Manual de prevención y respuesta ante delitos_Version Final 27 02

Manual de prevención y respuesta ante delitos_Version Final 27 02

GRUPO FCC
Manual de Prevención y Respuesta ante Delitos
27 de febrero de 2012
Contenido
I
Propósito y contenido del Manual
2
1.
2.
Introducción y objetivos
Ámbito de Aplicación
2
3
II
Órganos responsables del Manual
3
1.
2.
Definición y características del Manual
El Responsable de Gestión del Catálogo de Controles (GCC)
3
4
III
Catalogo de priorización de delitos y comportamientos de riesgo
6
1.
2.
6
3.
4.
5.
Definición
Descripción del contenido del Catálogo de priorización de delitos y
comportamientos de riesgo
Criterios utilizados para la priorización de delitos
Procedimiento de actualización y modificación del Catálogo
Evaluación y Supervisión del Manual
IV
Protocolos de respuesta
10
1
2
3
4
5
6
7
8
Introducción
Glosario de términos relevantes
Comité de Respuesta
Unidad de Apoyo al Comité de Respuesta
El Sistema de Gestión de Denuncias
Recepción de denuncias
Determinación de la importancia y tipo de denuncia
Instrucción del Expediente
10
10
11
12
12
14
14
16
V
Propuesta de realización de una investigación
19
9
10
11
Proyecto de investigación
Otras premisas a tener en cuenta
Tratamiento de datos durante la investigación
19
20
20
VI
Investigación
21
VII
Resolución
22
12
Comunicación al denunciado
22
VIII. Formación del Manual
6
6
7
9
23
1
I
Propósito y contenido del Manual
1. Introducción y objetivos
El presente Manual de Prevención y Respuesta ante Delitos (en adelante el Manual) tiene como
finalidad establecer un sistema de prevención de delitos a través de actuaciones y controles a
implementados en el Grupo FCC (en adelante FCC o el Grupo), de forma que se mitigue el riesgo
de comisión de los mismos.
Este sistema de prevención y respuesta contempla dos partes diferenciadas que la lógica y la
experiencia en la gestión de riesgos aconsejan.
Una primera parte se corresponde con la fase preventiva, y consiste en la identificación y
actualización de los comportamientos que conllevan un riesgo de comisión de aquellos delitos que
pueden darse en el Grupo, así como en la planificación e implantación de controles para mitigarlos.
Para ello el Grupo se ha dotado de unos órganos, expuestos en la presente Manual, y de unos
procedimientos de obligado cumplimiento.
Una segunda parte se corresponde con los órganos y procedimientos con los que se dará una
respuesta a aquellos indicios que puedan suponer la comisión de alguna irregularidad dentro del
Grupo FCC, especialmente aquellas que pudieran tener relación con ilícitos penales. En este
sentido, tratándose igualmente de un control preventivo, el Grupo regula las actuaciones a seguir
para conocer si efectivamente se ha producido el delito, o al menos recopilar los datos
imprescindibles para actuar de acuerdo con la legalidad, así como para preservar las evidencias que
pueden existir, y minorar en lo posible los perjuicios que pueden haberse ocasionado en primer
lugar a terceros y en segundo lugar al propio Grupo.
Los procedimientos establecidos en el presente Manual son de obligado cumplimiento, y tienen la
máxima jerarquía en la normativa del Grupo FCC, puesto que materializan la clara oposición de los
Órganos de Dirección del Grupo FCC a que la sociedad puede beneficiarse a través de
comportamientos no éticos o que pudieran constituir infracción penal.
Con esta disposición la Dirección del Grupo FCC velará por la aplicación del Manual, dotando a
aquellos órganos y personas, a los que en el mismo se les asignen funciones en esta materia, de la
autoridad y medios suficientes para cumplir con sus cometidos.
2
2. Ámbito de Aplicación
El ámbito de aplicación del presente Manual afecta al Grupo FCC y sus sociedades participadas.
Así mismo, se aplicará el presente Manual a las sociedades adquiridas por el grupo FCC en el
momento en que dicha adquisición sea efectiva, así como a las personas y a las actividades que
forman todos los niveles de la organización.
En la UTES constituidas por empresas del Grupo FCC y en las UTES constituidas por el Grupo
FCC o sus filiales con otras empresas, regirá el presente Manual en lo que respecta a los empleados
del Grupo FCC que desarrollen su labor en las mismas.
II
Órganos responsables del Manual
1. Definición y características del Manual
El Manual puede definirse como la normativa interna de la que el Grupo se dota como herramienta
para establecer un sistema estructurado de control, que mitigue las posibilidades de que el personal
dependiente del Grupo pueda cometer un delito del que se pueda derivar responsabilidades penales
para las personas jurídicas.
Para ello se regulan los procedimientos de gestión de los riesgos penales, y de los controles
internos para mitigarlos, así como los procedimientos de respuesta ante la existencia de datos o
indicios que puedan significar la comisión de un delito. Es pues, una norma que organiza de forma
coherente en el Grupo un sistema de prevención de delitos con los procedimientos necesarios para
su desarrollo y actualización a lo largo del tiempo.
El Manual tiene una serie de características que se han de tener en cuenta para su correcta
interpretación.
Se trata de un proceso continuo y dinámico
•
Es un proceso que deberá ser revisado periódicamente, por lo que no debe considerarse
como un elemento estático.
•
El contenido del Manual constituye una metodología que debe adecuarse al propio
desarrollo del negocio y de las actividades del Grupo FCC.
El procedimiento establecido en el Manual será liderado y gestionado por la Dirección de la
organización
•
Los directivos y mandos intermedios del Grupo FCC deben conocerlo especialmente y
velar por su cumplimiento.
Con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecución de
los objetivos del Manual, es necesario poner de relieve los siguientes aspectos:
•
Existe siempre un componente de incertidumbre y riesgo relacionado con el futuro.
•
Existen limitaciones derivadas de juicios erróneos de las personas en la toma de
decisiones.
•
Existen limitaciones derivadas de fallos humanos (errores y equivocaciones).
•
Algunos controles pueden ser evitados por el acuerdo o connivencia de varias personas.
Esta connivencia se puede dar entre personas pertenecientes a la estructura del Grupo FCC,
o bien entre estos y terceros como pueden ser clientes o proveedores. Nunca existirá, por
tanto, la certeza o seguridad absoluta de que no se puede dar un delito en la organización.
3
2. El Responsable de Gestión del Catálogo de Controles (GCC)
2.1
Definición
En el Grupo FCC existirá un Responsable de la Gestión del Catálogo de Controles (en adelante
el responsable de la Gestión del Catálogo de Controles o GCC) que será el responsable del
desarrollo, supervisión y mejora del Manual, de acuerdo con las funciones que en el mismo se le
asignen.
La responsabilidad sobre la gestión e implantación de los controles internos, esta descentralizada
en las áreas de negocio y el cargo de Responsable de la Gestión del Catálogo de Controles, recaerá
en el Director de Control de Gestión y Gestión de Riegos del Grupo FCC por disponer de la
formación y experiencia adecuada para el ejercicio de esta responsabilidad.
Para el desarrollo de sus funciones, el Responsable de Gestión del Catálogo de Controles contará
con el siguiente personal de Apoyo:
•
Un Adjunto al Responsable de Gestión del Catálogo de Controles (Director de Gestión de
Riesgos del Grupo FCC).
•
Un equipo propio o staff del Responsable de Gestión del Catalogo de Controles, en su
caso.
•
El personal de su departamento, en su caso.
•
Aquel que se le asigne para casos y trabajos puntuales, de acuerdo con los procedimientos
habituales del Grupo FCC.
Adjunto al Responsable de Gestión del Catálogo de Controles
El Adjunto al Responsable de Gestión del Catálogo de Controles, sustituirá en caso de ausencia
de éste último, y a quien ayudará en sus funciones.
