GRUPO FCC Manual de Prevención y Respuesta ante Delitos 27 de febrero de 2012 Contenido I Propósito y contenido del Manual 2 1. 2. Introducción y objetivos Ámbito de Aplicación 2 3 II Órganos responsables del Manual 3 1. 2. Definición y características del Manual El Responsable de Gestión del Catálogo de Controles (GCC) 3 4 III Catalogo de priorización de delitos y comportamientos de riesgo 6 1. 2. 6 3. 4. 5. Definición Descripción del contenido del Catálogo de priorización de delitos y comportamientos de riesgo Criterios utilizados para la priorización de delitos Procedimiento de actualización y modificación del Catálogo Evaluación y Supervisión del Manual IV Protocolos de respuesta 10 1 2 3 4 5 6 7 8 Introducción Glosario de términos relevantes Comité de Respuesta Unidad de Apoyo al Comité de Respuesta El Sistema de Gestión de Denuncias Recepción de denuncias Determinación de la importancia y tipo de denuncia Instrucción del Expediente 10 10 11 12 12 14 14 16 V Propuesta de realización de una investigación 19 9 10 11 Proyecto de investigación Otras premisas a tener en cuenta Tratamiento de datos durante la investigación 19 20 20 VI Investigación 21 VII Resolución 22 12 Comunicación al denunciado 22 VIII. Formación del Manual 6 6 7 9 23 1 I Propósito y contenido del Manual 1. Introducción y objetivos El presente Manual de Prevención y Respuesta ante Delitos (en adelante el Manual) tiene como finalidad establecer un sistema de prevención de delitos a través de actuaciones y controles a implementados en el Grupo FCC (en adelante FCC o el Grupo), de forma que se mitigue el riesgo de comisión de los mismos. Este sistema de prevención y respuesta contempla dos partes diferenciadas que la lógica y la experiencia en la gestión de riesgos aconsejan. Una primera parte se corresponde con la fase preventiva, y consiste en la identificación y actualización de los comportamientos que conllevan un riesgo de comisión de aquellos delitos que pueden darse en el Grupo, así como en la planificación e implantación de controles para mitigarlos. Para ello el Grupo se ha dotado de unos órganos, expuestos en la presente Manual, y de unos procedimientos de obligado cumplimiento. Una segunda parte se corresponde con los órganos y procedimientos con los que se dará una respuesta a aquellos indicios que puedan suponer la comisión de alguna irregularidad dentro del Grupo FCC, especialmente aquellas que pudieran tener relación con ilícitos penales. En este sentido, tratándose igualmente de un control preventivo, el Grupo regula las actuaciones a seguir para conocer si efectivamente se ha producido el delito, o al menos recopilar los datos imprescindibles para actuar de acuerdo con la legalidad, así como para preservar las evidencias que pueden existir, y minorar en lo posible los perjuicios que pueden haberse ocasionado en primer lugar a terceros y en segundo lugar al propio Grupo. Los procedimientos establecidos en el presente Manual son de obligado cumplimiento, y tienen la máxima jerarquía en la normativa del Grupo FCC, puesto que materializan la clara oposición de los Órganos de Dirección del Grupo FCC a que la sociedad puede beneficiarse a través de comportamientos no éticos o que pudieran constituir infracción penal. Con esta disposición la Dirección del Grupo FCC velará por la aplicación del Manual, dotando a aquellos órganos y personas, a los que en el mismo se les asignen funciones en esta materia, de la autoridad y medios suficientes para cumplir con sus cometidos. 2 2. Ámbito de Aplicación El ámbito de aplicación del presente Manual afecta al Grupo FCC y sus sociedades participadas. Así mismo, se aplicará el presente Manual a las sociedades adquiridas por el grupo FCC en el momento en que dicha adquisición sea efectiva, así como a las personas y a las actividades que forman todos los niveles de la organización. En la UTES constituidas por empresas del Grupo FCC y en las UTES constituidas por el Grupo FCC o sus filiales con otras empresas, regirá el presente Manual en lo que respecta a los empleados del Grupo FCC que desarrollen su labor en las mismas. II Órganos responsables del Manual 1. Definición y características del Manual El Manual puede definirse como la normativa interna de la que el Grupo se dota como herramienta para establecer un sistema estructurado de control, que mitigue las posibilidades de que el personal dependiente del Grupo pueda cometer un delito del que se pueda derivar responsabilidades penales para las personas jurídicas. Para ello se regulan los procedimientos de gestión de los riesgos penales, y de los controles internos para mitigarlos, así como los procedimientos de respuesta ante la existencia de datos o indicios que puedan significar la comisión de un delito. Es pues, una norma que organiza de forma coherente en el Grupo un sistema de prevención de delitos con los procedimientos necesarios para su desarrollo y actualización a lo largo del tiempo. El Manual tiene una serie de características que se han de tener en cuenta para su correcta interpretación. Se trata de un proceso continuo y dinámico • Es un proceso que deberá ser revisado periódicamente, por lo que no debe considerarse como un elemento estático. • El contenido del Manual constituye una metodología que debe adecuarse al propio desarrollo del negocio y de las actividades del Grupo FCC. El procedimiento establecido en el Manual será liderado y gestionado por la Dirección de la organización • Los directivos y mandos intermedios del Grupo FCC deben conocerlo especialmente y velar por su cumplimiento. Con el fin de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos del Manual, es necesario poner de relieve los siguientes aspectos: • Existe siempre un componente de incertidumbre y riesgo relacionado con el futuro. • Existen limitaciones derivadas de juicios erróneos de las personas en la toma de decisiones. • Existen limitaciones derivadas de fallos humanos (errores y equivocaciones). • Algunos controles pueden ser evitados por el acuerdo o connivencia de varias personas. Esta connivencia se puede dar entre personas pertenecientes a la estructura del Grupo FCC, o bien entre estos y terceros como pueden ser clientes o proveedores. Nunca existirá, por tanto, la certeza o seguridad absoluta de que no se puede dar un delito en la organización. 3 2. El Responsable de Gestión del Catálogo de Controles (GCC) 2.1 Definición En el Grupo FCC existirá un Responsable de la Gestión del Catálogo de Controles (en adelante el responsable de la Gestión del Catálogo de Controles o GCC) que será el responsable del desarrollo, supervisión y mejora del Manual, de acuerdo con las funciones que en el mismo se le asignen. La responsabilidad sobre la gestión e implantación de los controles internos, esta descentralizada en las áreas de negocio y el cargo de Responsable de la Gestión del Catálogo de Controles, recaerá en el Director de Control de Gestión y Gestión de Riegos del Grupo FCC por disponer de la formación y experiencia adecuada para el ejercicio de esta responsabilidad. Para el desarrollo de sus funciones, el Responsable de Gestión del Catálogo de Controles contará con el siguiente personal de Apoyo: • Un Adjunto al Responsable de Gestión del Catálogo de Controles (Director de Gestión de Riesgos del Grupo FCC). • Un equipo propio o staff del Responsable de Gestión del Catalogo de Controles, en su caso. • El personal de su departamento, en su caso. • Aquel que se le asigne para casos y trabajos puntuales, de acuerdo con los procedimientos habituales del Grupo FCC. Adjunto al Responsable de Gestión del Catálogo de Controles El Adjunto al Responsable de Gestión del Catálogo de Controles, sustituirá en caso de ausencia de éste último, y a quien ayudará en sus funciones. 2.2 Dependencia Responsable de Gestión del Catálogo de Controles El Responsable de Gestión del Catálogo de Controles dependerá orgánica y funcionalmente del Director General de Administración y Tecnologías de la Información. Para su asistencia en aspectos técnicos o jurídicos relativos a cuestiones penales, podrá elevar consultas al Departamento de Asesoría Jurídica de acuerdo con los procedimientos establecidos en el Grupo. Adjunto al Responsable de Gestión del Catálogo de Controles Dependerá funcionalmente del Responsable de Gestión del Catálogo de Controles en las funciones que tenga asignadas en el presente Manual. Cuando sustituya a dicho responsable, tendrá temporalmente sus mismas funciones y dependencias. 