El canal de denuncias.

La figura del Canal de Compliance o Canal de Denuncias constituye una figura novedosa en nuestro ordenamiento jurídico pero entendemos que está llamada a tener un gran uso y utilidad dentro de las organizaciones.

Sin embargo, aun reconociendo su importante y utilidad hemos de reconocer que presenta valoraciones ambivalentes. La figura del denunciante puede contar con diferentes consideraciones en función de la perspectiva con la que nos acerquemos; por un lado puede ser considerado como un traidor, especialmente en los caso en los que no obtenga ningún beneficio o no haya sufrido un perjuicio por la actividad denunciada y actúa promovido exclusivamene por la voluntad de promover el respeto a la legalidad, venganza o para obtener algún beneficio. Otro supuesto interpretativo es que puede ser tomado como un héroe que pone en riesgo incluso sus propios intereses en beneficio de la empresa y de terceras personas o la sociedad en su conjunto.

El Canal de Denuncias es un conducto, como otros análogos: «Indices de Trasparencia», «Indices de Integridad», «Encuestas de Reputación» o «Encuestas de Percepción» sirven para que las empresas reciban y gestionen las comunicaciones o informaciones formuladas por sus empleados y profesionales de la organización, sobre posibles conductas irregulares de las que hayan tenido conocimiento, contrarias a las normas, tanto externas como internas de la empresa recogidas en sus protocolos y códigos de conducta.

Conducto a través del que una empresa recibe y gestiona las comunicaciones o informaciones formuladas por sus empleados y profesionales de la organización, sobre posibles conductas irregulares de las que hayan tenido conocimiento, contrarias a las normas, tanto externas como internas de la empresa recogidas en sus protocolos y códigos de conducta.

Regulación

Esta figura tiene su origen en la administración pública norteamericana (Lloyd–La Follete Act de 1912, Whistleblower Protection Act de 1989). Y, para las empresas estadounidenses cotizadas y sus filiales en Europa, en la Sarbanes–Oxley Act de 2002.

Nuestro Código Penal, tras la reforma operada por LO 1/2015, dentro de los requisitos que deben cumplir los modelos de organización y gestión con que deben contar las personas jurídicas (planes o programas de compliance), exige en el art. 31 bis 5 4º CP que impongan «la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención».

Además, el artículo 31 bis 1 b) CP establece «los deberes de supervisión, vigilancia y control» de la actividad de los subordinados por parte de quienes tienen funciones ejecutivas o de organización y control de la compañía. Y la adopción de un canal de denuncias cumple con estos deberes, de manera que favorece la implantación de una cultura de cumplimiento de la organización, como preconiza la jurisprudencia del TS (STS 154/2016, de 29 de febrero y STS 221/2016, de 16 de marzo)

La Circular 1/2016 de la FGEº, por su parte, especifica que la existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención.

Internacionalmente la norma ISO 19600–2014 «Sistemas de gestión de Compliance – Directrices», considera los canales de denuncia o delación como una herramienta efectiva de comunicación, sin perjuicio de la existencia de otras.

Su cláusula 9.1.3 «Fuentes de opinión sobre el desempeño de Compliance», establece que la organización debe contar con procedimientos para recabar opiniones y percepciones de sus empleados en lo relativo al Compliance, a través de diversas fuentes, tales como los empleados mediante canales de denuncia, sugerencias y buzones de opinión.

Y en la cláusula 10.1.2 «Escalado de información», dispone que un sistema de Compliance eficaz ha de incluir un mecanismo para que los empleados de la organización y otras personas informen sobre las malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de Compliance, de forma confidencial y sin temor a represalias (derecho a la indemnidad).

En España, la UNE 19601 es el estándar nacional actual certificable de Sistemas de gestión de Compliance y regula en su cláusula 8.7 la comunicación de incumplimientos o irregularidades y en la 8.8 la investigación de esos incumplimientos.

Finalidad

Su finalidad principal es prevenir incumplimientos normativos y corregir los ya detectados.

