ISO 37002 - Sistema de gestión de denuncias

La mayoría de los incumplimientos empresariales se descubren a través de informes internos, no mediante auditorías o reguladores externos. Las personas cercanas al trabajo ven lo que los auditores no pueden ver, y hablan cuando hay algo que denunciar. La Directiva sobre la protección de denunciantes (2019/1937) hizo explícita la obligación legal en todo el bloque. Lo que no hizo fue indicar a las organizaciones cómo ejecutar realmente un sistema que merezca esos informes, los procese de manera justa y proteja a quienes los presentan. ISO 37002:2021, publicada por ISO/TC 309 el 27 de julio de 2021, es la norma internacional diseñada para llenar exactamente esa brecha. Es el manual operativo del piso legal de la Directiva.

Qué es realmente ISO 37002 y qué no es

ISO 37002 es una norma de orientación, no una norma de requisitos. La distinción es importante: una norma de orientación te dice cómo debe hacerse algo, pero no da a los organismos de certificación una lista de verificación para auditarte. No se puede obtener certificación en ISO 37002. La norma ISO 37301 estrechamente relacionada (gestión del cumplimiento) es certificable; ISO 37002 es la orientación sustantiva en la que se apoya una postura de cumplimiento auditable.

La norma adopta la estructura armonizada del sistema de gestión ISO compartida con ISO 9001, ISO 14001, ISO 45001 y el resto de la familia. Esto significa diez cláusulas en un orden fijo: Alcance, Referencias normativas, Términos, Contexto, Liderazgo, Planificación, Apoyo, Operación, Evaluación del desempeño e Mejora. Cualquiera que haya implementado un sistema de gestión ISO antes reconocerá la estructura; cualquiera que no lo haya hecho encontrará que la estructura facilita la integración de la norma con todo lo demás que la organización ya ejecuta.

ISO 37002 es deliberadamente agnóstica respecto al sector y al tamaño. La introducción establece que puede aplicarse por organizaciones independientemente del tipo, tamaño, naturaleza de la actividad, y si están en el sector público, privado o sin ánimo de lucro. También es voluntaria en sí misma, aunque los reguladores individuales o las autoridades contratantes pueden hacer que la adhesión sea una condición contractual.

Confianza, imparcialidad, protección: los tres principios fundamentales

Tres palabras llevan el peso de toda la norma. La cláusula 4.4 establece que el sistema de gestión de denuncias «debe aplicar los principios de confianza, imparcialidad y protección, y debe garantizar la retroalimentación apropiada en todo el proceso». Cada requisito operativo del documento se remonta a uno de estos tres.

La confianza se define como una percepción que tienen las partes interesadas. La cláusula 5.1.2 lo plantea directamente: «La confiabilidad del sistema de gestión de denuncias depende de si las partes interesadas perciben que la dirección está comprometida con el sistema y seguirá los procedimientos». Este enfoque obliga a los órganos de gobierno y a la alta dirección a demostrar su compromiso de manera visible, construir una cultura de denuncia y escucha, y hacer que múltiples canales de denuncia sean lo suficientemente accesibles para que un empleado ansioso no tenga que elegir entre el canal y su trabajo.

La imparcialidad impregna tanto la evaluación (cláusula 8.3) como la investigación (cláusula 8.4). La norma requiere que los responsables de los casos sean calificados, justos con la unidad de negocio implicada, justos con el sujeto del informe, e imparciales con el denunciante. Cuando la imparcialidad interna no puede garantizarse, ISO 37002 dice que las investigaciones deben ser conducidas por una capacidad independiente o un investigador externo. Los responsables de las decisiones deben estar libres de conflictos de intereses reales o potenciales, con niveles de autoridad documentados (cláusula 5.3.3).

La protección es la más estratificada de las tres. Cubre protección contra daño y represalias, pero también salvaguarda de identidad, medidas de apoyo (asesoramiento, ajustes en el lugar de trabajo, acceso justo a promoción y capacitación), y un principio de restitución notable en la cláusula 8.4.3: donde ya ha ocurrido daño, «el denunciante debe ser restaurado a una situación que habría sido la suya de no haber sufrido daño». La protección continúa después de que el caso se cierra; se espera que el sistema monitoree los resultados para las personas que reportaron.