2.3 Régimen de suplencia del Responsable de Gestión del Catálogo de Controles El Director General de Administración y Tecnologías de la Información determinará la suplencia del Responsable de Gestión del Catálogo de Controles cuando exista algún conflicto de interés del Responsable de Gestión del Catálogo de Controles respecto a sus tareas, o vaya a darse una ausencia prolongada por cuestiones de trabajo o descanso prolongado. En caso de ausencia por enfermedad, dicha suplencia se producirá automáticamente. Con el objetivo de que el Adjunto al Responsable de Gestión del Catálogo de Controles tenga conocimiento de la actividad y el desempeño del Responsable de Gestión del Catálogo de Controles, se establecen los siguientes mecanismos de coordinación: 4 • El Adjunto al Responsable de Gestión del Catálogo de Controles apoyará al Responsable de Gestión del Catálogo de Controles y conocerá el desarrollo de su trabajo. • El Responsable de Gestión del Catálogo de Controles informará sobre las reuniones que realice con los órganos de dirección u otros Departamentos en temas relacionados con este Manual. • El Adjunto al Responsable de Gestión del Catálogo de Controles tendrá acceso a la documentación generada en sus funciones por el Responsable de Gestión del Catálogo de Controles. 2.4 Sistema de coordinación dentro de la estructura del Grupo FCC entre el Responsable de Gestión del Catálogo de Controles, la Dirección y el resto de la organización. Para garantizar la adecuada implantación y funcionamiento del Manual, tanto la Dirección como los responsables de los Departamentos afectados por los riesgos, así como todos los restantes empleados del Grupo, deberán colaborar en todo momento con el Responsable de Gestión del Catálogo de Controles. La totalidad de los empleados y trabajadores del Grupo FCC, facilitarán en todo momento la labor del Responsable de Gestión del Catálogo de Controles, entregando toda la información y documentación solicitada por el mismo. Dicha solicitud será tramitada a través de la línea jerárquica del Grupo. En el caso de que existan razones a juicio del Responsable de Gestión del Catálogo de Controles por las que no sea conveniente utilizar la vía jerárquica en alguna ocasión, esta circunstancia será aprobada por el Director General de Administración y Tecnologías de la Información, salvo que con esta intervención, se genere un potencial conflicto de interés, en cuyo caso debe actuar el Presidente y Consejero Delegado. El Responsable de Gestión del Catálogo de Controles comunicará las obligaciones y procedimientos que se deriven del Manual, así como de las actualizaciones o de las circunstancias más relevantes, al conjunto de la plantilla y especialmente a Directivos y mandos intermedios por los canales de comunicación interna establecidos. 5 Sistema Preventivo III Catalogo de priorización de delitos y comportamientos de riesgo 1. Definición El Catálogo priorizado de delitos y comportamientos de riesgo (en adelante el Catálogo) es el listado estructurado de los comportamientos de riesgo detectados en el Grupo que puedan conllevar la comisión de un delito, con la referencia de los controles existentes para mitigar su probabilidad de ocurrencia. A estos efectos entendemos por “comportamientos de riesgo” aquellas actuaciones llevadas a cabo por parte de personas pertenecientes al Grupo, que puedan derivar en la comisión de un delito en beneficio del Grupo FCC. Los comportamientos de riesgo hacen referencia a un tipo de delito concreto, por lo que en el Catálogo aparecerán referidos al mismo. 2. Descripción del contenido del Catálogo de priorización de delitos y comportamientos de riesgo La estructura y contenidos del Catálogo, que se adjunta como Anexo, será una matriz con las siguientes columnas: • Delito: En este apartado aparecerá la denominación genérica de los delitos a los que se referirán los comportamientos. Además se realizará una clasificación de los mismos de acuerdo a la priorización efectuada por la Sociedad. • Comportamientos de riesgos: Se establecen los comportamientos de riesgo identificados por la organización. • Probabilidad de ocurrencia: Se establece la probabilidad de ocurrencia de la comisión del delito en la Sociedad. Su clasificación puede ser alta, media o baja en función de las opiniones expresadas en las reuniones establecidas para el análisis de los mismos. • Controles Clave Asociados: Descripción de los controles existentes en la Sociedad para mitigar el comportamiento de riesgo concreto. • Propietario del Control: Identificador de la persona, categoría profesional o área al que la organización asigna la propiedad del control. • Propietario del comportamiento de riesgo: Unidad administrativa que puede ser afectada por el correspondiente comportamiento 3. Criterios utilizados para la priorización de delitos El número de delitos existentes no permite que el Grupo dedique sus esfuerzos a estudiar y prevenir todos ellos con la misma intensidad y al mismo tiempo. La lógica y los procedimientos generalmente aceptados de gestión de riesgos exigen una priorización de los mismos. Para dicha clasificación de la priorización de los delitos se han tenido en cuenta diferentes aspectos, entre los que se encuentran: el porcentaje de empleados que tendrían a su alcance medios para cometer el delito, la ocurrencia histórica, la ocurrencia futura estimada, la gravedad de la pena, el daño reputacional, la posibilidad de reincidencia y potencial daño a terceros. En base a todo ello, los delitos se han clasificado en las siguientes categorías en base a su priorización: 6 Priorización baja: aquellos delitos, que en base a los parámetros antes mencionados, sólo pueden llevarse a cabo en el Grupo de forma remota, por encontrarse fuera del entorno del sector de actividad del mismo, de los medios a su alcance o de los conocimientos de su personal. Priorización media: aquellos delitos que podrían cometerse por parte de los empleados del Grupo, por encontrase en el entorno del sector de actividad del mismo, de los medios a su alcance o de las posibilidades y conocimientos de su personal, sin que ello signifique que se obtiene un beneficio por la persona que cometa el delito o, que de obtenerse, éste sea de escaso importe. Priorización alta: cuando un delito se encuentre en la descripción dada para Priorización media y pueda ofrecer un beneficio económico o personal relevante para la persona que pudiera cometerlo. La precedente clasificación de los delitos determinará la prioridad que para el Grupo tendrá la mitigación de sus comportamientos de riesgo relacionados. Por tanto, el estudio y análisis de los comportamientos relativos a los delitos de Priorización alta y media tendrá una mayor profundidad. 4. Procedimiento de actualización y modificación del Catálogo Pese a que el Catálogo y la eficacia de los controles establecidos deberán ser revisados anualmente, el Responsable de Gestión del Catálogo de Controles podrá realizar actualizaciones por propia iniciativa o a petición de otros miembros del Grupo FCC. Todas las actualizaciones estarán documentadas, y quedarán archivadas. El procedimiento de actualización se referirá a: 1. Detección de un nuevo comportamiento de riesgo o modificación de uno ya establecido. 2. Establecimiento de un nuevo control o variación de uno existente. 3. Revisión de la priorización de delitos. El Responsable de Gestión del Catálogo de Controles prestará especial atención en la actualización de oficio de aquellos comportamientos y controles relativos a delitos que reúnan las características siguientes: • Que su delito relacionado esté calificado como de Priorización media o alta. • Que el comportamiento de riesgo esté calificado con probabilidad de ocurrencia media o alta. Los comportamientos que reúnan estas características serán objeto, además, de un especial seguimiento por parte del Responsable de Gestión del Catálogo de Controles. 