Hoy en día, las investigaciones internas en empresas se han convertido en un recurso esencial. Este método permite verificar la ocurrencia de actos posiblemente ilegales o contradictorios a la normativa interna de una persona jurídica que pudiesen incluso derivar en responsabilidad penal para esta. Una vez detectado el problema, el objetivo es investigar sus causas y buscar soluciones para mejorar los fallos organizativos y/o estructurales detectados en el control de las actividades empresariales. Estos problemas suelen surgir a través de comunicaciones realizadas a través de los canales de denuncia o la detección de irregularidades a la hora de aplicar los controles previstos en su programa de Cumplimiento.
Las investigaciones internas son fundamentales para el manejo y la resolución de cualquier denuncia, y son un elemento crucial para confirmar la existencia de programas de cumplimiento sólidos, eficientes y efectivos en términos de prevención que permitan prevenir, detectar y solventar la posible comisión de delitos en el seno de las personas jurídicas.
Sin embargo, a pesar de su importancia, hasta el pasado 28 de julio de 2023 no se publicó la Norma ISO/TS 37008:2023 “Internal investigations of organizations–Guidance”. Hasta esa fecha, no contábamos con estándares internacionales que definiesen un marco de referencia específico, salvo lo estipulado en la Ley de Seguridad Privada y algunas disposiciones aisladas de varias normas procesales.
Por esta razón, la ISO/TS 37008:2023 se presenta como una guía ideal en este campo. Ofrece recomendaciones precisas sobre cómo llevar a cabo investigaciones internas, pero sin eximir de la necesidad de cumplir con lo establecido en las leyes penales, laborales, de protección de datos y de seguridad privada vigentes.
No debemos perder de vista, que el desarrollo de estas investigaciones debe contar con el apoyo y la participación de equipos multidisciplinarios. Estos equipos deben estar compuestos no solo por abogados externos o internos especializados en las áreas jurídicas aplicables -Penal, Compliance, Laboral, Protección de Datos, etc.- sino también por expertos en otras áreas técnicas o científicas relevantes para la investigación -forense, peritos informáticos, detectives privados, expertos en ciberseguridad, etc.-. De esta manera, será más fácil llegar a soluciones transversales que minimicen el riesgo de que se aprecie la responsabilidad penal de la empresa en el seno de un proceso judicial.
Aunque la ISO recientemente publicada es una gran ayuda, en España seguimos careciendo de una regulación normativa unificada y exclusiva para las investigaciones internas. Este año, el legislador español perdió una valiosa oportunidad de adelantarse a la iniciativa de la International Organization for Standardization (ISO) e incluir regulaciones específicas al protocolo de investigaciones internas en la Ley 2/2023, de Protección al Informante.
La recién publicada ISO/TS 37008:2023 proporciona criterios y recomendaciones prácticas para realizar una investigación interna consagrándose como un elemento clave en la gestión de posibles riesgos penales corporativos. Esta norma complementa la “ISO 37002:2021 Whistleblowing management systems–Guidelines”, la “ISO 37001:2021 Anti-bribery management systems” y la “ISO 37301:2021 Compliance management systems”.
Según la nueva norma, las investigaciones internas son una pieza clave en la gestión de las empresas. Una investigación interna que no se realice de manera rigurosa y conforme a la ley, puede causar riesgo de incurrir en responsabilidad penal y daños reputacionales a la empresa, tanto directa como indirectamente. Además, como se enfatiza en la norma, puede tener un impacto directo en la eficacia del Programa de Cumplimiento Normativo de la organización.
La norma establece que es el Órgano de Administración o el “Top/Senior Management” quien debe designar a un equipo de investigaciones (“investigations team”), dedicado exclusivamente a la investigación interna que pueda derivarse de sospechas o situaciones detectadas o denunciadas en la organización.
Este equipo debe estar compuesto por auditores, detectives privados, abogados y consultores externos expertos en el campo. Este último punto -la inclusión de especialistas externos- es especialmente destacado en la nueva ISO debido a la garantía y seguridad que ofrece el contar con especialistas en Compliance ajenos a la organización para minimizar el riesgo de incurrir en dicha responsabilidad.
Una idea importante para las empresas que decidan seguir la nueva ISO en el desarrollo de una investigación interna es que, además de establecer los principios que deben regir durante dicho proceso, la organización debe asegurarse de tener principalmente los siguientes tres documentos:
• Política o procedimiento de investigaciones internas que defina las responsabilidades y funciones del equipo de investigación y asegure que el proceso respetará los derechos fundamentales de las personas involucradas (punto estrechamente vinculado con la normativa interna de Whistleblowing), entre otros aspectos legales generales. Debemos recordar que una protección insuficiente de las personas involucradas directa o indirectamente en una investigación interna puede llevar a una pérdida de confianza en la organización y, en consecuencia, a una falta de participación en futuros procesos de investigación interna.
• Normativa interna sobre el uso de nuevas tecnologías (Política TIC y Política de seguridad de la información) que incluya medidas para evitar intencionalmente la destrucción, alteración o modificación de cualquier información que pueda ser crucial para el correcto desarrollo y finalización de la investigación interna, así como medidas para proteger los hallazgos o pruebas obtenidas durante el proceso de investigación.
La norma también destaca la importancia de la colaboración entre el equipo de investigación y el Departamento de IT de la organización, y resalta la valiosa participación de un proveedor de servicios forenses para facilitar la recopilación y análisis de los datos que se puedan obtener durante la investigación interna, utilizando técnicas de “screening” o cribado de información en computadoras, móviles, “tablets” u otros dispositivos informáticos.
• Un Investigation Plan en el que se establezca el alcance, el objetivo, un cronograma estimado de las acciones que se realizarán e incluso un “interview plan” que contemple quiénes serán los entrevistadores y tenga en cuenta los elementos culturales locales necesarios para llevar a cabo entrevistas productivas, entre otros. Este plan se considera un “live document”, es decir, un documento abierto que puede modificarse e incluir todos los cambios que se produzcan durante el proceso.
Además de lo anterior, hay un último elemento que será necesario dependiendo del alcance de los hechos supuestamente ocurridos y la divulgación que hayan tenido. Nos referimos al Plan de comunicación, en el que se determine el nivel de información -interna y externa- que se debe proporcionar a los principales “stakeholders”, con el objetivo de evitar interrumpir la actividad diaria de la organización y permitir que el proceso de investigación interna continúe con la menor interferencia posible.
La ISO/TS 37008:2023 viene a llenar en parte el vacío regulatorio que existía hasta ahora, proporcionándonos una herramienta o instrumento que, desde su naturaleza de soft law, es un auténtico ‘manual de uso’ para las investigaciones internas. Aunque queda mucho camino por recorrer y muchos otros aspectos por tratar y regular, es un primer paso en la dirección correcta.