El estándar ISO 37002:2021 y la Ley 2/2023 de protección al informante

I. Introducción

El 21 de febrero de 2023 se publicó en el Boletín Oficial del Estado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante referida como “Ley 2/2023”). Esta ley transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en adelante referida como “la Directiva europea”). La finalidad de ambos textos es brindar protección frente a las represalias que puedan sufrir las personas físicas que informen sobre las infracciones a que se refieren ambos textos. Aunque el objeto de este marco normativo es muy claro, conviene recordarlo para no buscar en él pretensiones más allá de la protección a los informantes, como puedan ser instrucciones pormenorizadas sobre modo de organizar la gestión de la denuncia de irregularidades. Por ello, la Ley 2/2023 determina un marco normativo bastante general de los denominados sistemas internos de información, tanto para el sector privado como para el público. En cuanto al modo concreto de gestionar las comunicaciones recibidas, se limita a ordenar el canal externo de información de la Autoridad Independiente de Protección del Informante, regulada igualmente en esta Ley. El procedimiento allí descrito no es de aplicación general a todos los sistemas de información, sino a dicha autoridad u otras entidades u órganos autonómicos relacionados con ese ámbito competencial. No obstante, puede adoptarse como fuente de inspiración para procedimentar la gestión de comunicaciones en otras entidades públicas y también en el sector privado.

Visto lo anterior, es comprensible que los destinatarios tanto de la Directiva europea como de la Ley 2/2023 echen en falta contenidos prácticos que les ayuden a implantar y gestionar eficazmente los canales y sistemas para la denuncia de irregularidades. Por ello, la existencia de un estándar internacional previo sobre este particular constituye una ayuda de gran valor para quienes deseen completar estas normas básicas con principios de gestión generalmente aceptados en la comunidad internacional. En los siguientes apartados destaco algunos aspectos del estándar ISO 37002:2021 sobre sistemas de gestión de la denuncia de irregularidades, de notable utilidad a la hora de implantar y gestionar las medidas que vienen exigidas por el marco legal de aplicación.

II. La normalización internacional

La organización internacional de normalización ISO ya había contemplado los canales internos para el planteamiento de inquietudes¹ en el contexto de normas sobre compliance: los estándares ISO 37001:2016 e ISO 37301:2021 hacen referencia a dichos procedimientos para el planteamiento de inquietudes, incluyendo una regulación básica sobre su finalidad y características, pero sin desarrollar el modo de gestionarlos ni entrar en detalles procedimentales. Dada su creciente relevancia, se comprende que en el contexto de la reunión 67 del Technical Management Board de ISO, celebrado en Beijing (China) el 10 de septiembre de 2016, se decidiese impulsar la creación de un nuevo estándar mediante la creación del grupo de trabajo (“Working Group”, WG) ISO/TC 309 WG 3 que daría lugar al estándar ISO 37002:2021 sobre sistemas de gestión para la denuncia de irregularidades. Esta norma de aplicación voluntaria recoge prácticas ampliamente reconocidas en muchas jurisdicciones, que están alineadas con los contenidos tanto de la Directiva europea como de la Ley 2/2023. Pero es relevante subrayar la internacionalidad del estándar ISO y no vincularlo exclusivamente con el marco europeo, que, como veremos, cubre y supera.

III. Principios rectores para la buena gestión de denuncias internas

Al estándar ISO 37002:2021 le aplican los mismos principios implícitos que a cualquier sistema de gestión, cuales son la subordinación a ley (su contenido no puede contravenir el derecho positivo aplicable), el de proporcionalidad (adecuación a las circunstancias tanto internas como externas de cada organización), enfoque basado en el riesgo (priorización de las actividades en virtud de la exposición al riesgo que suponen para la organización) y mejora continua (adaptación a las circunstancias cambiantes e incremento de su eficacia).

Al margen de lo anterior, la Introducción del estándar ISO 37002:2021 señala que “este documento proporciona orientación para que las organizaciones creen un sistema de gestión de la denuncia de irregularidades basado en los principios de confianza, imparcialidad y protección”. Estos tres principios explícitos coinciden con los aspectos clave cuyo déficit provoca disfunciones en la gestión de la denuncia de irregularidades. En no pocas ocasiones, al desarrollar un análisis de las causas raíz de su pobre desempeño, surgen deficiencias directa o indirectamente vinculadas con alguno o varios de estos tres elementos. En verdad, los principios están interrelacionados, de modo que las carencias en alguno de ellos afectan fácilmente al resto.

Es importante subrayar que estos tres principios afectan a todo el estándar y, por lo tanto, son de aplicación a todas partes involucradas en una denuncia, y que, como explicaré más adelante, son el denunciante, los sujetos de la denuncia y a las otras partes interesadas pertinentes.

Principio de confianza

Podría decirse que la confianza equivale a la esperanza o seguridad de que la denuncia de irregularidades será adecuadamente gestionada -en su más amplia interpretación-, pero siempre desde una perspectiva objetiva. Es decir, lo que permite adquirir confianza en el sistema de gestión de la denuncia de irregularidades no es que beneficie sesgadamente a determinados colectivos (incluidos los denunciantes), sino su capacidad de demostrar sólidamente cómo se gestionan las irregularidades y el modo en concluyen, frente a todos los colectivos implicados. Aunque lo contrario podría incluso generar confianza a grupos mayoritarios, no lo haría con el conjunto y quebraría, además, el Principio de imparcialidad.

