Directiva UE, compliance y protección del denunciante

Autor: Juan Bosco Gimeno. Abogado y MBA. Consultor y auditor de sistemas de gestión de compliance y antisoborno. Compliance Officer. Miembro de World Compliance Association. bgimeno@cangala.com / 630903533

Fuente: Compliance Legal

Información confidencial y revelación pública de cualquier tipo de infracción. 

La Directiva (UE) 2019/1937 relativa a la protección del denunciante puede considerarse ambiciosa en su objeto de luchar contra las infracciones “con independencia de si el Derecho nacional las clasifica como administrativas, penales o de otro tipo” y la extiende también, en determinadas circunstancias, a la revelación pública de la información, si bien viene referida principalmente a las comunicaciones hechas a través de canales de denuncia externos e internos, dando prioridad al empleo de éstos últimos: “Los Estados miembros promoverán la comunicación a través de canales de denuncia interna antes que la comunicación a través de canales de denuncia externa”. Es este sentido hay que decir que los canales de denuncia externos no son lo mismo que los canales internos que, para facilitar su gestión o con el fin de salvaguardar la identidad del denunciante, se gestionan por un tercero: éstos siguen siendo canales internos.

Unas medidas que ya deben de tenerse en cuenta.

La Directiva declara en sus dos primeros artículos, que sus disposiciones representan el establecimiento de “normas mínimas comunes”, y aun cuando tendrá que ser transpuesta al ordenamiento jurídico español, sus normas deberán de ser respetadas y por lo tanto conforman ya una guía relevante en cuanto a las obligaciones que de ella se derivarán una vez entre en vigor. 

Más allá de la protección del denunciante.

A lo largo de toda la Directiva se encuentran artículos que conducen directamente a la aplicación de programas o planes de cumplimiento o compliance.

Si nos fijamos en el ámbito de aplicación material (art. 2) apreciamos que en todos sus puntos se hace referencia a ámbitos de actuación que guardan referencia con la posibilidad de incurrir en tipos delictivos de los que incluye el código penal español entre los que son imputables a la persona jurídica. Así, por ejemplo, salud pública, seguridad de los alimentos, contratación pública, blanqueo de capitales, y etcétera. 

En lo que hace referencia al ámbito de aplicación subjetivo (art. 4) la Directiva nos ofrece una interesante matización respecto al requisito 4º del artículo 35 bis 5 que exige que los modelos de compliance impongan la obligación de informar de posibles riesgos e incumplimientos al determinar quiénes son los informantes a os que se debe de brindar protección. Cierto que el ámbito subjetivo del art. 31 bis del Código Penal es muy amplio al determinar que son imputables a la persona jurídica hechos cometidos por sus representantes legales o por quienes están autorizados para tomar decisiones en su nombre, por quienes ostentan facultades de organización y control dentro de la misma, y quienes están sometidos a su autoridad, pero parece que se refiere a personas que componen la organización. La ley 10/2010 de prevención del blanqueo de capitales incluye en sus artículos 30 y 31 a agentes, filiales y sucursales. Pero la Directiva va más allá al contemplar entre las personas de la organización también a los ex-empleados, candidatos, trabajadores no asalariados, voluntarios o en prácticas, y a los accionistas. Pero incluye además a personas que trabajen bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores. También a éstos debería de procurar la empresa trasmitir el deber de informar de irregularidades, tanto más cuanto pueden acarrearle la posibilidad de una imputación penal o un perjuicio económico.

Características y procedimientos de los canales de denuncias.

El 31 bis del código penal no menciona los canales de denuncia, aunque sí, como hemos visto, a la obligación de informar. Hay que irse al artículo 26 de la Ley 10/2010 para encontrar que los sujetos obligados “establecerán procedimientos internos para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos”. Pues bien, la Directiva sí que impone el deber de que “entidades jurídicas de los sectores privado y público establezcan canales y procedimientos de denuncia interna y de seguimiento, y hace una descripción de algunos aspectos de cómo han de ser y deben de operar estos canales de denuncia, y sobre los protocolos y procedimientos que tienen que incluir la tramitación y seguimiento de las denuncias. Entre otras cosas, a modo de ejemplo, hace mención a: la obligación de llevar y conservar un registro de las denuncias; la obligación de remitir un acuse de recibo y dar una respuesta al denunciante, para lo que establece unos plazos límite muy precisos; la inclusión de la denuncia verbal telefónica, por mensajería de voz, o por medio de una reunión presencial dentro de un plazo razonable; la inclusión de información clara y fácilmente accesible sobre los posibilidad de hacer una denuncia externa ante las autoridades competentes.

