La aprobación de la ley de protección del informante se espera en los próximos meses, lo que dará un impulso a los canales de denuncia o canales de información, cuya consecuencia lógica será el aumento de delaciones de ilícitos dentro de una entidad. Una vez recibida una denuncia, normalmente a través del canal ético, será crucial cómo hacer la investigación interna. Este tema fue abordado en la III Semana internacional del Compliance, organizada por Cumplen, el Instituto de Oficiales de Cumplimiento (IOC) y la World Compliance Association (WCA), que tuvo lugar los días 14, 15, 16, 17 y 18 de noviembre, y donde LA LEY ha sido media partner.
En la mesa dedicada a las nuevas tendencias del compliance en 2022, Diego Cabezuela, presidente internacional de la WCA, explicó que España carece de una regulación de las investigaciones internas, que se está creando un derecho procesal privado dentro de las empresas para cumplir con ellas. Aclaró que, para que esas investigaciones sirvan en un proceso judicial, deben ser buenas, válidas, que respeten los derechos constitucionales, lo que dentro de la empresa es complicado, porque se trata de personas no conocedoras del derecho. Por eso entiende que debería haber una ley que las regulara, como pieza clave del derecho penal en el futuro, pero que de momento se mueven en un limbo jurídico. Diego Cabezuela dio a conocer que en la WCA están preparando ya trabajos para poner a disposición de los poderes públicos e impulsar lo q podría ser una futura regulación, q no debería ser muy futura, puesto que se necesitará pronto, precisó.
Una de las mesas redondas se dedicó por completo al estudio de las investigaciones internas, donde Gonzalo Vega, Partner Forensic EY, las asemejó a emprender un viaje, en el que se conoce el punto de partida, pero no se sabe la meta, porque es habitual q se empiecen investigando unos hechos y aparezcan sorpresas en el camino.
El ponente describió con detalle las fases comunes de todas las investigaciones, cuyo plan de respuesta debe partir de un programa de compliance robusto, para permitir al investigador dar los primeros pasos.
La primera fase es la de instrucción, que deberá contestar a unas preguntas genéricas: ¿quién es el encargado de activar el plan de respuesta?, ¿quiénes integran el comité de investigación?, ¿cuándo es necesario externalizar la investigación a un tercero independiente?, etc.
En segundo lugar, debe haber una buena planificación de la investigación, alcance claro, calendario y presupuesto, ya que de ella depende el resultado. Debe actuarse con rapidez y agilidad, para reducir el impacto del fraude y del daño reputacional.
La tercera fase es la de adquisición y tratamiento de las evidencias, sobre todo de dispositivos electrónicos, apunta Gonzalo Vega. Dichas evidencias constituyen las pruebas, que deben seguir un protocolo para que tenga calidad y no sean rechazadas en un procedimiento judicial, sobre todo poniendo el foco en las evidencias tecnológicas. Debe aislarse la información, custodiarla y trabajar sobre copias, garantizando la cadena de custodia (depósito ante notario).
A continuación, explicó Gonzalo Vega, se procederá a la aplicación de técnicas de investigación. El principal medio suelen ser las entrevistas forenses, que deben diseñarse bien, identificar a quién van dirigidas, decidir el orden de las entrevistas. El entrevistador debe ser independiente y experto en lo q se está investigando, por ejemplo, expertos contables para delitos financieros, o informáticos para los ilícitos tecnológicos. Se aplicarán también técnicas de data analytics y corporate intelligence. Igualmente, debe investigarse fuera de la empresa en las estructuras corporativas de alrededor. Es importante hacer una copia de dispositivos informáticos, única e inalterada, y luego indexar y analizar la información, con cuidado de no entrar en datos personales.
Todo este proceso culmina con el informe de investigación. Gonzalo Vega incide en que es primordial que sea completo, exhaustivo, riguroso, objetivo, independiente, bien documentado y con evidencias adjuntas. Debe esclarecer los hechos, identificar a los participantes y cuantificar el daño.
Por su parte, Cristina Fabre Chicano, directora corporativa de auditoría interna, cumplimiento y riesgos de CEPSA, dio varios consejos prácticos a tener en cuenta:
1º En la fase de preparación es fundamental ver si es necesario adoptar medidas cautelares sobre el denunciante para protegerle, con anonimato-confidencialidad y sobre el denunciado, que debe estar presente, cumpliendo con el principio de presunción de inocencia.
2º Deben evitarse los conflictos de interés dentro de los equipos de investigación. En CEPSA piden q se firme un compromiso de confidencialidad. El único q debe tener toda la información debe ser el líder del equipo, el resto sólo lo que están investigando, para evitar filtraciones, de lo contrario “en sede judicial puedes perder oportunidad de ganar”, explica.
3º En la recopilación de la información hay que cumplir con el principio de proporcionalidad. No se puede investigar todo, especialmente en lo relativo a los datos personales. Se debe pedir ayuda a los delegados de protección de datos y hay q tener necesidad probada para acceder a los dispositivos electrónicos.
4º En cuanto a la evidencia física, el papel, debe estar en carpeta sellada y preservar la cadena de custodia.
5º Deben planificarse muy bien las entrevistas, sean presenciales o virtuales. La sala donde se hagan es importante, el entrevistado debe estar cómodo, que sienta que le estás acompañando, no interrogando. También es fundamental el orden en el que se hagan, aconsejó Cristina Fabre comenzar por las personas más alejadas a las más involucradas, y simultanearlas, si es posible, para evitar filtraciones. En cuanto a grabarlas, aconsejó que la entrevista se haga por dos personas, que una pregunte y otra tome nota. Se le pide permiso al entrevistado para grabar y se graba también dicho permiso, en su caso. Si no se consiente la grabación se levanta acta con las notas tomadas y se firma por los asistentes.
6º Una parte complicada de las investigaciones son las covert operations, agentes externos y operaciones encubiertas. La ponente recomendó asesorarse muy bien de quién las hace, tener cuidado de que no entre en información no pública, y asegurarse de recoger bien las responsabilidades de cada uno en los contratos.
Por su parte, Esther Gutiérrez, Directora de compliance de CODERE, desgranó un ejemplo práctico de cómo llevan a cabo las investigaciones internas en su organización y recomendó: denunciar los hechos a la Guardia Civil, facilitar los datos de la investigación y personarse como acusación particular, porque: “en esto las casas de apuestas no ganan, también pierden”, concluyó.