4.1 Detección de un nuevo comportamiento de riesgo o modificación de uno ya establecido La actualización de los riesgos y controles del Catálogo como consecuencia de la detección de un nuevo comportamiento de riesgo o su modificación, puede iniciarse de varias maneras: • Por una comunicación de los responsables de negocio o departamentos. • Por una comunicación, a través del canal jerárquico, de cualquier miembro de la Organización. • Por una comunicación externa o denuncia recibida a través de los canales establecidos al efecto. • Por propia iniciativa del Responsable de Gestión del Catálogo de Controles. • Por el Responsable de Gestión del Catálogo de Controles, como consecuencia de la información generada por los procedimientos de respuesta regulados en el presente Manual. 7 Una vez que la información llega al Responsable de Gestión del Catálogo de Controles, éste la examinará con el fin de determinar la relevancia del riesgo y si la información aportada es completa: • Cuando la información sea suficiente, valorará si el riesgo propuesto es relevante y en ese caso iniciará el proceso de actualización. • Si la información no se considera completa para iniciar el procedimiento de actualización, el Responsable de Gestión del Catálogo de Controles solicitará una ampliación de la información a la Unidad de Negocio de origen, y a aquellos otros que considere oportuno hacerlo. Una vez que el Responsable de Gestión del Catálogo de Controles cuente con la información completa, y tomada la decisión de la relevancia de la misma, se procederá a su análisis con el fin de determinar: • Las unidades de negocio y/o departamentos en los cuales puede darse el comportamiento. • Los departamentos, corporativos o centrales, que puedan verse afectados por su área de responsabilidad o especialización. Con esta información tomará una decisión sobre la inclusión en el Catálogo de la modificación estudiada. Dicha decisión será comunicada a los departamentos de Auditoría Interna y Asesoría Jurídica y trasladará el nuevo comportamiento de riesgo o modificación al Catálogo, comunicándolo a las unidades de negocio afectadas. Inmediatamente después, y respecto a dicho comportamiento de riesgo, iniciará el procedimiento que se describe en el siguiente apartado, con la finalidad de estudiar los controles necesarios. 4.2 Establecimiento de un nuevo control o modificación de uno existente Cuando el responsable de una Unidad de Negocio o departamento establezca un nuevo control, o determine la modificación de uno existente, lo comunicará al Responsable de Gestión del Catálogo de Controles para que decida si debe ser incorporado al Catálogo, en el caso de ser un control que afecte a los comportamientos de riesgo delictivo. En caso de que el control pudiera afectar a varias Unidades de Negocio o a la totalidad del Grupo FCC, el Responsable de Gestión del Catálogo de Controles iniciará entonces con los departamentos afectados un trabajo de información y documentación de la propuesta de control con la finalidad de llegar a determinar cómo dichos controles pueden afectar al negocio y a su flexibilidad, así como hasta qué punto reducirían el riesgo de ocurrencia de los comportamientos afectados. Con las conclusiones de este trabajo el Responsable de Gestión del Catálogo de Controles elaborará una propuesta de modificación del Catálogo de Controles, la cual será enviada a la Dirección General de Asesoría Jurídica y a la Dirección General de Auditoría Interna, para su informe, remitiendo el conjunto al Director General de Administración y Tecnologías de la Información, quien lo elevará al Comité de Dirección dónde se tomará una decisión sobre la conveniencia de la implantación de dicho control en otros departamentos o en el Grupo en su conjunto, en tal caso, se procederá a su incorporación en la normativa interna. Dichos responsables decidirán sobre la forma de difundir a las unidades subordinadas el posible control para su implantación, informando al Responsable de Gestión del Catálogo de Controles de la decisión adoptada. En caso de que dicha implantación sea decidida por los departamentos subordinados, igualmente se comunicará dicha decisión al Responsable de Gestión del Catálogo de Controles. 8 5. Evaluación y Supervisión del Manual Anualmente se elaborarán los siguientes informes los cuales se dirigirán al Presidente Consejero Delegado y se elevarán al Comité de Auditoría para su conocimiento: • El Comité de Respuesta elaborará una memoria sobre el desarrollo de su actividad con las sugerencias que considere conveniente incorporar para la mejora de su funcionamiento. • La Dirección de Control de Gestión y Gestión de Riesgos elaborará un informe sobre el funcionamiento de los controles internos establecidos en el Catálogo de priorización de delitos y comportamientos de riesgo, con indicación de las variaciones que en dichos controles, se hayan producido durante el ejercicio. Todo ello con independencia de los informes que, en cualquier momento, pueda elaborar la Dirección General de Auditoría Interna sobre el funcionamiento del control interno. 9 Respuesta IV Protocolos de respuesta 1 Introducción Este Protocolo establece las normas de actuación que se han de seguir en relación con la respuesta ante la aparición de aquellos indicios de los que se disponga de información suficientemente relevante para iniciar una investigación en el ámbito de actuación del Grupo FCC, y por sus directivos o las personas de ellos dependientes. 2 Glosario de términos relevantes En este apartado se describen aquellos términos relevantes utilizados a lo largo del presente Manual. Dicha descripción, realizada con la finalidad de facilitar la lectura y comprensión del Protocolo, se amplía en la mayoría de los casos en los apartados correspondientes del Manual. No puede por tanto pretenderse que en las definiciones del Glosario se especifiquen de forma precisa todas las funciones y características que definen y conllevan los términos explicados. • Denuncia. – A los efectos de este manual se entenderá por este término cualquier información de la que se pueda derivar que se ha cometido un delito o irregularidad en el ámbito de la organización. Por tanto puede ser una comunicación realizada a través del canal de denuncias asociado a la línea ética u otro canal de denuncia, p.e. el buzón habilitado por parte de Recursos Humanos para la recepción de currículos, o la dirección de correo electrónico habilitada por FCC para la consultas que puedan realizar los inversores ([email protected]). A este respecto, también puede ser considerada como denuncia el resultado de una inspección o auditoría que sea puesta en conocimiento de los directivos del Grupo FCC. De la misma manera será considerada como tal la comunicación de estos indicios por parte de cualquier persona a un empleado del Grupo FCC, quien a través de los diferentes canales puestos a su disposición por la organización realizará la comunicación al Grupo. • Comité de Respuesta (CR). –Será el órgano encargado de interpretar las disposiciones de este Manual y resolver acerca de las mismas. Su descripción aparece en el Capítulo 3 del presente Manual. • Informe. – Documento fruto de la realización de un primer análisis de la denuncia o comunicación recibida. Lo realizará el Instructor bajo la supervisión del Director de la Instrucción. En el mismo se describen los datos objetivos obtenidos de la denuncia, así como su contextualización con datos conocidos que puedan soportarla, y cualquier otra información conocida que pueda enriquecer la denuncia, o aportar nuevos puntos de vista sobre la misma. Adicionalmente, en este informe se presentarán las medidas llevadas a cabo durante la fase de Análisis Preventivo de la Denuncia. • Director de la Instrucción. – La figura del Director de la Instrucción asumirá la función de supervisión de la elaboración del Informe, siendo el responsable de la toma de medidas urgentes durante el proceso del Análisis Preventivo de la denuncia, y además será el máximo responsable de la misma, marcando prioridades y plazos al Instructor. 