Investigaciones Internas: de la Denuncia a la Solución con Plena Garantía Jurídica

La investigación interna corporativa es el proceso estructurado mediante el cual una empresa examina, con metodología jurídica y forense, los hechos denunciados a través de su canal de informante (Ley 2/2023 de protección de las personas que informen sobre infracciones normativas) o detectados por cualquier otro mecanismo de control interno —auditoría interna, alertas de compliance, incidentes de ciberseguridad o denuncias ad hoc. Su correcta ejecución es un requisito del programa de compliance penal eficaz según el artículo 31 bis del Código Penal y un estándar exigido por la jurisprudencia del Tribunal Supremo para que dicho programa pueda exonerar o atenuar la responsabilidad penal de la persona jurídica.

Investigaciones internas Ley 2/2023: la diferencia entre tramitar una denuncia e investigarla de verdad

La Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas —transposición de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo— establece obligaciones concretas de tramitación para el responsable del Sistema Interno de Información: acuse de recibo en 7 días, resolución o informe en 3 meses (prorrogables a 6 en casos complejos). Pero la ley va más allá de los plazos: exige que las denuncias se investiguen real y eficazmente, con independencia del resultado. Las empresas que acusan recibo de las denuncias y archivarlas sin investigar están técnicamente incumplidoras y asumen el riesgo de que la AIPI —Autoridad Independiente de Protección del Informante, creada por la propia ley— considere la conducta como obstrucción a la investigación, infracción tipificada como muy grave con multas de hasta 1.000.000 €.

El error más frecuente que encontramos en auditorías de sistemas de información es la confusión entre la tramitación administrativa de la denuncia (asignar número de expediente, enviar acuse de recibo, cerrar en plazo) y la investigación real de los hechos denunciados. Un canal de denuncias que tramita formalmente pero no investiga de verdad es un sistema que no cumple la función para la que fue diseñado: detectar y corregir irregularidades antes de que causen daño mayor, y documentar que el programa de compliance funciona en la práctica.

Cadena de custodia digital en investigaciones internas: por qué sin ella las evidencias no valen en juicio

La mayoría de las irregularidades corporativas dejan un rastro digital: correos electrónicos, mensajes en aplicaciones de mensajería corporativa, registros de acceso a sistemas financieros, logs de transferencias, documentos en sistemas de gestión documental. La evidencia digital es frágil: puede ser modificada, eliminada o sobrescrita sin dejar rastro visible. Si la empresa no actúa con rapidez y metodología correcta en el momento en que se detecta la irregularidad, las pruebas más relevantes pueden desaparecer de forma irreversible.

La cadena de custodia digital es el conjunto de procedimientos que garantizan la autenticidad, integridad y fiabilidad de la evidencia electrónica desde su identificación hasta su eventual presentación ante un tribunal. En la práctica, implica la aplicación del estándar ISO/IEC 27037:2012 (Directrices para la identificación, recopilación, adquisición y preservación de evidencias electrónicas): generación de hash criptográfico de cada archivo en el momento de su obtención para detectar cualquier modificación posterior, registro fehaciente de la fecha y hora de adquisición, almacenamiento en sistemas de solo lectura con control de acceso auditado, y documentación detallada del estado de la evidencia en cada fase del proceso.

Sin una cadena de custodia correctamente documentada, el sujeto investigado —o, en un proceso penal posterior, su defensa— puede impugnar con éxito la autenticidad de las evidencias digitales presentadas, argumentando que pudieron ser alteradas o fabricadas después de los hechos. Esta impugnación, si prospera, puede colapsar la investigación completa. Nuestro protocolo de preservación de evidencias se activa desde la primera hora de la investigación, antes de realizar cualquier entrevista o revisión documental que pudiera alertar al investigado.

Investigación interna y proceso penal: cómo gestionar la transición sin destruir las pruebas

Cuando la investigación interna revela hechos que pueden constituir delito, la empresa se enfrenta a una de las decisiones más complejas del derecho corporativo: si presenta denuncia o querella ante las autoridades penales, qué momento es el más adecuado, y cómo preservar la evidencia generada durante la investigación interna de forma que sea admisible como prueba documental en el proceso penal.

Los delitos corporativos más frecuentemente detectados en investigaciones internas en España incluyen la administración desleal (art. 252 CP), la apropiación indebida (art. 253 CP), la estafa (art. 248 CP), el delito fiscal (art. 305 CP), los delitos contra la Hacienda Pública en su vertiente de defraudación fiscal (arts. 305 y ss. CP), el cohecho activo y pasivo (arts. 286 bis y ss. CP cuando involucra a particulares en el ámbito de los negocios, arts. 419 y ss. CP cuando involucra a funcionarios públicos), y el blanqueo de capitales (art. 301 CP).

