¿Cómo implementar el sistema de denuncia de irregularidades?

La Directiva sobre Denuncias de Irregularidades de la UE se aprobó hace años, todos los Estados miembros cuentan con una ley de transposición en vigor, y la pregunta que ahora se plantean los responsables de cumplimiento normativo no es si implantar un canal de denuncia, sino si el que ya está en funcionamiento cumple realmente con las obligaciones. Poner las normas en la práctica de una organización sigue requiriendo tres pasos: redactar el procedimiento, poner en marcha el sistema e ir adaptándolo. Ninguno de ellos es ya una cuestión teórica.

Mapear la entidad antes de redactar el procedimiento

Antes de escribir una sola línea de política, hay que hacer un mapeo de la entidad. El número de empleados determina si la obligación aplica: cualquier empleador privado con 50 empleados o más debe contar con un canal de denuncia interna, con la fecha límite para el tramo de 50-249 empleados ya vencida el 17 de diciembre de 2023. La estructura de grupo decide dónde se sitúa el canal. Una sociedad holding con varias entidades legales no puede simplemente agrupar todo en una única bandeja compartida; el informe de conformidad de julio de 2024 de la Comisión Europea señaló este patrón como uno de los déficits de transposición más comunes.

Los procedimientos existentes determinan qué cambios son necesarios. Una ruta de quejas de RRHH, una línea de cumplimiento o un portal de código de conducta ya en funcionamiento pueden integrarse, pero solo si su confidencialidad y conservación de registros se ajustan al estándar de la Directiva. El resultado de esta fase de mapeo es una lista de canales identificados, destinatarios identificados y una declaración de alcance que especifique qué categorías de incumplimiento cubre el canal.

Lo que el canal interno debe hacer realmente

El artículo 9 de la Directiva establece dos requisitos operativos que la mayoría de las investigaciones internas luego incumplen: acusar recibo de la denuncia en el plazo de 7 días y proporcionar retroalimentación sustancial al denunciante en un plazo de 3 meses cubriendo la acción tomada o prevista. No cumplir alguno de estos requisitos es la forma más fácil de perder la protección frente a litigios posteriores.

Más allá de los plazos, el canal debe aceptar denuncias tanto por escrito como de forma oral, ya sea por teléfono, buzón de voz o en persona bajo solicitud. Debe mantener un registro de denuncias con límites de conservación y controles de acceso. Debe designar una unidad o persona imparcial sin conflictos de intereses, y esa designación debe ser publicada internamente para que los denunciantes sepan con quién se comunican.

La confidencialidad de la identidad del denunciante es innegociable. Comunicar el nombre a alguien fuera del equipo imparcial sin consentimiento es en sí mismo un incumplimiento, y varias transposiciones nacionales imponen sanciones independientes (a menudo hasta 50.000 € por incumplimiento) solo por este fallo.

Puesta en marcha: personal, capacitación e ISO 37002

La implementación es el momento en que un procedimiento en papel se convierte en algo que los empleados pueden usar. El comité o la persona responsable de examinar denuncias debe ser seleccionado, capacitado y equipado; un generador de RRHH con una línea directa de medio tiempo raramente sobrevive a un caso real. La capacitación debe extenderse más allá del comité a todo directivo de línea que pueda ser el primero en escuchar algo, porque la protección de la Directiva se activa en el momento en que alguien denuncia, no cuando rellenan un formulario.

ISO 37002:2021 es el marco más útil aquí. Es un estándar de orientación en lugar de un estándar de gestión certificable, pero establece qué aspecto tiene un programa de trabajo (evaluación de riesgos, asignación de roles, recepción, investigación, seguimiento, supervisión) y está diseñado para integrarse en una estructura de cumplimiento alineada con ISO que una organización ya podría tener en marcha.

Convivir con el sistema: supervisión, represalias, RGPD

El sistema es un objeto vivo una vez que está en funcionamiento. La supervisión va más allá de medir volumen: significa verificar cada trimestre si se están cumpliendo los requisitos operativos, si las cartas de retroalimentación se envían a tiempo, si el registro reconcilia con los expedientes de casos, y si alguien está usando realmente el canal. Una línea directa que no recibe nada durante dieciocho meses es una señal, por lo general una mala señal.

El régimen de represalias reescribe el procedimiento de RRHH. Una vez que una persona ha denunciado, cualquier acción adversa en su contra (despido, degradación, transferencia, promoción negada, medida disciplinaria) se presume represalia, y el peso de la prueba recae en el empleador para demostrar que la acción habría ocurrido de todas formas. Esa presunción debe determinar toda decisión de personal que afecte a alguien con una denuncia anterior conocida.

La protección de datos lo cubre todo. Los datos de denunciantes son datos personales bajo el RGPD, por lo que la encriptación en tránsito y en reposo, el acceso basado en roles, los límites de conservación y un propósito documentado no son opcionales. Son las mismas obligaciones artículo por artículo que se aplican a cualquier sistema de RRHH.

El costo de equivocarse

La superficie de penalizaciones es más amplia de lo que la mayoría de los consejos se imaginan. Las transposiciones de los Estados miembros imponen sanciones por represalias, incumplimientos de confidencialidad e impedimento de denuncias, frecuentemente en la banda de 30.000 a 50.000 € por incumplimiento, acumuladas por conteos de fallos sistemáticos. En el aspecto supervisorio, la Comisión iniciaba procedimientos de infracción contra la mayoría de los Estados miembros que perdieron la fecha límite de transposición, con sanciones combinadas de alrededor de 40 millones de € impuestas a principios de 2025 a los cinco más lentos.

El panorama país por país sigue siendo desigual. Eslovaquia se echó atrás en la desmantelación de su autoridad de denuncias bajo presión de la UE, Alemania está probando los límites de la protección de divulgación externa ante los tribunales, y Polonia, el último Estado miembro en transponer, puso su ley en vigor el 25 de septiembre de 2024.

Nada de esto es imposible de ejecutar internamente, pero rara vez es barato, y la capa operativa (cumplir el reloj de 7 días, mantener el registro limpio, defender la imparcialidad del comité) es donde la mayoría de los programas fallan. WeMoral cubre esa capa operativa de principio a fin, desde redactar el procedimiento hasta ejecutar el canal y producir el rastro de auditoría que un inspector pedirá.