La entrada en vigor de la Ley 2/2023, de 20 de febrero, de Protección del Informante ha conllevado el diseño e implantación de Sistemas Internos de Información (SII) en nuestras organizaciones. ¿Pero a qué escenario se enfrentan las empresas y las administraciones públicas una vez implantado el SII?
En la memorable película A few Good Men (Reiner, 1992) hay una escena inicial, en un contexto eminentemente militar, donde Daniel Kaffee, un joven abogado de la Marina (Tom Cruise) y la capitana JoAnne Galloway (Demi Moore) intercambian un tenso diálogo en estos términos:
“- Capitana, ¿tiene usted alguna jurisdicción en el caso que yo deba saber?
– Mi trabajo es asegurarme de que usted hace su trabajo. Soy asesor especial de asuntos internos. ¡Así que mi jurisdicción está exactamente sobre sus narices!”.
Se trata de una escena hollywoodiense sobre investigaciones internas que es pura ficción, pero ¿cómo de lejos nos encontramos en estos momentos? Cabe preguntarse qué nueva dimensión puede suponer la implantación de los Sistemas Internos de Información (SII) por aplicación de la nueva Ley de Protección del Informante, ya que abre una puerta al mundo de las investigaciones internas.
1. Diseña e implanta el Sistema Interno de Información. Pero hazlo bien.
En estos primeros meses desde la entrada en vigor de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (“Ley de Protección del Informante” o “LPI”), desde LKS Next Legal, hemos asistido a la necesidad de informar y sensibilizar a los clientes acerca de las exigencias de la nueva LPI.
Las exigencias de diseñar e implantar el SII son mayores de los que en ocasiones se tiende a pensar. A modo recopilatorio, algunos requisitos de la LPI a destacar:
- Debe implantarse un SII seguro. Debe garantizar la confidencialidad y evitar divulgaciones indebidas, así como cumplir la normativa de protección de datos.
- Debe permitir que se reciban denuncias sobre infracciones penales y administrativas graves y muy graves. Se trata de un ámbito mucho más amplio que el Compliance Penal que se venía aplicando en muchas organizaciones.
- Las personas informantes no solo son los trabajadores de la propia organización. Es un canal abierto a otras personas informantes que cita la Ley. Es más, debe garantizarse la posibilidad de denuncia anónima, lo cual posibilita que el informante pueda ser cualquier persona.
- La denuncia puede realizarse por escrito, pero la persona informante también puede exigir presentar la denuncia mediante reunión presencial dentro del plazo máximo de 7 días.
- Debe garantizarse la confidencialidad cuando la denuncia se remita por los “canales no establecidos”, es decir, por una vía distinta al SII.
- La persona informante tiene derechos, como es no sufrir ninguna represalia y garantizar el anonimato, pero también hay que tener en cuenta a la persona afectada por la denuncia, que tiene derecho a la presunción de inocencia, al honor y a ser oída.
- El órgano de administración de la empresa debe designar un Responsable del Sistema, que responderá de la tramitación diligente de las denuncias y que deberá desarrollar sus funciones de forma independiente y autónoma del resto de los órganos de la empresa, sin recibir instrucciones de ningún tupo de su ejercicio. Además, debe disponer de todos los medios personales y materiales para llevar a cabo sus funciones.
- La LPI establece la obligación de integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad. Dicho de otra forma, debe analizarse cómo se integran/coordinan con el SII otros canales que ya existen en la empresa, como puede ser el procedimiento contra el acoso.
Con todo lo expuesto, es claro que el SII no debe implantarse de cualquier manera. No sirve un simple correo electrónico ni tampoco es suficiente contratar una solución tecnológica si no se elabora y aprueba una normativa interna robusta que regule los distintos hitos del procedimiento, así como los derechos y obligaciones que corresponde a las distintas partes implicadas (la persona informante, la persona afectada por la denuncia, el responsable del sistema, el órgano de administración…).
Volviendo al cine, podemos evocar esa escena de Green Book (Farrelly, 2018) en la cual el rudo italoamericano Tony Vallelonga (Viggo Mortensen) le indica al pianista afroamericano Don Shirley (Mahershala Ali), del que es chofer y guardaespaldas, que su padre solía decir que “hagas lo que hagas, hazlo al 100%. Cuando trabajes, trabaja. Cuando te rías, ríete. Cuando comas, come como si fuera tu última comida”.
Siendo conscientes de que las organizaciones tienen mil y un asuntos que tratar, y que el diseño e implantación del SII no estaba entre sus planes más inmediatos y urgentes, pero siguiendo el enunciado de Tony Vallelonga, si decides hacerlo, “hazlo al 100%”. Si la organización no implanta el SII estará incumpliendo una obligación legal, pero si no lo implanta correctamente, es muy posible que vulnere derechos de una especial importancia, como son el derecho a la intimidad, al honor o a la defensa de una pluralidad de personas. En definitiva, como reza aquella conocida expresión que se le atribuye al pionero de la industria de animación Walt Disney, “si lo haces, hazlo bien”.