La coordinación entre la investigación interna y el proceso penal plantea tensiones reales. La investigación interna no es un proceso con garantías penales —el investigado no tiene derecho a guardar silencio en el sentido procesal, ni a ser asistido por abogado de oficio, ni a que sus manifestaciones sean confidenciales— y, si los materiales de la investigación interna se utilizan en el proceso penal sin las precauciones adecuadas, pueden ser impugnados como prueba nula por haberse obtenido sin las garantías del proceso. Nuestro equipo, con la participación de Raúl Herrera García como Of Counsel, diseña el protocolo de coordinación entre las dos fases —interna y judicial— para maximizar la utilidad de la evidencia obtenida y minimizar el riesgo de nulidades procesales.

Derechos del investigado y del denunciante: el equilibrio que determina si el proceso resiste el escrutinio judicial

Una investigación interna está diseñada para encontrar la verdad de los hechos, no para condenar al investigado antes de que se hayan evaluado todas las pruebas. Este principio, aunque obvio cuando se enuncia, es violado con frecuencia en investigaciones corporativas que están implícitamente orientadas a confirmar la culpabilidad de alguien que la dirección ya considera responsable antes de abrir el expediente.

Desde la perspectiva del denunciante, la Ley 2/2023 establece un régimen de protección robusta. Los artículos 16 y 17 garantizan la confidencialidad de su identidad, con prohibición expresa de represalias y presunción legal de que cualquier medida perjudicial posterior —despido, cambio de condiciones, exclusión de ascensos— es represalia salvo prueba en contrario. Esta inversión de la carga de la prueba es significativa: en la práctica, la empresa debe documentar que las medidas adoptadas respecto al informante tienen una causa objetiva completamente independiente de la denuncia. El personal directivo que toma medidas perjudiciales contra un informante puede incurrir en responsabilidad personal además de la responsabilidad corporativa.

Desde la perspectiva del investigado, los principios de contradicción y audiencia exigen que, en el momento adecuado del proceso —no necesariamente al inicio, cuando puede comprometer la preservación de evidencias— sea informado de los hechos que se le atribuyen y tenga oportunidad real de presentar su versión y las pruebas que estime pertinentes. Si se adoptan medidas disciplinarias —suspensión de empleo y sueldo, despido— sin seguir el procedimiento del Estatuto de los Trabajadores (art. 55 ET para el despido disciplinario, con exigencia de carta detallando los hechos) y sin respetar los derechos del trabajador, las medidas serán nulas o improcedentes en sede laboral, con independencia de que los hechos investigados sean reales y graves.

Investigaciones internas en el programa de compliance penal del artículo 31 bis CP: jurisprudencia del Tribunal Supremo

El artículo 31 bis del Código Penal, en la redacción dada por la Ley Orgánica 1/2015, establece que la persona jurídica quedará exenta de responsabilidad penal si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente modelos de organización y gestión que incluyan las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión.

La jurisprudencia del Tribunal Supremo —especialmente la STS 154/2016, de 29 de febrero, y las sentencias posteriores que la desarrollan— ha precisado los requisitos que debe cumplir el programa de compliance para tener efectos exoneradores: identificación de las actividades en cuyo ámbito pueden ser cometidos los delitos que se tratan de prevenir (mapa de riesgos penales), establecimiento de protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica en relación a aquellos y de adopción y ejecución de decisiones (controles), modelos de gestión de los recursos financieros adecuados para impedir la financiación de actividades delictivas, obligación de informar de posibles riesgos e incumplimientos al organismo de supervisión del modelo, sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas establecidas en el modelo, y verificación periódica del modelo con su eventual modificación cuando se pongan de manifiesto infracciones relevantes o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

El sexto requisito —verificación periódica del modelo con modificación cuando se detecten infracciones relevantes— es precisamente donde encajan las investigaciones internas. Un programa de compliance que nunca ha investigado nada, que recibe denuncias y las archiva sin consecuencias, no está verificando periódicamente ni modificando su modelo ante infracciones detectadas. Esta deficiencia, documentada en el expediente judicial, es suficiente para que el tribunal concluya que el programa es un documento formal sin contenido real, y deniegue la exoneración.

Nuestro protocolo de investigación interna: fases y entregables

El proceso de investigación interna que aplicamos está estructurado en fases secuenciales que aseguran la integridad del proceso y la calidad de los entregables:

Fase 1 — Activación y triaje (primeras 48 horas). Evaluación de la denuncia o alerta: verosimilitud, gravedad, urgencia. Designación del equipo investigador. Adopción de medidas cautelares inmediatas si son necesarias: preservación de logs y sistemas, suspensión de accesos, separación funcional del investigado. Apertura formal del expediente con acta fechada.

Fase 2 — Plan de investigación (días 3-7). Determinación del alcance: hechos a investigar, personas a entrevistar, documentación a revisar, sistemas a analizar. Protocolo de custodia de evidencias con designación del custodio. Estimación de plazos y recursos. Comunicación al informante del inicio de la investigación (cumplimiento art. 9 Ley 2/2023).

Fase 3 — Recopilación y preservación de evidencias (semanas 1-3, variable según volumen). Preservación forense de evidencias digitales: hash, imagen forense de dispositivos cuando es necesario, exportación certificada de correos y registros. Recopilación de documentación relevante. Revisión de registros financieros, contables y de control interno.

