayuda a las organizaciones a establecer una metodología a seguir en materia de canales de denuncia y protección de aquellos que hagan uso de estos canales.

De hecho, una de sus principales características es la especial protección de los denunciantes y de sus datos, entroncando a la perfección con el Reglamento General de Protección de Datos, pero la ISO 37002, no solo busca proteger a aquellos que den el paso y denuncien una irregularidad, sino también testigos o personas cercanas que apoyen la denuncia de la irregularidad.

Al implementar la norma ISO 37002, la organización estará ayudando a optimizar la cultura Compliance y el buen gobierno corporativo, a la vez que mejora la transparencia y la ética. También se aumenta la confianza de empleados y otras partes interesadas que considere la organización, generando una cultura de tolerancia cero ante la corrupción y otros incumplimientos, sobre todo, al contar con la ISO 37002 la organización incentivará a que se cree un ambiente de confianza y responsabilidad en su seno.

Principales elementos de la ISO 37002:

La nueva ISO determina su alcance, declarando que su propósito es proporcionar estándares para la creación, implementación y mantenimiento de sistemas de gestión de denuncias que estén basados en los principios de confianza, equidad y protección.

 

En cuanto a los hechos denunciables, el estándar abarca no solo las ilegalidades en general o las conductas delictivas en particular, sino que además incluye infracciones al código de conducta o de las políticas organizacionales, así como cualquier acto —pasado, presente o futuro— que pueda resultar perjudicial para esta o para intereses ajenos, ya sean individuales o colectivos

En cuanto al denunciante, el estándar señala en el epígrafe 3.9 que es: “Aquella persona que denuncia infracciones ciertas o de las que tiene sospechas y actúa con la creencia razonable de que la información es correcta en el momento de denunciar”. Esta definición no solo incluye a los actuales o antiguos miembros de la propia organización, sino también a terceros, como clientes, contratistas, agentes, proveedores etc.

En cuanto a la denuncia, se abarcan tres situaciones posibles en el epígrafe 3.10:

la denuncia abierta, en la que se conoce públicamente la identidad del denunciante;
la confidencial, en la que el denunciante desea mantener guardada su identidad y la anónima, que se produce cuando se desconoce la identidad del denunciante.

De los altos cargos directivos se espera no solo que desplieguen el sistema, sino también que muestren su compromiso respecto de una efectiva aplicación y controlen su buen funcionamiento.

El gestor o gestores del sistema, contemplados en el epígrafe 5.3.2, son para el estándar una pieza clave en el funcionamiento del procedimiento de denuncias, por sus labores de diseño y mantenimiento del mismo, esto último incluye obligaciones como asegurarse de que los denunciantes no sufren represalias, es por ello que esta labor debe encomendarse a personas con las competencias necesarias y que además reúnan determinadas virtudes como integridad, autoridad e independencia.

El estándar exige que la organización proporcione todos los recursos necesarios para permitir que el sistema sea implementado, mantenido, ejecutarse y mejorarse, otorgando todos los recursos financieros, humanos, técnicos y educativos, así como también los medios necesarios para recabar asesoramiento legal y llevar a cabo la correspondiente investigación.

De igual manera, la organización debe mantener informado al personal sobre el sistema, lo que incluye no solo la necesidad de informar sobre la existencia del sistema mismo y sobre cómo utilizarlo, sino también la conveniencia de ofrecer formación para reconocer las infracciones denunciables, prevenir posibles represalias, conocer la protección que se les garantiza en el caso de que decidan denunciar, así las consecuencias de no hacerlo o de utilizar el sistema con fines espurios

Por último, como en materia de cumplimiento normativo es tan importante ser cumplidor como poderlo demostrar ante terceros, el estándar contiene numerosas indicaciones sobre cómo documentar todas las actividades relacionadas con el sistema de denuncias y los requisitos que deben cumplir todos los documentos que se generen en el proceso de gestión de dicho sistema.

En la elaboración y archivo de estos documentos debe respetarse la normativa en materia de protección de datos y garantizarse la confidencialidad, especialmente de la identidad del denunciante y de los denunciados. La primera solo deberá revelarse cuando el denunciante otorgue su consentimiento o lo exija la ley.

CONCLUSIÓN

 En este contexto global de mayor uniformidad de los requisitos que debe cumplir un sistema de gestión de denuncias, es evidente que la ISO 37002 se convertirá en un referente de primer orden, tanto para las organizaciones y sus asesores en el momento de implantar el sistema, como para los abogados, jueces y fiscales en caso de que alguna persona jurídica sea procesada penalmente y su modelo de prevención deba ser sometido a revisión a los efectos de valorar la responsabilidad penal de dicha entidad, pues su seguimiento garantiza que no se omitirá ningún aspecto importante en el desarrollo de dicho sistema de gestión de denuncia.

Si bien es cierto que la ISO no es un texto de cumplimiento obligatorio, el prestigio de la entidad que lo ha formulado constituye una garantía de que en aquellas organizaciones donde se aplique correctamente, tendrán menos probabilidades de incurrir en responsabilidad penal y aun cuando fueran sometidas al escrutinio judicial, vemos como este protocolo sería la prueba idónea de que la empresa si utilizo modelos de prevención.  este estándar constituye una garantía de que, en caso de aplicarse

Este estándar tiene muy claro su propósito: combatir la corrupción y apoyar en compliance en todas sus manifestaciones.

Hablar, denunciar, verbalizar lo que se hizo o podría hacerse mal, es la vía para prevenir y detectar anomalías, mientras se acatan las políticas de la empresa y las obligaciones legales, sociales y medioambientales.

La entrada ISO 37002 sobre gestión de sistemas de denuncia se publicó primero en Índigo Consultores.