En el nuevo marco europeo de sostenibilidad y transparencia corporativa, la Directiva sobre Reporte de Sostenibilidad Corporativa (CSRD) refuerza el papel de los canales internos de denuncia como herramientas clave para detectar riesgos y garantizar el cumplimiento normativo.
Las empresas no solo deben informar sobre su impacto social y medioambiental, sino también establecer mecanismos eficaces para prevenir y corregir irregularidades antes de que deriven en daños reputacionales o sanciones legales.
Detección de impactos y obligación de disponer de canales internos
La Directiva CSRD establece que las organizaciones deben identificar los efectos adversos reales o potenciales sobre los derechos humanos y el medio ambiente derivados de sus propias actividades. Para ello, las empresas deberán disponer de canales de denuncia internos que permitan comunicar irregularidades con seguridad y confidencialidad.
Esta exigencia conecta directamente con el artículo 31 bis 5 del Código Penal español, la Norma UNE 19601:2017 y la Ley 2/2023 de Protección del Informante, así como con las directivas y estándares internacionales:
-
Directiva (UE) 2019/1937 sobre protección de las personas que informen sobre infracciones del Derecho de la Unión: Ver documento
-
Ley 2/2023 de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción: Ver documento
-
ISO 37002:2021 sobre sistemas de gestión de denuncias: Ver estándar
Estas normas buscan proteger tanto a los informantes como a otras personas de su entorno que puedan sufrir represalias por comunicaciones realizadas de buena fe.
Protección al denunciado y gestión responsable de las investigaciones
La normativa también reconoce que existen casos de mal uso de los canales de denuncia, como denuncias falsas que buscan perjudicar a otros. Por ello, el estándar ISO 37002:2021 introduce un concepto más amplio: el de los "sujetos de la denuncia", es decir, todas las personas que pueden verse afectadas por una comunicación, no solo el denunciado principal.
Esta norma internacional exige que se garantice la presunción de inocencia, la confidencialidad de las investigaciones y una comunicación continua con las personas implicadas.
Además, recomienda formar a los responsables de los canales internos para reconocer y gestionar adecuadamente estas situaciones, evitando que un mecanismo de buen gobierno corporativo se convierta en un instrumento de calumnia o perjuicio personal.
Protección de datos personales y limitaciones del estándar ISO
El estándar ISO 37002 aborda la protección de datos personales de forma general, por dos motivos principales:
Subordinación a la legislación nacional
Los estándares ISO no pueden establecer plazos o regulaciones específicas, ya que esto corresponde a los legisladores de cada país.
Diversidad regulatoria internacional
Aunque en Europa rige el Reglamento (UE) 2016/679 (RGPD), muchos países carecen de normativas equivalentes, por lo que el estándar evita fijar criterios que puedan entrar en conflicto con otras legislaciones.
De esta manera, la ISO 37002 se centra en los principios operativos —confianza, imparcialidad y protección— dejando la definición técnica de los plazos y procesos a las leyes nacionales aplicables.
¿Necesitas implementar un canal de denuncias en tu empresa?
Nuestro equipo de expertos puede ayudarte a establecer un sistema de denuncias que cumpla con todas las normativas vigentes y proteja tanto a informantes como a denunciados.
Empezar ahora
Gabriel Roca
CEO de Intelligence Aware SL
Grado en Derecho. Máster en derecho de la empresa y actividad agroalimentaria. Especialista en derechos de autor.
LinkedIn