Lo esencial de la Directiva de la UE para la protección de los Whistleblowers

El 7 de octubre de 2019, el Parlamento Europeo publicó la Directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, mejor conocida como la Directiva de Protección a Whistleblowers, que los países miembros deberán implementar totalmente antes del 15 de Mayo de 2021.

La idea de la directiva es garantizar la integridad física y profesional de aquellos individuos que reporten situaciones dañinas para el interés público, y evitar que el miedo a represalias desaliente a los whistleblowers y por lo tanto promueva –o, por lo menos, permita– el daño que querían prevenir. 

La directiva profundiza y trae un cambio significativo en la forma en que las organizaciones previenen y manejan problemas desde el lavado de dinero hasta la protección de datos. Aunque algunas compañías dentro de países miembros de la UE ya han establecido canales para reportar cualquier acto indebido, pocos de ellos monitorean el proceso y se aseguran que no haya ningún tipo de represalia profesional o personal hacia el whistleblower.

La directiva tiene tres puntos principales que deben ser entendidos por todas las organizaciones afectadas y sus miembros:

El largo alcance de las regulaciones

Primero, la directiva aplica a todas las organizaciones privadas con más de 50 empleados con ingresos anuales por encima de los 10 millones de euros, sea cual sea su actividad. 

Así, la directiva demuestra la tendencia del compliance de ir más allá del sector financiero –cuyas organizaciones tienen que cumplir aunque no tengan los requisitos antes mencionados– y convirtiéndose en una actividad económica en general.

Los negocios deben mantener a la delantera creando un área de cumplimiento, implementando todas las políticas que se puedan permitir aunque no estén obligados a hacerlo, y monitorear las tendencias regulatorias para prepararse para lo que se avecine. Asegurar buenas prácticas antes de que sean reguladas es una buena práctica en sí misma.

Lo básico sobre el whistleblowing

El artículo 13 de la directiva dicta que, para ser protegidos, los whistleblowers deben cumplir con dos condiciones: estar actuando de buena fe y usar los canales internos antes de hacer el caso público.

La primera se refiere, esencialmente, a que aquellos que denuncien deben tener unas bases razonables para asumir que la información que transmiten es de hecho una infracción de la ley de la UE que puede dañar el interés público.

La segunda establece que hacerlo público a los medios sea el último recurso, y será usado solo si los canales internos (la primera opción) o ir a las autoridades competentes (la segunda) fallan. Lo que lleva al siguiente punto: las compañías deben crear canales internos eficientes para procesar las denuncias.

La posible necesidad de un nuevo comité y la tecnología para manejarlo

El tercer punto tiene un enfoque más práctico para las organizaciones, y es sobre las implicaciones de gobernanza de la directiva. El artículo 4f establece que se debe crear un canal interno de denuncias que asegure la independencia y ausencia de conflictos de interés.

Mientras que en entidades pequeñas una persona es suficiente para manejar el canal de denuncias y sus funciones, organizaciones más grandes necesitarán crear un comité para procesarla y darles seguimiento, ya que las obligaciones no acaban al recibir el reporte.

El equipo o comité a cargo deberá confirmar el recibimiento dentro de los siguientes siete días, y dar respuesta al denunciante dentro de los siguientes tres meses. También deberán mantener y completar un registro fácilmente accesible de los procedimientos en caso de que sea necesario reportar a las autoridades competentes –es decir, los mismos países miembros.

Asegurarse del correcto funcionamiento de comités de denuncias no es trabajo fácil, ya que la investigación requerirá una serie de reuniones y acciones a ser completadas y documentadas, lo cual resultará en acciones futuras.

Para hacer esto al mismo tiempo en que se cumple con la documentación requerida de la directiva, la actividad del comité debe ser gestionada con una herramienta que le permita establecer una agenda apropiada para cada reunión y monitorear todas las tareas pasadas y ya realizadas, además de registrar el proceso de toma de decisiones.

Esta directiva no es la única que requiere un registro tan estricto, con comités relacionados con la prevención de crímenes, y auditoría interna debe afrontar estas demandas con tecnología. Mientras el número de comités requeridos siga creciendo, también lo hará la necesidad de las organizaciones de tener una herramienta adecuada para manejar estructuras gubernamentales cada vez más complejas.