Principio de imparcialidad

La imparcialidad supone la ausencia de interés o ánimo en beneficiar o perjudicar a alguna de las personas implicadas en la denuncia de irregularidades. Suele asociarse con “neutralidad” u “objetividad” y se erosiona cuando las personas que deben gestionar una irregularidad están afectadas por sesgos o prejuicios que afectan, positiva o negativamente, a colectivos o personas involucradas con una denuncia de irregularidades (por ejemplo, son amigos del denunciante o del sujeto de la denuncia, o pertenecen a un mismo grupo familiar o de proximidad). También si tienen interés directo o indirecto en un resultado concreto de la gestión de una denuncia de irregularidades (por ejemplo, cuando les afecta directa o indirectamente, o guarda relación con una actividad o proceso que les puede afectar).  Finalmente, también pueden verse afectadas por factores de diversa índole que conculcan su libre pensamiento y capacidad para actuar de manera justa en la gestión de la denuncia de irregularidades (por ejemplo, cuando dependen de un superior afectado por cualquiera de los factores anteriores, o el expediente guarda relación con alguna actividad en la que han estado involucradas anteriormente).

Cabe cuidar la imparcialidad tanto en fondo como en forma. El estándar ISO 37002:2021 trae a colación esta diferencia cuando, por ejemplo, en su apartado 8.4.1 Tratamiento de la denuncia de irregularidades señala que “en interés, tanto de la imparcialidad real como de la percibida, se debería considerar, según corresponda, la posibilidad de emplear investigadores externos…”

Todo lo anterior invita a concluir sobre la conveniencia una política sobre conflicto de intereses específica para las personas involucradas en la operación del sistema de gestión de denuncia de irregularidades.

Principio de protección

Proteger supone resguardar de un daño o peligro. Cuando se piensa en ello surge inmediatamente la figura del denunciante, pues es la más expuesta a sufrir consecuencias adversas con motivo de su denuncia. Sin embargo, no sólo el denunciante sino todos los protagonistas implicados en la denuncia de irregularidades merecen protección. Esto aparece contemplado en los apartados 8.3.2 Evaluación y prevención de riesgos de conducta perjudicial, respecto del denunciante y de otras partes interesadas pertinentes. Los apartados 8.4.2 Protección y apoyo al denunciante y 8.4.4 Protección de los sujetos de la denuncia se proyectan sobre estos dos colectivos en particular. Vemos, pues, que este Principio de protección se aplica de manera generalizada y no sólo al denunciante, como podría pensarse.

Como veremos más adelante, la protección guarda relación con conductas perjudiciales, que no equivalen necesariamente a las “represalias” a que se refiere la Directiva europea y la Ley 2/2023. Como desarrollaré más adelante, la definición 3.13 Conducta perjudicial del estándar ISO 37002:2021 señala que tanto puede darse de forma activa como omisiva, pero también tanto de forma dolosa como imprudente.

IV. Otros aspectos asociados con una adecuada cultura corporativa

La Introducción del estándar ISO 37002:2021 también se refiere a la importancia de fomentar una cultura de apertura, transparencia, integridad y de rendición de cuentas, que se consideran igualmente principios relevantes para la norma.

Apertura

Cuando el estándar ISO 37002:2021 señala la conveniencia de fomentar una cultura de apertura, coincide con lo que informalmente califica como “cultura de hablar/escuchar”, así citada en varios apartados de esta norma² y definida como “proporcionar un entorno bidireccional fiable, donde cualquier parte pertinente tenga la confianza suficiente y se aliente a plantear inquietudes sobre irregularidades o sospechas de irregularidades, y la organización demuestre su compromiso de recibir, evaluar, tratar y concluir los casos de denuncia de irregularidades”³.

Transparencia

La transparencia suele asociarse con una gestión ética, no porque sean conceptos equivalentes, sino por la tendencia a ocultar actuaciones vergonzantes o reprobables. Sin embargo, el mero hecho de comunicar de forma transparente determinadas informaciones o hechos, no los legitima. La transparencia, por sí sola, no rehabilita las malas praxis.

Por otra parte, la transparencia no supone divulgar alegremente cualquier información, sino siempre sobre la base del principio de “necesidad de conocer”, que abordaré más adelante.

En cualquier caso, es el apartado 7.4 Comunicación del estándar ISO 37002:2021 el que guarda mayores vínculos explícitos con prácticas de transparencia, como también sucede con los mismos apartados en estándares previos ISO 37001:2016 e ISO 37301:2021. Las comunicaciones internas y externas de las organizaciones en materia de gestión de la denuncia de irregularidades ganan protagonismo, especialmente en el contexto de la información no financiera que demandan algunos reguladores y la sociedad en general.

Integridad

La integridad en las organizaciones supone actuar de forma honesta, manteniendo un compromiso con la ética y los valores que se derivan de ella. Se juzga comparando la coherencia entre los valores que dicen observar las personas y sus actos. En el contexto del sistema de gestión de la denuncia de irregularidades, y cuando se aplica sobre personas⁴, se cita la integridad en su acepción moral o personal⁵, esto es, como sinónimo de honradez, honestidad y respeto a los demás.

