Como todos sabéis, antes del 17 de diciembre de 2.021 la Directiva Europea 2019/1937, Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en inglés conocida coloquialmente por whistleblowers) debió de estar traspuesta a nuestro Ordenamiento Jurídico, aunque para variar, no ha sido así pero, la finalidad de este artículo no es entrar en disquisiciones sobre que artículos de la Directiva serán de directa obligación de cumplimiento y cuáles no. El objeto del presente artículo es clarificar, en la medida de lo posible, o de mis posibilidades. la vinculación de esta Directiva comunitaria y las normas ISO/UNE relacionadas con el Compliance.

Antes de comenzar a tratar la vinculación de las Normas UNE/ISO y la Directiva me gustaría, a simples efectos informativos, deciros que, en España, la cultura del alertador, del whistleblowing anglosajón, se introduce por primera vez en apdo. 2 del art. 31 bis Código Penal, para culminar con la reforma de este artículo en el año 2015, que dio lugar a la nueva redacción del art. 31 bis, art. 31 bis.5. 4º1), donde podemos observar, que el canal de denuncias se configura como un instrumento esencial que no debe faltar en un Sistema de Cumplimiento y se ha convertido en un instrumento ampliamente recomendable con el fin de garantizar la exención o aminoración de la responsabilidad de las personas jurídicas frente a determinados delitos.  

Entrando en la materia de la que trata este artículo, varias son las normas ISO y UNE que tratan los Sistemas de Gestión en Compliance, yo voy a detenerme en aquellas que se utilizan, o se han utilizado con mayor frecuencia en nuestro país.

Por comenzar cronológicamente con la más antigua, nos referiremos a la ISO 19600, publicada en el año 2.015 y que no es certificable al tratarse de una guía, y su propio nombre nos los dice, “Sistemas de Gestión de Cumplimiento-Pautas”. En ella se desarrolla como debe ser un canal de denuncias así cómo deben llevarse a cabo las investigaciones derivadas de una denuncia, pero al ser una guía, sólo ha puesto las bases del canal de denuncias e investigaciones en un Sistemas de Gestión de Compliance, pero ha quedado, digamos derogada, en mayo de 2.021 al entrar en vigor la ISO 37301, Sistemas de Gestión de Compliance, a la que más tarde nos referiremos.

Posteriormente y en años sucesivos y con base en esta ISO 19.600, llegaron la ISO 37.001, Sistema de Gestión Antisoborno, publicada en el año 2.016 y al año siguiente, en el 2.017, se publicó la UNE 19601, Sistemas de Gestión de Compliance Penal, aplicable solamente, en principio, para España.

Esta norma UNE está basada en la ISO 19.600 y básicamente en la ISO 37.001, no entraremos a efectuar una valoración de la UNE 19602 (Sistema de Gestión de Compliance Tributario), pues no es más que una variante de la UNE 19601 pero relativa a los delitos e infracciones tributarias,

Básicamente las dos normas, UNE 19601 e ISO 37001, dedican dos apartados a los canales de denuncia y la pertinente investigación de estas. La ISO 37.001 denomina en su apartado 8.9, a los canales de denuncia, “Planteamiento de inquietudes” y en su apartado 8.10 llama al procedimiento de investigación, “Investigar y abordar el soborno”. Por su parte la UNE 19601 aborda las denuncias bajo el epígrafe 8.7 “Comunicación de incumplimientos e irregularidades” y la investigación en el apartado 8.8 bajo la denominación “Investigación de incumplimientos e irregularidades”.

Así, desde mi punto de vista, si una empresa aplica, cumple o implementa el contenido de la Directiva Europea, Directiva (UE) 2019/1937, adaptando todos sus puntos o los puntos de la norma, en cuanto a la implementación de un canal de denuncia, la protección del denunciante y la investigación de la mismas (seguimiento según la Directiva), regulados en los arts. 6 a 13, 16 a 19 , 21 y 24, cumplirá sobradamente tanto los puntos del a UNE 19601, punto 8.9 y punto 8,10, como los puntos 8.7 y 8.8 de la ISO  37001.

Por tanto, implementando un canal de denuncias, regulada la protección del denunciante y regulada la investigación de las denuncias cumpliendo los artículos de la Directiva Europea 2019/1937, si el sistema de gestión de Compliance fuera auditada, internamente o, externamente por una Certificadora, el resultado sería, sin lugar a duda, positivo en cuanto a estos puntos de las Normas ISO/UNE se refiere.