2.2
Dependencia
Responsable de Gestión del Catálogo de Controles
El Responsable de Gestión del Catálogo de Controles dependerá orgánica y funcionalmente del
Director General de Administración y Tecnologías de la Información. Para su asistencia en
aspectos técnicos o jurídicos relativos a cuestiones penales, podrá elevar consultas al Departamento
de Asesoría Jurídica de acuerdo con los procedimientos establecidos en el Grupo.
Adjunto al Responsable de Gestión del Catálogo de Controles
Dependerá funcionalmente del Responsable de Gestión del Catálogo de Controles en las
funciones que tenga asignadas en el presente Manual. Cuando sustituya a dicho responsable, tendrá
temporalmente sus mismas funciones y dependencias.
2.3
Régimen de suplencia del Responsable de Gestión del Catálogo de Controles
El Director General de Administración y Tecnologías de la Información determinará la suplencia
del Responsable de Gestión del Catálogo de Controles cuando exista algún conflicto de interés
del Responsable de Gestión del Catálogo de Controles respecto a sus tareas, o vaya a darse una
ausencia prolongada por cuestiones de trabajo o descanso prolongado. En caso de ausencia por
enfermedad, dicha suplencia se producirá automáticamente.
Con el objetivo de que el Adjunto al Responsable de Gestión del Catálogo de Controles tenga
conocimiento de la actividad y el desempeño del Responsable de Gestión del Catálogo de
Controles, se establecen los siguientes mecanismos de coordinación:
4
•
El Adjunto al Responsable de Gestión del Catálogo de Controles apoyará al
Responsable de Gestión del Catálogo de Controles y conocerá el desarrollo de su trabajo.
•
El Responsable de Gestión del Catálogo de Controles informará sobre las reuniones que
realice con los órganos de dirección u otros Departamentos en temas relacionados con este
Manual.
•
El Adjunto al Responsable de Gestión del Catálogo de Controles tendrá acceso a la
documentación generada en sus funciones por el Responsable de Gestión del Catálogo de
Controles.
2.4
Sistema de coordinación dentro de la estructura del Grupo FCC entre el
Responsable de Gestión del Catálogo de Controles, la Dirección y el resto de la
organización.
Para garantizar la adecuada implantación y funcionamiento del Manual, tanto la Dirección como
los responsables de los Departamentos afectados por los riesgos, así como todos los restantes
empleados del Grupo, deberán colaborar en todo momento con el Responsable de Gestión del
Catálogo de Controles.
La totalidad de los empleados y trabajadores del Grupo FCC, facilitarán en todo momento la labor
del Responsable de Gestión del Catálogo de Controles, entregando toda la información y
documentación solicitada por el mismo. Dicha solicitud será tramitada a través de la línea
jerárquica del Grupo.
En el caso de que existan razones a juicio del Responsable de Gestión del Catálogo de Controles
por las que no sea conveniente utilizar la vía jerárquica en alguna ocasión, esta circunstancia será
aprobada por el Director General de Administración y Tecnologías de la Información, salvo que
con esta intervención, se genere un potencial conflicto de interés, en cuyo caso debe actuar el
Presidente y Consejero Delegado.
El Responsable de Gestión del Catálogo de Controles comunicará las obligaciones y
procedimientos que se deriven del Manual, así como de las actualizaciones o de las circunstancias
más relevantes, al conjunto de la plantilla y especialmente a Directivos y mandos intermedios por
los canales de comunicación interna establecidos.
5
Sistema Preventivo
III
Catalogo de priorización de delitos y comportamientos de riesgo
1. Definición
El Catálogo priorizado de delitos y comportamientos de riesgo (en adelante el Catálogo) es el
listado estructurado de los comportamientos de riesgo detectados en el Grupo que puedan conllevar
la comisión de un delito, con la referencia de los controles existentes para mitigar su probabilidad
de ocurrencia.
A estos efectos entendemos por “comportamientos de riesgo” aquellas actuaciones llevadas a cabo
por parte de personas pertenecientes al Grupo, que puedan derivar en la comisión de un delito en
beneficio del Grupo FCC.
Los comportamientos de riesgo hacen referencia a un tipo de delito concreto, por lo que en el
Catálogo aparecerán referidos al mismo.
2. Descripción del contenido del Catálogo de priorización de delitos y
comportamientos de riesgo
La estructura y contenidos del Catálogo, que se adjunta como Anexo, será una matriz con las
siguientes columnas:
•
Delito: En este apartado aparecerá la denominación genérica de los delitos a los que se
referirán los comportamientos. Además se realizará una clasificación de los mismos de
acuerdo a la priorización efectuada por la Sociedad.
•
Comportamientos de riesgos: Se establecen los comportamientos de riesgo identificados
por la organización.
•
Probabilidad de ocurrencia: Se establece la probabilidad de ocurrencia de la comisión
del delito en la Sociedad. Su clasificación puede ser alta, media o baja en función de las
opiniones expresadas en las reuniones establecidas para el análisis de los mismos.
•
Controles Clave Asociados: Descripción de los controles existentes en la Sociedad para
mitigar el comportamiento de riesgo concreto.
•
Propietario del Control: Identificador de la persona, categoría profesional o área al que la
organización asigna la propiedad del control.
•
Propietario del comportamiento de riesgo: Unidad administrativa que puede ser
afectada por el correspondiente comportamiento
3. Criterios utilizados para la priorización de delitos
El número de delitos existentes no permite que el Grupo dedique sus esfuerzos a estudiar y
prevenir todos ellos con la misma intensidad y al mismo tiempo. La lógica y los procedimientos
generalmente aceptados de gestión de riesgos exigen una priorización de los mismos. Para dicha
clasificación de la priorización de los delitos se han tenido en cuenta diferentes aspectos, entre los
que se encuentran: el porcentaje de empleados que tendrían a su alcance medios para cometer el
delito, la ocurrencia histórica, la ocurrencia futura estimada, la gravedad de la pena, el daño
reputacional, la posibilidad de reincidencia y potencial daño a terceros. En base a todo ello, los
delitos se han clasificado en las siguientes categorías en base a su priorización:
6
Priorización baja: aquellos delitos, que en base a los parámetros antes mencionados, sólo pueden
llevarse a cabo en el Grupo de forma remota, por encontrarse fuera del entorno del sector de
actividad del mismo, de los medios a su alcance o de los conocimientos de su personal.
Priorización media: aquellos delitos que podrían cometerse por parte de los empleados del Grupo,
por encontrase en el entorno del sector de actividad del mismo, de los medios a su alcance o de las
posibilidades y conocimientos de su personal, sin que ello signifique que se obtiene un beneficio
por la persona que cometa el delito o, que de obtenerse, éste sea de escaso importe.
Priorización alta: cuando un delito se encuentre en la descripción dada para Priorización media y
pueda ofrecer un beneficio económico o personal relevante para la persona que pudiera cometerlo.
La precedente clasificación de los delitos determinará la prioridad que para el Grupo tendrá la
mitigación de sus comportamientos de riesgo relacionados. Por tanto, el estudio y análisis de los
comportamientos relativos a los delitos de Priorización alta y media tendrá una mayor profundidad.
4. Procedimiento de actualización y modificación del Catálogo
Pese a que el Catálogo y la eficacia de los controles establecidos deberán ser revisados anualmente,
el Responsable de Gestión del Catálogo de Controles podrá realizar actualizaciones por propia
iniciativa o a petición de otros miembros del Grupo FCC.
Todas las actualizaciones estarán documentadas, y quedarán archivadas.
El procedimiento de actualización se referirá a:
1. Detección de un nuevo comportamiento de riesgo o modificación de uno ya establecido.
2. Establecimiento de un nuevo control o variación de uno existente.
3. Revisión de la priorización de delitos.
El Responsable de Gestión del Catálogo de Controles prestará especial atención en la actualización
de oficio de aquellos comportamientos y controles relativos a delitos que reúnan las características
siguientes:
•
Que su delito relacionado esté calificado como de Priorización media o alta.
