Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







viernes, 14 de octubre de 2011

Líneas éticas: Sistemas internos de denuncias y la prevención del fraude interno




LÍNEAS ÉTICAS: SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”


En el estudio Global de PWC correspondiente a 2009 sobre delitos económicos, se indica que las LÍNEAS ÉTICAS DE DENUNCIA han contribuido a la detección de un 7% de los fraudes internos sobre la muestra analizada. Esta herramienta la han utilizado en España un 36% de las empresas encuestadas.

Los analistas de PWC ofrecen estos argumentos para justificar esta baja efectividad:
  1. En bastantes de las empresas encuestadas estos procedimientos no existen. Entre las empresas españolas encuestadas, un 64% no utilizan las líneas éticas o sistema formalizado de denuncias.
  2.  La inexistencia de los Buzones de Denuncias se puede deber a que:

a.       No tienen el necesario  respaldo dentro de las organizaciones.
b.      No se han publicitado convenientemente.
c.       A que los usuarios de las líneas éticas consideran que es un procedimiento inútil,  porque la alta dirección no lo tiene en consideración.

Para el trabajo operativo resulta evidente la utilidad de esta herramienta, porque sirve para prevenir y detectar el fraude corporativo y para promover los principios y valores éticos de las organizaciones.

Pero para que sea efectiva debe constituirse como un canal de comunicación confidencial y seguro, por el que los miembros de una organización puedan reportar a la alta dirección actos fraudulentos, situaciones anómalas y  conductas inadecuadas.

La forma del canal de comunicación puede ser muy variada, como por ejemplo:
  •  línea telefónica asistida por personal especializado
  •  línea telefónica automatizada que graba la denuncia
  •  aplicación que funcione a través de la Intranet de la empresa
  • aplicación que funcione  a través de Internet
  •  etc.

Cualquiera de  la forma elegida puede estar controlada por la empresa o por un tercero de confianza. En algunas empresas estos canales están abiertos también para clientes y proveedores.

Para evitar que los usuarios consideren esta herramienta inútil y por tanto pierda la efectividad que debería tener,
  • los denunciantes han de percibir que el sistema establecido por la empresa goza de integridad y confidencialidad
  •  tiene un acceso adecuado
  • y sobre todo, que existe realmente la voluntad de hacer el seguimiento de las denuncias reportadas.

La LÍNEA ÉTICA debe ser percibida dentro de la empresa como un canal que permite la comunicación directa entre los empleados y la alta Dirección, y que por tanto sirve para generar un clima de transparencia y un ambiente de control.

Este tipo de herramientas reducen la sensación de impunidad que a veces se percibe en algunas empresas,  derivada de la imposibilidad de poner en evidencia conductas no éticas de alguno de sus miembros.

Los Buzones de Denuncia sólo se justifican si previamente se ha creado dentro de la empresa una cultura antifraude de tolerancia cero, en la que se reconoce el valor del comportamiento ético, y se responde en forma decidida y apropiada cuando surgen los actos ilícitos. No son apropiados cuando en la empresa no existe la necesaria transparencia.

Junto con los beneficios señalados, en el informe del año 2008 de la Association of Certified Fraud Examiners se afirma que las empresas que poseen Líneas de Denuncia adelantan en un 60% el tiempo medio de conocimiento de fraude. Esto quiere decir que si una empresa sin línea de denuncia tarda en detectar y corregir una acción ilícita 24 meses, otra una con línea de denuncia lo hace en 15 meses.

Cuando la LÍNEA ÉTICA está bien implementada a través de una plataforma tecnológica adecuada, el tiempo de conocimiento y  corrección del fraude se reduce drásticamente, puesto que todo el proceso de investigación puede comenzar en  las 24 horas siguientes a la denuncia.

A partir de ese momento se ponen en funcionamiento los mecanismos tendentes a comprobar la veracidad de la información, y su resolución sólo depende de la complejidad del asunto y de los recursos invertidos en la verificación.

El Departamento de RR.HH es otro de los posibles beneficiados de esta herramienta,  porque bien utilizada  funciona como termómetro del clima laboral.

Implantar dentro de la empresa una LÍNEA ÉTICA requiere una buena planificación, que vamos a simplificar en algunos pasos:
  1. Definición de una Política de Prevención Penal y contra el Fraude, partiendo de las nuevas obligaciones de cumplimiento derivadas de la responsabilidad penal de las personas jurídicas (Art. 33 bis del Código Penal).
  2. Esta política ha de tener como objetivo establecer dentro de la empresa una cultura de tolerancia cero contra el fraude interno en el concepto amplio que estamos estudiando.
  3. Dentro de esta cultura de tolerancia cero, la Administración ha de anunciar los objetivos de un programa de línea ética y la razón para implementarlo.
  4. Cada empleado debería recibir una carta o comunicado anunciando el programa, junto con la información sobre su funcionamiento técnico y operativo.
  5. Este programa debe darse a conocer a los empleados en reuniones, y aparecer en los tablones de avisos de todas las áreas de trabajo.
  6. Este programa debe referenciarse en los contratos de trabajo de los nuevos empleados y en su período de formación.    

