La Directiva de protección del whistleblower y los nuevos requisitos del canal de denuncias

A. INTRODUCCIÓN

El pasado mes de abril se aprobó por el Parlamento Europeo la Directiva de Protección al Denunciante de Corrupción (whistleblower) con el voto favorable de una amplia mayoría de los miembros de esa Cámara. Esto supone que para el año 2021 los diferentes Estados han de acomodar sus legislaciones al modelo que introduce esta Directiva, que no solo contempla garantías para proteger a los denunciantes, sino que además introduce un elenco de características que han de reunir los canales de denuncias internos, que se establecen como obligatorios en determinados casos.

Concretamente, señala el artículo 8 de dicha norma que estos cauces y procedimientos internos de comunicación y tramitación de denuncias habrán de introducirse tanto en el sector público como en entidades del sector privado, en estas últimas cuando tengan más de 50 empleados. Además contempla la Directiva la posibilidad de que los Estados miembros puedan exigir que las entidades jurídicas privadas con menos de 50 empleados establezcan cauces y procedimientos de denuncia internos. De hecho, el considerando (49) señala que “La presente Directiva se entiende sin perjuicio de la posibilidad de que los Estados miembros alienten a las entidades privadas con menos de 50 empleados a establecer cauces internos de denuncia y tramitación, también estableciendo, para dichos cauces, requisitos menos preceptivos que los establecidos en el artículo 5, siempre que dichos requisitos garanticen la confidencialidad y la tramitación diligente de la denuncia”.

Por ello, no podemos descartar que nuestro legislador acuerde la obligatoriedad del canal de denuncias para todas las empresas, sin distinguir entre unas u otras por número de empleados, facturación, o cualquier otro criterio, pues el artículo 25, dentro del Capítulo VII, -Disposiciones Finales-, señala que los Estados podrán introducir o mantener disposiciones más favorables para los Derechos de los denunciantes, pero nunca la aplicación de la Directiva podrá motivar reducir el nivel de protección que garanticen los Estados miembros para los ámbitos en los que se aplica la Directiva.

De otra parte, hemos de tener en cuenta que esta norma europea señala que se preferirá el uso de los cauces internos frente a la denuncia externa, siempre que a través de aquel pueda ponerse remedio a la infracción internamente de manera efectiva y el denunciante considere que no hay riesgo de represalias. Sin embargo, el considerando 51 de la Directiva exige garantizar que en el caso de que las entidades privadas no prevean estos cauces internos, los informantes puedan comunicar su información directamente a las autoridades externas competentes y gozar de la protección contra las represalias que contempla la propia norma.

La Unión Europea ya contempla el establecimiento de cauces externos y/o internos de denuncia, para ámbitos como el abuso de mercado, la aviación civil, o la seguridad de las operaciones de extracción de petróleo y gas en alta mar. De igual modo, la Comisión Europea, así como algunos órganos y organismos de la Unión, como la Oficina Europea de Lucha contra el Fraude (OLAF), la Agencia Europea de Seguridad Marítima (AESM), la Agencia Europea de Seguridad Aérea (AESA), la Autoridad Europea de Valores y Mercados (AEVM) y la Agencia Europea de Medicamentos (EMA), disponen de cauces y procedimientos externos para la recepción de denuncias de infracciones que entran en el ámbito de aplicación de la Directiva de protección de los denunciantes.

Finalmente, en su artículo 23 la Directiva contempla la necesidad de que se establezcan sanciones eficaces, proporcionadas y disuasorias para aquellas personas físicas o jurídicas que impidan o intenten impedir la presentación de denuncias; adopten medidas de represalias o promuevan procedimientos temerarios contra los denunciantes, o incumplan la obligación de mantener la confidencialidad de la identidad del denunciante. También debe ser objeto de sanción la presentación de denuncia falsa siendo consciente de tal circunstancia, estableciéndose medidas para garantizar la compensación de los daños derivados de dichas denuncias.

La aprobación de esta Directiva implica nuevas exigencias y requisitos en la gestión del canal de denuncias que las empresas deben introducir en los modelos con los que actualmente cuentan y por otra parte, supone que aquellas compañías que no disponen de canal, especialmente aquellas que tienen a partir de 50 trabajadores, deban empezar a planificar lo necesario para su incorporación.