•
Que el comportamiento de riesgo esté calificado con probabilidad de ocurrencia media o
alta.
Los comportamientos que reúnan estas características serán objeto, además, de un especial
seguimiento por parte del Responsable de Gestión del Catálogo de Controles.
4.1 Detección de un nuevo comportamiento de riesgo o modificación de uno ya
establecido
La actualización de los riesgos y controles del Catálogo como consecuencia de la detección de un
nuevo comportamiento de riesgo o su modificación, puede iniciarse de varias maneras:
•
Por una comunicación de los responsables de negocio o departamentos.
•
Por una comunicación, a través del canal jerárquico, de cualquier miembro de la
Organización.
•
Por una comunicación externa o denuncia recibida a través de los canales establecidos al
efecto.
•
Por propia iniciativa del Responsable de Gestión del Catálogo de Controles.
•
Por el Responsable de Gestión del Catálogo de Controles, como consecuencia de la
información generada por los procedimientos de respuesta regulados en el presente
Manual.
7
Una vez que la información llega al Responsable de Gestión del Catálogo de Controles, éste la
examinará con el fin de determinar la relevancia del riesgo y si la información aportada es
completa:
•
Cuando la información sea suficiente, valorará si el riesgo propuesto es relevante y en ese
caso iniciará el proceso de actualización.
•
Si la información no se considera completa para iniciar el procedimiento de actualización,
el Responsable de Gestión del Catálogo de Controles solicitará una ampliación de la
información a la Unidad de Negocio de origen, y a aquellos otros que considere oportuno
hacerlo.
Una vez que el Responsable de Gestión del Catálogo de Controles cuente con la información
completa, y tomada la decisión de la relevancia de la misma, se procederá a su análisis con el fin de
determinar:
•
Las unidades de negocio y/o departamentos en los cuales puede darse el comportamiento.
•
Los departamentos, corporativos o centrales, que puedan verse afectados por su área de
responsabilidad o especialización.
Con esta información tomará una decisión sobre la inclusión en el Catálogo de la modificación
estudiada.
Dicha decisión será comunicada a los departamentos de Auditoría Interna y Asesoría Jurídica y
trasladará el nuevo comportamiento de riesgo o modificación al Catálogo, comunicándolo a las
unidades de negocio afectadas.
Inmediatamente después, y respecto a dicho comportamiento de riesgo, iniciará el procedimiento
que se describe en el siguiente apartado, con la finalidad de estudiar los controles necesarios.
4.2 Establecimiento de un nuevo control o modificación de uno existente
Cuando el responsable de una Unidad de Negocio o departamento establezca un nuevo control, o
determine la modificación de uno existente, lo comunicará al Responsable de Gestión del Catálogo
de Controles para que decida si debe ser incorporado al Catálogo, en el caso de ser un control que
afecte a los comportamientos de riesgo delictivo.
En caso de que el control pudiera afectar a varias Unidades de Negocio o a la totalidad del Grupo
FCC, el Responsable de Gestión del Catálogo de Controles iniciará entonces con los departamentos
afectados un trabajo de información y documentación de la propuesta de control con la finalidad de
llegar a determinar cómo dichos controles pueden afectar al negocio y a su flexibilidad, así como
hasta qué punto reducirían el riesgo de ocurrencia de los comportamientos afectados.
Con las conclusiones de este trabajo el Responsable de Gestión del Catálogo de Controles
elaborará una propuesta de modificación del Catálogo de Controles, la cual será enviada a la
Dirección General de Asesoría Jurídica y a la Dirección General de Auditoría Interna, para su
informe, remitiendo el conjunto al Director General de Administración y Tecnologías de la
Información, quien lo elevará al Comité de Dirección dónde se tomará una decisión sobre la
conveniencia de la implantación de dicho control en otros departamentos o en el Grupo en su
conjunto, en tal caso, se procederá a su incorporación en la normativa interna.
Dichos responsables decidirán sobre la forma de difundir a las unidades subordinadas el posible
control para su implantación, informando al Responsable de Gestión del Catálogo de Controles de
la decisión adoptada.
En caso de que dicha implantación sea decidida por los departamentos subordinados, igualmente se
comunicará dicha decisión al Responsable de Gestión del Catálogo de Controles.
8
5. Evaluación y Supervisión del Manual
Anualmente se elaborarán los siguientes informes los cuales se dirigirán al Presidente Consejero
Delegado y se elevarán al Comité de Auditoría para su conocimiento:
•
El Comité de Respuesta elaborará una memoria sobre el desarrollo de su actividad con las
sugerencias que considere conveniente incorporar para la mejora de su funcionamiento.
•
La Dirección de Control de Gestión y Gestión de Riesgos elaborará un informe sobre el
funcionamiento de los controles internos establecidos en el Catálogo de priorización de
delitos y comportamientos de riesgo, con indicación de las variaciones que en dichos
controles, se hayan producido durante el ejercicio.
Todo ello con independencia de los informes que, en cualquier momento, pueda elaborar la
Dirección General de Auditoría Interna sobre el funcionamiento del control interno.
9
Respuesta
IV
Protocolos de respuesta
1
Introducción
Este Protocolo establece las normas de actuación que se han de seguir en relación con la respuesta
ante la aparición de aquellos indicios de los que se disponga de información suficientemente
relevante para iniciar una investigación en el ámbito de actuación del Grupo FCC, y por sus
directivos o las personas de ellos dependientes.
2
Glosario de términos relevantes
En este apartado se describen aquellos términos relevantes utilizados a lo largo del presente
Manual. Dicha descripción, realizada con la finalidad de facilitar la lectura y comprensión del
Protocolo, se amplía en la mayoría de los casos en los apartados correspondientes del Manual. No
puede por tanto pretenderse que en las definiciones del Glosario se especifiquen de forma precisa
todas las funciones y características que definen y conllevan los términos explicados.
•
Denuncia. – A los efectos de este manual se entenderá por este término cualquier
información de la que se pueda derivar que se ha cometido un delito o irregularidad en el
ámbito de la organización. Por tanto puede ser una comunicación realizada a través del
canal de denuncias asociado a la línea ética u otro canal de denuncia, p.e. el buzón
habilitado por parte de Recursos Humanos para la recepción de currículos, o la dirección
de correo electrónico habilitada por FCC para la consultas que puedan realizar los
inversores ([email protected]). A este respecto, también puede ser considerada como denuncia el
resultado de una inspección o auditoría que sea puesta en conocimiento de los directivos
del Grupo FCC. De la misma manera será considerada como tal la comunicación de estos
indicios por parte de cualquier persona a un empleado del Grupo FCC, quien a través de
los diferentes canales puestos a su disposición por la organización realizará la
comunicación al Grupo.
•
Comité de Respuesta (CR). –Será el órgano encargado de interpretar las disposiciones de
este Manual y resolver acerca de las mismas. Su descripción aparece en el Capítulo 3 del
presente Manual.
•
Informe. – Documento fruto de la realización de un primer análisis de la denuncia o
comunicación recibida. Lo realizará el Instructor bajo la supervisión del Director de la
Instrucción. En el mismo se describen los datos objetivos obtenidos de la denuncia, así
como su contextualización con datos conocidos que puedan soportarla, y cualquier otra
información conocida que pueda enriquecer la denuncia, o aportar nuevos puntos de vista
sobre la misma. Adicionalmente, en este informe se presentarán las medidas llevadas a
cabo durante la fase de Análisis Preventivo de la Denuncia.
•
Director de la Instrucción. – La figura del Director de la Instrucción asumirá la función
de supervisión de la elaboración del Informe, siendo el responsable de la toma de medidas
urgentes durante el proceso del Análisis Preventivo de la denuncia, y además será el
máximo responsable de la misma, marcando prioridades y plazos al Instructor.
