"La luz del sol es el mejor desinfectante". La frase, pronunciada por Jack Welch, no pretendía ser una máxima filosófica sin más. Lo que quería argumentar el primer espada de General Electric es que el código ético que elaboró su empresa tenía todo el sentido del mundo. Porque recopilar negro sobre blanco las actitudes que deben cumplir y evitar los empleados de una empresa y cómo actuar ante una irregularidad no debe tomarse a la ligera. Y ninguna empresa está exenta de pecado.
De líneas éticas y códigos de conducta versó el Observatorio organizado recientemente en Madrid por KPMG en colaboración con elEconomista. Una cita en la que se aclaró la importancia de estos documentos y cómo pueden aplicarse en las empresas.
Alain Casanovas, socio del Área Legal de KPMG Abogados, puso en contexto al explicar que los canales de denuncia asociados con Códigos Éticos comenzaron a aplicarse para detectar irregularidades financieras. "En España es una recomendación del Código Conthe", añadió. Hoy estos principios los aplican principalmente, dijo, los grupos cotizados en EE.UU. y sus filiales, y las compañías españolas con código de buen gobierno. Aunque eso no significa que solo a ellas les afecta. "Para muchas es un método para controlar ciertos tipos de procesos", dijo.
Es el elemento de control de más alto nivel del que disponen las compañías para orientar las buenas prácticas y para prevenir, detectar y erradicar irregularidades, pero no es suficiente. "Enron tenía también código ético, pero guardado en un cajón", matizó Ramón Pueyo, director de Global Sustainability Services de KPMG en España.
Pueyo recordó que en 2008 más del 90 por ciento de las mayores compañías del mundo contaban con uno. Y entre las 200 mayores, iban más allá del propio código de conducta, con recomendaciones que reflejaban lo que los los empleados deben hacer en relación con el ámbito financiero, las relaciones con las personas y otros aspectos empresariales.
Pero como decíamos, no es suficiente. Para Pueyo, no se trata solo del documento. Hay que comunicarlo. "Es importante que nadie pueda alegar ignorancia, porque nadie está libre de la aparición de irregularidades. Y los datos indican que la prevalencia de malas prácticas decrece en la medida en que éstas han incorporado programas de ética", declaró.
En España, apuntó, la responsabilidad de este código se asigna a un comité de alto nivel (Recursos Humanos, Asesoría Jurídica, auditoría). Este comité cctúa como receptor de las denuncias pero no tiene potestad para solucionarlas. Aun así, dijo, no esperen un aluvión de denuncias por irregularidades. Los datos revelan que la ratio de comunicaciones suele ser una por cada 200/250 empleados. Un matiz importante del que dejó constancia este ponente es que si bien es importante comunicar no lo es menos responder. "Es quizá el concepto más relevante", aclaró.
Protección de datos
A Amaya García, asociado de KPMG Abogados, le tocó hablar sobre la legalidad en la regulación de la Línea Ética. Para hablar de líneas éticas, anticipó, es fundamental conocer la LOPD, ya que de esta ley depende el correcto funcionamiento del proceso desde que se comunica una denuncia hasta que se resuelve: "Además del canal de denuncia, un figura importante que suele aparecer en algunas organizaciones es la del ombudsman, que sería el encargado del tratamiento de denuncias, por lo que tendría que suscribir el correspondiente acuerdo con la matriz o con cada una de las entidades".
¿Qué acciones se deben realizar al crear un canal de Línea ética ? García formuló varias preguntas y dio la respuesta. En su opinión, si se van a tratar datos personales hay que declarar la del fichero a la AEPD, al denunciante hay que informarle en el momento de la comunicación y al denunciado en un máximo de tres meses. También recomendó que no se admitan denuncias anónimas, que se eliminen de forma inmediata los datos no pertinentes y las denuncias falsas e inexactas.
No menos importante que la protección de datos es la seguridad de esa información. Por eso Pedro Feu e Ignacio Bruna basaron su intervención en los elementos básicos que deben conformarla. "Debería ser un canal almacenado en un medio seguro y no modificable que pueda ser gestionado desde distintos medios donde los empleados pueden denunciar de manera anónima", comentó Pedro Feu, gerente de IT Advisory de KPMG en España. "Es importante disponer de controles para mitigar el riesgo, ya que nos encontramos con amenazas como el phising, la suplantación de identidad, e incluso Anonymous".
Bruna, también gerente de IT Advisory, desgranó los principales riesgos en la seguridad de la información: confidencialidad, disponibilidad, anonimato, integridad, privacidad.
En todo caso, recalcaron la importancia de ser cuidadosos para evitar la estigmatización del denunciado. "Si se contrata de forma voluntaria que se haga bien, o puede ser contraproducente", explicó Feu.
Alain Casanovas, durante su intervención, resaltó que el binomio política-control es fundamental. "En las grandes empresas el problema es que existen estos procedimientos pero no se conocen; y aunque se conozcan, no podemos acreditar que los empleados la conocen y están sujetos a ellas", dijo. "Las políticas dicen el qué, lo que la organización espera de ti. Los procesos dicen el cómo. El canal de denuncia tiene dos finalidades: informativa y resolutiva", añadió.
Explicó los pasos del procedimiento. En primer lugar se recibe la denuncia, después se realiza el análisis inicial y una vez validado se elabora un informe preliminar. Se investiga, si existen evidencias suficientes hay que considerar informar a las autoridades y se resuelve, siempre validado por un órgano superior. "Es un proceso confidencial en el que hay que garantizar que no haya represalias", dijo.
Susana Pizarroso fue la encargada de explicar los aspectos laborales que se tienen que tener en cuenta en la obtención de evidencias. Para su argumentación se sirvió de una sentencia del Tribunal Supremo y desgranó los requisitos específicos que deben observarse en el poder de control del empresario para no vulnerar el derecho a la intimidad del trabajador.
El primero es que las herramientas tecnológicas son herramientas de trabajo, y no efectos personales del trabajador, por tanto susceptibles de control por el empresario. En segundo lugar, es preciso que se establezcan, con carácter previo, las reglas de uso de los medios de producción, indicando las prohibiciones absolutas o parciales de uso privado. El tercer requisito es que se informe a los trabajadores de la existencia de mecanismos de control sobre su uso y los medios que se emplearán para comprobar su correcta aplicación. Por último, recordó que el control debe hacer referencia a tiempos y páginas visitadas por el trabajador.
Javier García Chappell, gerente de KPMG Forensic, acabó la jornada con una ponencia de cine. Porque no es habitual que entre abogados y consultores se hable de investigación forense, identificar la escena, capturar evidencias, preservar, analizar y presentar resultados. Para ello son necesarias herramientas especificas de análisis forense (de correo electrónico y archivos, eliminación de información duplicada, indexación, e-Discovery (descubrimiento electrónico).