El 13 de abril del año 2.021 se ha publicado la ISO 37301 Sistemas de Gestión de Compliance que como ya se ha comentado sustituye a la ISO 19600, y como corresponde a una norma de Alto nivel, cuenta con dos apartados dedicados al canal de denuncias y a sus investigaciones, son los punto 8,3, planteamiento de inquietudes y el punto 8,4, proceso de investigaciones.

Una vez examinados y en aras de incardinar esta norma ISO con la Directiva Europea 2019/1937, Directiva (UE) 2019/1937, no podemos sacar otra conclusión que la ya manifestada en el párrafo anterior respecto a las dos otras normas ISO-UNE de Compliance, si aplicamos íntegramente la Directiva en cuanto a la implementación de un canal de denuncia, la protección del denunciante y la investigación de la mismas, se cumpliría a raja tabla los dos puntos de esta ISO 37301 y su auditoria será positiva sin ninguna No conformidad, ni observación, ni siquiera oportunidad de mejora.

En el año 2.021, concretamente el 28 de julio de 2.021, cuando la Directiva Europea ya estaba publicada y en vigor, aunque no traspuesta en nuestro país, se publica la ISO 37002, Sistemas de gestión de la denuncia de irregularidades. Directrices, que proporciona una guía para que las organizaciones puedan establecer un sistema de gestión de los canales de denuncias basado en los principios de confianza, imparcialidad y protección, pues proporciona una serie de pautas de carácter voluntario destinadas a organizaciones que estén tratando de establecer un sistema de gestión de denuncias. Hay que tener en cuenta que la ISO 37002 es una norma de pautas. No especifica requisitos, sino que proporciona orientación sobre los sistemas de gestión de denuncias de irregularidades y prácticas recomendadas, aun así, la ISO 37002 convierte al canal de denuncias en un Sistema de Gestión.

Como consecuencia de estar publicada la Directiva de Protección al Denunciante cuando se publica la ISO 37002, surge una pregunta rápidamente, ¿implementando la ISO 37002 en las empresas se da respuesta adecuada a las exigencias contenidas en la Directiva de Protección al Denunciante o Alertador?

Lo primero que cabría decir es que, con la implantación de tales sistemas como núcleo de los requisitos de la nueva Directiva, este estándar ofrece un marco reconocido internacionalmente que incorpora prácticas recomendadas a nivel global para el desarrollo e implementación de dichos sistemas.

Para contestar a la pregunta formulada anteriormente habrá que saber cuáles son los requisitos o mejor dicho cuáles son objetivos que está pidiendo la Directiva Europea y si éstos se encuentran en los puntos de la Norma ISO 37002.

Los objetivos básicamente son 5:

• La creación de canales seguros de comunicación para los trabajadores (internos y externos).
• Se ha de garantizar que los empleados sepan cómo y dónde denunciar posibles irregularidades.
• La confirmación de la recepción de informes y proporcionar las oportunas sugerencias o comentarios.
• Se ha de proteger la confidencialidad de datos de los denunciantes y de todos aquellos que aparezcan en los informes.
• La protección a los empleados de toda represalia.

Una vez tenemos los objetivos es necesario analizar la Norma ISO 37002 para ver si, dentro de sus puntos, encontramos esos objetivos definidos.