10
3
•
Unidad de Apoyo al Comité de Respuesta (UACR). – La UACR dependerá
orgánicamente del CR siendo su principal función prestar apoyo a éste en las funciones
que tiene atribuidas a través del presente Manual. Además gestionará e introducirá los
datos en el Sistema de Gestión de Denuncias. El UACR se describe en el apartado 4 del
Manual.
•
Sistema de Gestión de Denuncias (SGD). – El SGD es una base de datos segura en la que
quedan registradas las denuncias recibidas, así como aquellas acciones que en relación con
la gestión de las mismas se recogen en el presente Manual. El SGD queda descrito en el
apartado 5.
•
Análisis Preventivo de la Denuncia. – Proceso mediante el cual, el Director de la
Instrucción auxiliado por el Instructor y su equipo, estudia el potencial perjuicio que podría
existir si la denuncia fuera cierta, así como las medidas a tomar para minimizar aquellos
riesgos latentes del hecho denunciado. Como fruto de este análisis, el Director de la
Instrucción coordina el establecimiento y ejecución de las medidas urgentes que considere
necesarias.
•
Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter
Personal, (LOPD). – La LOPD es una Ley Orgánica que tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas
y los derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar.
•
Instructor. – La figura de Instructor asumirá la función de elaborar el Informe, bajo la
supervisión del Director de la Instrucción. El Instructor será designado por el Director de la
Instrucción entre el personal de su departamento.
•
Secretario. – Su función será, entre otras, la de levantar Actas de las reuniones del CR.
•
Número de identificación único de la denuncia. – Clave que identifica de forma unívoca
una denuncia presentada.
•
Evidencia Digital. – Tipo de evidencia física construida por campos magnéticos y pulsos
electrónicos que pueden ser recolectados y analizados con herramientas y técnicas
especiales y que contiene información de valor probatorio.
•
Grupo FCC. – Denominación dada en el presente Manual en referencia a la totalidad de
las sociedades filiales, participadas de FCC, y UTES en las que participe, así como la
propia sociedad FCC, S.A.
Comité de Respuesta
El Comité de Respuesta, (en adelante, CR) estará compuesto por cuatro miembros: el Director
General de Auditoría Interna, el Director General de Asesoría Jurídica, el Director General de
Recursos Humanos y el Director de Responsabilidad Corporativa.
El CR tendrá una dependencia funcional del Presidente y Consejero Delegado del Grupo FCC.
El CR funcionará como órgano colegiado, siendo el destinatario de las denuncias formuladas.
Llevará un registro de sus reuniones y decisiones a través del Sistema de Gestión de Denuncias (en
adelante, SGD).
El CR será presidido por el Director General de Auditoría Interna. Las funciones de Secretario del
CR serán asumidas por el Director de Responsabilidad Corporativa. En caso de ausencia del
Presidente o del Secretario asumirán sus funciones los miembros del CR que el propio Comité
designe en cada caso.
El CR se reunirá en las ocasiones previstas en el Manual o a propuesta de alguno de sus miembros.
11
4
Unidad de Apoyo al Comité de Respuesta
La Unidad de Apoyo al Comité de Respuesta (en adelante, UACR) está formada por el número de
personas que considere el CR y que pertenecerán preferentemente a los Departamentos de
Auditoría Interna y Asesoría Jurídica.
El UACR estará bajo la dependencia orgánica del CR. Sus funciones son las que se describen a
continuación:
1. Dar soporte a los miembros del CR en las funciones que se le encomienden.
2. Documentar en el SGD las denuncias recibidas.
3. Documentar en el SGD todas las acciones llevadas a cabo por el CR.
4. Gestionar el archivo de las Actas de las reuniones del CR.
5. Realizar búsquedas en el SGD, cada vez que se reciba una denuncia, para identificar
denuncias relacionadas, similares o cualquier tipo de información contenida en el SGD que
pueda aportar información enriquecedora a la denuncia.
6. Revisar periódicamente la información contenida en el SGD para verificar que ésta cumple
con la normativa en vigor, en especial la LOPD.
7. Proponer mejoras o variaciones en el SGD.
8. Todas aquellas otras que se le encomienden en el presente Manual, o decida el CR.
5
El Sistema de Gestión de Denuncias
El Sistema de Gestión de Denuncias (SGD) es una base de datos segura que cuenta con una
protección al más alto nivel, en la que quedan registradas todas las denuncias recibidas, así como
cualquier acción que se tome en relación con las mismas.
El SGD permitirá al CR, así como a las UACR y a sus miembros, almacenar y/o recuperar
información clave sobre cada denuncia, incluyendo la fecha y fuente de la denuncia original, el
proyecto de investigación, resultados de entrevistas o cualquier otro procedimiento de
investigación, resultados de la investigación, tareas pendientes, resolución final, la cadena de
custodia de cualquier evidencia o información clave.
El SGD permitirá a los miembros del CR y a la UACR realizar búsquedas en la información
contenida en la base de datos. Adicionalmente, el SGD permite a los miembros del CR y a la
UACR importar, desde la base de datos, archivos o documentos en formato digital, incluyendo
notas de entrevistas, copias escaneadas de documentación relevante, e informes internos o
realizados por expertos independientes.
En cuanto a seguridad, el SGD tendrá un Administrador encargado de establecer y personalizar la
seguridad necesaria del sistema, incluyendo la restricción en el acceso y habilidad de bloquear los
registros. Los registros del SGD no deberían poder ser modificados una vez hayan sido registrados.
La eliminación de los registros del SGD debería poder realizarla únicamente el Administrador del
sistema, previa autorización de al menos dos miembros del CR. Adicionalmente, el propio SGD
será capaz de auditar el acceso a registros individuales y registrar la fecha, hora y nombre de
usuario, incluyendo cualquier modificación realizada sobre los registros.
12
Las únicas personas que tendrán acceso al SGD son:
1) Los miembros del CR;
2) Los miembros de las UACR;
3) El Administrador.
Cada uno de estos tendrá distintos niveles de acceso, como se indica en la siguiente tabla:
Cuadro 1: Niveles de acceso al SGD
Permisos
Usuario
Administrador
Leer
X
Miembros CR
X
Miembros UACR
X
Importar
X
Imprimir
X
Escribir
X
Modificar
Bloquear
X
Eliminar
X
X
X
X
X
X
Se tendrán en cuenta las siguientes consideraciones relativas al funcionamiento del SGD:
(i)
Ningún usuario puede modificar datos una vez registrados.
(ii)
Se considerarán registros vivos aquellos que contienen datos relativos a denuncias que
están siendo analizadas con el objeto de realizar el correspondiente Informe.
(iii)
Se considerarán registros bloqueados aquellos que contienen datos de denuncias cuyos
procedimientos han finalizado pero que permanecerán en la base de datos el tiempo
que los Miembros del CR estimen convenientes, teniendo en cuenta los distintos
plazos de preinscripción de responsabilidades en función de que las irregularidades
comunicadas puedan tener potencial transcendencia en el ámbito jurisdiccional civil,
laboral o penal. Un registro bloqueado implica que no se permite su acceso y lectura a
ningún usuario. Aunque el registro permanece en el SGD, éste no es visible para
ningún usuario, exceptuando el Administrador.
(iv)
Se eliminarán aquellos registros que establece el presente Manual y aquellos otros que
al menos dos miembros del CR estimen oportunos. El Administrador es el único
usuario que puede eliminar un registro, previa autorización del Secretario del CR.
