La nova ISO 37008: guía per a les investigacions internes
El mes de juliol passat es va publicar la ISO 37008, consistent en una guia per a la conducció d’investigacions internes en qualsevol organització. L’estàndard arriba després de la transposició de la Directiva (UE) 2019/1937, sobre protecció dels informants (whistleblowers), a la major part dels països de la Unió. El procés s’ha prolongat més del que s’esperava (el termini concedit als Estats membres era de dos anys), amb tres retards destacables: Espanya (febrer del 2023), Itàlia (març del 2023) i Alemanya (juny del 2023). Estònia i Polònia segueixen sense complir el mandat de transposició.
La guia aporta una mica de llum en un àmbit fins ara mancat de referents normatius. Si bé les normes de transposició de la Directiva (UE) 2019/1937 regulen alguns aspectes de les investigacions internes, especialment els relatius a la recepció i la tramitació de les denúncies, la major part del procediment segueix orfe d’ordenació legal, almenys a Espanya . A la nostra Llei núm. 2/2023, de 20 de febrer, destaca l’exigua regulació del procediment de recerca a les entitats privades (vid. arts. 10 a 12), cosa que contrasta amb allò previst en relació amb les investigacions dutes a cap per l’autoritat independent (vid. arts. 16 a 24).
Per això la publicació d’aquest estàndard internacional és molt benvinguda, encara que a la guia no es pugui trobar resposta a les qüestions jurídiques fonamentals plantejades per les investigacions internes: drets i deures dels investigats; confidencialitat de la documentació generada amb la investigació (actes de les entrevistes, per exemple) en relació amb un procediment judicial; compatibilitat de les indagacions amb els procediments administratius o judicials iniciats o de possible iniciació; entre d’altres.
La principal aportació de la ISO 37008 és oferir un esquema complet de les diferents fases i aspectes que s’han de tenir en compte en una investigació interna, des dels principis que haurien d’inspirar l’actuació de les persones que la duen a terme (independència, confidencialitat, professionalitat – honradesa (truthfulness), imparcialitat, legalitat – apartat 4t de la guia) fins a les qüestions bàsiques en matèria de comunicació amb terceres parts interessades (stakeholders), incloses les autoritats públiques (apartat 10è).
Abans d’establir les fases i les mesures que haurien d’integrar un procediment de recerca (apartat 8è) se subratlla la importància que els màxims òrgans de direcció de l’organització mostrin el seu compromís amb els principis que han d’inspirar aquestes indagacions, destinant els recursos que siguin necessaris perquè la seva implicació es pugui considerar real i efectiva (tone from the top). El revers d’aquesta exigència és que els màxims responsables de l’organització siguin informats raonablement de l’existència i el curs de les investigacions que es duguin a terme (apartat 5è).
El compromís dels màxims òrgans de direcció amb els principis que preveu l’apartat 4t s’ha de traduir en una política d’investigacions internes en què es concretin aquests principis. S’han de determinar quines persones o funcions seran les competents per acordar i/o conduir una investigació dins de l’organització, amb quines facultats, amb quins límits i, en tot cas, amb quins drets poden comptar les persones investigades. Cal requerir també la documentació dels resultats de la investigació, així com la seva confidencialitat, entre altres extrems (apartat 6è).
Es considera així mateix indispensable adoptar mesures per a la protecció tant de les evidències personals (testimonis) com reals (fonts de prova materials, com ara documents físics i/o digitals, etc.). Igualment cal estar atent a les necessitats de protecció de qualsevol de les persones intervinents en la investigació, especialment davant de represàlies (apartat 7è).
Pel que fa al procediment de recerca en sentit estricte, destaquen diverses directrius. Primer cal que l’equip compti amb el mandat adequat (apartat 8.1r) i que la línia de reporti intern de la investigació fins al màxim òrgan de direcció de l’entitat estigui definida des d’un inici (8.2n). S’exigeix que l’abast objectiu, subjectiu i geogràfic de la investigació estiguin definits (8.3r), documentant qualsevol modificació sobre això. En matèria de confidencialitat es compel·leix a sol·licitar per escrit o verbalment màxima confidencialitat als intervinents, sota l’advertiment de les conseqüències legals d’una eventual filtració (8.6è). Respecte de les entrevistes es confirma la necessitat de documentar-ne el contingut, demanant la conformitat de l’entrevistat amb l’acta o document que s’aixequi deixant constància de la conversa (8.9è). També s’exigeix documentar els resultats de la investigació (informe final), encara que quan hi hagi un litigi iniciat o de previsible iniciació cal sol·licitar assessorament legal sobre la confidencialitat de la documentació generada amb la investigació (8.11è).
Tot i que no ha de formar part de l’encàrrec realitzat a un equip de recerca interna, la guia també contempla els passos a seguir en cas que se sol·liciti a l’equip la proposta de mesures de reparació o millora de l’organització interna a la vista de les infraccions detectades. Sobre això destaquen la necessitat de tenir en compte el principi de proporcionalitat i la de fer un seguiment de les mesures proposades. En el marc d’aquestes mesures s’ha de contemplar, també, la revisió del sistema de compliance per minimitzar la reiteració d’infraccions similars en el futur (apartat 10è).
De moment l’observança dels estàndards continguts en aquesta guia no permet optar a cap certificat de l’Organització Internacional d’Estandardització.
Departament d’Investigacions Internes
29/9/2023