Las investigaciones internas corporativas se han consolidado, en la última década, como uno de los instrumentos más relevantes de los sistemas de compliance, control interno y gobernanza organizacional. Al respecto, recordemos que las buenas prácticas de compliance se centran en 3 grupos de actividades que yo llamo “momentos del programa”: Preventivo (implementar un código de comportamiento y unas políticas de integridad corporativa, capacitar, comunicar, sensibilizar sobre estas pautas de conducta, instalar determinados controles preventivos); Detectivo (recibir reportes mediante canales de denuncia, y otros controles detectivos); Reactivo (investigar, imponer medidas disciplinarias y mejorar procesos y controles).

Y algo sucedió durante los últimos 2 años en la Región: las organizaciones comenzaron a advertir que sus programas de compliance estaban incompletos sin investigaciones. Las mismas funciones de auditoría interna, al revisar sus prácticas de cumplimiento centraron sus cañones en la falta de investigaciones como motor de reacción y mejora continua de sus programas de compliance.

Las investigaciones no solo se ocupan de esclarecer hechos puntuales, sino que cumplen un rol estructural en la prevención de ilícitos, en la mitigación de responsabilidad legal y en la construcción de un clima organizacional basado en una cultura de integridad. Sin embargo, el creciente protagonismo de estas investigaciones ha venido acompañado de un riesgo silencioso: el desconocimiento y hasta “ninguneo” de sus principios rectores.

Uno de ellos, la confidencialidad suele ser mencionada como un rito, pero aplicada de forma deficiente. He hablado en numerosos foros respecto de la trascendencia del concepto de confidencialidad. No se trata de tan solo un atributo accesorio ni una mera garantía procedimental, sino una condición sin ecuanon de poder llevar a cabo la investigación interna misma. Allí donde la confidencialidad se erosiona, la investigación pierde capacidad técnica, legitimidad jurídica y eficacia empírica. En cambio, donde se la respeta de manera metódica y consciente, la verdad que toda investigación persigue tiene mayores probabilidades de emerger.

Dada esta situación, el presente artículo pretende abordar tanto las buenas prácticas corporativas, como así también los marcos legales de Argentina, Estados Unidos y la Unión Europea, sin reconocer con especial énfasis a la ISO/TS 37008:2023 sobre investigaciones internas, a prácticas corporativas avanzadas que día a día utilizamos junto a nuestros clientes, y a la literatura especializada en integridad, compliance e investigaciones internas.

La citada norma 37008 (de aplicación voluntaria), y direccionada específicamente a las investigaciones internas en las organizaciones, identifica el atributo de confidencialidad como uno de los cinco principios rectores del proceso investigativo, junto a otros como la independencia, la competencia profesional, la objetividad, la legalidad y la ética. Este lugar relevante no es casual ni meramente de forma. La norma parte de la premisa de que toda investigación interna implica el tratamiento de información sensible por naturaleza, cuya divulgación sin cuidado puede afectar derechos de las personas, contaminar la evidencia y comprometer la finalidad misma del proceso investigativo.

Desde una mirada epistemológica, la confidencialidad se desempeña como un mecanismo de “reducción de ruido”. La investigación interna busca reconstruir hechos pasados a partir de conversaciones, documentos y registros. Cuando la información se dispersa sin control dentro de la organización, los testimonios tienden a volverse cuidadosos, defensivos, estratégicos y/o camuflados, debilitando la calidad de la prueba. Dicho de otra forma, el descuido de este detalle producirá múltiples inconvenientes que dificultarán notoriamente el proceso investigativo. En este sentido, la confidencialidad no solo protege personas, sino también la calidad del conocimiento producido por la investigación.

Este enfoque se encuentra claramente reflejado en la ISO 37008, que recomienda enfáticamente que toda información obtenida durante la investigación sea compartida exclusivamente bajo el criterio de “need to know”, concepto que remite a una necesidad legítima y mínima de acceso, y no a la mera curiosidad organizacional o jerárquica (que siempre abundan). La confidencialidad, así entendida, no implica de ninguna manera opacidad, sino mejores prácticas de gobierno de la información.

La doctrina especializada en compliance coincide en que ningún sistema de investigaciones internas puede funcionar de manera completa y virtuosa sin denunciantes. Numerosos autores durante los últimos años han demostrado empíricamente que la percepción de riesgo personal es uno de los principales factores que inhiben la denuncia de irregularidades. Dicho de otra forma, la confianza es la mejor amiga de los canales de denuncias. En este contexto, la confidencialidad se convierte en combustible de confianza, y en el principal escudo a favor del denunciante frente a potenciales represalias formales e informales.

Resulta altamente recomendable contar con una política o procedimiento de gestión de denuncias e investigaciones internas, como medio para establecer reglas operativas concretas. Esta normativa interna no debería limitarse a declarar la confidencialidad como valor, sino que debería establecer obligaciones específicas respecto del tratamiento de la identidad del denunciante, incluso cuando esta es conocida, prohibiendo su divulgación salvo estricta necesidad funcional y evaluando de manera expresa el impacto que dicha divulgación podría tener sobre la investigación y, muy especialmente sobre la persona que denunció.

En nuestro país, la protección del denunciante no puede limitarse al ámbito penal o estatal, sino que debe extenderse al espacio corporativo, donde las asimetrías de poder son también relevantes. Es en este contexto donde la confidencialidad aparece como una herramienta de equilibrio, que permite que la información fluya desde los niveles más vulnerables de una entidad hacia sus instancias de control.