Por lo que respecta a la conservación de los datos contenidos en cada denuncia y, en consecuencia
en el SGD, el mismo deberá respetar el principio de calidad de los datos establecidos por la LOPD,
de modo que estos sólo podrán ser mantenidos mientras resulten pertinentes para la finalidad para
la que fueron recabados. En este sentido, a fin de cumplir con lo dispuesto en la LOPD y el criterio
expresado por la Agencia de Protección de Datos en su Informe 128/2007, se debería proceder a la
cancelación de los datos una vez que acabe la investigación correspondiente y, en su caso, se
apliquen las medidas contractuales, disciplinarias o judiciales que se consideren oportunas.
Es necesario precisar que la cancelación no implica la absoluta supresión de los datos, sino que, de
acuerdo con el artículo 16.3 de la LOPD ha de ser entendida como el bloqueo de los datos. El
bloqueo consistirá en la implementación de un control, bien en la aplicación o bien en la base de
datos, con el fin de impedir el tratamiento de los mismos, pudiendo accederse a los datos en caso
de que así lo solicitaran las Administraciones Públicas, Jueces y Tribunales para la atención de las
posibles responsabilidades y sólo durante el plazo de prescripción de dichas responsabilidades.
Asimismo, y con el fin de que los datos mantenidos sean lo más exactos posibles, se procederá a la
inmediata cancelación de las denuncias que no fueran pertinentes y de aquellas respecto de las
cuales, una vez investigados los hechos, se concluyera que no son exactas o veraces.
13
6
Recepción de denuncias
Todos los empleados del Grupo FCC tienen la obligación de poner en conocimiento del mismo
cualquier dato o indicio de que pueda haberse cometido un delito o irregularidad en el ámbito de
las actuaciones de la misma o de los empleados o de los directivos. Por ello utilizarán cualquier
canal de comunicación de los establecidos por la sociedad, incluido el procedimiento de
comunicación jerárquica existente, realizándolo, preferentemente, de forma nominal y
confidencial, explicando las circunstancias en las que ha tenido acceso a dicha información.
El hecho de que las denuncias deban realizarse, preferentemente, de forma nominal, no significa
que las denuncias o comunicaciones que se reciban de forma anónima no se tomen en
consideración. En la línea ética o canal de denuncias que el Grupo FCC tiene implantada entre sus
controles de alto nivel, se establece para la recepción de las denuncias reportadas por empleados
del Grupo FCC, clientes o proveedores, que serán comunicadas por correo ordinario (buzón de
correo postal habilitado al efecto), a través del acceso existente en la Intranet de FCC, o a través de
cualquier otro medio o procedimiento mediante el cual se ponga en conocimiento del CR la
existencia de un hecho irregular o delictivo.
7
Determinación de la importancia y tipo de denuncia
El contenido de este punto viene a determinar los procedimientos y normas de actuación, que se
han de seguir en relación a las comunicaciones que se reciban a través de los canales habilitados a
tal efecto, y puestos de manifiesto en el Código Ético de FCC.
7.1
Procedimiento general
El destinatario de las denuncias relativas a irregularidades será el Comité de Respuesta sea cual sea
el canal utilizado.
El Comité de Respuesta valorará la admisibilidad de la comunicación recibida, de acuerdo con una
primera revisión de su contenido, levantando acta de la decisión motivada que haya tomado. En
cualquier caso se archivará la documentación generada. Su admisión a trámite conllevará la
apertura de un expediente cuya información se incorporará al SGD.
7.2
Envío de comunicaciones
Una vez recibida la denuncia y determinada la importancia de la misma, si fuera nominativa y de
un empleado del Grupo FCC, se enviará al denunciante el correspondiente acuse de recibo1,
remitiéndole alguna de las siguientes comunicaciones:
(a) Si la denuncia es considerada no pertinente, improcedente o no relacionada con los fines
del Protocolo habilitado por el Grupo FCC, se enviará al denunciante la comunicación
pertinente mediante la que se le comunique la citada resolución.
(b) Sin embargo, es posible que tras su análisis por el CR, éste considere que, en atención al
contenido de la misma, sea necesario ponerlo en conocimiento de la autoridad pública
competente (autoridad judicial/pública correspondiente) o, bien que la comunicación verse
sobre quejas, reclamaciones o sugerencias comerciales relativas a un Departamento o
Unidad de Negocio concreto que, si bien no se refieran a temas propios del Manual, si
pueden resultar de interés para el buen funcionamiento de los servicios del Grupo FCC. A
estos efectos, se enviará al denunciante una comunicación con el fin de informarle del
destino de su comunicación.
1
En cumplimiento de lo establecido por el artículo 5 de la LOPD, informándole de la recogida y tratamiento de sus datos
personales.
14
(c) Cuando la denuncia sea considerada como pertinente pero su contenido sea insuficiente,
incompleto, o no proporcione el detalle necesario para que se pueda iniciar la instrucción
del expediente, entonces se remitirá una comunicación informándole sobre la necesidad de
facilitar información adicional para que se pueda proceder a la aceptación de la
comunicación o denuncia.
(d) Cuando la denuncia sea pertinente y la información o documentación facilitada sea
suficiente para el inicio de la correspondiente instrucción del expediente, entonces se
procederá a remitir una comunicación notificándole la incoación del expediente.
(e) Si el denunciante proporciona datos de un tercero que no sea el denunciado (testigos), se
deberá proceder a informar a dicho tercero del tratamiento de sus datos y de la procedencia
de los mismos, solicitando su consentimiento para el tratamiento. Para ello se enviará al
tercero una comunicación dentro de los tres meses siguientes a la recepción de la denuncia.
Si el denunciante no pertenece al Grupo FCC se le remitirá el correspondiente acuse de recibo
Se podrán aplicar los siguientes procedimientos para acreditar el envío así como el contenido de la
comunicación enviada:
(a) En caso de que el denunciante haya facilitado su domicilio postal, será este el cauce que
prevalecerá sobre cualesquiera otros posibles medios de comunicación a utilizar. La
comunicación correspondiente será remitida en sobre cerrado enviado por burofax con
acuse de recibo y certificado de texto.
(b) Cuando no se disponga de domicilio postal del denunciante pero sí de correo electrónico
deberá ser este el cauce utilizado para las comunicaciones. Estos archivos electrónicos
gozarán del grado más alto posible de protección.
7.3
Nombramiento del Director de Instrucción
El Comité de Respuesta nombrará al Director de la Instrucción, que en la generalidad de los
supuestos será el Director General de Auditoría Interna, salvo que concurriera alguno de los
siguientes supuestos:
•
Si de la denuncia se deduce que pueda haber personal implicado perteneciente al
departamento de Auditoría Interna. En estos casos la Dirección de la Instrucción correrá a
cargo de la persona perteneciente al Departamento de Asesoría Jurídica que sea designada
para ello.
•
Si la denuncia está referida a comportamientos relativos con el acoso en el trabajo. En
estos casos el Comité de Respuesta nombrará al Director General de Recursos Humanos
como Director de la Instrucción.
•
Si la denuncia está referida a comportamientos sin trascendencia penal, pero contrarios al
Código Ético de FCC. En estos casos el Comité de Respuesta nombrará al Director de
Responsabilidad Corporativa como Director de la Instrucción.
El Comité de Respuesta podrá en todo caso, de forma motivada, nombrar como Director de la
Instrucción a una persona distinta de las antes indicadas cuando sus circunstancias personales o
laborales lo impidan. Así mismo, cuando la gravedad, especialidad o complejidad de los hechos lo
aconseje, podrán nombrar como Director de la Instrucción a personal directivo de FCC no
perteneciente al Comité de Respuesta, o incluso a personal ajeno al Grupo, que se dedique
profesionalmente a estas funciones.
El Director de la Instrucción nombrará un Instructor, que será el responsable del trabajo de campo
y de la gestión material de los siguientes pasos del procedimiento, bajo la dirección del Director de
la Instrucción.