¿Qué delitos pueden cometer las empresas? Criterios penales para elaborar modelos de compliance

B. CARACTERISTICAS DEL CANAL INTERNO

1.- ENTIDADES OBLIGADAS

1.1.- Las entidades jurídicas del sector privado que cuenten con 50 o más empleados. Las excepciones previstas se refieren a ámbitos de actuación que cuentan con una regulación específica, como los servicios, productos y mercados, financieros, blanqueo de capitales o financiación del terrorismo, que disponen de un marco regulador y de supervisión propio[1].

1.2.- Todas las entidades jurídicas públicas, incluidas las que sean propiedad o estén sujetas al control de una entidad jurídica pública. En este caso, los Estados miembros podrán eximir de esta obligación a los municipios de menos de 10.000 habitantes, o con menos de 50 empleados y otras entidades con menos de 50 empleados[2].

Sin embargo, como se contempla la posibilidad de que personas jurídicas o administraciones de menor tamaño puedan/deban contar con este tipo de canales, se abre la posibilidad de gestionar su uso de forma compartida. De esta manera, se podría establecer que en el ámbito público varios municipios compartan el cauce de comunicación interna, o que sea gestionado por autoridades municipales conjuntas de conformidad con el Derecho Nacional, siempre que estos cauces compartidos estén diferenciados.

Asimismo, las entidades jurídico públicas que tengan entre 50 y 249 empleados (la PYME), podrán compartir recursos para la recepción y posiblemente para la investigación de denuncias, lo cual no excluye la obligación de mantener la confidencialidad, de dar respuesta al denunciante y de poner remedio a la infracción denunciada.

2.- USUARIOS

 2.1.- Deben poder denunciar: Los empleados de la entidad, o funcionarios, (según se trate de una entidad jurídica del sector privado o del público).

2.2.- Puede ser utilizado por: Otras personas que estén en contacto con la entidad (trabajadores no asalariados, accionistas y personas pertenecientes al órgano de administración gobierno o supervisión de una empresa, incluidos los miembros no ejecutivos, así como los voluntarios y los trabajadores en prácticas -sean remunerados o no-, así como cualquier persona que trabaje bajo la supervisión y la dirección contratistas, subcontratistas o proveedores)[3].

3.- TIPOS DE DENUNCIA

Siempre que se garantice la confidencialidad de la identidad del denunciante, corresponde a cada entidad jurídica privada y pública definir el tipo de cauces de denuncia que se establecerán.

3.1.- Denuncia Verbal o escrita:

Denuncia Verbal: Por vía telefónica u otros sistemas de mensajería de voz, e incluso presencialmente solicitando cita. En este último supuesto, las entidades públicas o privadas tendrán derecho a documentar el contenido de la reunión mediante la grabación de la conversación en un soporte duradero y accesible. También en caso de denuncia mediante linea telefónica u otro sistema de mensajería de voz sin grabación, las autoridades competentes y entidades jurídicas privadas y públicas podrán documentar la denuncia en forma de acta realizada por el personal responsable de su tramitación y siempre que sea posible ofrecerán al denunciante la posibilidad de comprobar, rectificar y aceptar con su firma el acta de la llamada.

Denuncia Escrita: las denuncias escritas podrán presentarse por correo, a través de un buzón físico destinado a recoger denuncias y/o a través de una plataforma en línea (en Internet o en la intranet).

3.2.- Denuncia anónima o confidencial

En cuanto a otras categorías de denuncia, como la que distingue las confidenciales y las anónimas, la Directiva se refiere a estas últimas en su artículo 5.2, señalando que “Sin perjuicio de la obligación vigente de disponer de mecanismos de denuncia anónima en virtud del Derecho de la Unión, la presente Directiva no afectará a la facultad de los Estados miembros de decidir si las entidades públicas o privadas y las autoridades competentes deben o no aceptar y tramitar las denuncias anónimas de infracciones.” Los Estados miembros pueden decidir por tanto si las entidades públicas y privadas aceptan denuncias anónimas que entren en el ámbito de la presente Directiva. En todo caso, las personas que denuncien o revelen públicamente información de manera anónima, cumpliendo las obligaciones de esta Directiva, deben gozar de protección en virtud de la misma si con posterioridad son identificados y sufren represalias.

Tanto el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, como nuestra la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, contemplan la posibilidad de ambos tipos de denuncia -confidencial y anónima-.