Fase 4 — Entrevistas (semanas 2-4, solapadas con Fase 3). Entrevistas al denunciante (si se ha identificado), testigos y personas con conocimiento relevante. Entrevista al sujeto investigado en fase posterior, con información de los hechos que se le atribuyen y oportunidad de presentar sus descargos. Todas las entrevistas se documentan con acta y se obtiene la firma del entrevistado confirmando el contenido.

Fase 5 — Análisis e informe (semanas 3-8, variable). Contraste de evidencias documentales con testimonios. Análisis jurídico de los hechos detectados: calificación penal, laboral y disciplinaria. Redacción del Informe Final con exposición de hechos, análisis jurídico, conclusiones y recomendaciones. Presentación al órgano de cumplimiento y, si es relevante, al Consejo de Administración.

Fase 6 — Decisión y seguimiento (tras entrega del informe). Asesoramiento en la toma de decisiones: medidas disciplinarias, escalado penal o laboral, comunicación a autoridades regulatorias si es aplicable, mejoras en el sistema de control interno. Seguimiento de la implementación de las recomendaciones y documentación del cierre del expediente.

Cuándo recurrir a un investigador externo independiente

La decisión de si la investigación debe ser conducida por el equipo interno de compliance o por un investigador externo independiente depende de varios factores: el rango del investigado (a mayor jerarquía, mayor necesidad de independencia), el grado de conflicto de interés potencial del equipo interno, la sensibilidad política interna del asunto, y la probabilidad de que la investigación desemboque en proceso judicial.

Como regla general, recomendamos investigador externo cuando el investigado es miembro del Consejo de Administración, Director General u otro directivo del primer nivel; cuando los hechos denunciados afectan al propio equipo de compliance o al DPO; cuando existe riesgo real de proceso penal; o cuando la investigación afecta a la relación con inversores, reguladores o autoridades públicas cuya percepción de independencia del proceso es relevante.

BMC actúa como investigador externo independiente con la solvencia técnica del equipo de Bárbara Botía (compliance penal y regulación) e Ínés Romero (compliance y protección de datos), con la participación de Raúl Herrera García (of counsel en derecho penal económico y concursal) en los asuntos con riesgo penal significativo.

Sectores con mayor exposición a investigaciones internas

Ciertos sectores presentan un perfil de riesgo elevado que hace que las investigaciones internas sean más frecuentes y más complejas:

Sector financiero y asegurador. Las entidades sujetas a la supervisión del Banco de España y la CNMV están obligadas a mantener sistemas de control interno robustos. La DORA (Reglamento (UE) 2022/2554) añade obligaciones específicas de gestión de incidentes y notificación. Las investigaciones internas de fraude, blanqueo, manipulación de mercado o abuso de información privilegiada requieren coordinación con la CNMV y, frecuentemente, con el Ministerio Fiscal.

Sector construcción y contratas públicas. Los delitos de cohecho en concursos y contratos públicos (art. 286 bis CP y arts. 419 y ss. CP), la malversación de fondos en contratos financiados con fondos públicos, y las irregularidades en la gestión de costes en obras son los vectores de riesgo más frecuentes. La investigación requiere análisis forense de contabilidad de costes y de los procesos de licitación.

Grupos multinacionales con actividades en jurisdicciones de alto riesgo. La Foreign Corrupt Practices Act (FCPA) norteamericana y el UK Bribery Act imponen obligaciones extraterritoriales a empresas con nexo con sus jurisdicciones, con estándares de investigación interna más exigentes que los de la normativa española.

Sector sanitario y farmacéutico. Los conflictos de interés en la relación con profesionales sanitarios, los incentivos en la prescripción de medicamentos, y las irregularidades en ensayos clínicos son áreas de especial sensibilidad, con supervisión de la AEMPS y riesgo de responsabilidad penal bajo el art. 286 bis CP.

Honorarios y modalidades de contratación

El servicio de investigación interna se presta en dos modalidades según las necesidades de la empresa:

Investigación completa con fee cerrado. Para investigaciones de alcance definido —denuncia concreta, hechos acotados— emitimos un presupuesto cerrado que incluye todas las fases del proceso: triaje, plan de investigación, preservación de evidencias, entrevistas, análisis e informe final. El presupuesto se establece tras una reunión inicial de evaluación del alcance, sin coste para la empresa.

Servicio de retención. Para empresas con alto volumen de denuncias o necesidad de capacidad de respuesta rápida, ofrecemos un contrato de retención que garantiza disponibilidad del equipo investigador en un plazo máximo de 24 horas desde la activación, con un fee mensual que incluye un número acordado de horas y tarifas reducidas para el exceso. Este modelo es el más adecuado para empresas con canal de denuncias externalizado a BMC, donde la investigación interna y la gestión del canal son parte del mismo proceso integrado.

En ambos casos, si la investigación requiere análisis forense digital especializado —imagen de discos, análisis de memoria RAM, peritaje de dispositivos móviles— coordinamos con los proveedores especializados de nuestra red, con quienes tenemos acuerdos de confidencialidad y niveles de servicio específicos para entornos corporativos.