Togas.biz

¿En 2022 las empresas españolas pueden ser sancionadas por no articular correctamente la gestión de las denuncias internas de incumplimiento normativo y su posterior investigación?

La realidad es que sí, aunque este es un riesgo que aumentará sustancialmente a partir de diciembre de 2023 en empresas de 50 o más trabajadores.

Recapitulemos, la situación actual respecto a la regulación de las denuncias internas recuerda un poco a la cita del célebre filósofo político italiano “El viejo mundo se muere, el nuevo tarda en aparecer y en ese claroscuro surgen los monstruos”.

España tenía hasta el 17 de diciembre de 2021 para transponer a nuestro ordenamiento interno la Directiva (UE) 2019/1937 popularmente conocida como Directiva Whistleblowing. Como tantos otros países de la Unión Europea, no lo ha hecho.

Para acabar de hacer aún más complicada la cuestión cronológica, una de las principales obligaciones de la Directiva (establecer canales de denuncia) puede no ser obligatoria en España hasta el 17 de diciembre de 2023 para las empresas privadas de 50 a 249 trabajadores y ello, a veces, se lee erróneamente como que no deberán de cumplir con las otras obligaciones de la Directiva. Otras obligaciones de la Directiva sí lo son ya. Al menos, invocables ante los Tribunales por los particulares en función del efecto directo vertical de las Directivas que el TJUE ha reconocido de forma constante.

Entonces, si soy abogado de empresa, ¿me quedo a la espera antes de promover el cumplimiento de dicha Directiva? No sería lo más diligente. Además, la Directiva establece en su artículo 23 que el legislador español debe establecer sanciones en el caso de que las entidades incumplan sus obligaciones o de que se hagan denuncias falsas sabiendo que lo son. Hay que tener en mente como mínimo cinco ideas antes de pensar en posponer demasiado la implementación del canal de denuncias y sus correspondientes protocolos en las empresas y administraciones públicas:

La primera es que, del mismo modo que ya hace años que existe una serie de garantías obligatorias para la empresa respecto a la protección de los datos personales implicados, ahora con la Directiva Whistleblowing se fomenta mucho más el cambio cultural por el que en el caso de detectar irregularidades es bueno que los empleados lo comuniquen a la empresa. Ahí, la empresa tiene incentivos jurídicos en detectar ciertas conductas para evitar responsabilidades que pueden ser incluso penales.

Fijémonos en que la buena práctica de la implementación de los canales de denuncia ya existe desde hace tiempo. Por ejemplo, en 2006 la Comisión Nacional del Mercado de Valores en su Código Unificado de Buen Gobierno de las Sociedades Cotizadas ya sugería el establecimiento de canales de denuncias. Ahora esta normativa no hace más que avivar este cambio de cultura empresarial. Así que las denuncias -con o sin dicho canal- siguen llegando y se mantendrán en el futuro. Cuando existan las denuncias, haya o no el famoso “canal de denuncias”, la normativa de protección de datos europea y española prevé una serie de garantías y derechos específicos sobre el tratamiento confidencial de los datos personales implicados (especialmente en el artículo 24 de la LOPDGDD pero no únicamente allí). Ello se traduce en obligaciones para la empresa aplicables desde hace años y vinculadas a un sistema de sanciones durísimo.

Infografía de las obligaciones en privacidad ante denuncias interna

Sabiendo que ante casos de denuncias internas es tan probable que la empresa acabe en cierta situación de conflicto con el denunciado o el denunciante, parece buena idea no exponerse a que estas personas puedan dañar a la empresa con una simple denuncia ante la Agencia Española de Protección de Datos.

La segunda es que la jurisprudencia de la Unión Europea dice que la no transposición en plazo de las directivas -en determinadas circunstancias que sí se dan en este caso- sí permite su aplicación directa en tanto que generadoras de derechos a los ciudadanos. La Directiva Whistleblowing principalmente genera derechos y garantías a los denunciantes de irregularidades, y obligaciones de respetar y articular dichos derechos a las empresas. Ergo, estos derechos establecidos en la Directiva ya amparan a los potenciales denunciantes (por ejemplo, ante tribunales) y, desde luego, las administraciones públicas los deben respetar.

