Directiva de protección del denunciante y nuevo estándar ISO 37002

Bienvenidos a certifica el podcast de EQA sobre el mundo de la certificación de empresas. Bienvenidos a un nuevo episodio de Certifica el podcast de EQA, nuestro podcast de hoy es sobre la división de Compliance. Vamos a hablar sobre la directiva de protección del denunciante y el nuevo estándar ISO 37002. Para ello contamos con Jorge Alexandre González, responsable del Área de Certificación de Sistemas de Gestión de Playas y Anticorrupción de EQA desde 2016. Hola Jorge, qué tal?

En 2019 se publicó la directiva de protección del denunciante y ahora se acaba de publicar la ISO 37002 sobre sistemas de gestión para denuncia de irregularidades. Qué relación encontramos entre ambos documentos? Bueno, pues realmente la directiva que se publicó en 2019 es un documento de carácter obligatorio para los Estados, especialmente para los Estados de la Unión Europea, en nuestro caso en España. Es un documento que debe ser traspuesto a la legislación nacional, con lo cual estamos hablando de ley en sentido estricto de obligaciones.

En este caso para las empresas y requisitos sobre cómo deben organizarse para cumplir en este caso, todo lo que es una serie de requisitos para tramitar denuncias de posibles irregularidades, de posibles incumplimientos de la legislación de la Unión Europea. Esto básicamente se ha venido a llamar, que es la directiva del canal de denuncias o de protección del denunciante. Tiene un nombre más largo que básicamente lo que va a imponer son obligaciones para empresas a partir de 50 empleados, es decir, para muchísimas empresas.

No estamos hablando de obligaciones para empresas cotizadas o grandes monstruos, sino realmente para muchísimas, muchísimas empresas de más de 50 empleados o a partir de 50 empleados sobre cómo deben establecer sus canales de alerta o desde la acción de denuncia. Normalmente se ha venido a llamar y como digo, al final es una directiva europea que debe ser transpuesta en una ley española y es de obligado cumplimiento. Y todas las empresas que entremos en ese grupo tendremos que aplicar todos estos requisitos sobre como habilitar canales de alerta, como investigar, como proteger a los denunciantes, a los alentadores, garantizar su confidencialidad.

Bueno, normativa pura y dura directa aplicación y la ISO 37002 que se acaba de publicar ha de ser publicado este verano. Lo que es realmente es un estándar internacional, un estándar de buenas prácticas elaborado en el entorno de ISO, que como sabéis es la organización internacional de Estandarización, que lo que viene de alguna manera es a traer el mundo de las buenas prácticas, tanto en el ámbito de la gestión empresarial como en el ámbito concreto de compañías, para establecer mecanismos de denuncia, irregularidades, investigación de irregularidades.

Con lo cual de alguna manera los dos documentos, aunque la hacen, digamos, de fuentes totalmente distintas, uno es directiva y será ley y por lo tanto de obligado cumplimiento y lo otro es voluntario, está basado en buenas prácticas, en el consenso. Pero digamos que ocupan el mismo entorno, que es fundamentalmente el cómo estructuro mi empresa, mi organización, porque esto va más allá de las empresas como estructura en mi organización para habilitar canales de denuncia vamos a llamarlos así que es como comúnmente se conocen, como investigo esas denuncias, cómo protejo a los denunciantes y de alguna manera, como digo, pues acaba siendo documentos muy complementarios, aunque hay que tener en cuenta pues esa muy distinta naturaleza de los mismos.

Entonces la ISO 37002 es una herramienta de fin, una metodología de buenas prácticas que puede servir para implementar los requisitos legales que impone la directiva. Efectivamente, ese sería quizá la visión, yo creo, la mejor visión, la ISO 37002, lo que es realmente como cualquier estándar de sistemas de gestión ISO en España, los estándares de compliance son un compendio de buenas prácticas, una metodología a seguir, unos pasos para asegurarte, en este caso, que estableces un canal de denuncias, una protección, una investigación de esas denuncias, una protección de los denunciantes.

Pues conforme en este caso a la directiva de alguna manera, como decía antes, son dos documentos complementarios. La directiva europea te dice lo que tienes que hacer, tienes que seguir, proteger al denunciante de esta manera, habilitar estos canales, cumplir estos plazos para comunicarte y para resolver las denuncias que haya. Y el estándar hizo lo que te da son los pasos uno a uno, por decirlo así, a través de su estructura de autoridad, que yo creo que todos los que trabajamos con estándares ISO, todos los que trabajamos en Compliance, ya los conocemos. Cuáles son los pasos para poder asegurar que estableces ese canal de denuncias, esa investigación de las alertas que te llegan por él conforme a la directiva, son totalmente complementarios. La directiva te dice que tienes que hacer y el estándar ISO 37002 te va dando los pasos para tratar de hacerlo de la forma más correcta, sino basada en las buenas prácticas internacionales del compliance.