1. El primero, la creación de canales seguro de comunicación para los trabajadores, entendemos que está plenamente satisfecho en el punto 8 de la norma ISO, pues nos proporciona diversas recomendaciones y nos orienta como implementar canales de denuncia seguros. A título ejemplificativo se incluye cómo sacar provecho de métodos habituales de recepción de informes al objeto de potenciar tanto la fiabilidad, como la accesibilidad como a la propia eficacia del canal de denuncias.
2. En cuanto a garantizar que los empleados sepan cómo y dónde denunciar, es tratado en el punto 7 de la ISO a la hora de profundizar en la debida necesidad de realizar formación y adoptar medidas de sensibilización sobre la misma, incluyendo las mejores prácticas a la hora de comunicar el programa.
3. La confirmación de la recepción de los informes y proporcionar las sugerencias o comentarios la podemos encontrar en el punto 8 de la norma en la que se incluye una guía sobre cómo realizar un acuse de recibo de los informes, incluso nos dice cuáles deberían ser los plazos razonables o el nivel de detalle que se debe proporcionar en las sugerencias que, a su vez, podemos encontrar que para cada etapa de la denuncia existen recomendaciones de como éstas han de ser proporcionadas.
4. Por lo que hace referencia a la protección de la confidencialidad de datos de los denunciantes y de todos aquellos que aparezcan en los informes lo podemos encontrar básicamente en el punto 7 de la norma ISO, pero también en otros puntos de la norma tocante a la protección de datos y al control de la información documentada, pero el punto básico está, como se ha dicho en el punto 7 de la norma, que estipula la importancia de mantener la confidencialidad de datos de todas las partes implicadas en un caso. También se añade que, para poder garantizarse la confidencialidad de datos, resulta de vital importancia definir de un modo claro que procedimientos se han de seguir a la hora de abordar los incumplimientos de la propia obligación o, cuanto menos, los posibles intentos por identificar las partes partícipes en la denuncia o queja formulada.
5. Por último, en lo que respecta a la protección a los empleados de toda represalia. En este último punto, existen varias partes de la norma ISO que nos ayudarán a definir procesos que permiten asegurar que este requisito se cumple. Así en el apartado 8 de la ISO se incluye una guía sobre la protección al denunciante y en caso de represalias, nos ofrece otra guía sobre cómo encarar ejemplos de conductas nocivas.

Como colofón en cuanto a la comparativa entre la Directiva de Protección al Denunciante o Alertador y la ISO 37002, cabría decir que esta guía es más que apropiada para aquellas organizaciones afectadas por la entrada en vigor de la Directiva Europea de Protección al Denunciante y con su implantación o al menos siguiendo sus pautas, las empresas cumplirán perfectamente lo establecido, los objetivos que peticiona la Directiva, pues son dos documentos complementarios, de tal manera que se puede decir que mientras que la directiva europea te dice lo que tienes que hacer (tienes que habilitar estos canales, has de cumplir unos plazo para comunicarte con el denunciante, tienes un plazo para resolver las denuncias,  has de proteger al denunciante de esta manera, etc..), la ISO 37002  te da los pasos a seguir, uno a uno, pasos para poder asegurar que se establece ese canal de denuncias, esa investigación de las alertas. La directiva te dice que tienes que hacer y la ISO 37002 te va dando los pasos para tratar de hacerlo de la forma más correcta, basada en las buenas prácticas internacionales del Compliance.

A modo de glosario se podría decir que uno es lo que tienes que hacer (La directiva) y el otro es cómo lo vamos a hacer (La norma ISO 37002).

Me permito sacar una conclusión del presente artículo:

Si queremos implementar un Sistema de Gestión Antisoborno (ISO 37001) o un Sistema de Gestión de Compliance Penal (UNE 19601) o un Sistemas de Gestión de Compliance (ISO 37301), para que los apartados 8.9 y 8.10 de la ISO 37001, los apartados 8.7 y 8.8 de la UNE 19601 y los apartados 8.3 y 8.4 de la ISO 37301, estén completos y plenamente certificables por una entidad de certificación (acreditada o no), se han de cumplir los objetivos de la DIRECTIVA EUROPEA 2019/1937.

Mientras que, si implementamos la ISO 37002, Sistema de Gestión de Denuncias de Irregularidades, cumpliremos con creces los objetivos de la Directiva.

BIBLIOGRAFIA:

• ISO 19600
• ISO 37001
• ISO 37002
• UNE 19601
• Artículo publicado el 7 de febrero de 2.019 por Whistle B blog, titulado” ISO 37002 Sistemas de Gestión de Denuncias de Irregularidades: la nueva norma global sobre denuncia de irregularidades en organizaciones”.
• Artículo publicado por Alain Casanova, Socio responsable de Cumplimiento lega en KPMG, titulado “El estándar global de whistleblowing lines: ISO 37002”.
• Artículo publicado el 28 de julio de 2.021 por Whistle B blog, titulado “La norma ISO 37002 y la Directiva Europea de Protección al Denunciante: ¿una combinación complementaria?”.
• Artículo publicado por Molins defensa Penal el día 30 de julio de 2.021, titulado “resumen ISO 37002”.
• Artículo publicado el 27 de noviembre de 2.019 por IBERLEY, titulado “Qué es y cómo se regula un «Whistleblowing» o canal de denuncia interna: Nueva Directiva (UE) 2019/1937”.
• Podcast de EQA, titulado Directiva de protección del denunciante y nuevo estándar ISO 37002.