Los Canales de Denuncias se encuentran en la actualidad presentes en la configuración interna de las medianas y grandes empresas, tanto en el entorno internacional como en el tejido empresarial español.
La implantación de estos mecanismos de comunicación de infracciones ha adquirido suma importancia en los últimos años, configurándose como un instrumento idóneo de prevención de delitos y otras conductas ilícitas en el seno de las empresas.
Los Canales de Denuncias o Sistemas de Whistleblowing son aquellos conductos o vías a través de los cuales una empresa puede recibir aquellas informaciones que sus empleados y colaboradores pongan en su conocimiento y que hagan referencia a infracciones o irregularidades cometidas en el seno de aquella.
La regulación de los Canales de Denuncias tiene su origen en la legislación estadounidense, en concreto en la Whistleblower Protection Act de 1989 y la Sarbanes Oxely Act de 2002. Posteriormente, diferentes legislaciones europeas han incorporado mecanismos similares para incentivar la implantación de estos sistemas en el seno de las empresas.
En el ámbito europeo, cobra especial importancia la Directiva 2019/1937 del Parlamento y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, cuyo plazo de trasposición finaliza a finales de 2021 con carácter general y en 2023 respecto a las entidades privadas cuyo número de empleados oscile entre los 50 y los 249.
El legislador español dispone aún de plazo para dar cabida en nuestro ordenamiento jurídico a las disposiciones de la citada Directiva, si bien ya ha incorporado la articulación de los Canales de Denuncia en la legislación penal.
La reforma del Código Penal efectuada por la Ley Orgánica 5/2010, de 22 de junio, introdujo la hasta entonces desconocida responsabilidad penal de las personas jurídicas, rompiendo así con el tradicional principio societas delinquere non potest. Poco después, la Ley Orgánica 1/2015, de 30 de marzo, introdujo importantes novedades en la articulación de este nuevo sistema de responsabilidad. Así, actualmente, el artículo 31 bis del Código recoge que “la persona jurídica quedará exenta de responsabilidad penal si, previamente a la materialización del delito, se hubiera implantado un modelo de organización y gestión adecuado para prevenir delitos de la naturaleza del que fue cometido o reducir considerablemente el riesgo de su comisión”.
Son estos los conocidos como programas de Cumplimiento Normativo o “Compliance”.
Y dentro de los requisitos que estos modelos deben cumplir para lograr su finalidad de exención de responsabilidad penal, el art. 31 bis.5. 4º del Código Penal ha impuesto la necesidad de que aquellos obliguen a informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y la observancia del modelo.
Así, el Código Penal exige, entre otros, que las entidades cuenten con mecanismos de denuncia interna que permitan que cualquier empleado pueda poner en conocimiento de la compañía comportamientos o conductas delictivas o ilícitas.
También se ha referido a este requisito la Fiscalía General del Estado, que en su Circular 1/2016 indicó que “la existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención. Ahora bien, para que la obligación impuesta pueda ser exigida a los empleados resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante, que permita informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones sin riesgo a sufrir represalias”.
Debe tenerse en cuenta, además, que los estándares ISO 19600 de Sistemas de Gestión de Compliance y UNE 19601, de Sistemas de Gestión de Compliance Penal, recogen la necesidad de contar con canales efectivos de comunicación interna de incumplimientos.
Aunque, como hemos dicho, la Directiva se encuentra pendiente de trasposición en España, el artículo 8 de la misma impone a los Estados el deber de velar por la creación de Canales de Denuncia internos en las entidades públicas y del sector privado cuando, estas últimas, tengan 50 o más trabajadores. No obstante, este límite no es de aplicación cuando dichas empresas entren en el ámbito del Derecho de la Unión en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte o protección del medio ambiente.
Todo ello se entiende sin perjuicio de que España decida hacer extensiva esta obligación a las empresas de menos de 50 trabajadores, con independencia del sector o la actividad que desempeñen.
La existencia de estos canales no es obligatoria en España hasta que la Directiva sea traspuesta en nuestro ordenamiento jurídico. No obstante, la ausencia de un canal conforme a las características descritas impide que la empresa pueda acogerse a la posible exención de responsabilidad penal anteriormente descrito en caso de que se cometa un delito en el ejercicio de sus actividades y sea imputable a la misma.
La finalidad de los Canales de Denuncia no radica únicamente en el cumplimiento del requisito previsto en el art. 31 bis del Código Penal, ya mencionado, pues la implantación de estos mecanismos tiene por objeto, además, detectar con la anticipación necesaria posibles conductas irregulares y lograr su corrección antes de que las consecuencias sean graves e irreversibles.