15
Cuando se trate de denuncias nominativas (o, siendo inicialmente anónimas), desde el momento en
que, en su caso, el denunciante comunique su identidad), el Director de Instrucción notificará al
denunciante la recepción de la denuncia. Asimismo, le informará de la identidad del Instructor, a
efectos de comunicarle que éste podrá dirigirse a él, si fuese necesario recabar información
adicional. Por último, el Director de Instrucción informará, cuando lo estime necesario, a la
Dirección General de Recursos Humanos del nombre del denunciante, a los efectos de que esta
Dirección General tome las medidas oportunas para prevenir y evitar posibles represalias.
8
Instrucción del Expediente
La instrucción del expediente será elaborada por el Instructor y, en su caso, con el equipo que éste
designe, bajo la supervisión del Director de la Instrucción siguiendo paralelamente los siguientes
procesos:
•
Análisis preventivo.
•
Estudio de la información aportada.
De forma previa el Director de la Instrucción elaborará un Informe en el que argumentará los
motivos existentes para proceder a la incoación de un expediente con los datos aportados en la
denuncia presentada, o en su caso su rechazo.
8.1
Análisis Preventivo
El Director de la Instrucción tendrá en cuenta una serie de factores, que por su importancia
pudiesen requerir acciones inmediatas:
8.2
(i)
Valorará si se pueden producir pérdidas adicionales de activos, en cuyo caso tomará
las medidas tendentes a detener o mitigar dichas pérdidas de acuerdo con los
procedimientos del Grupo y las responsabilidades existentes.
(ii)
Valorará la posibilidad de recuperar activos, para en caso afirmativo tomar las
medidas que inicien el proceso de recuperación de los mismos, de acuerdo con los
procedimientos ya existentes.
(iii)
Asegurará las pruebas para la investigación, por lo que pudiera ser necesario valorar y
preparar la adquisición de posibles evidencias digitales.
(iv)
Valorará la pertinencia de comunicar la irregularidad a las autoridades competentes, a
través del criterio de Asesoría Jurídica.
(v)
Valorará la necesidad de solicitar la colaboración de profesionales externos,
proponiéndolo al CR en su caso y siguiendo los procedimientos existentes en el
Grupo al efecto.
(vi)
Valorará si hay debilidades importantes en el control interno del Grupo, realizando las
propuestas de mejora que sean urgentes para evitar nuevos riesgos, informado de las
mismas al Responsable de Gestión de Catálogo de Controles.
(vii)
Valorará si existen potenciales perjuicios causados a terceros como consecuencia de
la comisión de un comportamiento irregular, e informará de los mismos al CR,
proponiendo en su caso, informar también al tercero afectado.
Estudio de la información aportada
La información será sometida por el Instructor a un proceso que consistirá en la valoración de la
fiabilidad y la exactitud de la información relativa a la denuncia.
16
El proceso continuará con un análisis de la información, de forma que permita al Instructor
integrarla e interpretarla en su conjunto.
De forma genérica, el proceso de estudio de la información constará de cinco fases:
(i)
Discriminación de la información.
(ii)
Valoración del denunciante y de la noticia.
(iii)
Análisis de la información.
(iv)
Integración.
(v)
Información al denunciado.
En caso de que el Instructor considere necesario acudirá personal ajeno a su departamento para
poder valorar correctamente la información, lo hará con la autorización del Director de la
Instrucción.
8.2.1 Discriminación de la información
En esta fase se realizará una extracción de los datos aportados en la denuncia con el objetivo de
discriminar aquellos datos objetivos de aquellos subjetivos que pudiesen existir.
(a)
Datos Objetivos: Son aquellos datos concretos que aporta el denunciante (hechos,
fechas, nombres, importes, matrículas, lugares, vehículos, teléfonos, etc.).
(b)
Datos Subjetivos: Son aquellas ideas, opiniones, rumores, etc…, que el denunciante
aporta en la exposición de hechos de la denuncia.
8.2.2 Análisis de la información
El Instructor realizará un estudio de la información aportada en la denuncia consistente en la
contextualización de los datos aportados en la misma mediante el estudio de la información
conocida dentro del Grupo que pueda soportar o ser comparada con los datos aportados en la
denuncia. También aquella que pueda enriquecer los mismos o aportar nuevos puntos de vista
sobre ellos.
8.2.3 Valoración del denunciante y de la noticia
La información contenida en la denuncia y, en su caso, la credibilidad del denunciante serán
valorados por el Instructor (de 1 a 5) desde una doble perspectiva: (i) Fiabilidad del denunciante; y
(ii) exactitud de la información contenida en la denuncia.
8.2.4 Integración
El Instructor expondrá, como resultado de la información adquirida en las fases anteriores, la
hipótesis que considera más probable y aquella que, aunque sea poco probable, entrañe mayores
riesgos para el Grupo, además de otra serie de hipótesis posibles que puedan dar coherencia a la
información conocida hasta el momento.
8.2.5 Información al denunciado
En el periodo de instrucción del expediente se dará trámite de audiencia a todos los afectados y
testigos, practicándose cuantas diligencias se estimen convenientes. La intervención de los testigos
y afectados tendrá carácter estrictamente confidencial. Dicho trámite de audiencia incluirá, como
mínimo una entrevista privada con la persona denunciada en la que pueda defenderse de las
acusaciones vertidas contra él. Asimismo, se procederá a informar al denunciado, así como a
testigos de los extremos que exija la normativa de Protección de Datos.
Hay que resaltar como de las sesiones de la instrucción se levantará acta en el momento de la
finalización de cada reunión, siendo firmada por todos los presentes a la sesión correspondiente.
17
Si la denuncia o noticia recibida se hubiese aportado de forma anónima, se dispondrá de un plazo
máximo de tres meses, a contar desde la fecha de recepción, para -en su caso- llevar a cabo la
investigación o investigaciones necesarias, y comunicar el hecho al afectado de acuerdo con lo
establecido en la LOPD.
8.3
Emisión del Informe
El Director de la Instrucción, con la información obtenida y que figura en el expediente,
confeccionará un Informe que contendrá los siguientes extremos:
•
Información descriptiva de la denuncia, con expresión del Número de Identificación Único
de Denuncia, la fecha de recepción de la denuncia, y la identificación del Director de la
Instrucción y del Instructor.
•
Datos aportados en la denuncia, con la discriminación de los datos objetivos y los datos
subjetivos.
•
Valoración del contenido de la denuncia y de la fiabilidad del denunciante.
•
Análisis de la información y la integración de la misma con expresión de las hipótesis más
probables y la de mayor riesgo, pudiendo añadir todas aquellas otras hipótesis que el
Instructor y/o el Director Instructor consideren convenientes.
•
Medidas propuestas o ya realizadas resultantes del Análisis Preventivo, en el caso de que el
Director Instructor las haya considerado necesarias o convenientes.
•
Proposición de solución a la debilidad de control interno detectada y sobre la que nace esta
denuncia.
•
Propuesta de actuación que podrá consistir en:
o
Propuesta de resolución, cuando se considere que no es necesaria la obtención de
más información y los hechos están suficientemente determinados.
o
Propuesta de investigación, cuando la naturaleza de los hechos haga conveniente
profundizar en la información existente y realizar un trabajo de campo al respecto.
La determinación de la trascendencia y la importancia de la denuncia, así como las actuaciones
necesarias a tomar serán realizadas, como consecuencia del Informe realizado por el Instructor y
remitido al CR. En el caso de que el CR considere que la denuncia es materialmente irrelevante, no
es significativa, y que no aporta pruebas suficientes, dará instrucciones a la UACR para que sean
eliminados inmediatamente del SGD todos los datos relacionados con la misma, y procederá al
Cierre de Procedimiento, con la consiguiente comunicación al denunciado.