4.- REQUISITOS

4.1.- Securizado: Deben ser diseñados, establecidos y gestionados de una forma segura, garantizando la confidencialidad de la identidad del denunciante, de terceros que figuren en la denuncia, evitando el acceso al mismo por terceros no autorizados.

4.2.- Acuse de recibo: Debe dar acuse al denunciante en un plazo máximo de siete días desde la recepción.

4.3.- Imparcialidad: Debe asignarse una persona o servicio imparcial para tramitar la denuncia, que podrá ser la misma persona o servicio que reciba las denuncias, mantenga la comunicación con el denunciante, solicite información adicional y le de respuesta.

4.4.- Diligencia: la tramitación se ha de realizar diligentemente en las denuncias confidenciales y en las anónimas cuando así lo establezca el Derecho nacional.

4.5.- Plazo de respuesta razonable: Debe darse una respuesta al denunciante sobre la tramitación de la denuncia en un plazo razonable, que no puede ser superior a tres meses desde el acuse de recibo o si no lo hubo, desde el vencimiento del plazo de los siete días previstos como límite máximo para haber acusado recibo. Informar al denunciante, en la medida de lo jurídicamente posible y de la manera más completa posible, sobre la tramitación de la denuncia es esencial para generar confianza en la eficacia del sistema de protección de los informantes, reduciendo con ello la probabilidad de que se produzcan nuevas denuncias o revelaciones públicas innecesarias. Deben comunicarse al denunciante, las medidas previstas o adoptadas para tramitar la denuncia y los motivos de dicha tramitación. En todos los casos, el denunciante debe ser informado de los progresos y el resultado de la investigación. En el transcurso de la investigación, se le podrá pedir que proporcione información adicional, pero no tendrá la obligación de hacerlo.

4.6.- Accesibilidad fácil e información clara sobre procedimientos de denuncia externa.

5.- CONFIDENCIALIDAD, CONSERVACION, REGISTRO Y PROTECCION DE DATOS

Establece la Directiva que no se revelará la identidad del denunciante sin su consentimiento a terceros, salvo a aquellas personas autorizadas para recibir y tramitar las denuncias. Tampoco se facilitarán datos de los que se pueda deducir de forma directa o indirecta su identidad. Unicamente se contempla como excepción para facilitar dicha información que se trate de una obligación necesaria y proporcionada impuesta por el Derecho nacional o de la Unión, realizada por las autoridades nacionales en el marco de un proceso judicial, o para salvaguardar el derecho de defensa del interesado[4].

En cuanto a los datos personales, incluido el intercambio o transmisión de datos personales por las autoridades competentes, se realizará de conformidad con el Reglamento UE 2016/679 y la Directiva UE 2016/680.

En todo caso, no se pueden recopilar datos personales cuya pertinencia no resulte evidente para la tramitación de un caso específico y si se recopilan por accidente se deberán eliminar sin demora.

Especifica asimismo el Decreto que cuando la información que se aporta al canal incluya secretos comerciales este contenido no se deberá utilizar, ni revelar más allá de lo estrictamente necesario para la correcta tramitación de las denuncias, previsión que nos parece muy acertada.

Esta exigencia de confidencialidad es de aplicación también para el registro de denuncias que debe hacerse recogiendo todas las que se reciban. Esta información se conservará únicamente durante el periodo que sea necesario.

C) CANAL DE DENUNCIAS Y COMPLIANCE PENAL

El artículo 31 bis del Código Penal, que regula la responsabilidad penal de las personas jurídicas, señala una serie de medidas que de haberse adoptado en la empresa adecuadamente con anterioridad a la comisión del delito, pueden dar lugar a la aplicación de una atenuante, o incluso llegar a eximirla de responsabilidad penal. Y así, en su número 5.4, establece dicha disposición como medida para el modelo de organización y gestión del cumplimiento corporativo imponer “…la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”. Lógicamente, la gestión de dicha información habrá de realizarse mediante el establecimiento de canales de denuncias, en cualquiera de sus formas: buzón físico, dirección de correo electrónico, intranet, página web, telefónico…

Sin embargo, el Código Penal no obliga a la creación del canal, a diferencia de lo que ahora sucede con la Directiva de protección del denunciante, que establece que para 2021 que las empresas a partir de 50 trabajadores deban contar obligatoriamente con uno. De esta manera, se está incentivando desde la Unión Europea la ética y transparencia corporativa, mediante la obligatoriedad de que dispongan de canales internos de denuncia.

