Whistleblowers, una nueva figura en el ámbito de tu empresa: ejemplo de modelo de denuncia interna y régimen jurídico (directiva 2019/1937)

I.            EN BREVE

Mucho se está hablando de la nueva directiva que obligará a las empresas a contar con canales de denuncia internos. Sin embargo, más allá de la citada obligación, no es casual reseñar que el título de la Directiva no alude a los propios canales de denuncias sino a la necesaria protección de los denunciantes que hagan uso de éstos. Y es que el fin último de esta directiva no es tanto la creación de un régimen jurídico específico para los canales de denuncia sino, más bien, dotar de la protección adecuada a aquellas personas que, haciendo uso de estos sistemas, denuncien irregularidades y alerten de potenciales ataques a los bienes jurídicos que la regulación protege.

Todas las empresas que se estén planteando diseñar un canal de comunicación interno en su compañía, acorde con la Directiva, o cuenten ya con uno deberán hacerse las siguientes preguntas ¿estoy dispuesto a dotar al canal de denuncias de mi empresa de aquellas características que eviten las represalias al denunciante y protejan su confidencialidad? ¿quiero contar con una herramienta que no me permita identificar al denunciante, pero sí conocer los incumplimientos que se pueden estar dando en mi empresa?

Cuando la respuesta es negativa, en muchas ocasiones se debe a que el empresario ya conoce la existencia de ciertos incumplimientos normativos que no está dispuesto a resolver o porque, culturalmente, considera más prudente la inexistencia de cauces para denunciantes soplones (uso despectivo) que den luz a los trapos sucios de la compañía.

II.            UN POCO DE HISTORIA DE LOS WHISTLEBOWERS

La comunicación de irregularidades en el seno de las organizaciones por parte de sus integrantes no es algo nuevo. Los primeros comunicantes que lograron hacer ver a un país la importancia de su protección datan del siglo XVIII, eran estadounidenses y viajaban a bordo del navío Warren en el año 1777. En aquella ocasión denunciaron ante el Comité Naval al comandante Hopkins de crímenes basados en la tiranía y opresión que no les permitían desarrollar su trabajo respetando las libertades propias de un país en el que poco tiempo atrás se había firmado la declaración de independencia.

Estos denunciantes fueron inmediatamente expulsados por el comandante y recibieron una querella por difamaciones. Sin embargo, gracias a su actuación consiguieron que poco tiempo después, el 23 julio de 1778, el Congreso de los EEUU aprobare la primera ley que daba protección a los denunciantes.

El fenómeno Whistleblowing, en relación a la configuración de los sistemas de denuncias como elemento esencial preventivo inherente al auge e implementación de los Programas de Compliance, surge en los años 60, con un relevante desarrollo en el mundo anglosajón, encontrando en las leyes estadounidenses Sarbanes-Oxley Act (2002) y la posterior Dodd Frank (2010) ejemplos de las fórmulas promovidas para la protección y evitación de represalias en relación a los denunciantes internos y externos.

Algunos de los escándalos empresariales (tal y como evidencian, por ejemplo y entre otros, los casos Enron, GlaxoSmithKline, Bank of America, o, en el caso de España, la salida de Bankia a Bolsa -alertada por un funcionario ante el regulador-) pudieron haberse evitado con una adecuada cultura corporativa y regulatoria de gestión, atención y análisis preventivo de las denuncias recibidas acerca de los riesgos potenciales que finalmente acaecieron.

A nivel europeo, tal y como señala el considerando séptimo de la Directiva, la legislación comunitaria ha venido reconociendo de forma previa a la Directiva aquí evaluada, el valor de la protección de los denunciantes y el incentivo de su acción preventiva en relación al cumplimiento de la regulación del sector financiero a raíz, precisamente, de los graves incumplimientos normativos identificados en la crisis económica y financiera de 2008.

III.            REGULACIÓN NACIONAL Y PRINCIPALES NOVEDADES DE LA DIRECTIVA DE PROTECCIÓN DE LOS DENUNCIANTES O WHISTLEBLOWERS

De forma previa al análisis de las principales implicaciones de la Directiva (UE) 2019/1937, es necesario referenciar que, a nivel español, el auge de la implementación práctica de los Canales de Denuncias está relacionado, intrínsecamente, con la implementación diligente de los Compliance Programs o Modelos de Prevención de la Responsabilidad Penal Corporativa, a raíz de las reformas penales de los años 2010 y 2015 que introdujeron y modificaron, respectivamente, el régimen de responsabilidad penal de la persona jurídica.

