“En cualquier organización, privada o pública, grande o pequeña, pueden registrarse actividades ilícitas y abuso de derecho, que pueden adoptar formas diversas, como corrupción, fraude, prácticas abusivas de empresas o negligencia, y que si no se resuelven pueden ocasionar graves perjuicios al interés público”, así comienza la justificación de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, que obliga a los estados miembros a trascribir las leyes nacionales pertinentes. En este sentido, como todos ya conocemos, la legislación española consolidó la Ley 2/2023, de 20 de febrero, por la cual se regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Entrando en la ley, podemos sacar diez obligaciones y características que debe cumplir el SII (Sistema interno de información) en cada organización:
- Contar con un responsable del sistema
- Contar con una política y estrategia debidamente publicitada
- Contar con un procedimiento de gestión
- Permitir comunicar información sobre infracciones
- Seguro: Confidencial e impidiendo el acceso de personal no autorizado
- Permitir presentarlas por escrito o verbalmente (o ambos modos)
- Integrar los distintos canales internos
- Garantizar que se puedan gestionar de manera efectiva
- Ser independiente y aparecer diferenciado
- Establecer garantías para la protección del informante
Todas ellas por separado parecen de fácil cumplimiento, pero ¿qué sucede si intentamos cumplir todas con un mismo sistema? Parece complicado…
Los tres primeros requisitos parecen de fácil gestión por parte del departamento jurídico de la compañía, o un gestor externo en su caso, pero ¿qué pasa con el resto de obligaciones?
Podemos pensar que el punto de entrada de las comunicaciones por parte de los informantes sea una cuenta de correo electrónico que creemos para esa finalidad o la dirección de correo postal, pero ¿es seguro? ¿es confidencial? ¿vamos a gestionarlo de manera efectiva? Parece que la respuesta es negativa.
También tendemos a pensar que podemos resolver la situación poniendo un formulario en nuestra web. “¡Total, entrará una o ninguna denuncia!” Con este formulario ¿aseguramos las garantías del informante? ¿Permitimos que se haga verbalmente? Lo cierto es que no, seguimos incumpliendo los requisitos que nos exige la norma.
Entonces podemos pensar “ponemos una línea telefónica en nuestra centralita y problema resuelto”. Pero en este caso, con la voz se puede reconocer al informante con lo cual no se respetaría la anonimización.
Llegado a este punto creo que ya tenemos claro que es necesario utilizar un software específico. Ahora solo nos surge el dilema de cuál escoger. Para mi, un buen aplicativo debe contar con los siguientes requisitos:
- Multientidad: Especialmente si es un grupo de empresas.
- Contar con certificaciones tanto a nivel de software como de servicio cloud (ENS, ISO 27000-1, ISO 27017, ISO 27018).
- Disponibilidad del servicio (TIER III).
- Permitir la personalización: Workflows a medida y tipologías. El software se tiene que adaptar a la compañía, no al contrario.
- Funcionalidades de seguridad: Encriptado de datos, doble factor de autentificación, registro de acciones y trazabilidad, resolución de conflicto de intereses, roles y permisos; no emplear fuentes externas al sistema, etc.
- Permitir la explotación de la información. Informes personalizados y reporte a la Autoridad Independiente del Informante.
- Asegurar la anonimización, eliminando los metadatos de los documentos que el informante anexa a la denuncia.
Nuestro software en SaaS, Xperta, cumple con todas las recomendaciones y es cien cien seguro. Y tú, ¿te animas a probarlo?
Pedro Fernández
CTO en ASAC