EL TRATAMIENTO DE LA INFORMACIÓN ELECTRÓNICA EN LA INVESTIGACIÓN INTERNA DE LAS DENUNCIAS: IDENTIFIC

La reciente aprobación en España de la Ley que regula la existencia y la gestión de los canales de denuncia (whistleblowing), en organizaciones públicas y privadas de más de 50 empleados, vuelve a poner de manifiesto la necesidad de contar con un plan que determine las acciones a realizar en el proceso de seguimiento e investigación de las denuncias.

La previsión del incremento del número de investigaciones para dar respuesta a las denuncias que se gestionarán a través del canal de denuncias, obligará a las empresas a tener que disponer de planes de respuesta que incluyan, entre otros, unos protocolos de investigación definidos y acotados a las posibilidades reales de la empresa en cada momento.

Por su naturaleza, una investigación requiere del conocimiento de unas técnicas y procesos concretos y bien definidos. Aunque en muchas empresas se tiende a asignar la responsabilidad de las investigaciones en los departamentos de auditoría interna, los profesionales involucrados requieren de una especialización y de la realización de procesos que, en ocasiones, pueden exceder a los típicos de auditoría interna.

Entre estas técnicas y procesos, son de vital importancia los relacionados con la recopilación y revisión de la información electrónica contenida en los diferentes sistemas de información de la empresa.

Los protocolos de recopilación y revisión de la información, como parte de los procesos de eDiscovery, son una práctica común en las investigaciones corporativas desde hace años. Sin embargo, la aparición de más formas de almacenamiento (principalmente en la Nube) y de nuevas herramientas de comunicación (chats, Apps de mensajería y colaborativas), ponen de relieve la necesidad de mejorar y actualizar estos protocolos.

Según nuestra experiencia como asesores externos en todo tipo de investigaciones corporativas, los aspectos de mayor relevancia están relacionados con lo siguiente:

  • Gobierno del dato – Entendido en este caso como el conjunto de políticas y/o controles establecidos en los sistemas de información de la empresa, al objeto de establecer tanto un marco de actuación sobre las posibles acciones que puede llevar a cabo la empresa en el caso de tener que acceder a la información, como también la manera en la que esas acciones se tienen que realizar.
    Dado que la información es uno de los activos más importantes de una organización, generalmente las empresas cuentan con una política que regula el uso y el tratamiento de los recursos informáticos y de su información asociada, en términos de protección del dato y medidas de seguridad. Sin embargo, aún es poco común encontrar documentos en los que se recojan los procedimientos de cómo se tiene que realizar la adquisición, el procesamiento y la revisión de la información, de forma que se evite dejar a la improvisación de cada momento cómo acceder a los datos y su posterior revisión.
    Estos procesos no solo deben realizarse atendiendo a los derechos de los usuarios/empleados, sino también a las posibilidades reales de identificación y acceso a la información, según el tipo de dispositivo y del dato (localización, disponibilidad, acceso y aseguramiento).

  • Identificación de la información – Este primer paso, fundamental en cualquier investigación, no siempre es sencillo de realizar, al no contar con un inventario actualizado de los distintos repositorios donde puede estar almacenada la información, más allá del correo electrónico y de los ordenadores. 
    Este aspecto se complica cuando entran en escena los dispositivos móviles (con la ambigüedad de información público-privada) y los repositorios en la Nube para los que, en ocasiones, no se cuenta siquiera con un acceso claro.

  • Recopilación de la información y su validación – Solventadas las fases anteriores, ésta es quizás la más técnica y rutinaria, aunque es también muy importante puesto hay que asegurar que se ha obtenido toda la información de cada sistema y que, además, es la adecuada para la investigación en términos de: contenido, fechas, personas, dispositivos y tipos de documentos.

  • Revisión de la información – Ésta es la fase que más tiempo conlleva en términos de recursos humanos y económicos, y dependerá del volumen y de la importación de la información. Lo habitual en esta fase es filtrar y segmentar los documentos en base a su contenido y su potencial relevancia para la investigación, de forma que se puedan abarcar de una manera eficaz y lo más rápida posible.
    Actualmente, ya no basta con el solo uso de las consabidas palabras clave o filtros temporales. Las herramientas de análisis y revisión (eDiscovery), utilizando técnicas basadas en la inteligencia artificial y el aprendizaje automático, incorporan nuevas capacidades de análisis, que permiten a los equipos de revisores llevar a cabo revisiones más eficientes, reduciendo el número de recursos a utilizar y aumentando las posibilidades de encontrar la información clave en un menor tiempo.

Como indicamos en la introducción, existe una clara previsión de incremento del número de investigaciones, consecuencia de la implementación en España de los canales de denuncia. Las principales preocupaciones en este tipo de investigaciones seguirán siendo mitigar los riesgos y controlar el coste global, por lo que se requerirá de la mejora y actualización, cuando no la creación de protocolos para la investigación interna de los hechos denunciados.