Rendición de cuentas

La rendición de cuentas, que en ocasiones se engloba dentro del “principio de responsabilidad” supone, en esencia, que las personas y las organizaciones se hacen responsables de sus actos. Es lo que viene a decir la definición 3.30 Rendición de cuentas del estándar ISO 37002:2021: “obligación hacia otro por el cumplimiento de una responsabilidad”. Por lo tanto, las actuaciones deben ser trazables para poder ser fiscalizadas y dar o pedir explicaciones. Rendir cuentas atraviesa por informar de lo que se está gestionando y asumir las consecuencias derivadas de esos actos.

Las funciones y cargos investidos de ciertas capacidades responden tanto del modo en que las ejercitan como si no lo hacen. Señala el apartado 5.3.1 Alta dirección y órgano de gobierno que el “órgano de gobierno, la alta dirección y todo el resto del personal deberían ser responsables de comprender, cumplir y aplicar las recomendaciones del sistema de gestión de la denuncia de irregularidades, en lo que respecta a su función en la organización”. Esto enfatiza que todas las personas de la organización rinden cuentas de sus actos y de lo que se espera de ellas respecto de la gestión de la denuncia de irregularidades.

V. Entidades que pueden disponer de un sistema

Tanto la Directiva europea como la Ley 2/2023 abordan la protección al informante tanto en el sector privado como en el público. Son alcances que igualmente prevé el estándar ISO 37002:2021, cuya plasticidad admite igualmente su aplicación en grupos de sociedades. De hecho, recurre al concepto de “organización”, que es la “persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos (3.25)”

La Nota 1 que incorpora esta definición reafirma lo dúctil del concepto, pues, entre otras opciones, comprende (i) un comerciante individual, (ii) una corporación, firma, empresa, autoridad, sociedad, organización benéfica o institución, tanto de naturaleza jurídica privada como pública, y (iii) una parte de las estructuras citadas, o una combinación de ellas. Esto permite establecer el sistema de gestión de la denuncia de irregularidades que mejor se adapte a cada caso, en aras a su eficacia. Cubre pues las opciones que también pueden resultar de aplicar la Directiva europea y la Ley 2/2023, si bien el legislador español añade una cautela formal adicional: los canales a través de los cuales informar sobre infracciones referidas en su artículo 2, deben integrarse en un mismo sistema interno de información⁶. Es un modo de garantizar el tratamiento homogéneo y garantista de las comunicaciones que versen sobre dichas materias en particular.

VI. Irregularidades denunciables

El estándar ISO 37002:2021 define “irregularidad” como toda “acción u omisión que pueda causar daño”. Vemos que es un concepto mucho más amplio que las infracciones de derecho positivo a que se refieren tanto la Directiva europea como el artículo 2 de la Ley 2/2023, pudiendo acoger cualquier incumplimiento de la normativa aplicable pero también la violación de los códigos éticos, de conducta y demás políticas de la organización. Por eso se refiere a “irregularidades”, que evoca menos al derecho positivo que el término “infracciones” que emplea el citado marco jurídico.

La relación enunciativa y no limitativa de hechos denunciables que aporta el estándar ISO 37002:2021 pueden producirse por acción u omisión, y también obrando dolo o negligencia. Además, (i) no es preciso que causen un daño, sino que tengan la capacidad de hacerlo, (ii) tanto puede tratarse de circunstancias presentes como pasadas o futuras, y (iii) pueden guardar relación con un solo hecho o una serie de ellos.

En comparación con lo establecido en la Directiva europea y en la Ley 2/2023, es posible que un concepto tan amplio genere inseguridad. Pero se establecen dos mecanismos que restringen sensiblemente su trascendencia a efectos del sistema de gestión.

En primer lugar, la organización puede limitar el alcance del sistema de gestión de la denuncia de irregularidades a determinados tipos de irregularidades, siempre que cubra las necesidades de la organización en virtud de lo dispuesto en el Capítulo 4 Contexto de la organización del estándar ISO 37002:2021. Desde luego, en España debería alcanzar las infracciones de derecho positivo relacionadas en el artículo 2 de la Ley 2/2023.

En segundo lugar, la irregularidad es informada por el denunciante, que debe basar su comunicación sobre observaciones, experiencias o informaciones, que llevarían a la misma creencia a otra persona. Por consiguiente, para que las irregularidades denunciadas entren en la esfera del estándar ISO 37002:2021 no deben ser meras especulaciones, intuiciones u opiniones, debiendo estar basadas en un sustrato razonable que conduciría a cualquiera a actuar del mismo modo en que lo hace el denunciante. Esta línea argumental puede ser de ayuda para interpretar los condicionantes de protección contemplados en la Ley 2/2023⁷.

En cuanto a los tipos de denuncias que pueden cursarse, el estándar ISO 37002:2023 comprende las contempladas en la Directiva europea y la Ley 2/2023. La Nota 2 de la definición 3.10 Denuncia de irregularidades trata los siguientes tipos:

Las denuncias confidenciales, donde el destinatario conoce la identidad del denunciante o la información que puede identificarlo, pero que no se gestiona fuera del principio “necesidad de conocer” (need to know) salvo que preste su consentimiento el denunciante, y excepto en los casos donde lo requiera la ley. Es el tratamiento por defecto de toda denuncia de irregularidades y guarda estrecha relación con los tres principios esenciales del estándar: confianza, imparcialidad y protección.

Las denuncias anónimas, donde el denunciante no revela su identidad. Serán tratadas igualmente como confidenciales, salvo que devengan abiertas por decisión del denunciante.

