Las empresas se quejan de la falta de seguridad jurídica de la Ley de protección al denunciante

El 16 de febrero de 2023, el Congreso español aprobaba la Ley de protección al informante, por la que se transponía la Directiva Whistleblowing. El 13 de marzo, la normativa entraba en vigor. Las empresas con más de 250 empleados tuvieron tres meses para implementar un canal de denuncias. El 1 de diciembre de 2023, fue la fecha límite para las empresas con más de cincuenta empleados.

Con el objetivo de evitar represalias para los informantes, daños de reputación o pérdidas económicas, las empresas debían implementar un canal de denuncias seguro, legal y fácil de usar que garantice la confidencialidad. Sin embargo, la falta de una Autoridad Independiente a nivel estatal ha hecho que aún muchas organizaciones públicas o privadas no hayan dado el paso de contar con ese canal.

Sin embargo, esta transición hacia este modelo de autorregulación no ha sido sencillo. Han surgido dudas diversas desde muchos campos de actuación. Un grupo de abogados bajo la dirección de Miquel Fortuny, experto en temas de compliance e investigaciones internas y socio director de Fortuny Legal, ha logrado resumir en 250 preguntas y respuestas aquellas cuestiones que más preocupan a las empresas. «La ley ofrece dudas sobre su seguridad jurídica y es muy mejorable», comentan.

Este libro —único en su género y presentado este jueves en el Consejo General de la Abogacía Española (CGAE), con la presencia de algunos de sus autores— analiza las principales cuestiones que más preocupan a las empresas, con sus correspondientes respuestas, desde cinco perspectivas diferentes, vista la transversalidad de esta Ley 2/2023 en su aplicación.

Así, Fortuny, junto con sus compañeras de despacho Olga Vila y Laia Trepat, analiza aquellas cuestiones de mayor calado en materia de compliance. Los grupos de sociedades son estudiados por Cecilia Pastor, socia de corporate compliance de Baker Mckenzie; mientras que María Masso, socia de litigación y penal de la misma firma, se ocupa de la parte penal y procesal de la ley.

Por su parte, Ignacio Esteban, socio de laboral Garrigues, profundiza en la problemática donde los expertos ya hablan del compliance laboral; mientras que Silvia Subijana, abogada experta en derecho público de Fortuny Legal, y María Belén López, directora de los servicios jurídicos de la Administración de la Junta de Comunidades de Castilla-La Mancha, ahondan en el llamado compliance público.

Por último, los abogados socios de Ilvalegal, Víctor Altimira e Irene López, se centran en las dudas sobre la proyección de la norma en materia de protección de datos, donde a nivel de denuncias resulta fundamental saber cómo mantener la confidencialidad de esas denuncias y de qué forma se gestionan los datos personales del denunciante y del denunciado, no siempre sencillo de hacer.

El juez Eloy Velasco, prologuista de la obra, señala el gran impacto de esta Ley 2/2023 para la extensión del compliance. (Imagen: E&J)

Un cambio de calado en el compliance

Esta publicación ha contado con un prólogo de primer nivel. Otro estudioso del mundo del compliance, en general, y de la protección a los informantes en particular, como es el magistrado de la Audiencia Nacional, Eloy Velasco, se ha encargado de presentar este trabajo tan detallado.

«El cumplimiento normativo, a la vez que se internacionaliza, sectorializa su aplicación, volviéndose necesario que los antaño abogados de empresa y graduados en ADE se especialicen cada vez más en él», escribe este jurista en el prólogo.

Para este magistrado, «la Directiva 2019/1937, más conocida como Directiva Whistleblowing, que protege a aquellos ciudadanos que denuncien presuntas irregularidades en la Europa de los 27, ha logrado pasar de sólo afectar a algunas materias sectoriales —como contratación pública, prevención del blanqueo o protección del medioambiente— a hacerlo en todas las infracciones penales y administrativas graves o muy graves».

Junto a ello, Velasco advierte que «su campo de aplicación se amplía, al dirigirse principalmente a la empresa, a abarcar todo el sector privado, asociaciones, fundaciones, ONG y, sin excepciones, a todo el sector público, al mismo tiempo que impulsan los canales internos y externos, estos en manos de autoridades independientes, una estatal —aún sin implementar— y otras autonómicas —ya en marcha».