10 3 • Unidad de Apoyo al Comité de Respuesta (UACR). – La UACR dependerá orgánicamente del CR siendo su principal función prestar apoyo a éste en las funciones que tiene atribuidas a través del presente Manual. Además gestionará e introducirá los datos en el Sistema de Gestión de Denuncias. El UACR se describe en el apartado 4 del Manual. • Sistema de Gestión de Denuncias (SGD). – El SGD es una base de datos segura en la que quedan registradas las denuncias recibidas, así como aquellas acciones que en relación con la gestión de las mismas se recogen en el presente Manual. El SGD queda descrito en el apartado 5. • Análisis Preventivo de la Denuncia. – Proceso mediante el cual, el Director de la Instrucción auxiliado por el Instructor y su equipo, estudia el potencial perjuicio que podría existir si la denuncia fuera cierta, así como las medidas a tomar para minimizar aquellos riesgos latentes del hecho denunciado. Como fruto de este análisis, el Director de la Instrucción coordina el establecimiento y ejecución de las medidas urgentes que considere necesarias. • Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, (LOPD). – La LOPD es una Ley Orgánica que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. • Instructor. – La figura de Instructor asumirá la función de elaborar el Informe, bajo la supervisión del Director de la Instrucción. El Instructor será designado por el Director de la Instrucción entre el personal de su departamento. • Secretario. – Su función será, entre otras, la de levantar Actas de las reuniones del CR. • Número de identificación único de la denuncia. – Clave que identifica de forma unívoca una denuncia presentada. • Evidencia Digital. – Tipo de evidencia física construida por campos magnéticos y pulsos electrónicos que pueden ser recolectados y analizados con herramientas y técnicas especiales y que contiene información de valor probatorio. • Grupo FCC. – Denominación dada en el presente Manual en referencia a la totalidad de las sociedades filiales, participadas de FCC, y UTES en las que participe, así como la propia sociedad FCC, S.A. Comité de Respuesta El Comité de Respuesta, (en adelante, CR) estará compuesto por cuatro miembros: el Director General de Auditoría Interna, el Director General de Asesoría Jurídica, el Director General de Recursos Humanos y el Director de Responsabilidad Corporativa. El CR tendrá una dependencia funcional del Presidente y Consejero Delegado del Grupo FCC. El CR funcionará como órgano colegiado, siendo el destinatario de las denuncias formuladas. Llevará un registro de sus reuniones y decisiones a través del Sistema de Gestión de Denuncias (en adelante, SGD). El CR será presidido por el Director General de Auditoría Interna. Las funciones de Secretario del CR serán asumidas por el Director de Responsabilidad Corporativa. En caso de ausencia del Presidente o del Secretario asumirán sus funciones los miembros del CR que el propio Comité designe en cada caso. El CR se reunirá en las ocasiones previstas en el Manual o a propuesta de alguno de sus miembros. 11 4 Unidad de Apoyo al Comité de Respuesta La Unidad de Apoyo al Comité de Respuesta (en adelante, UACR) está formada por el número de personas que considere el CR y que pertenecerán preferentemente a los Departamentos de Auditoría Interna y Asesoría Jurídica. El UACR estará bajo la dependencia orgánica del CR. Sus funciones son las que se describen a continuación: 1. Dar soporte a los miembros del CR en las funciones que se le encomienden. 2. Documentar en el SGD las denuncias recibidas. 3. Documentar en el SGD todas las acciones llevadas a cabo por el CR. 4. Gestionar el archivo de las Actas de las reuniones del CR. 5. Realizar búsquedas en el SGD, cada vez que se reciba una denuncia, para identificar denuncias relacionadas, similares o cualquier tipo de información contenida en el SGD que pueda aportar información enriquecedora a la denuncia. 6. Revisar periódicamente la información contenida en el SGD para verificar que ésta cumple con la normativa en vigor, en especial la LOPD. 7. Proponer mejoras o variaciones en el SGD. 8. Todas aquellas otras que se le encomienden en el presente Manual, o decida el CR. 5 El Sistema de Gestión de Denuncias El Sistema de Gestión de Denuncias (SGD) es una base de datos segura que cuenta con una protección al más alto nivel, en la que quedan registradas todas las denuncias recibidas, así como cualquier acción que se tome en relación con las mismas. El SGD permitirá al CR, así como a las UACR y a sus miembros, almacenar y/o recuperar información clave sobre cada denuncia, incluyendo la fecha y fuente de la denuncia original, el proyecto de investigación, resultados de entrevistas o cualquier otro procedimiento de investigación, resultados de la investigación, tareas pendientes, resolución final, la cadena de custodia de cualquier evidencia o información clave. El SGD permitirá a los miembros del CR y a la UACR realizar búsquedas en la información contenida en la base de datos. Adicionalmente, el SGD permite a los miembros del CR y a la UACR importar, desde la base de datos, archivos o documentos en formato digital, incluyendo notas de entrevistas, copias escaneadas de documentación relevante, e informes internos o realizados por expertos independientes. En cuanto a seguridad, el SGD tendrá un Administrador encargado de establecer y personalizar la seguridad necesaria del sistema, incluyendo la restricción en el acceso y habilidad de bloquear los registros. Los registros del SGD no deberían poder ser modificados una vez hayan sido registrados. La eliminación de los registros del SGD debería poder realizarla únicamente el Administrador del sistema, previa autorización de al menos dos miembros del CR. Adicionalmente, el propio SGD será capaz de auditar el acceso a registros individuales y registrar la fecha, hora y nombre de usuario, incluyendo cualquier modificación realizada sobre los registros. 12 Las únicas personas que tendrán acceso al SGD son: 1) Los miembros del CR; 2) Los miembros de las UACR; 3) El Administrador. Cada uno de estos tendrá distintos niveles de acceso, como se indica en la siguiente tabla: Cuadro 1: Niveles de acceso al SGD Permisos Usuario Administrador Leer X Miembros CR X Miembros UACR X Importar X Imprimir X Escribir X Modificar Bloquear X Eliminar X X X X X X Se tendrán en cuenta las siguientes consideraciones relativas al funcionamiento del SGD: (i) Ningún usuario puede modificar datos una vez registrados. (ii) Se considerarán registros vivos aquellos que contienen datos relativos a denuncias que están siendo analizadas con el objeto de realizar el correspondiente Informe. (iii) Se considerarán registros bloqueados aquellos que contienen datos de denuncias cuyos procedimientos han finalizado pero que permanecerán en la base de datos el tiempo que los Miembros del CR estimen convenientes, teniendo en cuenta los distintos plazos de preinscripción de responsabilidades en función de que las irregularidades comunicadas puedan tener potencial transcendencia en el ámbito jurisdiccional civil, laboral o penal. Un registro bloqueado implica que no se permite su acceso y lectura a ningún usuario. Aunque el registro permanece en el SGD, éste no es visible para ningún usuario, exceptuando el Administrador. (iv) Se eliminarán aquellos registros que establece el presente Manual y aquellos otros que al menos dos miembros del CR estimen oportunos. El Administrador es el único usuario que puede eliminar un registro, previa autorización del Secretario del CR. Por lo que respecta a la conservación de los datos contenidos en cada denuncia y, en consecuencia en el SGD, el mismo deberá respetar el principio de calidad de los datos establecidos por la LOPD, de modo que estos sólo podrán ser mantenidos mientras resulten pertinentes para la finalidad para la que fueron recabados. En este sentido, a fin de cumplir con lo dispuesto en la LOPD y el criterio expresado por la Agencia de Protección de Datos en su Informe 128/2007, se debería proceder a la cancelación de los datos una vez que acabe la investigación correspondiente y, en su caso, se apliquen las medidas contractuales, disciplinarias o judiciales que se consideren oportunas. Es necesario precisar que la cancelación no implica la absoluta supresión de los datos, sino que, de acuerdo con el artículo 16.3 de la LOPD ha de ser entendida como el bloqueo de los datos. El bloqueo consistirá en la implementación de un control, bien en la aplicación o bien en la base de datos, con el fin de impedir el tratamiento de los mismos, pudiendo accederse a los datos en caso de que así lo solicitaran las Administraciones Públicas, Jueces y Tribunales para la atención de las posibles responsabilidades y sólo durante el plazo de prescripción de dichas responsabilidades. Asimismo, y con el fin de que los datos mantenidos sean lo más exactos posibles, se procederá a la inmediata cancelación de las denuncias que no fueran pertinentes y de aquellas respecto de las cuales, una vez investigados los hechos, se concluyera que no son exactas o veraces. 