La disposición del Canal de Denuncias en el ámbito corporativo está, inexorablemente, relacionada, tal y como ha señalado la Circular 1/2016 de la Fiscalía General del Estado (ap.5.3) como la fórmula más adecuada (presumiéndose más eficaz cuando además sea de gestión externa) para hacer realidad el requisito (art. 31 bis.2.5) relativo a la necesidad de imponer “la obligación de informar de posibles riesgos e incumplimientos” al Órgano de Control en materia de Compliance. Con idéntico sentido de elemento esencial ha sido concebido también en las certificaciones de calidad de referencia en la materia (UNE 19601 y futura ISO 37002).

Recientemente, se han incorporado a nuestro ordenamiento la obligación de disponer de canales de denuncia en materia de prevención del blanqueo de capitales para los sujetos obligados en dicha materia (nuevo art. 26 bis de la Ley 10/2010 de 28 de abril, tras su modificación por el Real Decreto-Ley 11/2018 de 31 de agosto que transpone la Cuarta Directiva Europea), la aplicación de la normativa de protección de datos en el funcionamiento y gestión de los Canales de denuncia (Art. 24 de la Ley 3/2018 de 5 de diciembre de protección de datos y garantía de los derechos digitales), incluyendo la previsión y licitud de la integración de los cauces preventivos de comunicación acerca de diferentes materias de cumplimiento normativo en un único canal de denuncias.

Así, la reciente publicación de la Directiva (UE) 2019/1937, de 23 de octubre de 2019, es un primer gran paso en la promoción e incentivo de uso de estos canales en Europa. Se trata, como ya se refirió antes, de una normativa comunitaria centrada en la homogeneización y fortalecimiento de las garantías de protección del denunciante, especialmente de las referidas al deber de protección de su confidencialidad, así como a la exigencia de ausencia de represalias y la necesidad de tratamiento, análisis y respuesta de la denuncia planteada en relación a una infracción o riesgo.

Una de las principales novedades es la relativa a la previsión de la coexistencia simultánea de un aparente sistema de escalado que permitirá al denunciante acudir, primero, al canal de denuncias corporativo (sistema de denuncias internas que podrá ser gestionado de forma interna o externamente por un tercero), en segundo lugar a los canales de denuncia de los organismos públicos o reguladores (denuncias externas ante las autoridades competentes) y finalmente, incluso y en determinados casos, a la revelación pública de la irregularidad que pretende denunciar.

Una de las grandes y más referidas novedades de la Directiva, es la obligación de implementación de un Canal de Denuncias Corporativo para todas las empresas privadas, con independencia de su sector o ámbito de actividad, cuando tengan más de cincuenta empleados, y todas las entidades del sector público (incluyendo las entidades sujetas al control de una entidad pública) a excepción de los municipios de menos de diez mil habitantes.

Otra de las grandes novedades de la Directiva es la amplitud de alcance, tanto desde la óptica del ámbito material como del ámbito personal. A nivel material, la Directiva incluye, de nuevo con la fórmula de mínimos que puede ser ampliada por los Estados Miembros, una pluralidad de infracciones (medioambientales, financieras, en el terreno de la prevención del blanqueo de capitales, en la contratación pública, en relación a la protección de datos y los derechos de los consumidores, y otras materias diversas), reseñando, no obstante, también que la utilidad de los canales de denuncias (considerandos 6, 15, 23 y 64) está relacionada también, como no podía ser de otro modo, con la prevención del fraude y de la corrupción (pública y privada) que puede afectar a los intereses financieros y estratégicos de la Unión y sus Estados miembros.

En cuanto al alcance mínimo del ámbito personal sobre el que se proyecta la utilidad de los canales de denuncias, en virtud de la presente Directiva, hay que constatar como relevante la amplitud con la que la normativa comunitaria ha considerado la disposición de los citados canales no sólo por parte de los trabajadores, sino, también, por otras partes y personas vinculadas, terceros relacionados, entidades relacionadas y stakeholders en definitiva, incluyendo contratistas, subcontratistas y proveedores e incluso la posibilidad de denuncia por parte de los accionistas (aspecto que enlaza esta cuestión con los mecanismos de transparencia y buen gobierno corporativo).

La Directiva pone especial énfasis en el deber de confidencialidad, entendido como el deber de protección de la identidad del denunciante, así como de las informaciones que pudieran derivar en su identificación. En este sentido, y dado el debate generado en los últimos años acerca de la admisibilidad de las denuncias anónimas (posibilidad que, ahora, recogen, en coherencia con determinadas obligaciones vigentes de disponer de la denuncia anónima en virtud del derecho de la Unión, ya expresamente en nuestro ordenamiento las normativas de protección de datos y prevención del blanqueo de capitales al hacer referencia a la posibilidad de que los canales permitan las denuncias “incluso anónimamente”), la Directiva estipula (considerando 34) que los denunciantes anónimos que denuncien, cumpliendo las condiciones de la Directiva deberán gozar de idéntica protección si posteriormente fueran identificados o sufrieran represalias.

