¿Qué significa la confianza en la norma ISO 37002?

La confianza en la norma ISO 37002 es una percepción que las partes interesadas tienen sobre el sistema. La cláusula 5.1.2 vincula la confiabilidad con el hecho de que las partes interesadas perciban que la dirección está comprometida con el sistema y seguirá los procedimientos, lo que requiere un compromiso de liderazgo visible y una cultura de hablar y escuchar.

¿Qué es la imparcialidad según la norma ISO 37002?

La imparcialidad está presente tanto en la evaluación (cláusula 8.3) como en la investigación (cláusula 8.4). Los gestores de los casos deben estar cualificados, ser justos con la unidad de negocio implicada, ser justos con el sujeto de la denuncia y ser justos con el denunciante. Los responsables de la toma de decisiones deben estar libres de conflictos de intereses reales o potenciales.

¿Qué protección exige la norma ISO 37002 para los denunciantes?

La protección abarca los perjuicios y las represalias, la protección de la identidad, las medidas de apoyo (asesoramiento, adaptación del lugar de trabajo, acceso justo a promociones y formación) y un principio de restitución: cuando se ha producido un daño, el denunciante debe ser restituido a la situación en la que se habría encontrado de no haber sufrido el perjuicio.

Legislación

ISO 37002 - Sistema de gestión de denuncias

La mayoría de las conductas indebidas en el trabajo se descubren a través de denuncias internas, no mediante auditorías o reguladores. Las personas cercanas al trabajo ven cosas que los auditores pasan por alto y hablan cuando se sienten seguras para hacerlo. La Directiva de la UE sobre denunciantes (2019/1937) convirtió esto en una obligación legal en toda la UE. Sin embargo, no indicaba a las empresas cómo gestionar un buen sistema. La norma ISO 37002:2021 se creó para llenar ese vacío. Es la guía que ayuda a las empresas a cumplir con los requisitos legales mínimos.

Conclusiones clave

ISO 37002 es una guía global para gestionar un sistema de denuncias confiable.
La norma se apoya en tres pilares: confianza, imparcialidad y protección.
Define un proceso claro de cuatro pasos: Recibir, Evaluar, Abordar y Concluir.
Aunque no es certificable por sí sola, ayuda a las empresas a cumplir con los mínimos legales establecidos por la UE.
El uso de esta guía ayuda a cerrar la brecha de confianza y reduce el riesgo de multas legales.

Tres pilares etiquetados como Confianza, Imparcialidad y Protección que sostienen una viga de piedra

¿Qué es realmente la norma ISO 37002 y qué no es?

ISO 37002:2021 es una guía para la gestión de denunciantes. Se publicó el 27 de julio de 2021. Indica a las empresas cómo gestionar un sistema de confianza. No se puede obtener un certificado para ella. La norma relacionada ISO 37301 es la que se puede certificar. La norma ISO 37002 sirve para cualquier empresa de cualquier tamaño. Es voluntaria, pero muchos reguladores la solicitan ahora.

Hay una gran diferencia entre guías y normas obligatorias. Una guía indica cómo hacer algo. No ofrece a los auditores una lista de verificación para usar en su contra. La norma ISO 37002 es la guía principal que las empresas utilizan para crear un sistema de cumplimiento sólido. Aunque no sea certificable, proporciona la base para las que sí lo son.

Esta norma utiliza la misma estructura que la ISO 9001 y otras normas comunes. Tiene diez partes en un orden establecido. Esto incluye el alcance, el liderazgo, la planificación y más. Si ha utilizado un sistema ISO antes, conocerá el diseño. Si no, le resultará fácil adaptarlo a lo que ya tiene.

La norma ISO 37002 funciona para cualquier sector o tamaño de empresa. Se aplica a cualquier tipo de actividad. Esto incluye grupos públicos, privados y sin ánimo de lucro. Es voluntaria, pero algunos socios pueden exigirle que la siga para conseguir contratos.