13 6 Recepción de denuncias Todos los empleados del Grupo FCC tienen la obligación de poner en conocimiento del mismo cualquier dato o indicio de que pueda haberse cometido un delito o irregularidad en el ámbito de las actuaciones de la misma o de los empleados o de los directivos. Por ello utilizarán cualquier canal de comunicación de los establecidos por la sociedad, incluido el procedimiento de comunicación jerárquica existente, realizándolo, preferentemente, de forma nominal y confidencial, explicando las circunstancias en las que ha tenido acceso a dicha información. El hecho de que las denuncias deban realizarse, preferentemente, de forma nominal, no significa que las denuncias o comunicaciones que se reciban de forma anónima no se tomen en consideración. En la línea ética o canal de denuncias que el Grupo FCC tiene implantada entre sus controles de alto nivel, se establece para la recepción de las denuncias reportadas por empleados del Grupo FCC, clientes o proveedores, que serán comunicadas por correo ordinario (buzón de correo postal habilitado al efecto), a través del acceso existente en la Intranet de FCC, o a través de cualquier otro medio o procedimiento mediante el cual se ponga en conocimiento del CR la existencia de un hecho irregular o delictivo. 7 Determinación de la importancia y tipo de denuncia El contenido de este punto viene a determinar los procedimientos y normas de actuación, que se han de seguir en relación a las comunicaciones que se reciban a través de los canales habilitados a tal efecto, y puestos de manifiesto en el Código Ético de FCC. 7.1 Procedimiento general El destinatario de las denuncias relativas a irregularidades será el Comité de Respuesta sea cual sea el canal utilizado. El Comité de Respuesta valorará la admisibilidad de la comunicación recibida, de acuerdo con una primera revisión de su contenido, levantando acta de la decisión motivada que haya tomado. En cualquier caso se archivará la documentación generada. Su admisión a trámite conllevará la apertura de un expediente cuya información se incorporará al SGD. 7.2 Envío de comunicaciones Una vez recibida la denuncia y determinada la importancia de la misma, si fuera nominativa y de un empleado del Grupo FCC, se enviará al denunciante el correspondiente acuse de recibo1, remitiéndole alguna de las siguientes comunicaciones: (a) Si la denuncia es considerada no pertinente, improcedente o no relacionada con los fines del Protocolo habilitado por el Grupo FCC, se enviará al denunciante la comunicación pertinente mediante la que se le comunique la citada resolución. (b) Sin embargo, es posible que tras su análisis por el CR, éste considere que, en atención al contenido de la misma, sea necesario ponerlo en conocimiento de la autoridad pública competente (autoridad judicial/pública correspondiente) o, bien que la comunicación verse sobre quejas, reclamaciones o sugerencias comerciales relativas a un Departamento o Unidad de Negocio concreto que, si bien no se refieran a temas propios del Manual, si pueden resultar de interés para el buen funcionamiento de los servicios del Grupo FCC. A estos efectos, se enviará al denunciante una comunicación con el fin de informarle del destino de su comunicación. 1 En cumplimiento de lo establecido por el artículo 5 de la LOPD, informándole de la recogida y tratamiento de sus datos personales. 14 (c) Cuando la denuncia sea considerada como pertinente pero su contenido sea insuficiente, incompleto, o no proporcione el detalle necesario para que se pueda iniciar la instrucción del expediente, entonces se remitirá una comunicación informándole sobre la necesidad de facilitar información adicional para que se pueda proceder a la aceptación de la comunicación o denuncia. (d) Cuando la denuncia sea pertinente y la información o documentación facilitada sea suficiente para el inicio de la correspondiente instrucción del expediente, entonces se procederá a remitir una comunicación notificándole la incoación del expediente. (e) Si el denunciante proporciona datos de un tercero que no sea el denunciado (testigos), se deberá proceder a informar a dicho tercero del tratamiento de sus datos y de la procedencia de los mismos, solicitando su consentimiento para el tratamiento. Para ello se enviará al tercero una comunicación dentro de los tres meses siguientes a la recepción de la denuncia. Si el denunciante no pertenece al Grupo FCC se le remitirá el correspondiente acuse de recibo Se podrán aplicar los siguientes procedimientos para acreditar el envío así como el contenido de la comunicación enviada: (a) En caso de que el denunciante haya facilitado su domicilio postal, será este el cauce que prevalecerá sobre cualesquiera otros posibles medios de comunicación a utilizar. La comunicación correspondiente será remitida en sobre cerrado enviado por burofax con acuse de recibo y certificado de texto. (b) Cuando no se disponga de domicilio postal del denunciante pero sí de correo electrónico deberá ser este el cauce utilizado para las comunicaciones. Estos archivos electrónicos gozarán del grado más alto posible de protección. 7.3 Nombramiento del Director de Instrucción El Comité de Respuesta nombrará al Director de la Instrucción, que en la generalidad de los supuestos será el Director General de Auditoría Interna, salvo que concurriera alguno de los siguientes supuestos: • Si de la denuncia se deduce que pueda haber personal implicado perteneciente al departamento de Auditoría Interna. En estos casos la Dirección de la Instrucción correrá a cargo de la persona perteneciente al Departamento de Asesoría Jurídica que sea designada para ello. • Si la denuncia está referida a comportamientos relativos con el acoso en el trabajo. En estos casos el Comité de Respuesta nombrará al Director General de Recursos Humanos como Director de la Instrucción. • Si la denuncia está referida a comportamientos sin trascendencia penal, pero contrarios al Código Ético de FCC. En estos casos el Comité de Respuesta nombrará al Director de Responsabilidad Corporativa como Director de la Instrucción. El Comité de Respuesta podrá en todo caso, de forma motivada, nombrar como Director de la Instrucción a una persona distinta de las antes indicadas cuando sus circunstancias personales o laborales lo impidan. Así mismo, cuando la gravedad, especialidad o complejidad de los hechos lo aconseje, podrán nombrar como Director de la Instrucción a personal directivo de FCC no perteneciente al Comité de Respuesta, o incluso a personal ajeno al Grupo, que se dedique profesionalmente a estas funciones. El Director de la Instrucción nombrará un Instructor, que será el responsable del trabajo de campo y de la gestión material de los siguientes pasos del procedimiento, bajo la dirección del Director de la Instrucción. 15 Cuando se trate de denuncias nominativas (o, siendo inicialmente anónimas), desde el momento en que, en su caso, el denunciante comunique su identidad), el Director de Instrucción notificará al denunciante la recepción de la denuncia. Asimismo, le informará de la identidad del Instructor, a efectos de comunicarle que éste podrá dirigirse a él, si fuese necesario recabar información adicional. Por último, el Director de Instrucción informará, cuando lo estime necesario, a la Dirección General de Recursos Humanos del nombre del denunciante, a los efectos de que esta Dirección General tome las medidas oportunas para prevenir y evitar posibles represalias. 