El estándar global de whistleblowing lines: ISO 37002

Cuando en 2014 se publicó el primer estándar internacional (ISO) sobre Sistemas de Gestión de Compliance, la Norma ISO 19600, apenas contenía referencias sobre los canales internos de denuncia. Posteriormente, la publicación de la Norma ISO 37001 sobre Sistemas de Gestión Antisoborno en 2016 sí que abordó este tipo de medidas en su Capítulo 8, como también lo hace recientemente la Norma ISO 37.301 -que sustituye al citado primer estándar internacional-, dentro también de ese mismo capítulo. Aunque estos contenidos fijan los parámetros básicos para el correcto funcionamiento de este tipo de medidas, nunca fue su intención normalizar sobre ellas. La Norma ISO 37002 sobre Sistemas de Gestión de la denuncia de irregularidades sí tiene este propósito, estableciendo contenidos detallados y, en muchas ocasiones, llamativamente avanzados.

Cuestión de principios

El nuevo estándar sobre whistleblowing lines se basa en los principios de confianza, imparcialidad y protección. Estos tres fundamentos son, precisamente, los que en última instancia condicionan el éxito o el fracaso de los canales internos de denuncia. En muchas ocasiones, su baja utilización es consecuencia de debilidades en algunos de estos aspectos. Por ello, más allá de ser la base interpretativa del estándar, conforman el marco de análisis de las causas raíz detrás de la desconfianza y poco uso de estos canales.

La Norma ISO 37002 es muy oportuna a nivel global, donde el empleo de estos mecanismos se está difundiendo incluso en países con amargas reminiscencias de delación política, de épocas superadas. A nivel europeo, además, encaja perfectamente con la Directiva 2019/1937 de protección al denunciante, que impone este tipo de canales a un espectro muy amplio de entidades tanto privadas como públicas. No siendo la intención de este texto regular las características de los canales -más allá que garantizar la protección del denunciante-, el nuevo estándar global cubre un hueco evidente.

Los contenidos de la Norma están muy condicionados por los cuatro pasos que fija para gestionar denuncias: su recepción, evaluación, gestión y conclusión. Estas etapas influirán en el contenido de las Políticas internas (de gestión de denuncias o de investigaciones) en muchas organizaciones.

El canal de denuncias como sistema de gestión

Aunque inicialmente se pretendió emitir un documento de recomendaciones, muy en la línea del Whistleblowing Arrangements Code of Practice del año 2008, muchos países abogaron por darle forma de sistema de gestión, adoptando finalmente la conocida estructura de alto nivel (High Level Structure) de ISO. Esto explica la similitud, tanto de su índice como de muchos de sus contenidos, con los estándares ISO sobre Compliance. Más allá de esta afinidad, que permite integrar los contenidos de la Norma en sistemas de gestión ya implantados en las organizaciones, aboca a desarrollar ciertas tareas en términos de continuidad (planificación de actividades a desarrollar y recursos a emplear, comunicación, formación, toma de conciencia, reportes y su contenido, mejorar continua, etc). Además, evita abstraerse de las circunstancias de cada organización: no se comprenderá que no posibilite la comunicación de irregularidades asociadas con sus principales riesgos.

La Norma ISO 37002 es un sistema de gestión de Tipo B, es decir, no certificable. No obstante, su utilidad es indudable para aproximar las prácticas de las organizaciones a las expectativas de la sociedad en general, y de sus grupos de interés en particular.

Las competencias personales de quienes gestionan denuncias

Los textos sobre Compliance suelen referirse a las competencias personales asociadas con dicha función, como la integridad, el liderazgo o la capacidad para mantener la confidencialidad y el secreto. La Norma 37002 añade algunas que pueden llamar la atención: la generación de confianza, inteligencia emocional y la diplomacia. Quienes estén acostumbrados a la gestión de canales de denuncias saben perfectamente que no es una excentricidad: están tratando con personas, sus inquietudes y carga emocional, hasta el punto de que una gestión poco sensible puede empeorar drásticamente la situación. Es importante que estas competencias se proyecten no sólo sobre el denunciante, sino sobre el conjunto de personas involucradas con una comunicación, incluyendo a los denunciados.

Protección a un colectivo amplio

Aunque solemos pensar que la protección al denunciante sólo aplica a quien comunica una irregularidad dentro la organización (sea el personal o un tercero), abarca a un colectivo más amplio. La Norma ISO 37002 apunta la necesidad de proteger a denunciantes que han cursado su comunicación a través de los canales dispuestos por las autoridades. También extiende la protección a colectivos distintos del denunciante, pero igualmente susceptibles de ser represalidados (testigos, compañeros que lo apoyen, etc) e incluso a sujetos que no son los denunciantes, pero corren el riesgo de ser considerados como tales.

Protección de datos personales

Existen dos motivos por los cuales la Norma 37002 trata de forma muy general esta faceta dentro de su Capítulo 7. En primer lugar, los estándares ISO no tienen ni la voluntad ni la potestad de establecer plazos o regulaciones que, en verdad, corresponde fijar a los legisladores y reguladores en cada uno de los países donde se apliquen. Es consecuencia del Principio de subordinación a Ley, que no sólo aplica en este estándar sino también al resto que emite ISO. Además, aunque rige en Europa el Reglamento 2016/679 general de protección de datos, en la comunidad internacional son muchos los países que no disfrutan de mecanismos de armonización equivalentes. En segundo lugar, tratar esta metateria hubiese conducido a normalizar sobre aspectos fuera de su objeto, con el riesgo de fijar contenidos que impactasen en cuestiones no necesariamente vinculadas con su contenido.

El denunciante de buena fe

Se considera denunciante a la persona que comunica una irregularidad real o sospechada, pero sobre la creencia de que la información reportada es cierta. Esta creencia no es una mera intuición, sino que tiene que venir refrendada por observaciones, experiencias o informaciones que lleven a cualquier persona a la misma conclusión. Déficits relevantes en este sentido pueden amparar el archivo de una comunicación en la fase de su evaluación (comunicación infundada), o incluso a plantear que el denunciante no está obrando de buena fe.

Aunque la implantación de mecanismos internos para la gestión de denuncias es una práctica de buen gobierno corporativo, ocasionalmente se emplean fraudulentamente contra la organización o sus personas. Es un aspecto que trato en el video nº 8 de la Serie “Compliance: lecciones aprendidas”, que ilustra el abuso que excepcionalmente se realiza de estos canales.