Ciertamente, el panorama en el caso que nos ocupa se ve en cierto modo complicado por el hecho de que el potencial denunciante estaría exigiendo a un particular (su empresa) el cumplimiento de una obligación que debería estar incorporada en el ordenamiento nacional y no lo está, debido al incumplimiento por parte del Estado de su obligación de trasposición; y es que, el TJUE ha venido señalando, al tratar sobre la eficacia directa de las Directivas que las mismas podrían invocarse por particulares frente a la Administración Pública, pero no frente a otros particulares (salvo algunas excepciones vinculadas a derechos). Con todo, el establecimiento de las obligaciones previstas en la Directiva de referencia es una obligación actual para el Estado y no podemos saber cómo, mediante la aplicación del criterio de interpretación conforme, podrían resolver los tribunales ante un conflicto como el planteado. Quizás esta sea una cuestión que merezca un mayor desarrollo en posteriores publicaciones.

La tercera es que algunos de los derechos de los denunciantes ya hacía décadas que se protegían en España a través de la jurisprudencia que consideraba que los denunciantes de irregularidades que aportaban información relevante y veraz lo hacían protegidos por su derecho fundamental a la libertad información y que no debían sufrir represalias (por ejemplo, pérdida de negocio en el caso de proveedores o despidos o falta de promociones en el caso de trabajadores) debido a la garantía de indemnidad vinculado a la tutela judicial efectiva.

La cuarta es que -además de para evitar no incurrir en incumplimientos de la normativa de protección de datos o vulnerar derechos que serían reconocidos en tribunales- el hecho de incorporar sistemas de cumplimiento normativo o compliance voluntarios puede exonerar a la empresa como responsable en el caso de determinados tipos penales. Programas de compliance penal que merecen ser revisados a la luz de Directiva Whistleblowing pero que comparten un núcleo destacado con la Directiva como es la implementación de los canales de denuncia internos (cosa que no recoge el famoso artículo 31 bis del Código Penal pero sí su interpretación a la luz de la circular 1/2016 de la Fiscalía General del Estado o la UNE 19601/2017 de Sistemas de gestión de compliance penal). Puestos a tener que implementar un canal de denuncias y garantizar su acuse de recibo en 6 días y su investigación imparcial con respuesta sobre el fondo en un plazo de 3 meses (art. 9 de la Directiva), parece sensato dar algún paso más para garantizar la exención penal de la empresa. Es el momento de abordar algo voluntario y positivo (programas de compliance penal) puestos a tener que hacer algo obligatorio (la implementación de los canales de denuncia y protocolos y programas para resolver dichas denuncias y proteger a los denunciantes). Y, no lo olvidemos, cada vez más, la implementación de un adecuado programa de compliance será un criterio que se tomará en consideración por parte de las Administraciones Públicas a la hora de contratar, pero también a la hora de entregar fondos públicos y ayudas (véanse, en cierta manera, los conocidos fondos Next Generation).

La quinta razón por la que no parece prudente esperar mucho más antes de poner en orden la problemática de las denuncias internas es que hay algunas otras normativas que también obligaban al uso de los canales de denuncias desde hace tiempo. Por ejemplo, las entidades sometidas a las normativas de prevención de blanqueo de capitales y financiación del terrorismo ya debían tener implementado el buzón (ver art. 26 bis de la Ley 10/2010). También se considera que el artículo 48 de la LO 3/2007 para la igualdad efectiva de mujeres y hombres obliga a las empresas de todos los tamaños a tener un buzón de denuncias contra el acoso sexual y por razón de sexo.

El incumplimiento de estas normativas que también regulan el buzón de denuncias llevaría a su vez asociadas sanciones (por ejemplo, la Ley sobre Infracciones y Sanciones en el Orden Social (LISOS) considera una infracción muy grave la “venganza” ante quién haya denunciado dicho acoso).

Consecuentemente, en España no articular bien la denuncia interna conlleva numerosos riesgos jurídicos para la empresa (el más significativo, las cuantiosas sanciones vinculadas al incumplimiento de la normativa de protección de datos de denunciados y denunciantes). En todas las empresas ya debe estar articulado un buzón de denuncias (como mínimo, contra el acoso sexual o por razón de sexo) y la cultura está virando hacia el aumento de las denuncias. Ya hay ciertos derechos que amparan al denunciante y obligan a las empresas a reaccionar adecuadamente ante las denuncias y la lenta pero segura transposición de la Directiva Whistleblowing en España no debe ser una traba para que las empresas de 50 o más trabajadores implementen ya el buzón de denuncias y valoren si actualizan o implementan sus correspondientes programas de compliance penal.

Artículo escrito por Javier Gómez-Ferrer y David Molina, directores en el área Legal de BDO,