El manual operativo de cuatro pasos (cláusula 8)

La cláusula 8 es el corazón operativo del documento. Divide las operaciones en cuatro fases secuenciales que cualquier programa de denuncias debe manejar, e indica el aspecto de las buenas prácticas dentro de cada una.

Recibir (8.2) cubre los canales en sí: en persona, teléfono, en línea, correo postal, aplicación móvil. La norma insiste en que sean visibles, accesibles y seguros, y que se sitúen diferenciados de la jerarquía de gestión normal para que un informe sobre un gerente no tenga que pasar a través de ese gerente. El reconocimiento debe ser rápido: la cláusula 8.1 sugiere «un reconocimiento automatizado inmediato de la recepción, seguido de un mensaje personalizado dentro de tres días hábiles». La ventana de siete días de la Directiva es el piso legal; ISO te pide que hagas mejor.

Evaluar (8.3), referido como clasificación de prioridades, es la fase que decide qué sucede después. Cada informe se clasifica por probabilidad e impacto, con la decisión documentada. Los evaluadores pesan si el informe cae dentro del alcance del sistema, si se necesita derivación externa (policía, regulador), si se debe preservar la evidencia antes de la notificación, y si el denunciante enfrenta un riesgo inmediato de daño.

Abordar (8.4) es la fase de investigación, conducida bajo presunción de inocencia y con tres grupos protegidos a la vez: el denunciante, el sujeto del informe, y otras partes relevantes como testigos o familia. Las investigaciones deben ser imparciales, adecuadamente dotadas de recursos, justas, robustas y confidenciales. La norma enfatiza que asegurar y proteger la evidencia es en sí mismo un principio de protección, no solo una técnica investigativa.

Concluir (8.5) es la fase que la mayoría de programas débiles de denuncias omiten. Incluye hallazgos, cualquier acción disciplinaria, comunicación de regreso al denunciante, monitoreo de protección continua, recopilación de retroalimentación, y lecciones aprendidas que se retroalimentan en la siguiente iteración del sistema. El cierre está documentado, no es implícito. Para un ejemplo trabajado de cómo estos cuatro pasos se aplican en un verdadero procedimiento de denuncias, el marco es más útil que cualquier plantilla única.

Dónde ISO 37002 llena los vacíos que la Directiva deja

La Directiva sobre la protección de denunciantes de la UE es excelente en establecer el qué legal: categorías protegidas de denunciantes, niveles de divulgación interna/externa/pública, un plazo de siete días para el reconocimiento, un plazo de tres meses para la retroalimentación sustantiva, prohibición de represalias, reversión de la carga de la prueba. Es intencionalmente muy delgada en el cómo operativo, porque ese no es el propósito de una directiva.

ISO 37002 suministra el cómo. Sobre informes anónimos, la cláusula 7.5.5 toma una posición realista: las organizaciones pueden permitirlos, pero deben hacer que los denunciantes sean conscientes de que «los informes anónimos pueden limitar la capacidad de investigar y proteger al individuo», y definir mecanismos que sigan permitiendo la comunicación donde sea posible. La norma no elige el anonimato por ti; te dice qué aspecto tiene una implementación honesta de cualquier forma.

Sobre competencias del responsable de casos, la cláusula 7.2 enumera ocho cualidades que el personal responsable de protección, apoyo e investigación debe mostrar: confiabilidad, inteligencia emocional, diplomacia, imparcialidad, integridad, liderazgo, confidencialidad y buen juicio. Estos no son adjetivos genéricos de HR; son criterios de selección para quién debería ser permitido cerca de la identidad de un denunciante en primer lugar.

Sobre daño, la definición de la cláusula 3.13 es más amplia que las represalias coloquiales. Cubre despido, degradación, transferencia, cambio en las responsabilidades, evaluaciones de desempeño adversas, listas negras, daño reputacional, pérdida financiera, enjuiciamiento, acoso, aislamiento, divulgación de identidad, y el fracaso en prevenir daño en cualquier paso del proceso. La amplitud es deliberada; elimina el espacio que de otra manera tienen las organizaciones para argumentar que un ambiente hostil no fue técnicamente represalias.