En este contexto, este juez también destaca que «primero hemos pasado de la protección al informante/denunciante, a después desarrollar todo un estatuto de protección al afectado/sospechoso por las investigaciones internas o externas, y finalmente a respetar la protección de sus datos personales, su confidencialidad, permitir la denuncia anónima o regular las investigaciones internas corporativas y del sector público».

Por último, subraya que «la Unión Europea apuesta ahora por la instauración de políticas, actividades y medidas concretas que vayan más allá de la observación voluntaria de los modelos de cumplimiento, de la autotutela y el soft law, penetrando en las organizaciones tanto públicas como privadas, y optando por la aparición de nuevas estructuras —en España las AIPIs— que diversifican cauces alternativos que luchan contra la irregularidad, en la búsqueda del triunfo de lo ético».

Miquel Fortuny, director de la obra, advierte que esta Ley de protección al informante genera muchas incógnitas. (Imagen: E&J)

La importancia de la gobernanza

Por su parte, Miquel Fortuny, en el acto de presentación de esta obra al que asistieron varios de los autores, con Carlos Sáiz, socio de Ecix Group y presidente de Cumplen, como maestro de ceremonias y moderador del debate posterior, explicaba que «esta Ley 2/2023 va a provocar una vuelta de tuerca más a la promoción de la cultura de compliance en el seno de las organizaciones».

La sensación de estos juristas es que esta Ley genera muchas dudas interpretativas, pero sitúa el cumplimiento normativo en el centro del Gobierno Corporativo de las organizaciones.

Desde su punto de vista, «para los órganos de gobierno y administración, el hecho de verse obligados a conocer los incumplimientos de su propia organización, a través de denuncias internas o externas, supondrá una mayor presión en el ejercicio de su cargo, habida cuenta de que su inacción o una mala gestión ante determinadas irregularidades detectadas, les podría llegar a suponer acciones de responsabilidad frente a la sociedad, los socios o frente a terceros».

Para Fortuny, «en el haber del deber de diligencia debida de los administradores se imputará a partir de ahora la eficacia que vaya a tener el sistema interno de información».

«De ahí que esta Ley 2/2023 establezca la necesidad de que el responsable del sistema sea nombrado por el órgano de gobierno o administración, se le dote de recursos, así como ostente la independencia y autonomía suficiente para el ejercicio correcto del cargo. Al ser una norma de cumplimiento obligatorio, las organizaciones contarán con un sistema interno de información similar al existente en el compliance penal», indica.

A juicio de este experto en compliance e investigaciones internas, «desde el punto de vista de los informantes la Ley tiene varias e importantes incógnitas. Es el caso de la confidencialidad jurisdiccional: qué tipo de confidencialidad recibirá el informante en sede jurisdiccional, toda vez que no está garantizada su reserva de identidad en el seno de los procedimientos judiciales».

Los cinco juristas revelan que la norma es mejorable a nivel de seguridad jurídica y que habrá que ver cómo se implementa la Autoridad Independiente de Protección al Denunciante. (Imagen: E&J)

Otra cuestión que llama la atención a este jurista de la Ley y que genera muchas dudas para el rol del informante «es el alcance real de su inmunidad por infracción de sus deberes de sigilo y confidencialidad. A la luz de la Directiva 1937/2019 debería otorgarle la inmunidad total, exceptuando aquellos casos en los que la comunicación o revelación pública venga precedida de la obtención o acceso delictivo de la información. No obstante, no queda claro a la vista de las contradicciones del artículo 38 de la norma».

En opinión de Fortuny, «desde el punto de vista de las personas denunciadas o afectadas, los riesgos derivados de las denuncias anónimas van a estar muy presentes en todo momento. Está claro que el anonimato puede facilitar las comunicaciones falsas o tergiversadas, y con ello afectar gravemente al honor y a la presunción de inocencia de las personas afectadas, particularmente unida a aquella expresión ‘calumnia que algo queda'».