Los objetivos concretos de la implantación de un canal de denuncias son los siguientes:

  • • Detección anticipada e identificación de las actividades donde pueden cometerse las infracciones que se pretenden evitar, previniendo el delito.
  • • Cumplir la obligación legal que recoge el art. 31 bis 5 4º del CP de que los programas de compliance cuenten con dicho canal de denuncias, contribuyendo a que la empresa pueda demostrar que ha implementada una verdadera cultura de cumplimiento y que emplea medidas efectivas de diligencia debida en su modelo de prevención penal que le exima de responsabilidad penal en caso de comisión de un delito.
  • • Dotar a la persona jurídica de una medida de control sobre su propia actividad.
  • • Posibilitar la imposición de sanciones a los autores de las conductas denunciadas, cuando así proceda, cumpliendo otro de los requisitos del plan de prevención de riesgos penales recogido en el art. 31 bis 5. 5º del Código Penal, sin perjuicio de las posibles responsabilidades penales que deban depurarse.
  • • Colaborar con la investigación judicial, aportando pruebas o reparando o disminuyendo el daño, en cualquier momento del procedimiento penal, con anterioridad a la celebración del juicio oral, con la consiguiente atenuación de la responsabilidad como prevé el art. 31 quater CP.
  • • Contribuir a la eficacia de funcionamiento de la empresa con la mejora continua de los procesos internos para la gestión y control de conductas ilegales o contrarias a la cultura ética de la empresa.

Requisitos del canal ético o de denuncias

Para su correcto funcionamiento y que cumpla con su finalidad, el canal ético o de denuncias debe cumplir con una serie de garantías, no sólo teniendo en cuenta la normativa penal, sino de forma integral teniendo en consideración otras normativas nacionales e internacionales, tales como la laboral, protección de datos, etc.

• Confidencialidad y anonimato de las denuncias y garantía de indemnidad del denunciante.

La Circular 1/2016 FGE recoge que: » …resulta imprescindible que la entidad cuente con una regulación protectora específica del denunciante (whistleblower), que permita informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas telefónicas, correos electrónicos…) sin riesgo a sufrir represalias.»

La norma UNE 19601, en su cláusula 7.3.2.1: «Diligencia debida común a todos los miembros de la organización», prevé que los miembros de la organización establezcan procedimientos tendendes a que no se adopte ninguna represalia contra los que reporten de buena fe a través de los canales establecidos al efecto.

Se debe garantizar, por tanto:

  • – La confidencialidad del denunciante mediante sistemas de comunicaciones eficaces y que la preserven (correos electrónicos, llamadas o mensajes telefónicos, etc.) y
  • – El derecho a que no se tomen represalias contra el denunciante. En el ámbito laboral, tal derecho supone la nulidad de cualquier sanción laboral impuesta por la empresa que venga motivada o guarde relación con una previa denuncia del trabajador.

En cuanto a las dudas de si las denuncias pueden ser anónimas, la Agencia Española de Protección de Datos (AEPD), en su Informe Jurídico 128/2007, concluyó que debía evitarse la existencia de denuncias anónimas, y que el denunciante debía estar identificado, si bien debía garantizarse el tratamiento confidencial de las denuncias formuladas a través de los sistemas de whistleblowing.

Por contra, la norma UNE 19601 -de la Asociación Española de Normalización-, que contiene los requisitos de certificación de los sistemas de compliance, admite la opción de que las comunicaciones que se realicen a través de los procedimientos internos de la organización para tener conocimiento de irregularidades o incumplimientos sean anónimas.

La cuestión ha quedado zanjada en el art. 24 de la LO 3/2018, de 5 de diciembre de Protección de Datos Personales y garantía de los derechos digitales que prevé que: «Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable.«.

Exige, además, que se informe a los empleados y a terceros de la existencia de canales internos.

El acceso a los datos contenidos en estos canales de denuncia quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

Los hechos constitutivos de ilícito penal se notificarán a la autoridad competente y solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.

La LOPDGDD impone a la organización el deber de preservar la identidad y garantizar la confidencialidad del denunciante -cuando no opte por el anonimato- y ordena que los datos se conserven en el sistema únicamente el tiempo imprescindible para la averiguación de los hechos denunciados, con un límite de tres meses desde su introducción en el canal, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPDGDD. Transcurridos esos 3 meses, los datos podrán seguir siendo tratados, por el órgano al que corresponda, para la investigación de los hechos denunciados, pero no se conservará en el propio sistema de información de denuncias internas.

• Formación e información a los empleados.