Las denuncias abiertas, que son aquellas que realiza el denunciante sin ocultar su identidad ni exigir que se mantenga en secreto. Es el caso de las denuncias de irregularidades que hace públicas el propio denunciante (incluyendo las revelaciones públicas a que se refiere la Ley 2/2023⁸), o las que comunica privadamente, pero permitiendo que se conozca su identidad.

VII. Responsable de gestionar las denuncias

El estándar ISO 37301:2021 se refiere a la “función de la denuncia de irregularidades” como las “personas con la responsabilidad y autoridad para el funcionamiento del sistema de gestión (3.1) de la denuncia de irregularidades (3.10)”. Es un concepto convergente con el “responsable del sistema interno de información” a citado en la Ley 2/2023⁹, que tanto puede ser unipersonal como colegiado, si bien en este último caso la ley española exige que delegue en uno de sus miembros las facultades de gestión del sistema y la tramitación de expedientes de investigación¹⁰.

Las capacidades decisorias de la función de gestión de denuncias se limitan a las que constan en el estándar ISO 37002:2021 y se circunscriben la tramitación razonable de las denuncias de irregularidades¹¹. Aunque no dispone de capacidades decisorias, pueden ser objeto de delegación en mayor o menor medida, según disponga la alta dirección. Tal delegación es frecuente de cara al ejercicio de bastantes cometidos operativos de la gestión de la denuncia de irregularidades, desarrollados en los apartados 8.2 a 8.5 del estándar ISO 37002:2021.

En cualquier caso, para que una organización disponga de función de la gestión de denuncia de irregularidades es preciso que (i) se le haya encomendado la operación del sistema de gestión, y (ii) dicha función disponga de autoridad para acometer esta tarea. Son requisitos alineados con las exigencias de la Ley 2/2023¹².

VIII. Partes implicadas en una denuncia

El estándar ISO 37002:2021 contempla diferentes sujetos que están de algún modo relacionados con las eventuales comunicaciones y su gestión. Podemos distinguir entre aquellos que guardan relación con la denuncia de irregularidades (denunciante, sujetos de la denuncia y partes interesadas pertinentes), y aquellos otros que intervienen en su gestión (función de la gestión de denuncia de irregularidades, personas que llevan a cabo labores de apoyo y protección al denunciante y a las partes interesadas pertinentes, encargados de la investigación, órgano de gobierno y alta dirección como sujetos que son informados, etc). A continuación me fijaré en el primer grupo, subrayando nuevamente que los principios de confianza, imparcialidad y protección del estándar ISO 37002:2021 aplican a todos ellos, dado que son los valores generales que propugna la norma.

El denunciante

“Denunciante” es un término definido como la “persona que informa sobre sospechas de irregularidades (3.8) o sobre irregularidades reales y tiene una creencia razonable de que la información es verdadera en el momento de informar”. Por lo tanto, el denunciante es el que desencadena la gestión de la denuncia de una irregularidad a través de los canales establecidos por la organización y su sistema de gestión, o incluso externamente: recordemos que el apartado 8.4.2 Protección y apoyo al denunciante cubre tanto las denuncias que se comuniquen internamente como también las externas ante las autoridades pertinentes.

El denunciante puede ser (i) personal de la organización, incluyendo representantes sindicales, (ii) personal de terceras partes con las que la organización mantiene o prevé mantener alguna relación o vínculo, (iii) toda persona que haya desempeñado en el pasado o vaya a desempeñar en el futuro cualquiera de estas posiciones.

Por la propia naturaleza de estas categorías, parecería que cuando el estándar ISO 37002:2021 se refiere a la “persona” está pensando en personas físicas, cuál es el planteamiento de la Directiva europea y la ley española. No obstante, la Nota 2 a la definición 3.9 Denunciante aclara que igualmente pueden ser personas jurídicas¹³.

Los sujetos de la denuncia

Aunque el estándar ISO 37002:2021 no define “sujetos de la denuncia” emplea extensivamente esta expresión¹⁴, vinculada claramente con los autores de las irregularidades, sus partícipes e incluso sus encubridores. No es un concepto constreñido al término “denunciados” que emplea la Directiva europea y la Ley 2/2023. Junto con los denunciantes, son los protagonistas indiscutibles de la denuncia de irregularidades.

El estándar internacional es consciente de que los sujetos de la denuncia pueden verse afectados negativamente por una gestión inadecuada que desvele su identidad, no preserve la confidencialidad de las investigaciones, conculque las garantías de proceso pertinentes, o no les brinde apoyo y comunicación regular. Todo ello considerando en particular que (i) pueden ser objeto de denuncias fraudulentas, es decir, cursadas a sabiendas de que la información facilitada es incorrecta o incompleta, ocasionalmente con la voluntad de perjudicarles, y (ii) pueden también cursarse denuncias de buena fe, pero que una vez investigadas no confirmen la sospecha o entendimiento del denunciante (normalmente debido a su desconocimiento de la totalidad de hechos y circunstancias relacionadas con el contenido de comunicación).

En cualquier caso, el párrafo c) del apartado 8.4.1 Tratamiento de las irregularidades denunciadas reconoce la presunción de inocencia de cualquier sujeto de la denuncia, como igualmente exige la Ley 2/2023¹⁵.