Al mismo tiempo, señala que «otra de las incógnitas para el denunciado va a ser hasta qué punto serán respetados sus derechos fundamentales en una investigación interna, dando que, pese a que la Ley los declare, va a depender totalmente del deber de diligencia de la organización, máxime cuando las investigaciones internas están desreguladas en esta nueva Ley. Como también no podemos olvidar los riesgos de indefensión para el denunciado asociados a la obligada reserva de identidad del informante».

Un cambio de paradigma importante

En definitiva, este jurista señala que «para los miembros de cualquier organización, esta ley debería suponer un cambio de paradigma sobre algunas malas prácticas que hasta ahora se han ido viendo en el uso de los canales internos. La posibilidad de ser sancionadas de forma grave las denuncias falsas por parte de la Autoridad Independiente de Protección al Informante servirá de medida de concienciación acerca de la necesidad de hacer un uso responsable y riguroso de los canales«.

Para Carlos Sáiz, este trabajo resalta la transversalidad de esta Ley 2/2023 de protección al informante, «que aglutina a muchas de las cuestiones que las empresas preguntan en la actualidad a sus equipos de asesores y de abogados externos. Es previsible que en el futuro, algunas de ellas al hilo de los criterios que vayan desarrollando las autoridades de protección al informante, tribunales y operadores jurídicos se vayan superando».

Por su parte, Ignacio Esteban, experto en relaciones laborales, señala que «esta es una Ley compleja, de carácter transversal, donde su perspectiva laboral es amplia. Se habla de la protección al informante en su propio entorno de trabajo y de evitar que tenga represalias en forma de sanciones o incluso despidos en algunos casos».

A este respecto, esta obra resuelve algunas dudas sobre si las infracciones en materia laboral y de seguridad social se pueden incluir en el ámbito material de la Ley y su artículo 2. En este sentido, Esteban aclara, además, que «no es preciso que haya una relación contractual o laboral vigente en el momento de esa información y extiende según el artículo 3.3 de la Ley las medidas de protección al informante ‘a los representantes legales de las personas trabajadoras si realizan labores de asesoramiento y apoyo al informante'».

Estos expertos advierten de la necesidad de una gestión seria de los canales de denuncia para evitar cualquier tipo de responsabilidad futura ante las autoridades. (Imagen: E&J)

Belén López, que aborda con Silvia Subijana el impacto del compliance público en esta Ley 2/2023, resaltaba en la presentación que «esta es una norma que obliga a todas las organizaciones públicas y privadas a desarrollar este sistema informativo con el canal de denuncias; pero a las pequeñas corporaciones les ha costado más adaptarse, de hecho, tuvieron de tiempo hasta el 1 de diciembre pasado para hacerlo y aún hay entidades que no lo hicieron».

En cuanto a algunas cuestiones que quedan resueltas, «define a quién se aplica esta Ley 2/2023 y las medidas que se pueden aplicar a estos informantes que vienen definidas en los artículos 35 y 41 de la norma tanto a representantes legales de los trabajadores personas físicas y algunas jurídicas con las que tenga relación el informante. Otra duda que resolvemos es quién designa al responsable del sistema interno de información que debe ser hecho por el órgano de gobierno de cada entidad».

Respecto a la parte procesal y penal, María Masso comentaba que «la redacción de la norma podría ser mejor. Se habla en la Ley de los grupos de empresas, pero solo se centra en aquellos ubicados en territorio nacional cuando la empresa ubicada en España puede ser parte de otro grupo multinacional. La norma plantea una serie de obligaciones a las empresas que deben documentarse. La gestión del canal de denuncias debe hacerse de forma responsable para evitar problemas con las autoridades. A este respecto será interesante ver cómo se articula la futura Autoridad Independiente en este entorno, aún sin trasponer».

En cuanto a algunas de las cuestiones que se aclaran en este entorno penal, resaltaba «cómo afecta la protección al informante al secreto profesional que rige entre los abogados y sus clientes; cuándo nace la obligación de denunciar los hechos al Ministerio Fiscal, prevista en el artículo 9.2 j) de la Ley o en qué casos puede la empresa revelar la identidad de informante, tal y como se indica en los artículos 33, 35 y 18 de esta norma».