Confianza, imparcialidad, protección: los tres principios fundamentales

Tres palabras son clave en esta norma: confianza, imparcialidad y protección. Las normas dicen que su sistema debe utilizar estas tres ideas. También debe ofrecer retroalimentación durante todo el proceso. Cada parte de la norma se vincula con estos tres pilares.

La confianza es la forma en que la gente ve a su empresa. La norma dice que la confianza depende de si el personal cree que los directivos están comprometidos con las reglas. Esto significa que los líderes deben demostrar que les importa. Deben crear una cultura de «hablar claro» (speak-up). También deben facilitar que el personal denuncie problemas sin miedo a perder sus puestos de trabajo.

La imparcialidad significa ser justo. Las normas dicen que quienes gestionan los casos deben estar cualificados. Deben ser justos con la empresa, con el denunciante y con la persona denunciada. Si no puede ser justo internamente, recurra a un experto externo. Los responsables de la toma de decisiones no deben tener conflictos de intereses. Su poder debe estar claramente establecido por escrito.

La protección abarca muchas áreas. Evita las represalias y mantiene a salvo las identidades. También ofrece apoyo, como asesoramiento o cambios de puesto. Una regla clave dice que si un denunciante ha sufrido daños, debe ser «restituido» a su estado anterior. La protección no termina cuando se cierra el caso. El sistema debe vigilar cualquier problema posterior.

El manual operativo de cuatro pasos (cláusula 8)

La cláusula 8 es el corazón de la norma ISO 37002. Divide el trabajo en cuatro pasos: Recibir, Evaluar, Abordar y Concluir. Indica cómo realizar bien cada paso. Si se salta un paso, el sistema fallará. Debe utilizar las cuatro fases para completar el ciclo.

Diagrama circular que muestra las cuatro fases: Recibir, Evaluar, Abordar y Concluir

Recibir trata sobre cómo obtiene las denuncias. Puede ser por teléfono, internet o en persona. La norma dice que estos canales deben ser fáciles de encontrar y seguros. Deben ser independientes de los directivos habituales. De esta forma, una denuncia sobre un jefe no llega a ese jefe. Debe responder rápido. Las normas sugieren una respuesta automática inmediata. Después, envíe una nota personal en un plazo de tres días. La legislación de la UE le otorga siete días, pero la norma ISO quiere que sea más rápido.

Evaluar es cuando decide qué hacer a continuación. Clasifica cada denuncia según su gravedad. Debe dejar constancia de su elección. Comprueba si la denuncia se ajusta a sus normas. También ve si necesita informar a la policía. Debe comprobar si la persona que habló está en riesgo.

Abordar es el paso de la investigación. Debe suponer que las personas son inocentes hasta que se demuestre lo contrario. Debe proteger al denunciante, al sujeto de la denuncia y a cualquier testigo. Las investigaciones deben ser justas y mantener el secreto. Asegurar las pruebas es una parte fundamental para proteger a todos los implicados.

Concluir es el paso que la mayoría de las empresas omiten. Incluye averiguar qué ocurrió y tomar medidas. Debe hablar con el denunciante. También debe comprobar si todavía está seguro. Después, aprenda del caso para mejorar el sistema. Cada cierre debe quedar registrado por escrito. Puede ver cómo funciona esto en un procedimiento de denuncias real.

Donde la norma ISO 37002 llena los vacíos que deja la Directiva

La Directiva de la UE establece las normas legales básicas. Abarca quién está protegido y con qué rapidez debe responder. Sin embargo, no indica «cómo» realizar el trabajo. La norma ISO 37002 llena ese vacío. Ofrece detalles sobre las denuncias anónimas, las habilidades del personal y lo que se considera daño.

Sobre las denuncias anónimas, la norma es clara. Las empresas pueden permitirlas, pero deben advertir al personal de los riesgos. Es más difícil investigar o proteger a alguien si no se sabe quién es. Las normas ayudan a establecer formas de hablar con ellos manteniendo su identidad en secreto. La norma no le obliga a permitirlo; simplemente le indica cómo hacerlo correctamente.