Esa sería un poco la relación. Van de la mano. Uno es el que tienes que hacer y el otro es cómo lo vamos a hacer por lo que nos estás contando.

Entonces Directiva ISO son complementarias en este sentido. Qué crees que es lo que mejor puede aportar un estándar de sistema de gestión ISO a una norma de obligado cumplimiento?

Bueno, pues esto. Yo creo que se repite un poco la dinámica que hemos vivido en otros ámbitos. Especialmente se me ocurre toda la parte del compliance penal y eso que hoy no era obligatorio ahora. Ahora me explico. Yo creo que esto va a incidir un poco más en esa correlación, en esa, en esa, esa buena sintonía que va viendo en España especialmente. Pero yo creo que en todo el entorno de nuestro entorno de utilizar estándares ISO o estándares con estructura, eso como son las normas UNE de compañías españolas para cumplir con las leyes, con las normas de obligado cumplimiento de la mejor forma.

Digo que me recuerda un poco al 31000 y a todo lo que es el compliance penal, porque bueno, en el Código Penal todos sabemos que existen unos requisitos para poder considerar que tienes un modelo de organización y gestión para prevenir delitos y que si cumples esos requisitos y así es valorado por un tribunal, una persona jurídica o una organización, podrá exonerar su responsabilidad por un delito que se produjo en sus actividades en su seno. Y al albur de ello nació la una 19601, que es un estándar con estructura de alto nivel ISO de buenas prácticas en el ámbito del compliance, que lo que viene es precisamente a desarrollar esos requisitos del Código Penal y a en un poco aportar esa visión más internacional de buenas prácticas de bien.

No te quedes en estas seis cosas que dice el 31 bis elabora a partir de aquí un montón de documentos, registros y sobre todo sistemáticas para poder llevar a cabo un buen modelo, organización y gestión para prevenir delitos. Que no se quede en el exclusivo cumplimiento de la ley. Pues un poco. Y ya digo que tener un sistema de prevención de delitos no es obligatorio en España es una que hay un fuerte incentivo, pero no es obligatorio según el Código Penal.

Pues con la directiva de protección del denunciante, la eventual ley que la ponga y la ISO 37002 se replica esa misma situación y se replica con mucha más fuerza, porque aquí sí que es obligatorio cumplir los requisitos que van a imponer en Caen en cuestiones de canal de denuncias, plazos, protección del denunciante, confidencialidad en el tratamiento de las denuncias de los datos de las personas, con lo cual se vuelve a repetir esa buena relación que ya ha existido y cada vez es más común que en España.

Quién establece un sistema de cumpláis penal lo haga conforme a la UNE, no porque sea obligatorio, sino porque es la forma de ir a máximos, establecer tus buenas prácticas como la de esperar. Pues esta misma situación, casi una réplica exacta, yo creo que se va a producir en el tema de los canales de denuncias. La directiva me dice las cosas que tengo que hacer y la ISO 37002 con su estructura de alto nivel, pues va a permitir, pues de alguna manera cumplirlo o evidenciar que tratas de cumplir esa norma obligatoria la directiva y luego la ley de la mejor forma.

Yo creo que los estándares de alto nivel ISO en el ámbito del Compliance, pues son norma, ya con un cierto recorrido desde la ISO 19601 de 2014 y que se han demostrado útiles y sobre todo cada vez en un mercado en auge. Cada vez todo el ámbito de la auditoría, la certificación, el hecho de ir a ir a más de lo que dice el Código Penal con el tema de compra es penal también con el compliance tributario que empezará en 2019.

Se están trabajando en estándares de compañías, en materia de competencia, en materia socio laboral. Bueno, pues este es un estándar más de buenas prácticas de cumples para los canales de denuncia, para la investigación posterior, lógicamente de la información que fluye a través de ellos, pero con una conexión muy directa con el cumplimiento de una directiva, una ley de obligado cumplimiento. Así que yo creo que desde luego es una muy buena idea y es muy debe ser muy provechoso para todas las organizaciones el hecho de que hayan aparecido a la par la obligación legal y el estándar ISO 37002.