Hemos de pensar que contar con uno de estos sistemas de comunicación no debe considerarse únicamente como un elemento útil para la obtención de una atenuante o eximente, aunque lo sea, en realidad debemos considerar que lo que estamos implantando es una herramienta útil para conocer lo que pasa dentro de nuestra compañía y en consecuencia poder reaccionar de forma rápida y eficaz frente a cualquier contratiempo o irregularidad de la que tengamos noticia a través del canal. Porque conocer que se ha cometido un delito en tu empresa por una noticia en la prensa, o una citación judicial reduce sensiblemente la capacidad de reacción y consecuentemente merma las posibilidades de defensa.

En todo caso, contar con un canal de denuncias sirve para trasladar a directivos, socios, trabajadores y demás personas vinculadas con la empresa lo que la jurisprudencia ha dado en llamar cultura de cumplimiento. Esto supone llevar al convencimiento de todo el personal que la empresa no acepta, ni consiente los incumplimientos en su seno y que es una obligación de todo el personal protegerla de aquellos actos que puedan llevar a sancionarla, ya sea penalmente, o en cualquier otro ámbito. Esta concienciación es un elemento esencial para evitar, o en el peor de los casos dificultar que se produzca el delito corporativo y por ende las graves consecuencias que supone la condena judicial, o incluso la propia investigación para la continuidad de la empresa y para su imagen corporativa.

D.- CONCLUSIÓN

La Directiva UE de protección del denunciante establece para el año 2021 la obligatoriedad del canal de denuncias interno, al menos para empresas a partir de 50 trabajadores.

Actualmente contar con dicho canal además de evitar que se cometa el delito puede contribuir a la atenuación de la pena, en caso de producirse un delito corporativo. Además, empezar cuanto antes la adaptación de las empresas a las exigencias de la Directiva puede suponer también un importante beneficio para la compañía, pues contribuye a la generalización de la cultura de cumplimiento en su seno y en consecuencia mejora ante clientes y posibles inversores su imagen de empresa comprometida con la ética y la transparencia.

En todo caso, de las recientes publicaciones normativas se desprende que la Unión Europea quiere generalizar el uso de canales de denuncia internos, regulando además el formato y requisitos que deben tener. Por ello, es aconsejable que tanto Administraciones, como entidades públicas y privadas empiecen a trabajar cuanto antes en la implantación de estos canales de denuncia internos, o en la adaptación de los que ya tienen a los nuevos requisitos.

 

Para ejercer adecuadamente la defensa efectiva frente a imputaciones penales contra la persona jurídica, así como para confeccionar correctamente un programa de prevención de delitos según las pautas de análisis de riesgos penales exigidas por el Código Penal, recomendamos la monografía “Los delitos que pueden cometer las empresas”, que coordina la autora de este post junto a Eloy Velasco Núñez:

 

 

[1] Considerando (50) de la Directiva: “La exención de las pequeñas empresas y las microempresas de la obligación de establecer cauces internos de denuncia no debe aplicarse a las empresas privadas que, actualmente, estén obligadas a establecerlos en virtud de los actos de la Unión a que se refieren las partes I.B y II del anexo”.

[2] Considerando (52) de la Directiva: “A fin de garantizar, en particular, el respeto de las normas de contratación pública en el sector público, la obligación de establecer cauces internos de denuncia debe aplicarse a todas las entidades jurídicas públicas a nivel local, regional y nacional, pero de forma proporcional a su tamaño.

[3] Considerando 56 de la Directiva: “Los procedimientos internos de denuncia de infracciones deben permitir a entidades jurídicas privadas recibir e investigar con total confidencialidad denuncias de los empleados de la entidad y de sus filiales (el grupo), pero también, en la medida de lo posible, de cualquiera de los agentes y proveedores del grupo y de cualquier persona que acceda a la información a través de sus actividades laborales relacionadas con la entidad y el grupo.”

[4] La obligación podría por ejemplo derivarse de la Directiva 2012/13/UE del Parlamento Europeo y del Consejo, de 22 de mayo de 2012, relativa al derecho a la información en los procesos penales.