Novedades en Compliance para 2023

El Compliance evoluciona constantemente, reflejándose en iniciativas legislativas y de normalización sobre materias cada vez más concretas. Sin duda, dos de ellas son las relacionadas con la denuncia de irregularidades y las investigaciones internas.

La Ley española de protección al informante

El Pleno del Congreso de los Diputados de 22 de diciembre de 2022 aprobó el Proyecto de Ley de protección al informante, que traspone en España la Directiva (UE) 2019/1937. Es un texto audaz, que va más allá de los requerimientos mínimos europeos en cuanto a los sujetos obligados y a las materias denunciables. Esta Ley promoverá la generalización y mejora de estos sistemas, tanto en el sector público como en el privado. Con carácter general, sus disposiciones serán exigibles a partir de los 3 meses desde su entrada en vigor, preveyéndose una prórroga expecional para algunas administraciones y empresas privadas pequeñas que se extenderá hasta el 1 de diciembre de 2023.

El sentido técnico de la Ley no es tanto regular los sistemas para la gestión de denuncias, sino fijar un estatuto de protección al informante coherente con el exigido por la Unión Europea. Por ello, para los aspectos prácticos de gestión operativa hallaremos inspiración y recomendaciones mucho más detalladas en el estándar internacional ISO 37002:2021, sobre sistemas de gestión de irregularidades.

La norma española hereda algunos sesgos ya presentes en el texto europeo. Veamos algunos:

En primer lugar, el marco de protección aparece especialmente vinculado con el informante o con quienes realicen revelaciones públicas, bajo el entendimiento de que son los sujetos más expuestos a represalias. Aunque también se cubren otros colectivos, incluyendo a personas que asisten o están relacionadas con el informante, e incluso a los propios denunciados, el foco de la redacción está puesto sobre los sujetos indicados anteriormente. Sin embargo, en bastantes casos, especialmente a raíz de la incorporación de los delitos de acoso sexual y de denigración moral al catálogo aplicable a las personas jurídicas en España, el informante es un mero observador de conductas inapropiadas que lesionan los derechos de terceras personas –que eventualmente ni siquiera conocen— y, que son susceptibles de protección reforzada. La lógica llevaría a aplicarles el régimen tuitivo que la literalidad actual sólo proyecta sobre el informante y su círculo próximo, previniendo represalias y brindando medidas de apoyo.

Tanto la Directiva como la Ley española protegen al informante ante “represalias”, que es un término asociado con intencionalidad. No se contempla la prevención y castigo de comportamientos culposos, que pueden igualmente ocasionar graves perjuicios al informante: por ejemplo, que se divulgue su identidad por una manipulación negligente del expediente. Para acoger cualquier tipo de disfunción, el estándar ISO 37002:2021 habla de “conductas perjudiciales” en lugar de referirse a “represalias”.

En su afán por proteger al informante, estos textos hacen hincapié en la confidencialidad y la limitación al acceso de datos. A diferencia de otras normas en materia de seguridad y protección de datos personales, no se menciona expresamente ni se desarrolla el principio de “necesidad de conocer” (“need to know”), presente en el estándar ISO 37002:2021, y de tanta importancia para una gestión eficaz de las investigaciones y aplicación de las medidas correspondientes. Este déficit es el resultado de una preocupación exacerbada por la confidencialidad que, sin embargo, no tiene porqué verse amenazada por la aplicación de dicho principio.

La normalización internacional

Se prevé la próxima publicación del estándar ISO 37008 de directrices sobre investigaciones internas. Siendo un aspecto tratado en otros estándares previos, incluida la citada norma ISO 37002:2021 de gestión de denuncias, sus recomendaciones serán mucho más detalladas. Robustece su gestión y contempla su aplicación en otros contextos diferentes, como la determinación de fuentes de riesgos no claramente identificados, el análisis de las causas raíz de los incidentes o la mejora del diseño de controles.

El texto invita a reflexionar sobre aspectos clave, como los diferentes alcances que puede tener una investigación: esclarecimiento de hechos, calificación de las violaciolaciones o las acciones correctivas y de remediación pertinentes. También acerca de las cautelas del proceso de investigación (confidencialidad, ausencia de interferencias, etc) y, especialmente, respecto del equipo investigador (profesionalidad, ausencia de conflicto de intereses, competencias para el desarrollo de entrevistas, etc). Otros aspectos relevantes son la documentación del trabajo y la adecuada comunicación de sus resultados. Su gestión inadecuada cuestionará la profesionalidad de la investigación y, probablemente, arruinará sus resultados.

También está prevista durante 2023 una revisión limitada del estándar ISO 37001:2016 sobre sistemas de gestión anti-soborno. No supondrá un examen completo de sus contenidos, limitándose a alinearlo con la nueva estructura armonizada (Harmonized Structure HS) que utiliza ISO desde el año 2021, y a mejorar algunos apartados concretos.

La normalización nacional

Habiendo transcurrido más de cinco años desde la publicación del estándar UNE 19601:2017 sobre sistemas de gestión de compliance penal, han aparecido desde entonces novedades que aconsejan su revisión. Esta actualización tendrá lugar durante 2023, con la idea de acomodar su redacción a las buenas prácticas internacionales que se han ido publicando, así como a la evolución del régimen de la responsabilidad penal de las personas jurídicas en España. También se aprovechará para clarificar dudas prácticas sobre algunos de sus apartados, surgidas durante los procesos de certificación de la conformidad con su contenido.

Tendrán especial impacto en el nuevo texto las novedades recogidas en los estándares ISO 37301:2021 de sistemas de gestión de compliance, y el mencionado ISO 37002:2021 sobre gestión de irregularidades, permitiendo que la norma española siga acogiendo las mejores prácticas de la comunidad internacional.

Compartiendo conocimiento

En este año 2023 seguiremos publicando videos mensuales sobre aspectos poco tratados, como los programas de desarrollo en integridad para socios de negocio, los efectos del gap tecnológico en los procesos de compliance, el efecto práctico de las diferencias culturales o la taxonomía moderna de transacciones problemáticas, según vienen relacionadas en el Anexo A.15 del estándar ISO 37002:2017 de sistemas de gestión anti-corrupción.