Para estos, como para otros temas, la Directiva incorpora detalles y matizaciones que deben de ser tenidos en cuenta a la hora de diseñar y establecer los canales de denuncia, y que obligarán en o pocos casos a modificar, para mejorarlos, los ya existentes.

Administración pública y empresa privada.

La Directiva está orientada a organizaciones públicas y privadas. A la organizaciones públicas y administraciones dedica especialmente las normas que se refieren a canales externos, sin excluir que las entidades jurídicas del sector público deben de contar también con canales internos al igual que las organizaciones privadas.

Respecto a la obligación de establecer canales y procedimientos de denuncia interna y de seguimiento, ésta se impone a las entidades jurídicas del sector privado que tengan 50 o más trabajadores. Como se trata, según ya hemos comentado de unas normas mínimas, cabe la posibilidad de que en su momento se decida la aplicabilidad también para empresas de menos de 50 trabajadores, en particular si su actividad entraña riesgos para el medio ambiente o la salud pública.

Qué y cuándo comunicar.

Hasta ahora venimos haciendo referencia al cómo, pero lo que es especialmente relevante para la organización -la entidad jurídica particularmente en el sector privado- es el qué.

La Directiva habla de “información sobre infracciones” y lo define como: la información, incluidas las sospechas razonables, sobre infracciones reales o potenciales, que se hayan producido o que muy probablemente puedan producirse en la organización, y sobre intentos de ocultar tales infracciones. Acciones u omisiones que sean ilícitas, es decir contrarias a disposiciones legales, administrativas, o de “otro tipo”, o que desvirtúen el objeto o la finalidad de las normas.

Ahora bien, la empresa en la implantación de su programa de cumplimiento determina aquellos temas y acciones que deban dar motivo para acudir al canal de denuncias. El plan de compliance brinda la oportunidad de incluir no solo actos ilícitos que puedan acarrear responsabilidad penal a la sociedad, sino también actos que acarreen perjuicios a la empresa, bien sea de tipo económico -fraude interno-, de tipo reputacional -deslealtades-, o de carácter organizativo -acoso-; y de incluir como normas internas de la organización aquellas que constituyen medidas para prevenir incumplimientos e irregularidades, y aquellas que conducen a un comportamiento ético.

El programa de cumplimiento da sentido a un canal de denuncias. Un plan de compliance bien construido es lo que hace que el canal de denuncias que se convierta en el instrumento que debe de ser para mejorar la organización, ahorrar costes, salvaguardar y acrecentar la reputación de la organización, favorecer su expansión comercial y su actividad, además de proteger a la empresa de eventuales imputaciones penales. 

De hecho, el propio programa de cumplimiento es la mejor vía para establecer los canales de denuncias y su funcionamiento, los protocolos y las medidas que servirán para su correcta operación y para garantizar la debida protección del denunciante.

No hay que olvidar que la Directiva establece protección, pero no obliga a denunciar, y los planes de compliance están obligados a imponer la obligación de informar de posibles riesgos e incumplimientos. Y para compensarlo la necesidad de reaccionar sin represalias.

Naturalmente, protección al denunciante.

No hemos hablado de lo que da título a la Directiva, que, por supuesto, dedica una buena parte a tratar los derechos de quien comunica una denuncia, las condiciones para ser acreedor de protección, la salvaguarda de la identidad, la confidencialidad de las personas afectadas, la prohibición de represalias, las medidas de defensa, los medios de apoyo, la sanciones a quienes impidan o intenten impedir las denuncias, y más.

Ya tendremos oportunidad de hablar de ello.