El Comité de Respuesta, valorará la propuesta de actuación presentada por el Director de
Instrucción, haciéndola suya o modificándola. Cuando el Comité de Respuesta considere que
necesaria una investigación posterior de los hechos para poder alcanzar una conclusión de
sucedido, dará instrucciones al Director de la Instrucción para que la realice, de acuerdo con
expuesto en el presente Manual.
la
es
lo
lo
Cuando el Comité de Respuesta considere que no es necesaria la obtención de más información -se
haya realizado o no una investigación- y que los hechos están suficientemente determinados,
realizará una Propuesta de Resolución que remitirá al Director General del Área afectada.
Por último el CR enviará el Informe para su almacenamiento en el SGD
18
V
Propuesta de realización de una investigación
9
Proyecto de investigación
En el caso de que la denuncia fuese considerada por el CR material y/o significativa y se aportasen
pruebas suficientes de las mismas, se procederá a una investigación de la denuncia y a la
confección del correspondiente Informe de la investigación. El Director de la Instrucción elaborará
un proyecto de investigación que atenderá a los siguientes parámetros:
•
Objetivos de la investigación.
•
Equipo de investigación.
•
Calendario.
•
Presupuesto de la investigación.
•
Coordinación.
9.1
Objetivos y alcance
Los objetivos de la investigación serán marcados por el Director de la Instrucción quien tendrá en
cuenta los datos aportados en el Informe. El objetivo fundamental será obtener elementos
suficientes que permitan una resolución posterior de la denuncia.
9.2
Equipo de Investigación
El Director de la Instrucción nombrará al Investigador Principal, quien puede coincidir con el
Instructor del Informe o no.
Para la determinación de la composición del Equipo de Investigación serán tenidas en cuenta las
siguientes cuestiones:
•
La elección del equipo investigador deberá garantizar la independencia, en fondo y forma,
de la investigación.
•
El Director de la Instrucción deberá tener en cuenta el nivel e influencia que ostente la
persona denunciada dentro de la organización, en la elección del Equipo de Investigación.
•
Si para realizar la investigación fuese necesario tener un conocimiento específico de algún
proceso concreto, el Director de la Instrucción podrá incluir en el equipo personal
especializado.
Una vez consideradas estas cuestiones el Director de la Instrucción determinará si el equipo
encargado de realizar la investigación deberá estar formado exclusivamente por personal del Grupo
FCC, por profesionales externos, o por una combinación de ambos.
9.3
Calendario
El Director de la Instrucción elaborará un calendario de la investigación, teniendo en cuenta que si
éste tiene una duración superior a los tres meses, tendrá la obligación legal en materia de
protección de datos de comunicar a la persona investigada que sus datos de carácter personal están
siendo tratados en el marco de una investigación.
9.4
Presupuesto de la investigación
La estimación presupuestaria de la investigación será realizada por el Director de la Instrucción en
función de la duración de la misma, del personal encargado de llevarla a término y de los métodos
y herramientas necesarios para su realización.
19
9.5
Coordinación
El Director de la Investigación podrá delegar partes de la investigación o la coordinación en
determinadas materias o determinadas misiones en aquel personal perteneciente al Grupo FCC que
considere necesario cuando la complejidad de la instrucción, su desarrollo en ámbito internacional
o circunstancias de conocimiento técnico especializado así lo aconsejen.
En aquellos supuestos en los que se comuniquen datos de carácter personal entre las oficinas del
Grupo FCC sitas fuera del territorio de la Unión Europea o de aquellos estados que la Comisión
Europea ha considerado que disponen de un nivel de protección equiparable al de la LOPD2 deberá
cumplirse con lo dispuesto en la legislación del país de origen respecto a las transferencias
internacionales de datos3.
10
Otras premisas a tener en cuenta
Cuando la denuncia remitida o recibida por el CR pueda causar al Grupo FCC un riesgo material o
reputacional importante, el Director de la Instrucción propondrá al CR remitir al Director General
del Área de Negocio, el Resumen Ejecutivo del Informe Preliminar en el que figurará, la
resolución adoptada por el CR, y el Proyecto de Investigación con el fin de que se proceda por
parte del mismo a su aprobación y/o modificación.
El Consejero Delegado, con la información disponible, podrá decidir sobre la continuación de la
investigación y su proyecto.
11
Tratamiento de datos durante la investigación
Una vez tomada la resolución de investigar el hecho denunciado, el CR puede solicitar a otras
direcciones, áreas o departamentos dentro del Grupo FCC que aporten determinados datos o que le
apoyen en la realización de las correspondientes tareas de investigación de los hechos de la
denuncia. Estas solicitudes deberán realizarse manteniendo, en la medida de lo posible, el
anonimato tanto de denunciado como de denunciante, así como los motivos de la denuncia.
A tal fin, sería recomendable que todos aquellos empleados involucrados en las tareas de apoyo a
la investigación suscribieran un Acuerdo de Confidencialidad, con anterioridad a la realización de
las mismas.
También puede suceder que las investigaciones se realicen dentro de una Sociedad que pertenezca
al grupo de empresas de FCC. En este caso, tal y como se ha explicado anteriormente, se propone
la firma de un Acuerdo intra-grupo de tratamiento de datos por cuenta de terceros. En este sentido,
cabe resaltar que FCC actúa como encargada del tratamiento de la gestión de las denuncias por
fraude recibidas por otras entidades pertenecientes al Grupo.
Por último, y en caso de que la investigación de los asuntos denunciados fuera encomendada a una
firma tercera de investigación pericial o forense se deberá tener en cuenta que en el acuerdo de
prestación de servicios con dicha firma deberá figurar una cláusula de tratamiento de datos por
cuenta de terceros.
2
Tendrían nivel equiparable los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados
que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla
de Man, las entidades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades
sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los
registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados
Unidos de América.
3
En el supuesto de que el país de origen de la comunicación de datos sea España, deberá o bien contarse con la previa
autorización del Director de la Agencia Española de Protección de Datos, o bien con el consentimiento inequívoco de los
interesados.
20
VI
Investigación
Una vez elaborado el Proyecto de Investigación por el Director de la Instrucción y tras el
nombramiento del Investigador Principal, éste, con la supervisión del anterior, desarrollará las vías
de investigación adecuadas, en función a las hipótesis y prioridades planteadas en el Informe
Preliminar. El Equipo de Investigación será nombrado por el Investigador principal de acuerdo con
las directrices dadas en el Proyecto de Investigación.
La investigación se realizará en base a las hipótesis existentes en el Informe y de acuerdo con las
vías de investigación marcadas por el Investigador principal. El Director de la Instrucción decidirá
sobre la adquisición de evidencias digitales que se realizarán de acuerdo con la normativa del
Grupo FCC.
No existe un patrón fijo para el desarrollo de una investigación, pues ésta dependerá siempre de sus
circunstancias particulares. No obstante, el Equipo de Investigación deberá tener en cuenta la
existencia de circunstancias que puedan ocasionar perjuicios directos y/o indirectos al Grupo FCC,
en base a las hipótesis de mayor riesgo hasta que se demuestren no verdaderas, si es el caso:
•
Riesgo de destrucción de pruebas: el Equipo de Investigación deberá asegurar las pruebas
que por su naturaleza pudieran ser susceptibles de ser destruidas.
•
Riesgo de litigios con otras compañías: las acciones objeto de denuncia pueden acarrear a
la empresa litigios con terceros.
•
Riesgo de incumplimientos normativos: un incumplimiento de la legislación aplicable en
el lugar donde esté establecida la sociedad puede acarrear sanciones, a ésta o a su
dirección, que causen un perjuicio grave o un daño reputacional importante en la imagen
del Grupo FCC.
En caso de que no se hayan cumplido los objetivos planteados en el Proyecto de Investigación, el
Investigador Principal determinará nuevas hipótesis sobre lo sucedido con la nueva información
obtenida, continuándose la investigación en función a las mismas.