Las partes interesadas pertinentes

El estándar ISO 37002:2021 recurre al término no definido “partes interesadas pertinentes” en múltiples ocasiones¹⁶, que únicamente comprende a los sujetos próximos a la posición del denunciante, pero no a quienes son objeto de la denuncia ni aquellos otros a los que dedica el apartado 8.4.4 Protección de los sujetos de la denuncia.

Son ejemplos de partes interesadas pertinentes (i) personas que acompañen al denunciante en el momento de cursar la denuncia de irregularidad o que le presten apoyo o ayuda durante el proceso de su gestión, (ii) testigos señalados por el denunciante, (iii) miembros de la familia del denunciante, (iv) representantes sindicales u otros colectivos que den soporte al denunciante, y (v) sujetos que hayan desarrollado investigaciones internas que alimenten o den soporte a las conclusiones o sospechas del denunciante.  Como sucede en el caso del denunciante, tanto pueden ser personas físicas como jurídicas. Todo ello conforma un alcance mayor y más razonable que el reflejado en la Ley 2/2023¹⁷.

Una parte interesada pertinente muy peculiar son aquellos sujetos de los que se piensa erróneamente que han denunciado la irregularidad, cuando realmente no lo han hecho. Podría ser el caso, por ejemplo, de víctimas de acoso sexual o denigración moral señalados en la denuncia cursada por un tercero que ha testificado esa situación. Es una aproximación que va más allá de las previsiones de la Directiva europea y la Ley 2/2023, que omiten esta figura tan singular. Sobre ellos también se proyecta el contenido del apartado 8.4.5 Protección de las partes interesadas pertinentes.

IX. Confidencialidad y «necesidad de conocer»

El principio general es que la identidad del denunciante, de los sujetos de la denuncia y de las partes interesadas pertinentes no debería revelarse a nadie más allá de lo necesario sin su consentimiento. La Nota 2 a la definición 3.10 Denuncia de irregularidades del estándar ISO 37002:2021 califica como denuncia confidencial aquella donde el destinatario conoce la identidad del denunciante o cualquier información que pueda identificarlo, pero que no se gestiona fuera del principio “necesidad de conocer” (need to know) salvo que preste su consentimiento el denunciante, y excepto en los casos donde lo requiera la Ley. Por lo tanto, el principio de “necesidad de conocer” va más allá de los casos obvios que contempla la Directiva europea y la Ley 2/2023¹⁸, abarcando no sólo a las autoridades legitimadas, sino también a otras personas (eventualmente terceros), cuando resulte necesario para la adopción de medidas correctoras (no sólo punitivas) en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan. Cabe subrayar que el principio de “necesidad de conocer” no supone suspender el tratamiento confidencial de las informaciones de la denuncia, sino extender sus cautelas a otros sujetos cuya intervención es completamente necesaria en el contexto de su gestión.

En los casos donde la organización considere probable que se produzca una brecha de confidencialidad, debería notificarla al denunciante y a las partes afectadas lo antes posible¹⁹, adoptando medidas adicionales para evitar o minimizar los perjuicios.

El estándar ISO 37002:2021 es consciente de que mantener la confidencialidad sobre el denunciante y otras partes interesadas es complejo y requiere de procesos y procedimientos enfocados a ello. En relación con los mismos, sugiere que se tenga en cuenta que (i) con independencia de los hechos comunicados, una serie de características de una persona (su nombre, voz, forma de escribir, género, descripción de su puesto de trabajo, departamento al que pertenece, operación en la que está trabajando, etc) pueden identificarla, (ii) las circunstancias que envuelven a la irregularidad denunciada (hechos, fechas, personas involucradas, etc) pueden llevar a que se conozca quién es el denunciante, (iii) el modo en que se lleva a cabo una investigación (departamentos a los que se accede, información que se solicita, entrevistas que se mantienen), pueden también identificar al denunciante, (iv) cómo se informa del resultado de una investigación o de gestión de la irregularidad (a qué personas, bajo qué circunstancias) pueden igualmente identificar al denunciante, (v) los datos que se recopilan a efectos de seguimiento o como indicadores de evaluación pueden identificar inadvertidamente al denunciante (mencionando el departamento, la materia o el tipo de irregularidad, etc.), (vi) en caso de denuncias tanto anónimas como confidenciales, es posible que se precise revelar la identidad del denunciante para seguir la investigación, cuando, por ejemplo, así lo precisan terceros clave, cuya opinión puede ser determinante, (vii) en caso de denuncias anónimas, que los denunciantes adquieran consciencia de que tal circunstancia restringe la capacidad de la organización para protegerlo y también puede limitar la eficacia de la investigación, (viii) también en caso de denuncias anónimas y para vencer el inconveniente de archivar o dejar de investigar casos debido a la imposibilidad de contactar con el denunciante, las organizaciones pueden establecer mecanismos de comunicación con ellos que garanticen igualmente su anonimato.

X. Etapas esenciales en la gestión de denuncias

El estándar ISO 37002:2021 describe y articula las cuatro etapas por las que atraviesa la gestión de la denuncia de irregularidades: recepción, evaluación o triage, tratamiento y conclusión. La Ley 2/2023 estable igualmente cuatro etapas en relación con el canal externo de la Autoridad Independiente de Protección al Informante, muy coincidentes con las anteriores: recepción de informaciones, trámite de admisión, instrucción y terminación de las actuaciones. No obstante, el estándar internacional es más prolijo en cuanto a buenas prácticas en cada una de ellas, convirtiéndose en un apoyo interpretativo clave para los sistemas de información inspirados en el procedimiento articulado para la indicada autoridad.