Resulta necesario que en la formación que se de a los empleados se expliquen adecuadamente los tipos de asuntos que pueden reportarse a la alta dirección a través de esta herramienta, y el proceso que se generará tras la recepción, al mismo tiempo que se forma a los empleados y directivos en la Política de Prevención Penal y contra el Fraude. De esta manera la empresa estará desarrollando entre los miembros de la organización la sensibilidad necesaria para conocer en profundidad lo que significa el fraude interno en el sentido amplio que estamos estudiando, y aprenderán a utilizar esta herramienta de forma oportuna y racional.


Las LÍNEAS ÉTICAS DE DENUNCIA (BUZONES DE DENUNCIAS), comenzaron a generalizarse en las empresas de todo el mundo a partir de la entrada en vigor en EE.UU. de la Ley Sarbanes-Oxley, en la que se prevé el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como “whistleblowing procedures”, a fin de detectar posibles irregularidades financieras y contables en las empresas. Estos buzones son obligatorios, según esa Ley, para todas las empresas que cotizan en algún mercado de valores norteamericano.

Fuera de EE.UU. la exigencia de esta Ley puso en guardia a las distintas autoridades nacionales de protección de datos, puesto que estas líneas éticas o buzones de denuncias eran receptoras de datos de carácter personal muy sensibles, y  que, por tanto, exigían una especial protección.

En la Unión Europea se quiso dar una respuesta uniforme a la exigencia de esta Ley, puesto que afectaba a numerosas empresas europeas que ya cotizaban o deseaban cotizar en los Mercados de Valores de los Estados Unidos y, a este fin se reunieron en el año 2006 los máximos representantes de las Autoridades de Protección de Datos de la Unión, pertenecientes al grupo consultivo denominado “GRUPO DEL ARTÍCULO 29”, quienes emitieron una OPINIÓN sobre los requisitos legales que habilitarían el tratamiento de ficheros con denuncias anónimas en las empresas.

La OPINION de este Grupo establece que pueden existir dos fundamentos legales para que la aplicación de los sistemas de denuncias confidenciales se realice de acuerdo a la Directiva europea de protección de datos:
  1.  la existencia una ley o
  2.  un interés legítimo.

La Opinión del Grupo del Artículo 29 estableció también que estos sistemas debían limitarse a las actividades relacionadas con los sectores financieros y de contabilidad, sin extenderse a otros ámbitos. Y que el tratamiento de ficheros con denuncias anónimas debía respetar los principios de las leyes de protección de datos, como son los de calidad de los datos y de información, así como los derechos de acceso, rectificación y cancelación.

La AEPD, en relación con la OPINIÓN del Grupo, interpretó en su Nota Informativa publicada ese mismo año, que este tratamiento de datos podría justificarse por ser necesario para el desarrollo de la relación contractual entre los trabajadores y su empresa. (Interés legítimo).

Como podemos observar, la parte más delicada de las LÍNEAS ÉTICAS, es la relacionada con la protección de los datos de carácter personal que se mueven a través de las mismas, por lo concluiré este trabajo con la posición pública de la AEPD sobre el tema, lo que sin duda ayudará a dar seguridad jurídica a aquellas empresas que quieran impulsar algún sistema interno de denuncia.

Para ello utilizaré la “Guía de la protección de datos en las relaciones laborales” publicada por la Agencia en el año 2009.

La Agencia define los SISTEMAS INTERNOS DE DENUNCIAS O “WHISTLEBLOWING”, como buzones internos a través de los cuales los empleados de la compañía, generalmente mediante un procedimiento online, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de la empresa, llevadas a cabo por empleados o auditores de las empresas.

Y admite que el establecimiento de estos sistemas podría ser conforme a las normas de protección de datos, siempre que se adecúen a los principios establecidos en esta normativa.

Para ello establece los siguientes criterios:
  • Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de las consecuencias que para el denunciado puede comportar este hecho.
  • Esta información previa se podrá implementar en el contrato de trabajo o cuando se contrate un servicio externalizado, como una auditoria, y quepa la denuncia respecto de los contratados.
  • Otra forma admitida de información previa puede hacerse a través de circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.
  • Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos de la que el interesado, tanto el denunciante como el denunciado, deberá ser debidamente informado. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del Grupo.
  • En todo caso, la existencia de estos buzones debería respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas legales o contenidas en códigos internos de conducta a las que las denuncias podrán referirse.
  • Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado.
  • Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.
    • Limitando  el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad
    • Estableciendo un sistema de registro de accesos, aún cuando no corresponda aplicar las medidas de nivel alto del RLOPD
    • Estableciendo la firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.
  • La conservación del dato debería limitarse al tiempo necesario para la investigación de los hechos y sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.
  • Deberán garantizarse los derechos de acceso, rectificación, cancelación y oposición por parte del denunciado, sin que ello implique facilitar a aquél el dato del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho denunciado a fin de poder defender debidamente sus intereses.
  • Los ficheros creados en el marco de estos sistemas deberán ser notificados al Registro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse las transferencias internacionales de los datos que vayan a llevarse a cabo.



Fabián Zambrano Viedma
Responsable del Servicio de Prevención del Fraude