2. Gestiona denuncias una vez implantado el SII. Realiza investigaciones internas.
Una vez implantado el SII, ¿qué es lo que sigue? Volviendo a parafrasear una cita cinematográfica, diríamos que “Let the game begin!” (Saw, Wan, 2004). No es que la gestión del SII implique una actuación terrorífica, letal y macabra como la que nos presenta James Wan en su cinta, pero la gestión del SII implica que el ordenador portátil o el smartphone del responsable del sistema recibirá en cualquier momento un mensaje indicando que se ha recibido una comunicación en el SII y que, en consecuencia, debe ser gestionada. Y las comunicaciones versarán sobre asuntos muy variados, ante cada cual, el responsable del sistema deberá dar acuse de recibo y se iniciará un procedimiento de investigación interna.
Es importante resaltar esta fase de la investigación interna. Tengamos en cuenta que la Ley de Protección del Informante supone trasladar a las organizaciones el desarrollo de actuaciones de investigación sin conocimiento ni control de la policía, fiscalía o jueces de instrucción. La LPI exige que el responsable del sistema lidere y resuelva el proceso de averiguación de un incumplimiento, lo cual exige que el proceso se lleve a cabo dentro de unos parámetros legales. Unos parámetros legales que conviene que se definan de la forma más nítida posible en la normativa interna que apruebe la organización, ya que, de lo contrario, se generará una enorme inseguridad jurídica en relación con la actuación del responsable del sistema.
A este respecto, debe tenerse en cuenta que actualmente no existe una Ley que regule las investigaciones internas. No existe un marco normativo actualmente en esta materia, con la incertidumbre que ello genera.
Cada denuncia deberá ser investigada garantizando la independencia y la confidencialidad a lo largo del proceso, así como la objetividad e imparcialidad en la gestión. Como indicábamos, hay derechos de terceros que pueden verse gravemente afectados, como el derecho a la intimidad, al honor y a la presunción de inocencia.
Asimismo, tengamos en cuenta que la investigación interna en la organización puede ser la antesala de un proceso judicial. Lo investigado podría aportarse en forma de informe pericial y la forma en que se haya realizado la investigación interna puede afectar al valor probatorio de lo que se aporta (evidencias personales, documentales, etc.). Si la investigación interna no se ejecuta correctamente, la validez de las evidencias obtenidas puede quedar desvirtuada.
En todo este contexto, cabe destacar la nueva ISO 37008: guía para las investigaciones internas, que ha sido publicada el pasado mes de julio. Esta guía puede ofrecer un esquema de las diferentes fases y aspectos para tener en cuenta en una investigación interna. Sin embargo, es importante no confiarlo todo a lo contenido en la ISO, por lo expuesto anteriormente: hay diversos derechos constitucionales que pueden verse afectados al procedimentalizar la denuncia, por lo que debe contrastarse la cobertura legal para realizar cada una de las actuaciones del proceso.
Terminaremos con otra cita cinematográfica. En este caso, de la ya clásica The Game (Fincher, 1997), donde invitan a un banquero de inversiones, interpretado por Michael Douglas, a participar en un envenenado juego.
En el mismo le indican a Douglas que “el juego está adaptado específicamente a cada participante. Piense en ello como unas buenas vacaciones, excepto que usted no va a ellas; ellas vienen a usted”.
Probablemente, esta cita no transmita el mensaje más realista para quien le toque gestionar el Sistema Interno de Información. Sobre todo, porque gestionar las denuncias que nos lleguen al SII no serán precisamente unas placenteras vacaciones. Ciertamente, tampoco lo fueron para el bueno de Douglas. Pero la cita sirve para recalcar dos cuestiones: (i) por un lado, el “juego”, el SII, habrá que adaptarlo a cada “participante” y, (ii) por otro lado, sin que el responsable del sistema haga nada en particular, los expedientes llegarán al SII y le obligarán a gestionarlo de la forma más diligente posible.
Nadie dijo que el Whistleblowing fuera algo sencillo, pero es importante subrayar que el responsable del sistema no tiene porqué estar (ni conviene que esté) huérfano en toda esta labor. En este nuevo escenario de las investigaciones internas que se nos plantea va a ser importante contar con asesores jurídicos especializados que aporten una visión neutral y técnica al responsable del sistema. Pero los mismos asesores jurídicos deberán asumir que las denuncias podrán tratar asuntos cuyo análisis y calificación legal va a implicar a disciplinas jurídicas de diversa índole, por lo que el soporte jurídico multidisciplinar e integral va a ser, a todas luces, necesario. Porque como diría Forest Gump, podría decirse que cada denuncia y expediente es como una caja de bombones: “nunca sabes lo que te va a tocar”.