En el apartado 1 Objeto y campo de aplicación del estándar,  estos cuatro pasos aparecen meramente indicados, pero se repiten en el apartado 4.4 Sistema de gestión de la denuncia de irregularidades del Capítulo 4 Contexto de la organización, y luego son objeto de mayor desarrollo en el Capítulo 8 Operación, dentro de sus apartados 8.2 Recepción de denuncias de irregularidades, 8.3 Evaluación de denuncias de irregularidades, 8.4 Evaluación y prevención de riesgos de conducta perjudicial y 8.5 Conclusión de casos de denuncia de irregularidades. No cabe duda de que estas cuatro etapas condicionan el modo en que se estructura, documenta y opera un sistema de gestión de la denuncia de irregularidades²⁰.

Recepción de las denuncias de irregularidades

El sistema de gestión debería especificar cómo cursar y recibir las comunicaciones susceptibles de tratamiento²¹. Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.2 Recepción de las denuncias de irregularidades del estándar ISO 37002:2021.

Evaluación de las denuncias de irregularidades (triaje)

En este paso de evaluación se analizan tres cuestiones básicas (triaje), como son (i) la categoría y prioridad que debe darse a la gestión de la denuncia recibida, (ii) la integridad de la información recibida y, por lo tanto, su nivel de fiabilidad, en el sentido de que se infiera el nexo causal entre los hechos y la irregularidad comunicada, siendo tal vínculo plausible por el nivel de detalle y verosimilitud de los datos suministrados, y (iii) la relevancia de la información recibida, pues aún siendo cierta puede quedar fuera del alcance del sistema de gestión de la denuncia de irregularidades. En caso contrario, seguirá el proceso normal para su gestión o incluso uno especial de urgencia (en virtud de la priorización). Todo ello puede conducir a solicitar más información o desestimar la denuncia.

Sobre la base de esta evaluación inicial, también se concluye preliminarmente en cuanto a dos aspectos clave: (i) evaluación del riesgo de perjuicio que pueden implicar los hechos denunciados para el denunciante, los sujetos de la denuncia, las partes interesadas pertinentes, la propia organización, o cualquier tercero en general y (ii) el nivel de protección y apoyo que cabe aplicar a los denunciantes, pero también a otras personas implicadas.

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.3 Evaluación de las denuncias de irregularidades del estándar ISO 37002:2021.

Tratamiento de las denuncias de irregularidades

El tratamiento de las denuncias supone, (i) desarrollar una investigación imparcial cuando sea oportuno, esto es, en virtud de la información previamente evaluada, (ii) sobre la base del análisis preliminar desarrollado en la etapa de evaluación, poner en marcha las medidas tanto protección como de apoyo eficaces y oportunas para quien corresponda, y (iii) Establecer el seguimiento para el denunciante y otras personas implicadas (incluidos los denunciados), también pensando en prevenir, contener o mitigar el perjuicio asociado con la denuncia en sí o con los hechos denunciados.

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.4 Tratamiento de las denuncias de irregularidades del estándar ISO 37002:2021.

Conclusión de los casos de denuncia de irregularidades

Con esta etapa se cierra la investigación (cuando ha sido oportuno realizarla) y se adoptan las medidas procedentes. También se decide acerca de la monitorización de aquellas medidas relacionadas con la protección y apoyo tanto al denunciante como a otras personas implicadas (puede ser preciso mantenerlas a pesar de que haya concluido el expediente). En este sentido, la Ley 2/2023 restringe la protección a los dos años siguientes a ultimar las investigaciones, aunque se puede solicitar su extensión a la Autoridad Independiente de Protección al Informante²².

Estos contenidos son los que vienen desarrollados desde una perspectiva operativa en el apartado 8.5 Conclusión de los casos de denuncia de irregularidades del estándar ISO 37002:2021.

XI. Externalización y comunicación a las autoridades

Señala el apartado 5.3.1 Alta dirección y Órgano de gobierno del estándar ISO 37002:2023, que se puede asignar la totalidad o parte de la función de gestión de la denuncia de irregularidades a personas externas a la organización, aunque establece varias cautelas frente a tal escenario.

Así, antes de la externalización deberían desarrollarse procedimientos de debida diligencia para asegurar que se apliquen los más altos estándares de protección de datos por defecto y por diseño, según determina el apartado 7.5.4 Protección de datos del estándar ISO 37002:2021. En cualquier caso, siempre se deberán mantener personas en el seno de las organizaciones con responsabilidad y autoridad sobre la externalización. Caber recordar que el apartado 8.1 Planificación y control operacional del estándar ISO 37002:2021 señala que “la organización debería asegurarse de que los procesos, productos o servicios proporcionados externamente, que son pertinentes para el sistema de gestión de la denuncia de irregularidades, estén controlados”. Con ello, se deja claro que delegar responsabilidades no significa abdicar de ellas, y que siempre competerán a la organización, a su alta dirección, e incluso al órgano de gobierno en su posición residual de garante. En contra de este enfoque que brinda libertad a las organizaciones, la Ley 2/2023 sólo permite externalizar la fase de recepción de informaciones²³, aspecto a tener muy presente en la contratación de servicios con terceros.

