De acuerdo con el artículo 31 bis de nuestro Código Penal, entre los requisitos que deben cumplir los modelos de organización y gestión destinados a prevenir delitos, se encuentra la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
Es decir, se pone de manifiesto la necesidad de disponer de Canales Éticos y mecanismos para instruir investigaciones internas, las cuales pueden afectar a empleados y terceros que se vinculan contractualmente con la organización. En este contexto adquiere una especial relevancia la garantía y la confianza que ofrece el sistema de comunicación de denuncias, con múltiples variantes y matices.
Para que un Canal Ético funcione es imprescindible que ofrezca confianza a los usuarios y esto pasa necesariamente porque el sistema garantice la confidencialidad de las actuaciones y la consistencia y proporcionalidad en el tratamiento de las denuncias.
En el proceso de compliance y gestión de denuncias internas, es fundamental proteger las actuaciones de los profesionales de la organización que tienen encomendada la función de gestionar e investigar las denuncias. Así, es altamente recomendable disponer de un Procedimiento de investigación y respuesta específicamente reglamentado y tasado:
- En primer lugar, será necesario establecer criterios definidos para clasificación del ámbito, naturaleza y relevancia de las denuncias: las denuncias recibidas habrán de contar con un tratamiento equivalente y las decisiones relativas a cómo instruir una investigación o cuándo desestimar notificaciones habrán de ser adoptadas sobre una base sólida y quedar adecuadamente documentadas. También será conveniente establecer mecanismos para el nombramiento de los investigadores, en función de la temática y el ámbito al que se refiera cada denuncia. Deberá quedar establecido de antemano quién en la organización decidirá investigar o desestimar cada denuncia, quién llevará a cabo la instrucción, a qué órgano se someterán las conclusiones de la investigación y cuál será el procedimiento para elevar a los administradores o al Comité de Auditoría una propuesta de resolución y medidas correctoras.
- Por otro lado, resultará necesario cumplir con los plazos establecidos en la legislación que resulta de aplicación en función de los diferentes ámbitos de denuncia.
- Asimismo, el procedimiento habrá de garantizar un tratamiento riguroso de los datos de carácter personal, conforme a lo previsto en la legislación. Para ello deberemos establecer un Sistema de Gestión de Notificaciones adecuado, así como diseñar modelos predefinidos para efectuar las comunicaciones que correspondan a denunciado, denunciante, posibles testigos y otras personas que colaboren en la investigación.
- El proceso de investigación deberá estar pautado. En muchos casos será clave que la respuesta se produzca de forma temprana y eficaz con objeto de poner fin a las irregularidades con inmediatez, reducir los riesgos de destrucción de evidencias y, en su caso, facilitar la recuperación de los activos sustraídos.
- El procedimiento deberá contemplar medidas destinadas a garantizar, entre otros aspectos, que la adquisición, tratamiento y análisis de Evidencias Digitales (p.ej. correos electrónicos, actividad registrada en dispositivos corporativos) se realizará en aplicación de lo previsto en las políticas de uso de medios informáticos comunicadas a los empleados.
- Por último, el procedimiento de investigación y respuesta deberá prever los diferentes documentos e informes que serán elaborados por el órgano y las personas encargadas de investigar las denuncias en las distintas etapas del proceso. Asimismo, a la finalización de cualquier investigación, el informe de conclusiones deberá plantear recomendaciones de mejora, identificando los controles y mecanismos de prevención que han fallado, así como sugerencias específicas para su refuerzo.
Como resultado, las organizaciones conocen gran parte de los incumplimientos que ocurren en la compañía gracias a denuncias efectuadas por parte de las personas que las integran o que son próximas a ellas, siendo crucial el momento y forma del conocimiento del incumplimiento para poder actuar de forma eficaz contra el mismo y sus efectos.