La nueva ISO 37008: guía para las investigaciones internas
El pasado mes de julio se publicó la ISO 37008, consistente en una guía para la conducción de investigaciones internas en cualquier tipo de organización. El estándar llega tras la transposición de la Directiva (UE) 2019/1937, sobre protección de los informantes (whistleblowers), en la mayor parte de los países de la Unión. El proceso se ha prolongado más de lo esperable (el plazo concedido a los Estados miembros era de dos años), con tres retrasos destacables: España (febrero de 2023), Italia (marzo de 2023) y Alemania (junio de 2023). Estonia y Polonia siguen sin cumplir con el mandato de trasposición.
La guía aporta algo de luz en un ámbito hasta ahora carente de referentes normativos. Si bien las normas de trasposición de la Directiva (UE) 2019/1937 regulan algunos aspectos de las investigaciones internas, especialmente los relativos a la recepción y tramitación de las denuncias, la mayor parte del procedimiento sigue huérfano de ordenación legal, al menos en España. En nuestra Ley n.º 2/2023, de 20 de febrero, destaca la exigua regulación del procedimiento de investigación en las entidades privadas (vid. arts. 10 a 12), lo que contrasta con lo previsto en relación con las investigaciones llevadas a cabo por la autoridad independiente (vid. arts. 16 a 24).
De ahí que la publicación de este estándar internacional sea muy bienvenida, aunque en la guía no quepa encontrar respuesta a las cuestiones jurídicas fundamentales planteadas por las investigaciones internas: derechos y deberes de los investigados; confidencialidad de la documentación generada con la investigación (actas de las entrevistas, por ejemplo) en relación con un procedimiento judicial; compatibilidad de las indagaciones con los procedimientos administrativos o judiciales iniciados o de posible iniciación; entre otras.
La principal aportación de la ISO 37008 es la de ofrecer un esquema completo de las diferentes fases y aspectos que se deben tener en cuenta en una investigación interna, desde los principios que deberían inspirar la actuación de las personas que la llevan a cabo (independencia, confidencialidad, profesionalidad – honradez (truthfulness), imparcialidad, legalidad – apartado 4.º de la guía) hasta las cuestiones básicas en materia de comunicación con terceras partes interesadas (stakeholders), incluidas las autoridades públicas (apartado 10.º).
Antes de establecer las fases y medidas que deberían integrar un procedimiento de investigación (apartado 8.º) se subraya la importancia de que los máximos órganos de dirección de la organización muestren su compromiso con los principios que deben inspirar estas indagaciones, destinando los recursos que sean necesarios para que su implicación pueda considerarse real y efectiva (tone from the top). El reverso de esta exigencia es que los máximos responsables de la organización sean razonablemente informados de la existencia y curso de las investigaciones que se lleven a cabo (apartado 5.º).
El compromiso de los máximos órganos de dirección con los principios previstos en el apartado 4.º debe traducirse en una política de investigaciones internas en la que se concreten tales principios. Debe determinarse qué personas o funciones serán las competentes para acordar y/o conducir una investigación dentro de la organización, con qué facultades, con qué límites y, en todo caso, con qué derechos pueden contar las personas investigadas. Debe requerirse también la documentación de los resultados de la investigación, así como su confidencialidad, entre otros extremos (apartado 6.º).
Se considera asimismo indispensable adoptar medidas para la protección tanto de las evidencias personales (testigos) como reales (fuentes de prueba materiales, como por ejemplo documentos físicos y/o digitales, etc.). Igualmente se debe estar atento a las necesidades de protección de cualquiera de las personas intervinientes en la investigación, especialmente frente a represalias (apartado 7.º).
En cuanto al procedimiento de investigación en sentido estricto destacan varias directrices. Primero se requiere que el equipo cuente con el debido mandato (apartado 8.1.º) y que la línea de reporte interno de la investigación hasta el máximo órgano de dirección de la entidad esté definida desde un inicio (8.2.º). Se exige que el alcance objetivo, subjetivo y geográfico de la investigación estén definidos (8.3.º), documentando cualquier modificación al respecto. En materia de confidencialidad se compele a solicitar por escrito o verbalmente máxima confidencialidad a los intervinientes, bajo la advertencia de las consecuencias legales de una eventual filtración (8.6.º). Respecto de las entrevistas se confirma la necesidad de documentar su contenido, recabando la conformidad del entrevistado con el acta o documento que se levante dejando constancia de la conversación (8.9.º). También se exige documentar los resultados de la investigación (informe final), aunque cuando exista un litigio iniciado o de previsible iniciación se requiere solicitar asesoramiento legal sobre la confidencialidad de la documentación generada con la investigación (8.11.º).
Aunque no tiene por qué formar parte del encargo realizado a un equipo de investigación interna, la guía también contempla los pasos a seguir en el supuesto de que se solicite al equipo la propuesta de medidas de reparación o mejora de la organización interna a la vista de las infracciones detectadas. Al respecto destacan la necesidad de tener en cuenta el principio de proporcionalidad y la de realizar un seguimiento de las medidas propuestas. En el marco de estas medidas debe contemplarse, también, la revisión del sistema de compliance a fin de minimizar la reiteración de infracciones similares en el futuro (apartado 10.º).
Por el momento la observancia de los estándares contenidos en esta guía no permite optar a certificado alguno de la Organización Internacional de Estandarización.
Departamento de Investigaciones Internas
29/9/2023