IV.            PROCEDIMIENTO DEL CANAL DE DENUNCIAS TRAS LA DIRECTIVA (UE) 2019/1937.

A nivel pragmático, se integra, como necesidad de diseño de los mismos, la gestión segura que garantice la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia. Esto, en términos, prácticos equivale a la necesidad de disponer de un sistema de encriptado o similar que impida el acceso no autorizado a la denuncia o el seguimiento acerca del origen de la misma.

Del mismo modo, se relacionan las necesidades de envío de acuse de recibo al denunciante (en un plazo de siete días), la designación o referencia del órgano autónomo para la recepción de la denuncia y, en su caso, solicitud de información adicional. Es aquí, y en términos de independencia e incentivo de uso (en términos de ítem para la mejora de la eficacia de su funcionamiento, siendo así como lo relacionó la propia Circular 1/2016 de la Fiscalía General del Estado) dónde cobra sentido la gestión externa de los canales de denuncias (prevista específicamente por la propia normativa comunitaria) también por la necesidad preventiva de aplicación de filtros de conflicto de interés que aseguren u optimicen la eficacia preventiva de la denuncia. Se establece un plazo razonable de respuesta a la denuncia en un plazo máximo de tres meses a partir del acuse de recibo emitido al denunciante.

Retornando a la advertencia inicial acerca de la finalidad más intensa de la normativa comunitaria aquí analizada (la protección de los denunciantes), cabe advertir que más allá de las condiciones mínimas ya reseñadas, la normativa no ahonda en las fases mínimas preceptivas para el seguimiento y gestión de la denuncia que, desde nuestra óptica, deben ser: gestión externa de la denuncia (incluyendo la aplicación de filtros para la evitación del conflicto de interés), análisis preliminar de la denuncia (o lo que es lo mismo, comprobación de existe un contenido mínimo imprescindible para poder continuar), investigación de la denuncia (dónde conviene, en términos de autonomía e independencia, la previsión de nombramiento de comités de investigación internos y/o con apoyo externo), y finalmente, la resolución de la denuncia (incorporando aquí, en su caso, los mecanismos de respuesta, minoración del daño, atenuación del daño y otras acciones de defensa corporativa).

Los canales habrán de cumplir, adicionalmente, los requisitos extra que pueda imponer la normativa nacional (ver, por ejemplo, el caso de la Ley Sapin II en Francia).

V.            EJEMPLO DE MODELO DE DENUNCIA INTERNA

Teniendo en cuenta todo lo anterior, si existiera un modelo de denuncia válido para la mayor parte de las empresas, éste debería tener dos características esenciales: 1) extrema sencillez, de tal forma que se facilite la labor del denunciante, permitiendo la denuncia anónima y 2) ponga el foco en la gestión preventiva de la irregularidad denunciada. Así las cosas, los campos que sí deben constar, en cualquier caso, serían:

¿Qué hechos quiere denunciar? Por favor describa los hechos de la forma más detallada posible. No es necesario que realice una calificación jurídica de los mismos.

¿Cuándo han ocurrido? Conocer el período temporal referido por los hechos y si los mismos se siguen produciendo en la actualidad, ayudará a llevar a cabo una investigación eficaz de los mismos.

¿Dónde han ocurrido? Conocer la ubicación corporativa, departamental o física de los hechos, especialmente en grandes organizaciones, puede ser un dato muy importante.

¿Puede aportar alguna prueba? ¿Qué personas están implicadas en los hechos y qué personas podrían testificar sobre estos hechos? No es obligatorio, pero, sin lugar a dudas, puede resultar clave para aplicar filtros de conflicto de interés, facilitar la investigación y dilucidar la veracidad de las afirmaciones contenidas en la denuncia.  

VI.            CONCLUSIÓN.

Los objetivos estratégicos comunitarios y nacionales para la evitación de incumplimientos normativos y la prevención de delitos tanto en el ámbito privado (impulsado a través de los beneficios normativos para las entidades que implementan Programas de Compliance) y en el ámbito público (a través de los denominados esquemas de Public Compliance) encuentran un elemento preventivo esencial de apoyo, especialmente en el propio acceso al conocimiento de la irregularidad mediante la detección e identificación del riesgo, en la implementación de los Sistemas de Whistleblowing o Canales de Denuncia. La confianza de los denunciantes o Whistleblowers es el factor clave que justifica la necesidad de garantías fuertes en su protección, así como las obligaciones de establecimiento, adecuación, seguimiento diligente y respuesta que deben acoger los canales de denuncias corporativos como consecuencia de la futura transposición de la norma comunitaria.

Puede consultar la directiva 2019/1937 en nuestra plataforma Global Economist & Jurist visitando este enlace. Marginal: 71126600.

César Zarate, socio de Compliance, Defensa y Prevención Penal de ECIJA

Juan Eugenio Tordesillas, Manager de Corporate Governance y Compliance de ECIJA