Y ya para terminar, qué recomendarías a las empresas que ya tienen sistemas de gestión de compliance implementados conforme a estándares UNE o ISO en relación con esta directiva y la nueva ISO 37002?

Bueno, pues yo creo que es un poco lo que lo que ya decía en la anterior pregunta, pues lógicamente es que no implementen los requisitos que impone la directiva y que impondrá la ley nacional lejos de sus sistemas de gestión que ya tienen implementados y que ya están ejecutándose en su organización. Una organización que esté certificada en una diecinueve mil seiscientos uno o que esté certificada en ISO 37001 o incluso más allá, una organización que esté certificada en una norma 14001 de gestión ambiental o 45001 de esos que dicen no tener trabajo, ya tienen toda la estructura que te propone.

También la ISO 37002 es el éxito de la estructura de alto nivel de estos estándares, que al final los requisitos son globalmente los mismos que los pasos que te propone dar, en este caso la directiva, pues son los mismos. Analiza tu contexto, analiza como de grande eres, con quien te relacionas, qué relaciones tienes con la administración, cuáles son tus terceras partes, tus partes interesadas. A partir de ahí, pues establece unos roles, un liderazgo, analiza tus riesgos.

Bueno, todo lo que es ese proceso un poco metodológico de los estándares, eso que se replica no sólo en los estándares de compliance, sino en los de gestión ambiental, los de seguridad en el trabajo, en seguridad de la información en casi cualquier ámbito del mundo ISO sobre el mundo de las estructuras. Eso, pues lógicamente eso treinta y siete mil dos se integre, no viva como algo aparte y lógicamente al integrarse traiga los requisitos legales de la directiva.

Qué quiere decir con esto? Que cuando una empresa que está certificada tenga intención de integrar requisitos de la directiva europea. Qué me dice la ISO 37002 en la parte del contexto? A mí me dice prácticamente lo mismo que lo que me dice la UNE es que ya tienes mucho trabajo hecho en las partes interesadas, que me dice bueno, es que me dice cosas muy parecidas en el punto 8 del estándar. Una qué me dice que tenga un canal de comunicaciones y que investigue ISO 37002 en el punto 8 solo desarrolla muchísimo más, pero son cosas digamos complementarias.

Entonces, lógicamente esta norma ISO es. Es fundamental que se integre sobre los sistemas que ya que ya existen y fundamentalmente porque eso redundará en la eficacia en que al final no tengas muchos sistemas compactos independientes, sino que tengas un verdadero sistema de gestión de compañías y que de uno de sus partes sea todo lo que tiene que ver con denuncia de regularidad, regularidades, investigación, protección del denunciante que además de cumplir la directiva, también se basa en un estándar no estándar de buenas prácticas.

Básicamente la recomendación sería es igual ir integrando y ampliando nuestro sistema de compliance. Ahora con esta estándar de ISO 37002 para la denuncia de irregularidades un poquito. Esto quizá la conclusión tenemos que sacar es que lo que empezó con una norma genérica como la de 1600 de compliance, pues ha ido evolucionando ya con normas específicas para adelante y soborno en España para norma específica de compliance penal norma específica de es tributario en breve norma específica de compliance en materia de competencia ahora con planes en materia de denuncia e investigación de irregularidades.

O sea, todo esto va conformando algo que es una súper estructura de compañías, digamos por partes o por piezas. Como digo, al final es un estándar más, pero yo creo que es un estándar que va a ser muy relevante, porque también en esto, fíjate, yo creo que está bien que terminemos con esta idea. Es también una forma muy buena para empresas que todavía no han dado el paso de implementar sus modelos de prevención de delitos conforme al estándar una edición de 1600.

O quizás sea muy buena idea que den el primer paso de implementar solo la parte del canal. Investigación de Denuncias conforma este estándar ISO 37000. Por qué digo esto? Porque la sistemática del mundo ISO la podrán adquirir implementando solo el canal de denuncias y luego el salto podría implementar todo lo que es un sistema de compliance penal que es un poco más amplio, pues no será tan difícil. Y por supuesto, sistemas de compliance mayores, pues es seguir recorriendo ese camino.

Como digo, este estándar va a tener un impacto, una repercusión muy importante en las empresas, tanto las que ya tienen sistemas de gestión como en aquellas que la van a utilizar como el primer paso para meterse traducirse en este mundo ISO de los sistemas de gestión de planes de las buenas prácticas en el ámbito internacional de Compliance.