En relación con las fases de la gestión de la denuncia de irregularidades y puesto que en su evaluación puede concluirse su trascendencia como infracción legal, el estándar ISO 37002:2021 ampara informar a las autoridades correspondientes. La Ley 2/2023 es más drástica, exigiendo remitir con carácter inmediato la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito²⁴ o cuando así se desvele en el transcurso de la investigación²⁵.

XII. Conducta perjudicial

Mantener los principios de confianza, imparcialidad y protección precisa evitar que el denunciante sea represaliado por haber cursado legítimamente una denuncia de irregularidades. El estándar ISO 37002:2021 brinda algunos ejemplos, sustancialmente coincidentes con los regulados en la Directiva europea. No obstante, evita emplear el término “represalia”, que evoca un acto consciente y voluntario contra el denunciante, y recurre al de “conducta perjudicial”, que tanto puede ser una acción u omisión deliberada como también negligente²⁶. Así, por ejemplo, una gestión defectuosa de la denuncia de irregularidades que derive en el conocimiento de la identidad del denunciante anónimo encaja como conducta perjudicial, sin que sea un acto de represalia en el sentido coloquial del término. Esta es una de las diferencias entre el enfoque del estándar ISO 37002:2021 respecto de la Directiva europea y la Ley 2/2023. También es motivo de alejamiento respecto de los estándares previos ISO 37001:2016 e ISO 37301:2021 igualmente empleaban la expresión “represalia”.

Es igualmente importante saber que la conducta perjudicial no sólo es aquella que puede afectar al denunciante, pues la definición 3.13 Conducta perjudicial la relaciona con un denunciante u otra “parte interesada pertinente”. Este último término no definido lo emplea el estándar ISO 37002:2021 de manera frecuente para referirse a sujetos próximos al denunciante, que pueden ser objeto de conductas perjudiciales con motivo de la denuncia, como familiares o compañeros del denunciante, personas que le han brindado apoyo, sujetos que pueden convertirse en potenciales denunciantes, personas que pueden ser percibidas como denunciantes, aunque realmente no lo sean, y cualquier persona física o jurídica implicada en un proceso de denuncia de irregularidades.

Sin embargo, no tienen la consideración de actos perjudiciales aquellos que se adopten contra el denunciante por motivo de sus propias irregularidades, no vinculadas con haber cursado una denuncia de irregularidad. Esta cautela evita que los sistemas de gestión de denuncias se conviertan en un instrumento de impunidad ante ciertas conductas irregulares, lo cual sería del todo paradójico.

XIII. La protección y su alcance

Según cuáles sean los potenciales focos de las conductas irregulares, la organización debería reflexionar y decidir sobre qué hacer respecto de los siguientes aspectos, que se refieren tanto al denunciante como a otras partes interesadas pertinentes: (i) medidas orientadas a la protección de su identidad, (ii) si procede compartir la información, en caso de que sea estrictamente preciso, según el principio de “necesidad de conocer” (need to know), (iii) si procede brindar apoyo y protección durante todo el proceso de gestión de la denuncia, incluyendo las comunicaciones regulares con los afectados (denunciante y otras partes interesadas pertinentes), especialmente considerando si son colectivos especialmente vulnerables como niños, personas discapacitadas, migrantes, personas mayores, etc., (iv) si procede cambiar el lugar de trabajo a algunos sujetos o proyectar sobre ellos algún tipo de preparativos o medidas cautelares, y, (v) si procede, advertir a los sujetos de la denuncia o a otras partes interesadas que llevar a cabo una conducta perjudicial o quebrantar la confidencialidad en el tratamiento de la información puede constituir una falta disciplinaria.

Obviamente, el nivel de apoyo y protección, así como las acciones que se vayan a adoptar tras esta reflexión dependerán del tipo, momento y consecuencias de la irregularidad denunciada.

Sin perjuicio de lo anterior, los riesgos que se hayan detectado en los momentos iniciales de la gestión deberían ser objeto de seguimiento a lo largo de todo el proceso para evitar que se materialicen en cualquier momento, incluyendo, por ejemplo, cuando se decida realizar una investigación, cuando ésta se lleva a cabo o cuando se informa de sus resultados. Incluso, si procede, cuando el caso haya sido cerrado.

Protección y apoyo al denunciante

El estándar ISO 37002:2021 nos habla de protección y apoyo al denunciante, que es la persona física o jurídica que informa acerca de irregularidades, sean sospechadas o reales, bajo la creencia razonable de que cuanto informa es verdadero en el momento en el que lo hace. Como ya indiqué, esto no quita la protección a otros colectivos tratados en los apartados 8.4.4 Protección de los sujetos de la denuncia y 8.4.5 Protección de las partes interesadas pertinentes, y que igualmente pueden ser objeto de conductas perjudiciales. Recordemos, además, que la protección no sólo cubre a los denunciantes internos, sino también los externos que han recurrido a los canales dispuestos por las autoridades competentes.

Aunque una política dedicada a la denuncia de irregularidades debe incluir una prohibición expresa de cualquier conducta perjudicial, se extiende el mensaje a cualquier otra política de la organización²⁷, cuyo contenido debería dejar siempre claro que no se tolerarán intentos de identificar al denunciante o de llevar a cabo conductas perjudiciales, circunstancias que darán lugar a las acciones disciplinarias procedentes.