La persona jurídica debe informar y formar a sus empleados y directivos, antes de implantar el canal de denuncias y posteriormente de forma periódica, sobre:

  • – La existencia, finalidad y funcionamiento del canal ético o de denuncias, así como de que se garantizará la confidencialidad respecto a la identidad del denunciante y los hechos denunciados, y que no se producirá ninguna represalia derivada del hecho de denunciar e informar a través del canal de denuncias (confidencialidad e indemnidad).
  • – La forma de presentación de la denuncia, tramitación y plazos de resolución.
  • – Que se informará a la persona afectada de la existencia de la denuncia formulada en su contra, respetándose la normativa existente en materia de protección de datos personales.

• Revisión y actualización periódica del sistema, como prevé el art. 31 bis 5 6º CP.

Deberá evaluarse periódicamente el funcionamiento del canal de denuncias, para detectar deficiencias y errores, que deberán subsanarse, y analizarse si los resultados están alineados con la política de cumplimiento normativo de la compañía.

Puede resultar conveniente que la validación del sistema vaya acompañada de una auditoría externa que valide todo el proceso.

• Establecimiento de un sistema disciplinario de incumplimientos.

El art. 31 bis 5.5º CP exige el establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

El plan de prevención de delitos debe prever, por tanto, las sanciones derivadas de los incumplimientos o infracciones detectadas y también de la vulneración del deber de informar de tales infracciones, o no hacerlo con sujeción al procedimiento y forma establecidos.

Pueden documentarse en el código ético o de conducta que deben conocer todos los miembros de la organización.

La Circular 1/2016, de la FGEº concreta:

«Presupone la existencia de un código de conducta en el que se establezcan claramente las obligaciones de directivos y empleados. Las infracciones más graves, lógicamente, serán las constitutivas de delito, debiendo contemplarse también aquellas conductas que contribuyan a impedir o dificultar su descubrimiento así como la infracción del deber específico de poner en conocimiento del órgano de control los incumplimientos detectados a que se refiere el requisito cuarto».

La UNE 19601 recoge en su cláusula 8.8, que se podrán imponer, dependiendo de la gravedad del incumplimiento, desde amonestaciones hasta despido disciplinario.

Este requisito choca con el sistema de despido español que es tasado. Las dos posibles soluciones son: bien que el empresario ponga encima de la mesa de negociación para la reforma de su convenio colectivo la posibilidad de despedir si el empleado incumple las medidas de prevención y así puede demostrar al juez que su intención era esa, aunque no se llegue a un acuerdo en el citado convenio colectivo, o bien que el incumplimiento se considere una transgresión de la buena fe contractual y ser así causa de despido disciplinario del art. 54.2 d) del Estatuto de los Trabajadores.

La Sentencia de la sala de lo social de la AN 40/2018, de 6 de marzo, razona al respecto: “Los principios de actuación del Código ético sólo son vinculantes en la medida que encajen plenamente en los principios constitucionales, legales y contractuales que regulan las relaciones laborales” que supone la imposibilidad de introducir un código disciplinario si no se realiza por el cauce de la negociación colectiva

• Comunicación a los representantes legales de los trabajadores. (art. 64.5 Estatuto de los Trabajadores y art. 48 L 3/2007, de 22 de marzo, de igualdad)

Organización

• Denunciantes: toda persona puede realizar la denuncia; no solo perteneciente a la organización o persona jurídica, sino también terceros no relacionados y que hayan podido tener conocimientos, pero principalmente serán los mismos empleados de la compañía.

Por tanto, los procedimientos han de ser públicos, accesibles y reales.

• Receptor: con independencia de los órganos oficiales o institucionales, la persona jurídica deberá tener un órgano de tratamiento de denuncias.

El órgano gestor deberá ser plenamente objetivo, transparente e imparcial en los procesos de investigación y resolución de las denuncias que se formulen. Para ello es conveniente que el instructor del expediente sea una persona distinta de las encargadas de la resolución del mismo.

El órgano gestor del canal de denuncias deberá ejecutar con el máximo rigor el proceso de investigación derivado de las denuncias o comunicaciones recibidas, fundamentando y justificando suficientemente sus conclusiones, para comprobar la veracidad de los hechos denunciados, sin vulnerar la presunción de inocencia y demás derechos de las personas denunciadas.

Es conveniente habilitar en todo momento un canal de comunicación abierta y fluida con el denunciante, lo que propiciará la aportación de nuevos datos o pruebas adicionales, una ampliación de los hechos inicialmente denunciados o de la propia investigación.

