La debida diligencia en las investigaciones internas: best practices a través del estándar ISO 37008

Las investigaciones internas no son un fenómeno nuevo en España, para nada. En el ámbito laboral, siempre han sido un instrumento para poder sancionar disciplinariamente irregularidades vinculadas al fraude de empleados. Sin embargo, tras la reforma del Código Penal de 2015, ha cambiado el paradigma de las investigaciones internas y también sus consecuencias. En efecto, desde que las personas jurídicas pueden ser penalmente responsables, las organizaciones pueden atenuar o incluso eximir su responsabilidad penal si colaboran con el Estado en la averiguación de los delitos cometidos en su seno.

La mayor parte de veces, colaborar con el Estado en la persecución de delitos supondrá tener que realizar algún tipo de indagación o investigación interna, que posteriormente surtirá efectos en un posterior proceso judicial o ante la Fiscalía. En otras palabras, la organización puede ver en la investigación interna parte de su estrategia de defensa corporativa, de ahí que haya cambiado la forma de afrontarlas por parte de las organizaciones.

El hecho de que una organización investigue los ilícitos o irregularidades cometidos en su seno, la convierte en “Juez y parte”, con los riesgos anudados a ello: falta de imparcialidad, “cabezas de turco”, mala gestión de los conflictos de interés, etc. Y desde la publicación de la Ley 2/2023, de protección de los informantes, las investigaciones internas se expanden no solo a los delitos corporativos, sino a cualquier delito o infracción administrativa (grave o muy grave), así como a determinadas infracciones del derecho de la Unión.

Pese a la publicación de la Ley 2/2023, no existe una regulación estatal sobre cómo deben llevarse a cabo. Por ello, el paquete de derechos fundamentales en juego (derecho de defensa, a la intimidad, al honor, a la presunción de inocencia, a la protección de datos, etc.) están en manos de la diligencia debida que quiera o pueda ejercer la propia organización investigadora.

Entonces, sin regulación estatal, ¿cómo deben afrontar las investigaciones internas las organizaciones, desde el punto de vista de la diligencia debida? ¿A la hora de investigar es suficiente con tener un protocolo? ¿En qué debe traducirse esa debida diligencia?

Para responder a dichas preguntas debemos partir de una premisa: la investigación interna es un proceso. Por tanto, incluye diversos sujetos, técnicas, decisiones, actuaciones, informes, pruebas, etc. que deben realizarse de forma diligente.

(Imagen: Freepik)

Al ser un proceso en sí mismo, la debida diligencia en una investigación interna se convierte en una obligación de medios, con independencia del resultado obtenido. Se trata de un proceso de compliance habida cuenta que se investigan los incumplimientos normativos de una organización y, por otro lado, pueden ser vulnerados los derechos fundamentales en juego. Por ello, con independencia de la naturaleza de la infracción investigada, es un proceso que afecta a derechos fundamentales y debe ser realizado por personas competentes, formadas y con experiencia, reflejando dicho proceso un potente indicador de la cultura de compliance de la organización.

Tratándose de una obligación de medios, y no existiendo regulación estatal, la forma de autorregularse es clave. De ahí que el estándar ISO 37008, publicado en julio de 2023, puede ser útil como posible criterio a seguir por parte de las organizaciones a la hora de llevar a cabo un proceso de investigación. Dicho estándar no es certificable, sino que establece recomendaciones, a modo de best practices sobre la materia.

ISO 37008 define una investigación interna como «el proceso profesional de investigación de hechos, iniciado por o para una organización, para establecer hechos en relación con presuntas o sospechas de irregularidades, malas conductas o incumplimientos». Asimismo, establece los principios que deben regir el procedimiento de investigación: (i) independencia; (ii) confidencialidad; (iii) competencia y profesionalidad; (iv) objetividad e imparcialidad; y (v) legalidad.

La norma comentada establece como objetivos de una investigación interna: 

• Tomar decisiones informadas sobre el posible incumplimiento de regulaciones, tanto internas como externas, y/o de los valores y ética de la organización.
• Comprender las causas de dichos incumplimientos.
• Evaluar las pérdidas financieras.
• Mitigar las responsabilidades de la organización/dirección.
• Establecer medidas de mitigación necesarias.
• Fortalecer la cultura de cumplimiento y ética.
• Presentar informes a terceras partes y autoridades pertinentes (reguladores, tribunales, etc.).
• Tomar decisiones disciplinarias o la prohibición de trabajar con los terceros incumplidores.

La dotación de recursos humanos, técnicos, financieros, organizativos, unido al liderazgo, son aspectos en los que la ISO 37008 pone el acento debido a su trascendencia práctica. A su vez, el estándar incide en la necesidad de implantar medidas efectivas para impedir que la información clave para la investigación sea alterada, destruida, enviada a terceros, etc., así como establecer un régimen de custodia y registro de esta. Asimismo, en cuanto a la confidencialidad, recomienda la necesidad de que cualquier interviniente en un proceso de investigación (empleados, terceros, testigos, etc.) asuma un compromiso expreso de confidencialidad con respecto a la información objeto de la investigación.

(Imagen: Freepik)

De igual modo, el estándar recomienda que la garantía frente a represalias sea lo más extensa posible, más de lo que establece la Ley 2/2023. En este sentido, extiende la necesidad de garantía frente a represalias de cualquier tipo a testigos, denunciantes, investigadores, entrevistados, investigados, personal que toma decisiones sobre medidas correctivas y/o disciplinarias.

Diseñar el proceso de investigación y sus distintas etapas es clave según la norma de soft law comentada. En efecto, ISO 37008 establece diferentes fases o hitos dentro de un proceso de investigación interno: (i) designar una persona o equipo investigador; (ii) realizar una evaluación preliminar de los hechos (o triage); (iii) determinar el alcance de la investigación; (iv) diseñar un plan de investigación; (v) preparación, realización y custodia de las evidencias; (vi) informe final de la investigación; (vii) propuesta de medidas correctivas o de mejora; (viii) evaluación de un self discloure o reporte a autoridades o terceras partes; (ix) adopción de medidas disciplinarias contra el personal u organizaciones involucradas.

En definitiva, ante la patente desregulación de las investigaciones internas en la Ley 2/2023, la obligación de diligencia debida impuesta por dicha Ley al Responsable del Sistema de Información, puede suponerle tener que acudir a best practices para ejecutar un proceso de investigación interna. Y, en este sentido, la ISO 37008 puede llegar a ser un buen aliado. Todo ello, por supuesto, sin perjuicio de atesorar un profundo conocimiento de la jurisprudencia y legislación, en especial en materia de derechos fundamentales, y acreditar experiencia práctica en el desarrollo de este tipo de procesos.

El derecho al honor, a la presunción de inocencia, a la privacidad, al trabajo, a la protección frente a represalias, etc., no pueden confiarse a la improvisación, al desconocimiento, al voluntarismo o a la impericia de las organizaciones. Poca cultura de compliance podría predicarse de una organización que ejecuta las investigaciones internas sin diligencia, sin perjuicio de las acciones de daños y perjuicios que puedan ejercitarse en su contra por parte de sujetos perjudicados, vinculadas a la impericia, incompetencia, desconocimiento o mala praxis de aquella.