Proteger a este colectivo supone llevar a cabo las actividades razonables para (i) evitar la conducta perjudicial (por ejemplo, que se conozca la identidad del denunciante, cuando era secreta), (ii) contener el daño que ya se ha causado (por ejemplo, para que la identidad del denunciante que ha sido desvelada por negligencia, deje de difundirse todavía más), y (iii) evitar un daño mayor (por ejemplo, que tanto el denunciante como otras partes interesadas pertinentes sufran otras conductas perjudiciales).

El apartado 8.3.2 Evaluación y prevención de riesgos de conducta perjudicial del estándar ISO 37002:2021 señala una serie de factores a considerar para evaluar el riesgo de perjuicio para el denunciante y otras partes interesadas pertinentes. Lógicamente, este apartado 8.4.2 Protección al denunciante se remite a dichos factores a la hora de establecer una estrategia de protección adecuada.

En la práctica, las labores de apoyo al denunciante conllevan empatizar y tranquilizarlo, trasladándole la importancia de su conducta para la organización, dando al mismo tiempo los pasos que procuren su bienestar, lo que incluye apoyo emocional (de modo que la denuncia de la irregularidad no le ocasione desequilibrios o trastornos emocionales), financiero (para que el denunciante no se vea impedido a discontinuar su rol en la denuncia de irregularidades debido a restricciones económicas que guarden relación con la organización), legal (de modo que el denunciante conozca sus derechos y el modo de trasladar su denuncia externamente, llegado el caso) y reputacional (para que no se produzcan efectos que impacten negativamente en la imagen o reputación del denunciante y otras partes interesadas pertinentes. La Ley 2/2023 reconoce algunas de estas labores de soporte²⁸, y deja en manos de la Autoridad Independiente de Protección al Informate decidir acerca de algunas de ellas (apoyo financiero y psicológico).

La reparación de una conducta perjudicial supone restituir al denunciante a la situación que habría tenido de no haberse producido la misma, o lo más cercana a ella en el caso de que no pueda revertirse completamente²⁹, incluyendo indemnizarlo por los daños sufridos³⁰.

Aparte de las medidas de reparación, la organización debe pensar en adoptar las medidas disciplinarias apropiadas ante cualquier persona responsable de una conducta perjudicial.

Protección de los sujetos de la denuncia

No existen motivos para dejar de aplicar los principios de confianza, imparcialidad y protección a las personas contra las que se dirigen las denuncias de irregularidades, especialmente cuando la propia norma reconoce la posibilidad de denuncias fraudulentas³¹, como también lo hacen la Directiva europea y la Ley 2/2023³². No debería minusvalorarse el daño que puede sufrir injustamente este colectivo.

Por todo ello y en cuanto a este grupo cabe, a título enunciativo, (i) proteger su identidad, (ii) preservar la confidencialidad para evitar daños a su reputación, y (iii) asegurar los derechos que le asistan y que no existan motivos para restringir, y (iv) proporcionar apoyo durante todo el proceso, lo que incluye una comunicación regular.

Cuando se descarta la existencia de irregularidades o no se obtienen evidencias acerca de las mismas, procede igualmente aplicar medidas de remediación en los diferentes ámbitos que puedan precisar, incluyendo las que afectan a la reputación, financieras o estatus profesional.

Protección de las partes interesadas pertinentes

El estándar ISO 37002:2021 no limita la protección al eventual impulsor de una denuncia de irregularidad, es decir, al denunciante, sino que la extiende a otros sujetos de su entorno, que guardan relación o empatizan con su posición o argumentos, pudiendo también ser personas físicas o jurídicas según aclara la Nota 5 del apartado 3.13 Conducta perjudicial del estándar. La protección se extiende igualmente a los sujetos sobre los que se piensa erróneamente que han denunciado la irregularidad, cuando realmente no lo han hecho.

Puesto que algunos de estos sujetos pueden ser externos a la organización (la familia del denunciante, por ejemplo), el nivel de protección dependerá de las capacidades reales, habilidades y competencias para actuar. Aunque esto puede dar lugar a escenarios muy variados, la organización debería siempre reflexionar hasta dónde puede extender su nivel de protección, sin desestimar de entrada a ningún sujeto o colectivo que puedan sufrir una conducta perjudicial.

XIV. Conclusiones

No cabe duda de que el estándar ISO 37002:2021 constituye una excelente fuente de información de buenas prácticas compatibles con el marco jurídico de la Directiva europea y la Ley 2/2023. Sin embargo, siendo el objeto de estas normas fijar un umbral mínimo de garantías de protección al informante, es lógico que no sólo hallemos en el estándar internacional directrices útiles para este propósito, sino también usos más avanzados y generalmente aceptados.

Adoptar el nuevo marco normativo básico como único referente para estructurar y gestionar los sistemas internos de información, públicos o privados, es muy arriesgado, pues omite algunas cuestiones relevantes para su eficacia, según he ido comentando al hilo de este artículo. Así, por ejemplo, relegar a un segundo plano las vulneraciones éticas o de valores que no constituyan infracciones de derecho positivo, o ignorar la posibilidad de que la persona jurídica ostente la condición de denunciante y sea objeto de protección directa y desvinculada de la persona física, son planteamientos ya superados por muchas organizaciones.

Para evitar una regresión, se debe aclarar que el nuevo marco jurídico-positivo no impide introducir mejoras a sus contenidos mínimos, para lo cual el estándar internacional ISO 37002:2021 constituye un referente obligado.