En el sistema estadounidense, la confidencialidad de las investigaciones internas se encuentra estrechamente vinculada al concepto de “attorney-client privilege” y al “work product doctrine”. Bajo la doctrina norteamericana, representada, la capacidad de una organización para investigar internamente depende, en gran medida, de su habilidad para controlar el flujo y la difusión de la información generada durante el proceso.

El Department of Justice (DOJ), a través de documentos como el Justice Manual y los memorandos que regulan los acuerdos de cooperación, evalúa explícitamente si las investigaciones internas fueron conducidas de manera ordenada, confidencial y profesional. Aquí la confidencialidad no es un elemento más, sino que es trascendental a los ojos de un fiscal o de un juez. Las filtraciones internas en este ámbito están muy lejos de ser interpretadas como transparencia, sino que suelen ser vistas como graves agujeros de control y gobernanza. Se interpreta entonces, sin lugar a dudas, que la confidencialidad no solo protege a las personas involucradas, sino que preserva la credibilidad institucional de la investigación frente a los reguladores.

Y resulta importante aclarar que la confidencialidad no es incompatible con la cooperación. Por el contrario, una investigación interna sólida, confidencial y adecuadamente documentada constituye la base para una eventual divulgación controlada a las autoridades, cuando ello se considere necesario o estratégico.

En el ámbito europeo, la confidencialidad de las investigaciones internas se encuentra profundamente amalgamada con la protección de datos personales y por los derechos fundamentales de las personas involucradas. La Directiva (UE) 2019/1937 sobre protección de denunciantes establece férreas obligaciones respecto del tratamiento de la identidad del informante y de la información que contienen los legajos de investigación, limitando su acceso a personas expresamente autorizadas.

Particularmente en España, se ha desarrollado una rica discusión respecto del equilibrio entre el poder disciplinario del empleador y los derechos fundamentales del trabajador. Diversos expertos han advertido que una investigación interna que vulnera la confidencialidad puede declararse ilegítima, incluso cuando los hechos investigados sean ciertos. Reciente jurisprudencia ha reforzado esta idea, invalidando medidas disciplinarias cuando se acreditó una difusión innecesaria de información sensible o una afectación desproporcionada de la intimidad del investigado.

La confidencialidad, en este marco, no solo constituye una garantía del denunciante, sino también del denunciado, aunque la mayoría de las políticas vigentes en las organizaciones obvia este último punto. Resulta relevante proteger el principio de presunción de inocencia en el ámbito corporativo y evitar que la investigación se convierta en una anticipación de la pena.

En Argentina, la ausencia de una ley específica sobre investigaciones internas no implica necesariamente hablar de vacío normativo. Por el contrario, la confidencialidad emerge como una exigencia tácita a partir de múltiples cuerpos normativos y principios generales. La Ley 27401 sobre responsabilidad penal de las personas jurídicas por delitos de corrupción, valora la existencia de mecanismos eficaces de detección y reacción temprana, dentro de los cuales las investigaciones internas ocupan un lugar central. Una investigación desordenada o filtrada puede ser interpretada como una falla del sistema de prevención. De esta forma un juez o un fiscal podrían concluir que tal programa de integridad no es adecuado, ya que no es capaz de reaccionar con eficacia ante la existencia de un hecho que merece ser investigado.

A ello se suman la Ley de Protección de Datos Personales, los derechos constitucionales a la intimidad y al honor, y la creciente jurisprudencia laboral que observa con atención la forma en que las empresas gestionan procesos investigativos internos. La doctrina local ha comenzado a advertir que las investigaciones internas mal gestionadas pueden ser “un tiro por la culata”, generando responsabilidad adicional para la empresa, incluso cuando su objetivo haya sido prevenir o corregir una irregularidad. En este contexto, la confidencialidad aparece como un estándar de diligencia esperable, cuya omisión puede (o debe) ser interpretada como negligencia de la organización.

Técnicamente, la relación entre confidencialidad y eficacia investigativa es directa y verificable. Las investigaciones conducidas en entornos de reserva generan mayor cooperación, testimonios más espontáneos y colaborativos, además de evidencia menos contaminada. Por el contrario, si la información circula con poco recaudo y libremente, la investigación se transforma en un fenómeno social, donde los hechos ocurridos se reinterpretan, se exageran y/o se ocultan según intereses de las distintas partes interesadas e involucradas.

La ISO 37008 refuerza este concepto exigiendo medidas concretas para preservar la evidencia, evitar interferencias y proteger a las personas involucradas, reconociendo implícitamente que la confidencialidad es un presupuesto operativo del éxito investigativo. No he leído en un texto tantas veces la palabra “confidencialidad” como en la mencionada norma ISO.

En síntesis, a continuación, expresamos qué hacer y qué no hacer respecto de la confidencialidad en una investigación interna:

Concluyendo:

La confidencialidad en las investigaciones internas no es un gesto de discreción ni una estrategia de ocultamiento. Es un instrumento técnico, jurídico y ético que permite que la verdad emerja en un entorno de seguridad, tranquilidad respeto y profesionalismo. Sin confidencialidad, la investigación se degrada a rumores, chismes e historias difíciles de probar; con confidencialidad, se transforma en una fuente de conocimiento accionable.

Las organizaciones que realmente comprenden este principio saben bien que el silencio no es complicidad, sino un eficaz método. Porque, en definitiva, la verdad organizacional rara vez grita: suele hablar con cuidado y en voz baja, pues alguien profesional y responsable supo cuidar el espacio para escucharla.