En caso de que la veracidad de alguna de las hipótesis resulte probada, y se hayan cumplido los
objetivos planteados en el Proyecto de Investigación, incluyendo en su caso el estudio de las
evidencias digitales, el Director de la Instrucción analizará los resultados de la misma y elaborará
un Informe de la Investigación que será remitido al CR para su almacenamiento, a través de la
UACR en el SGD. El CR estudiará el Informe de la Investigación y elaborará unas conclusiones al
respecto, con expresión de los hechos objetivos. Estas conclusiones serán remitidas al Director
General del Área afectada para su resolución.
21
VII
Resolución
Una vez remitido por el Comité de Respuesta al Director General del Área afectada, la Propuesta
de Resolución fruto del Informe de la Instrucción y en su caso, del Informe de Investigación, será
éste último quien deberá adoptar la consiguiente resolución.
Cuando la Resolución coincida con la Propuesta realizada por el Comité de Respuesta, será
ejecutiva de forma inmediata, y remitida a la UACR para que sea registrada en el SGD de forma
razonada y documentada.
En caso de que el Director General del Área afectada emita una Resolución distinta a la Propuesta
de Resolución del Comité de Respuesta o, transcurrido un mes desde la recepción de ésta, no
hubiera adoptado resolución alguna, el CR lo pondrá en conocimiento del Presidente del Área
afectada y, en su defecto, del Presidente y Consejero Delegado del Grupo, para que emita la
resolución ejecutiva que proceda.
La Propuesta de Resolución será remitida por el CR directamente al Presidente de Área afectada en
los supuestos que considere que pudiera existir, conflicto de intereses con el Director General de la
mencionada Área afectada.
Adicionalmente, el CR elaborará una lista con las recomendaciones que estime oportunas,
encaminadas a mejorar los controles internos que hayan sido identificados como deficientes, a raíz
de la denuncia iniciando las comunicaciones oportunas al Responsable de Gestión del Catálogo de
Controles para su estudio e implantación.
El Director de la Instrucción comunicará al denunciante la finalización de la investigación siempre
que no sea ajeno al Grupo FCC.
Una vez que se haya adoptado una resolución sobre la denuncia, el Director de la Instrucción
pedirá a la UACR que proceda a bloquear los registros de la misma, que figuren en el SGD. Dichos
registros permanecerán bloqueados el tiempo que la Dirección General de Asesoría Jurídica estime
conveniente hasta su total eliminación o posterior desbloqueo, en su caso, todo ello de acuerdo con
la legislación vigente en materia de LOPD.
12
Comunicación al denunciado
El Director de Instrucción tendrá en cuenta el plazo máximo de tres meses para informar al
denunciado del tratamiento de sus datos personales de acuerdo con lo establecido por el artículo 5
de la LOPD, siendo recomendable que las investigaciones destinadas a esclarecer los hechos de la
denuncia no se prolonguen más allá de este plazo.
Por lo tanto, y dentro del plazo de los tres meses que son establecidos como el límite de tiempo
dentro del cual el Grupo FCC debe informar al denunciado a través del envío de una carta, que
podrá remitirse de forma complementaria a aquellas comunicaciones en las que se notifique al
denunciado la adopción de las medidas contractuales, disciplinarias o judiciales oportunas.
Por último, como procedimiento a seguir para todas aquellas comunicaciones que, en su caso, sea
necesario remitir al denunciado, el medio adecuado será el correo postal mediante burofax remitido
con acuse de recibo y certificado de texto a la atención del denunciado. Alternativamente, y si las
circunstancias del caso así lo motivaran, el medio utilizado para remitir la comunicación al
denunciado podría ser la entrega en mano, en el propio centro de trabajo, con acuse de recibo.
De la misma forma se pondrá en conocimiento del denunciante las resoluciones que se hayan
tomado en relación a la denuncia formulada por éste, siempre que pertenezca al Grupo FCC y con
el compromiso de confidencialidad.
22
VIII. Formación del Manual
FCC elaborará un plan de Formación corporativa en materia de prevención y respuesta del Grupo
FCC ante la posible comisión de delitos y las medidas internas de control, que podrá cumplirse a
través de sesiones presenciales, formación “on line” o entrega de folletos de divulgación. Este plan
de formación podrá contemplarse en el marco de la formación prevista para el Código Ético y
dependerá del Departamento de formación de Recursos Humanos de FCC y consistirá en:
•
Sesión anual presencial para Directivos y empleados de las áreas más sensibles, impartida
por la Asesoría Jurídica, el Responsable de Gestión del Catálogo de Controles,
Responsabilidad Corporativa, o personal especialista externo.
•
Sesiones on-line para empleados que disponen de dirección de correo con la extensión
fcc.es y ordenador.
•
Sesiones formativas específicas al resto de empleados, que pueden impartir mandos
intermedios con una formación específica cumplida.
•
Sesiones formativas específicas dirigidas a los nuevos empleados, con ocasión de su
incorporación.
•
Entrega de folletos informativo para todos los empleados y para empleados contratados
con carácter temporal o en UTES donde rija el presente Manual.
En el caso de las sesiones presenciales, el Responsable de Formación de Recursos Humanos
llevará un registro de los Directivos y empleados asistentes quienes, al finalizar las sesiones de
formación, deberán completar un cuestionario sobre los contenidos de las mismas, a fin de evaluar
los conocimientos adquiridos.
El Responsable de Gestión del Catálogo de Controles podrá determinar, si lo considera necesario,
sesiones formativas extraordinarias teniendo en consideración los puestos a desarrollar por los
empleados convocados, cambios legales u otras circunstancias.
Las acciones formativas se desarrollarán bajo la responsabilidad del Responsable de Gestión del
Catálogo de Controles y la documentación soporte estará a disposición de todos los empleados en
la intranet de FCC, independientemente de los cursos on-line que se desarrollen.
En el caso de las sesiones on-line, dirigidas a todos los empleados de FCC con dirección de correo
y ordenador, los empleados deberán completar un cuestionario sobre los contenidos de las mismas
y deberá preverse una certificación digital y un registro de quienes han realizado efectivamente
dicha actividad.
Asimismo, en ocasión de la incorporación de nuevos empleados, FCC entregará a los mismos el
folleto informativo, dejando constancia de su entrega mediante la firma del empleado que lo recibe,
en las sesiones de bienvenida que se les brinden.
Con relación a aquellos empleados que no disponen de correo electrónico ni ordenador, o que son
contratados con carácter temporal, se les hará entrega de un folleto informativo que contendrá las
principales medidas de control interno.
Con carácter general, tanto la formación presencial como las sesiones on-line, se centrarán en los
siguientes aspectos:
•
Principios generales de la responsabilidad penal de las personas jurídicas: aspectos
sustanciales.
•
Procedimientos y controles establecidos por FCC para prevenir la comisión de delitos por
parte de sus administradores de hecho o de derecho y de sus empleados.
•
Requerimientos legales actuales o futuros.
23
•
Identidad de las personas o departamentos a cargo del control interno.
•
Procedimientos o canales de comunicación de cualquier sospecha o conocimiento acerca
de actividades que se intentan prevenir.
•
Posibles vulnerabilidades o debilidades de su área de negocio frente a actividades
delictivas.
Para llevar a cabo la citada formación, se deberá tener en cuenta tres niveles distintos teniendo en
cuenta si los receptores de la misma son: (i) altos directivos del Grupo FCC, cuya principal
actividad se encuentra centrada en la representación del Grupo FCC y las relaciones con clientes,
(ii) si se trata del resto de directivos y personal técnico (licenciados) del Grupo FCC cuya actividad
se encuentra más centrada en el ámbito de la Unidad de Negocio de cada uno de ellos, o por
último, (iii) si quienes reciben la formación es personal subalterno o de obra.
Por otra parte, la formación se adaptará cada año a la divulgación de nuevos controles o catálogo
de delitos adoptados por el Grupo FCC.
24