8 Instrucción del Expediente La instrucción del expediente será elaborada por el Instructor y, en su caso, con el equipo que éste designe, bajo la supervisión del Director de la Instrucción siguiendo paralelamente los siguientes procesos: • Análisis preventivo. • Estudio de la información aportada. De forma previa el Director de la Instrucción elaborará un Informe en el que argumentará los motivos existentes para proceder a la incoación de un expediente con los datos aportados en la denuncia presentada, o en su caso su rechazo. 8.1 Análisis Preventivo El Director de la Instrucción tendrá en cuenta una serie de factores, que por su importancia pudiesen requerir acciones inmediatas: 8.2 (i) Valorará si se pueden producir pérdidas adicionales de activos, en cuyo caso tomará las medidas tendentes a detener o mitigar dichas pérdidas de acuerdo con los procedimientos del Grupo y las responsabilidades existentes. (ii) Valorará la posibilidad de recuperar activos, para en caso afirmativo tomar las medidas que inicien el proceso de recuperación de los mismos, de acuerdo con los procedimientos ya existentes. (iii) Asegurará las pruebas para la investigación, por lo que pudiera ser necesario valorar y preparar la adquisición de posibles evidencias digitales. (iv) Valorará la pertinencia de comunicar la irregularidad a las autoridades competentes, a través del criterio de Asesoría Jurídica. (v) Valorará la necesidad de solicitar la colaboración de profesionales externos, proponiéndolo al CR en su caso y siguiendo los procedimientos existentes en el Grupo al efecto. (vi) Valorará si hay debilidades importantes en el control interno del Grupo, realizando las propuestas de mejora que sean urgentes para evitar nuevos riesgos, informado de las mismas al Responsable de Gestión de Catálogo de Controles. (vii) Valorará si existen potenciales perjuicios causados a terceros como consecuencia de la comisión de un comportamiento irregular, e informará de los mismos al CR, proponiendo en su caso, informar también al tercero afectado. Estudio de la información aportada La información será sometida por el Instructor a un proceso que consistirá en la valoración de la fiabilidad y la exactitud de la información relativa a la denuncia. 16 El proceso continuará con un análisis de la información, de forma que permita al Instructor integrarla e interpretarla en su conjunto. De forma genérica, el proceso de estudio de la información constará de cinco fases: (i) Discriminación de la información. (ii) Valoración del denunciante y de la noticia. (iii) Análisis de la información. (iv) Integración. (v) Información al denunciado. En caso de que el Instructor considere necesario acudirá personal ajeno a su departamento para poder valorar correctamente la información, lo hará con la autorización del Director de la Instrucción. 8.2.1 Discriminación de la información En esta fase se realizará una extracción de los datos aportados en la denuncia con el objetivo de discriminar aquellos datos objetivos de aquellos subjetivos que pudiesen existir. (a) Datos Objetivos: Son aquellos datos concretos que aporta el denunciante (hechos, fechas, nombres, importes, matrículas, lugares, vehículos, teléfonos, etc.). (b) Datos Subjetivos: Son aquellas ideas, opiniones, rumores, etc…, que el denunciante aporta en la exposición de hechos de la denuncia. 8.2.2 Análisis de la información El Instructor realizará un estudio de la información aportada en la denuncia consistente en la contextualización de los datos aportados en la misma mediante el estudio de la información conocida dentro del Grupo que pueda soportar o ser comparada con los datos aportados en la denuncia. También aquella que pueda enriquecer los mismos o aportar nuevos puntos de vista sobre ellos. 8.2.3 Valoración del denunciante y de la noticia La información contenida en la denuncia y, en su caso, la credibilidad del denunciante serán valorados por el Instructor (de 1 a 5) desde una doble perspectiva: (i) Fiabilidad del denunciante; y (ii) exactitud de la información contenida en la denuncia. 8.2.4 Integración El Instructor expondrá, como resultado de la información adquirida en las fases anteriores, la hipótesis que considera más probable y aquella que, aunque sea poco probable, entrañe mayores riesgos para el Grupo, además de otra serie de hipótesis posibles que puedan dar coherencia a la información conocida hasta el momento. 8.2.5 Información al denunciado En el periodo de instrucción del expediente se dará trámite de audiencia a todos los afectados y testigos, practicándose cuantas diligencias se estimen convenientes. La intervención de los testigos y afectados tendrá carácter estrictamente confidencial. Dicho trámite de audiencia incluirá, como mínimo una entrevista privada con la persona denunciada en la que pueda defenderse de las acusaciones vertidas contra él. Asimismo, se procederá a informar al denunciado, así como a testigos de los extremos que exija la normativa de Protección de Datos. Hay que resaltar como de las sesiones de la instrucción se levantará acta en el momento de la finalización de cada reunión, siendo firmada por todos los presentes a la sesión correspondiente. 17 Si la denuncia o noticia recibida se hubiese aportado de forma anónima, se dispondrá de un plazo máximo de tres meses, a contar desde la fecha de recepción, para -en su caso- llevar a cabo la investigación o investigaciones necesarias, y comunicar el hecho al afectado de acuerdo con lo establecido en la LOPD. 8.3 Emisión del Informe El Director de la Instrucción, con la información obtenida y que figura en el expediente, confeccionará un Informe que contendrá los siguientes extremos: • Información descriptiva de la denuncia, con expresión del Número de Identificación Único de Denuncia, la fecha de recepción de la denuncia, y la identificación del Director de la Instrucción y del Instructor. • Datos aportados en la denuncia, con la discriminación de los datos objetivos y los datos subjetivos. • Valoración del contenido de la denuncia y de la fiabilidad del denunciante. • Análisis de la información y la integración de la misma con expresión de las hipótesis más probables y la de mayor riesgo, pudiendo añadir todas aquellas otras hipótesis que el Instructor y/o el Director Instructor consideren convenientes. • Medidas propuestas o ya realizadas resultantes del Análisis Preventivo, en el caso de que el Director Instructor las haya considerado necesarias o convenientes. • Proposición de solución a la debilidad de control interno detectada y sobre la que nace esta denuncia. • Propuesta de actuación que podrá consistir en: o Propuesta de resolución, cuando se considere que no es necesaria la obtención de más información y los hechos están suficientemente determinados. o Propuesta de investigación, cuando la naturaleza de los hechos haga conveniente profundizar en la información existente y realizar un trabajo de campo al respecto. La determinación de la trascendencia y la importancia de la denuncia, así como las actuaciones necesarias a tomar serán realizadas, como consecuencia del Informe realizado por el Instructor y remitido al CR. En el caso de que el CR considere que la denuncia es materialmente irrelevante, no es significativa, y que no aporta pruebas suficientes, dará instrucciones a la UACR para que sean eliminados inmediatamente del SGD todos los datos relacionados con la misma, y procederá al Cierre de Procedimiento, con la consiguiente comunicación al denunciado. El Comité de Respuesta, valorará la propuesta de actuación presentada por el Director de Instrucción, haciéndola suya o modificándola. Cuando el Comité de Respuesta considere que necesaria una investigación posterior de los hechos para poder alcanzar una conclusión de sucedido, dará instrucciones al Director de la Instrucción para que la realice, de acuerdo con expuesto en el presente Manual. la es lo lo Cuando el Comité de Respuesta considere que no es necesaria la obtención de más información -se haya realizado o no una investigación- y que los hechos están suficientemente determinados, realizará una Propuesta de Resolución que remitirá al Director General del Área afectada. Por último el CR enviará el Informe para su almacenamiento en el SGD 18 V Propuesta de realización de una investigación 9 Proyecto de investigación En el caso de que la denuncia fuese considerada por el CR material y/o significativa y se aportasen pruebas suficientes de las mismas, se procederá a una investigación de la denuncia y a la confección del correspondiente Informe de la investigación. El Director de la Instrucción elaborará un proyecto de investigación que atenderá a los siguientes parámetros: • Objetivos de la investigación. • Equipo de investigación. • Calendario. • Presupuesto de la investigación. • Coordinación. 