Con estos canales, la organización consigue tener un conocimiento más amplio de su actividad, facilitando el control de los procesos y flujos de actividad que se dan en la misma, y compromete a todos los empleados creando una cultura empresarial responsable y ética.
Aunque el Código Penal no detalla cuáles deben ser las garantías que debe reunir un Canal de Denuncias, estas han sido desarrolladas ampliamente por la Directiva Europea y la doctrina, centrándose las mismas, principalmente, en la protección del denunciante:
- Confidencialidad del denunciante:
El considerando 3 de la Directiva indica que los Canales de Denuncias “deben ser efectivos, confidenciales y seguros, así como garantizar la protección efectiva de los denunciantes frente a represalias”. En este sentido, el artículo 9 dispone que estos canales “deben estar diseñados, establecidos y gestionados de una forma segura que garantice la confidencialidad de la identidad del denunciante e impida el acceso a ella al persona no autorizado”.
- Prohibición de represalias:
El artículo 19 de la Directiva insta a los Estados a tomar medidas para prohibir las represalias contra los denunciantes, incluidas las amenazas de represalias o la tentativa de estas.
Así, se consideran en todo caso actos de represalia:
- Suspensión, despido, destitución o medidas equivalentes.
- Degradación o denegación de ascensos.
- Cambio de puesto de trabajo, cambio de ubicación del lugar de trabajo, reducción salarial o cambio de horario de trabajo.
- Denegación de formación.
- Evaluación o referencias negativas con respecto a resultados laborales.
- Imposición de cualquier medida disciplinaria, amonestación u otra sanción.
- Coacciones, intimidaciones, acoso u ostracismo.
- Discriminación o trato desfavorable o injusto.
- No conversión de un contrato temporal en indefinido.
- No renovación o terminación anticipada de un contrato de trabajo temporal.
El listado no debe entenderse como una enumeración cerrada, teniendo cabida otras conductas similares que puedan ser consideradas perjudiciales para el denunciante.
Por otro lado, la organización debe garantizar la accesibilidad a estos canales por todas las personas que formen parte de aquella. Así, el artículo 4 de la Directiva indica que la misma se aplica a los denunciantes que trabajen en sector público o privado y que hayan obtenido información sobre infracciones en un contexto laboral, incluyendo, en todo caso:
- Las personas que tengan la condición de no asalariados.
- Accionistas y miembros de los órganos de administracion, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos, los voluntarios y los trabajadores en prácticas que reciban o no una remuneración.
- Cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
- Denunciantes cuya relación laboral aun no haya comenzado, si la información sobre infracciones se ha obtenido durante el proceso de selección o de negociación precontractual.
Además de lo expuesto, la gestión del Canal de Denuncias debe ajustarse también a ciertas normas que garanticen su eficacia. El artículo 12 de la Directiva indica que para que un canal se considere independiente y autónomo, “deberá diseñarse, establecerse y gestionarse de forma que se garantice la exhaustividad, integridad y confidencialidad de la información y se impida el acceso a ella al personal no autorizado”.
Además, deben permitir el almacenamiento duradero de la información. En este sentido, el artículo 18 dispone que “los Estados velaran porque las empresas lleven un registro de las denuncias recibidas, guardando en todo caso la confidencialidad del denunciante. Las denuncias se conservarán únicamente durante el periodo necesario y proporcionado”. Y en este sentido, debe atenderse al artículo 24.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que establece que “los datos del denunciante y de los empleados o terceros se conservarán en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados. No obstante, en el plazo de 3 meses desde que los datos se hubieran introducido deberá procederse a su supresión salvo que se conserven con la finalidad de dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos. En todo caso, si una denuncia no ha sido cursada, solo podrán constar los datos de forma anonimizada”.
A la vista de todo lo expuesto, los Canales de Denuncias se configuran como un instrumento indispensable de cualquier Sistema de Compliance, así como una exigencia del legislador europeo destinada a ser de obligada observancia en el ordenamiento jurídico español.
Por ello, es necesario que grandes y pequeñas empresas cuenten con estos mecanismos de prevención para cumplir de forma anticipada con las exigencias de la futura norma española y, además, con el fin de cumplir los requisitos exigidos por el Código Penal a efectos de obtener la exención de responsabilidad penal ante la comisión de un delito por la persona jurídica.
Ignacio Rodríguez Marco
Abogado. Especialista en Compliance
Picón & Asociados Abogados