Integración de 37002 con 37001 y 37301

ISO 37002 no fue construida en aislamiento. Es el pilar de denuncias de un paquete de gobernanza de tres normas que incluye ISO 37001 (sistemas de gestión anti-soborno, reeditada como ISO 37001:2025) e ISO 37301 (sistemas de gestión del cumplimiento, la matriz certificable). Debido a que las tres comparten la estructura de cláusula Anexo SL armonizada, una organización que ya ha implementado una de ellas puede insertar las otras sin infraestructura paralela.

La edición 2025 de ISO 37001 hace referencia explícita a 37002 para sus requisitos de denuncias, reconociendo que un programa creíble anti-soborno no puede existir sin un canal de denuncia creíble. La bibliografía de 37002 a su vez cita ISO 31000 (gestión de riesgos), ISO 19011 (auditoría de sistemas de gestión), e ISO/IEC 27001 / 27018 (seguridad de datos y privacidad), posicionando la norma en la intersección de gobernanza, riesgo y seguridad de la información, no como una iniciativa de HR independiente.

Para organizaciones implementando un sistema de denuncias desde cero, la secuencia práctica usualmente corre de manera inversa: comienza con 37002 para diseñar la sustancia operativa, luego capa 37301 sobre ella para el envoltorio de gestión del cumplimiento certificable, con 37001 añadido si la exposición anti-soborno es material. Ir directamente a la certificación sin la sustancia operativa produce documentación lista para auditoría alrededor de un sistema vacío.

Lo que los puntos de referencia de 2025 y las acciones de cumplimiento revelan

Los puntos de referencia de la industria para el mercado europeo cuentan una historia coherente sobre dónde la orientación de estilo 37002 muerde más fuerte. Las organizaciones europeas reciben aproximadamente 0,67 informes por 100 empleados, contra 1,75 en América del Norte. El 65% de los informes europeos son anónimos, contra el 52% en América del Norte. Los casos de represalias europeas se sustancian al 32%, casi el doble de la tasa del 17% de América del Norte. El cierre de casos mediano europeo se ejecuta en 69 días, contra 19 días en América del Norte. Los empleados europeos también esperan un promedio de 13 días antes de presentar un informe, versus 8 en América del Norte.

Leer estos números juntos y el diagnóstico operativo se escribe a sí mismo. Mayor anonimato y retrasos más largos en la denuncia ambos señalan un déficit de confianza que los requisitos de liderazgo de la cláusula 5 de ISO 37002 y los requisitos de comunicación de la cláusula 7.4 existen para cerrar. Mayor sustanciación de represalias refleja la arquitectura protectora que la ley europea ha construido alrededor de los denunciantes; tiempos de cierre más largos revelan que los programas europeos tienen la postura legal sin el rendimiento operativo. Las métricas de desempeño de la cláusula 9 de la norma, incluyendo tiempo para reconocer y tiempo para cerrar, dan a los consejos una base para preguntar por qué y para arreglarlo.

La presión regulatoria solo ha seguido endureciéndose. El 6 de marzo de 2025 la Corte de Justicia de la Unión Europea impuso sanciones de suma alzada a cinco Estados miembros por transposición tardía o ausente: Alemania €34 millones, la República Checa €2,3 millones, Hungría €1,75 millones, Luxemburgo €375.000, y Estonia €500.000 más una multa diaria hasta el cumplimiento total. Polonia fue sancionada antes, en abril de 2024. Todos los Estados miembros ahora han aprobado legislación de transposición, pero la propia evaluación de la Comisión es que ninguno aún puede considerarse completamente compatible, con problemas de no conformidad identificados en aproximadamente la mitad. La imagen por país se rastrea en nuestra lista de países de leyes de protección de denunciantes en Europa.

El estado voluntario de ISO 37002 se sitúa dentro de este marco regulatorio que se endurece. La norma no puede hacerte compatible con la Directiva por sí sola, y no intenta hacerlo. Lo que hace es traducir la obligación legal que una organización ya lleva a un sistema que produce informes útiles, investigaciones defensibles, y protección que se mantiene después de que el caso se cierra, en lugar de una línea de denuncias documentada en la que nadie confía. Para una organización que se pregunta si el trabajo voluntario vale la pena, la respuesta se sitúa en la brecha que los puntos de referencia europeos aún están midiendo.