9.1 Objetivos y alcance Los objetivos de la investigación serán marcados por el Director de la Instrucción quien tendrá en cuenta los datos aportados en el Informe. El objetivo fundamental será obtener elementos suficientes que permitan una resolución posterior de la denuncia. 9.2 Equipo de Investigación El Director de la Instrucción nombrará al Investigador Principal, quien puede coincidir con el Instructor del Informe o no. Para la determinación de la composición del Equipo de Investigación serán tenidas en cuenta las siguientes cuestiones: • La elección del equipo investigador deberá garantizar la independencia, en fondo y forma, de la investigación. • El Director de la Instrucción deberá tener en cuenta el nivel e influencia que ostente la persona denunciada dentro de la organización, en la elección del Equipo de Investigación. • Si para realizar la investigación fuese necesario tener un conocimiento específico de algún proceso concreto, el Director de la Instrucción podrá incluir en el equipo personal especializado. Una vez consideradas estas cuestiones el Director de la Instrucción determinará si el equipo encargado de realizar la investigación deberá estar formado exclusivamente por personal del Grupo FCC, por profesionales externos, o por una combinación de ambos. 9.3 Calendario El Director de la Instrucción elaborará un calendario de la investigación, teniendo en cuenta que si éste tiene una duración superior a los tres meses, tendrá la obligación legal en materia de protección de datos de comunicar a la persona investigada que sus datos de carácter personal están siendo tratados en el marco de una investigación. 9.4 Presupuesto de la investigación La estimación presupuestaria de la investigación será realizada por el Director de la Instrucción en función de la duración de la misma, del personal encargado de llevarla a término y de los métodos y herramientas necesarios para su realización. 19 9.5 Coordinación El Director de la Investigación podrá delegar partes de la investigación o la coordinación en determinadas materias o determinadas misiones en aquel personal perteneciente al Grupo FCC que considere necesario cuando la complejidad de la instrucción, su desarrollo en ámbito internacional o circunstancias de conocimiento técnico especializado así lo aconsejen. En aquellos supuestos en los que se comuniquen datos de carácter personal entre las oficinas del Grupo FCC sitas fuera del territorio de la Unión Europea o de aquellos estados que la Comisión Europea ha considerado que disponen de un nivel de protección equiparable al de la LOPD2 deberá cumplirse con lo dispuesto en la legislación del país de origen respecto a las transferencias internacionales de datos3. 10 Otras premisas a tener en cuenta Cuando la denuncia remitida o recibida por el CR pueda causar al Grupo FCC un riesgo material o reputacional importante, el Director de la Instrucción propondrá al CR remitir al Director General del Área de Negocio, el Resumen Ejecutivo del Informe Preliminar en el que figurará, la resolución adoptada por el CR, y el Proyecto de Investigación con el fin de que se proceda por parte del mismo a su aprobación y/o modificación. El Consejero Delegado, con la información disponible, podrá decidir sobre la continuación de la investigación y su proyecto. 11 Tratamiento de datos durante la investigación Una vez tomada la resolución de investigar el hecho denunciado, el CR puede solicitar a otras direcciones, áreas o departamentos dentro del Grupo FCC que aporten determinados datos o que le apoyen en la realización de las correspondientes tareas de investigación de los hechos de la denuncia. Estas solicitudes deberán realizarse manteniendo, en la medida de lo posible, el anonimato tanto de denunciado como de denunciante, así como los motivos de la denuncia. A tal fin, sería recomendable que todos aquellos empleados involucrados en las tareas de apoyo a la investigación suscribieran un Acuerdo de Confidencialidad, con anterioridad a la realización de las mismas. También puede suceder que las investigaciones se realicen dentro de una Sociedad que pertenezca al grupo de empresas de FCC. En este caso, tal y como se ha explicado anteriormente, se propone la firma de un Acuerdo intra-grupo de tratamiento de datos por cuenta de terceros. En este sentido, cabe resaltar que FCC actúa como encargada del tratamiento de la gestión de las denuncias por fraude recibidas por otras entidades pertenecientes al Grupo. Por último, y en caso de que la investigación de los asuntos denunciados fuera encomendada a una firma tercera de investigación pericial o forense se deberá tener en cuenta que en el acuerdo de prestación de servicios con dicha firma deberá figurar una cláusula de tratamiento de datos por cuenta de terceros. 2 Tendrían nivel equiparable los Estados Miembros de la Unión Europea, Islandia, Liechtenstein, Noruega y los Estados que la Comisión Europea ha declarado que garantizan un nivel de protección adecuado: Suiza, Argentina, Guernsey, Isla de Man, las entidades estadounidenses adheridas a los principios de «Puerto Seguro», Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y los datos personales incluidos en los registros de nombres de los pasajeros que se transfieren al Servicio de aduanas y protección de fronteras de los Estados Unidos de América. 3 En el supuesto de que el país de origen de la comunicación de datos sea España, deberá o bien contarse con la previa autorización del Director de la Agencia Española de Protección de Datos, o bien con el consentimiento inequívoco de los interesados. 20 VI Investigación Una vez elaborado el Proyecto de Investigación por el Director de la Instrucción y tras el nombramiento del Investigador Principal, éste, con la supervisión del anterior, desarrollará las vías de investigación adecuadas, en función a las hipótesis y prioridades planteadas en el Informe Preliminar. El Equipo de Investigación será nombrado por el Investigador principal de acuerdo con las directrices dadas en el Proyecto de Investigación. La investigación se realizará en base a las hipótesis existentes en el Informe y de acuerdo con las vías de investigación marcadas por el Investigador principal. El Director de la Instrucción decidirá sobre la adquisición de evidencias digitales que se realizarán de acuerdo con la normativa del Grupo FCC. No existe un patrón fijo para el desarrollo de una investigación, pues ésta dependerá siempre de sus circunstancias particulares. No obstante, el Equipo de Investigación deberá tener en cuenta la existencia de circunstancias que puedan ocasionar perjuicios directos y/o indirectos al Grupo FCC, en base a las hipótesis de mayor riesgo hasta que se demuestren no verdaderas, si es el caso: • Riesgo de destrucción de pruebas: el Equipo de Investigación deberá asegurar las pruebas que por su naturaleza pudieran ser susceptibles de ser destruidas. • Riesgo de litigios con otras compañías: las acciones objeto de denuncia pueden acarrear a la empresa litigios con terceros. • Riesgo de incumplimientos normativos: un incumplimiento de la legislación aplicable en el lugar donde esté establecida la sociedad puede acarrear sanciones, a ésta o a su dirección, que causen un perjuicio grave o un daño reputacional importante en la imagen del Grupo FCC. En caso de que no se hayan cumplido los objetivos planteados en el Proyecto de Investigación, el Investigador Principal determinará nuevas hipótesis sobre lo sucedido con la nueva información obtenida, continuándose la investigación en función a las mismas. En caso de que la veracidad de alguna de las hipótesis resulte probada, y se hayan cumplido los objetivos planteados en el Proyecto de Investigación, incluyendo en su caso el estudio de las evidencias digitales, el Director de la Instrucción analizará los resultados de la misma y elaborará un Informe de la Investigación que será remitido al CR para su almacenamiento, a través de la UACR en el SGD. El CR estudiará el Informe de la Investigación y elaborará unas conclusiones al respecto, con expresión de los hechos objetivos. Estas conclusiones serán remitidas al Director General del Área afectada para su resolución. 