Sobre las habilidades del personal, las normas enumeran ocho rasgos clave. Estos incluyen la confianza, la integridad y el buen juicio. No son solo palabras vacías. Se utilizan para elegir a las personas adecuadas para gestionar denuncias delicadas. Solo el personal mejor preparado debe conocer la identidad de un denunciante.

Sobre el daño, la norma utiliza una definición amplia. Abarca mucho más que el simple despido. Incluye descensos de categoría, evaluaciones negativas o incluso simplemente ignorar a alguien. Esto evita que las empresas argumenten que un «ambiente de trabajo hostil» no constituye una represalia. Las normas son muy claras para proteger al personal.

Integración de la norma 37002 con las normas 37001 y 37301

La norma ISO 37002 forma parte de un conjunto de tres pasos. Se vincula con la ISO 37001 (soborno) y la ISO 37301 (cumplimiento). Las tres utilizan la misma estructura. Esto significa que una empresa puede utilizar todas ellas sin perder tiempo. Las nuevas normas ISO 37001 ahora remiten a la 37002 para las denuncias.

Dimensión	ISO 37002	ISO 37001	ISO 37301
Alcance	Gestión de denuncias	Gestión antisoborno	Gestión del cumplimiento
Certificable	No (guía)	Sí	Sí
Enfoque	Denuncias, investigaciones, protección del denunciante	Prevención y respuesta ante el soborno	Cumplimiento de toda la organización
Publicado	2021	2025 (revisada)	2021

La norma ISO 37001 de 2025 dice que se necesita un software de denuncias sólido para detener el soborno. La norma ISO 37002 también se vincula con las normas sobre riesgos y seguridad de datos. No es solo una «tarea de RR. HH.». Es una parte fundamental de cómo gestionar su empresa de forma segura.

Si está empezando de cero, comience con la norma ISO 37002. Utilícela para crear el sistema principal. Después, añada la ISO 37301 para certificarse. No se limite a buscar primero un certificado. Si lo hace, tendrá muchos papeles pero un sistema que no funciona.

Lo que revelan los indicadores de referencia y las acciones sancionadoras de 2025

Silueta de un palacio de justicia neoclásico con vistas a un mapa plano de Europa con fronteras nacionales punteadas

Muchos sistemas de la UE aún no funcionan bien. Los informes muestran que las tasas de represalias en la UE duplican las de América del Norte. Además, se tardan 69 días en cerrar un caso en la UE, frente a los 19 días en los EE. UU. En 2025, el tribunal de la UE multó a cinco estados con 38 millones de euros por ser lentos en el seguimiento de las normas.

Las empresas de la UE reciben menos denuncias que las de los EE. UU. Una mayor parte de estas denuncias son anónimas. El personal de la UE también espera más tiempo antes de hablar. Esto demuestra que todavía falta confianza en el sistema.

Estas cifras demuestran que la confianza es el problema principal. La norma ISO 37002 ayuda a resolverlo. Tiene normas para que los líderes se comuniquen mejor. Las leyes de la UE son sólidas, pero el trabajo real es demasiado lento. Los indicadores de la norma ayudan a los consejos de administración a ver dónde están los fallos. Entonces pueden corregirlos para mejorar el sistema.

Las normas se están volviendo más estrictas. En marzo de 2025, el tribunal de la UE multó a cinco estados por retrasarse. Alemania recibió una multa de 34 millones de euros. Otros estados como Estonia y Hungría también fueron multados. Todos los estados tienen ya leyes en vigor, pero muchos aún no cumplen totalmente. Puede realizar un seguimiento de esto en nuestra lista de países europeos.

La norma ISO 37002 es voluntaria, pero resulta muy útil. No sustituye a la ley. En su lugar, le ayuda a convertir las normas legales en un sistema que funcione. Garantiza que reciba denuncias útiles y que las investigaciones sean justas. Crea un sistema en el que la gente confía realmente. La elección de seguirla es suya, pero los datos demuestran que es la mejor manera de tener éxito.

Actualizado el 2026-05-19

Damian Sawicki

Asesor jurídico en derecho mercantil y de propiedad intelectual. Escribe sobre legislación de denunciantes, la Directiva de la UE y procedimientos de denuncia.