21 VII Resolución Una vez remitido por el Comité de Respuesta al Director General del Área afectada, la Propuesta de Resolución fruto del Informe de la Instrucción y en su caso, del Informe de Investigación, será éste último quien deberá adoptar la consiguiente resolución. Cuando la Resolución coincida con la Propuesta realizada por el Comité de Respuesta, será ejecutiva de forma inmediata, y remitida a la UACR para que sea registrada en el SGD de forma razonada y documentada. En caso de que el Director General del Área afectada emita una Resolución distinta a la Propuesta de Resolución del Comité de Respuesta o, transcurrido un mes desde la recepción de ésta, no hubiera adoptado resolución alguna, el CR lo pondrá en conocimiento del Presidente del Área afectada y, en su defecto, del Presidente y Consejero Delegado del Grupo, para que emita la resolución ejecutiva que proceda. La Propuesta de Resolución será remitida por el CR directamente al Presidente de Área afectada en los supuestos que considere que pudiera existir, conflicto de intereses con el Director General de la mencionada Área afectada. Adicionalmente, el CR elaborará una lista con las recomendaciones que estime oportunas, encaminadas a mejorar los controles internos que hayan sido identificados como deficientes, a raíz de la denuncia iniciando las comunicaciones oportunas al Responsable de Gestión del Catálogo de Controles para su estudio e implantación. El Director de la Instrucción comunicará al denunciante la finalización de la investigación siempre que no sea ajeno al Grupo FCC. Una vez que se haya adoptado una resolución sobre la denuncia, el Director de la Instrucción pedirá a la UACR que proceda a bloquear los registros de la misma, que figuren en el SGD. Dichos registros permanecerán bloqueados el tiempo que la Dirección General de Asesoría Jurídica estime conveniente hasta su total eliminación o posterior desbloqueo, en su caso, todo ello de acuerdo con la legislación vigente en materia de LOPD. 12 Comunicación al denunciado El Director de Instrucción tendrá en cuenta el plazo máximo de tres meses para informar al denunciado del tratamiento de sus datos personales de acuerdo con lo establecido por el artículo 5 de la LOPD, siendo recomendable que las investigaciones destinadas a esclarecer los hechos de la denuncia no se prolonguen más allá de este plazo. Por lo tanto, y dentro del plazo de los tres meses que son establecidos como el límite de tiempo dentro del cual el Grupo FCC debe informar al denunciado a través del envío de una carta, que podrá remitirse de forma complementaria a aquellas comunicaciones en las que se notifique al denunciado la adopción de las medidas contractuales, disciplinarias o judiciales oportunas. Por último, como procedimiento a seguir para todas aquellas comunicaciones que, en su caso, sea necesario remitir al denunciado, el medio adecuado será el correo postal mediante burofax remitido con acuse de recibo y certificado de texto a la atención del denunciado. Alternativamente, y si las circunstancias del caso así lo motivaran, el medio utilizado para remitir la comunicación al denunciado podría ser la entrega en mano, en el propio centro de trabajo, con acuse de recibo. De la misma forma se pondrá en conocimiento del denunciante las resoluciones que se hayan tomado en relación a la denuncia formulada por éste, siempre que pertenezca al Grupo FCC y con el compromiso de confidencialidad. 22 VIII. Formación del Manual FCC elaborará un plan de Formación corporativa en materia de prevención y respuesta del Grupo FCC ante la posible comisión de delitos y las medidas internas de control, que podrá cumplirse a través de sesiones presenciales, formación “on line” o entrega de folletos de divulgación. Este plan de formación podrá contemplarse en el marco de la formación prevista para el Código Ético y dependerá del Departamento de formación de Recursos Humanos de FCC y consistirá en: • Sesión anual presencial para Directivos y empleados de las áreas más sensibles, impartida por la Asesoría Jurídica, el Responsable de Gestión del Catálogo de Controles, Responsabilidad Corporativa, o personal especialista externo. • Sesiones on-line para empleados que disponen de dirección de correo con la extensión fcc.es y ordenador. • Sesiones formativas específicas al resto de empleados, que pueden impartir mandos intermedios con una formación específica cumplida. • Sesiones formativas específicas dirigidas a los nuevos empleados, con ocasión de su incorporación. • Entrega de folletos informativo para todos los empleados y para empleados contratados con carácter temporal o en UTES donde rija el presente Manual. En el caso de las sesiones presenciales, el Responsable de Formación de Recursos Humanos llevará un registro de los Directivos y empleados asistentes quienes, al finalizar las sesiones de formación, deberán completar un cuestionario sobre los contenidos de las mismas, a fin de evaluar los conocimientos adquiridos. El Responsable de Gestión del Catálogo de Controles podrá determinar, si lo considera necesario, sesiones formativas extraordinarias teniendo en consideración los puestos a desarrollar por los empleados convocados, cambios legales u otras circunstancias. Las acciones formativas se desarrollarán bajo la responsabilidad del Responsable de Gestión del Catálogo de Controles y la documentación soporte estará a disposición de todos los empleados en la intranet de FCC, independientemente de los cursos on-line que se desarrollen. En el caso de las sesiones on-line, dirigidas a todos los empleados de FCC con dirección de correo y ordenador, los empleados deberán completar un cuestionario sobre los contenidos de las mismas y deberá preverse una certificación digital y un registro de quienes han realizado efectivamente dicha actividad. Asimismo, en ocasión de la incorporación de nuevos empleados, FCC entregará a los mismos el folleto informativo, dejando constancia de su entrega mediante la firma del empleado que lo recibe, en las sesiones de bienvenida que se les brinden. Con relación a aquellos empleados que no disponen de correo electrónico ni ordenador, o que son contratados con carácter temporal, se les hará entrega de un folleto informativo que contendrá las principales medidas de control interno. Con carácter general, tanto la formación presencial como las sesiones on-line, se centrarán en los siguientes aspectos: • Principios generales de la responsabilidad penal de las personas jurídicas: aspectos sustanciales. • Procedimientos y controles establecidos por FCC para prevenir la comisión de delitos por parte de sus administradores de hecho o de derecho y de sus empleados. • Requerimientos legales actuales o futuros. 23 • Identidad de las personas o departamentos a cargo del control interno. • Procedimientos o canales de comunicación de cualquier sospecha o conocimiento acerca de actividades que se intentan prevenir. • Posibles vulnerabilidades o debilidades de su área de negocio frente a actividades delictivas. Para llevar a cabo la citada formación, se deberá tener en cuenta tres niveles distintos teniendo en cuenta si los receptores de la misma son: (i) altos directivos del Grupo FCC, cuya principal actividad se encuentra centrada en la representación del Grupo FCC y las relaciones con clientes, (ii) si se trata del resto de directivos y personal técnico (licenciados) del Grupo FCC cuya actividad se encuentra más centrada en el ámbito de la Unidad de Negocio de cada uno de ellos, o por último, (iii) si quienes reciben la formación es personal subalterno o de obra. Por otra parte, la formación se adaptará cada año a la divulgación de nuevos controles o catálogo de delitos adoptados por el Grupo FCC. 24