Este órgano puede ser:

  • – Interno: puede estar compuesto por el oficial de cumplimiento (compliance officer), los directivos y un asesor externo experto en materia sancionadora penal y/o administrativa. El número se adaptará al tamaño de la empresa y ha de tener especiales prerrogativas de independencia, imparcialidad y autonomía dentro de la institución.O puede estar integrado en el comité de cumplimiento normativo o Compliance, o la recepción y gestión de las denuncias podría llevarla a cabo, en compañías de dimensiones no muy grandes, el Compliance Officer u oficial de cumplimiento solamente.
  • – Externo: la Circular 1/2016, de la FGEº pone de relieve las ventajas de la externalización de la gestión del canal de denuncias, especialmente en la fase de recepción y gestión de las mismas, en cuanto a la imparcialidad y objetividad del órgano gestor, y con respecto al tratamiento, conservación y confidencialidad de los datos de carácter personal del denunciante.
  • – Híbrido: puede ser interno el órgano que instruye y externo el que resuelve y viceversa.

La UNE 19601, en su cláusula 5.1.2 adjudica al órgano de compliance (que también puede ser externo, interno o híbrido), junto con la dirección, la responsabilidad de «adoptar e implementar procesos para gestionar la información, tales como las reclamaciones y/o comentarios recibidos de líneas directas, un canal de denuncias u otros mecanismos. La alta dirección será la encargada de revisar la información que, sobre esto, le remita el órgano de compliance [9.4.c)]

Explica también la UNE en su apartado 8.8 que la organización puede externalizar este servicio, en cuyo caso obliga a informar permanentemente al órgano de compliance.

• Medio: deberán usarse herramientas que revistan las máximas medidas de seguridad, para poder aportar todas las evidencias a un procedimiento penal, en su caso.

Procedimiento de tramitación de las denuncias

• El órgano instructor recibe la denuncia, que deberá documentarse por escrito, consignando todos los datos posibles.

Este procederá a hacer constar su recepción, lugar y forma, y a su evaluación previa en el plazo que se estipule y decidirá:

  • – Archivar el asunto por no existir indicios racionales de criminalidad y, en su caso, no siendo delito pero sí otro tipo de infracción, trasladará la denuncia al ámbito pertinente, laboral, administrativo o el que corresponda.
  • – Proceder a la apertura de un expediente de investigación del delito en el cual se enunciarán cargos, se recabarán pruebas, con el conocimiento de las personas implicadas y con escrupuloso respeto de los principios de transparencia y responsabilidad y bajo un régimen estricto de confidencialidad respecto a la identidad del denunciante.

• El órgano instructor emite un informe de investigación en los plazos al efecto estipulados, debiendo recomendar las medidas o diligencias a adoptar para una eficaz investigación de los hechos (entrevistas a los implicados, solicitud de información o documentación a otros departamentos de la organización, análisis de datos, obtención de información a través de fuentes externas, etc.).

• Concluida la investigación, el instructor emite un informe de conclusionesfundamentado y motivado que remitirá al órgano que deba resolver y al comité de cumplimiento (o de compliance), de ser distintos a los que instruyen, y al órgano de administración, si así se establece en el proceso.

• El órgano que resuelve, en el plazo que se estipule, efectuará una propuesta de sanción en función de la gravedad de los hechos investigados y recomendará al órgano de administración que los hechos se pongan en conocimiento de la fiscalía o del juez, si pueden ser constitutivos de delito. Debe ser siempre el órgano de administración el responsable de la decisión final.

• Todo el proceso deberá quedar debidamente documentado y evidenciado.

Obligatoriedad de canal de denuncias en el ámbito de la prevención del blanqueo de capitales

El Real Decreto-ley 11/2018, de 31 de agosto (en vigor desde el 4 de septiembre de 2018, y por el que se transpone, entre otras, la Cuarta Directiva en materia de Prevención de Blanqueo de Capitales) introduce un nuevo artículo 26 bis en la Ley 10/2010 de 28 de abril de prevención del blanqueo de capitales y de la financiación del terrorismo, que exige ya expresamente que los sujetos obligados establezcan procedimientos internos para que sus empleados, directivos o agentes puedan comunicar, incluso anónimamente, información relevante sobre posibles incumplimientos en relación a lo dispuesto por la Ley 10/2010 de 28 de abril de prevención del blanqueo de capitales y de la financiación del terrorismo, su normativa de desarrollo o las políticas internas implementadas para su cumplimiento a nivel corporativo.

Estas son algunas de las características de estos procedimientos internos específicamente previstos en el ámbito de la prevención del blanqueo de capitales:

  • • Podrán integrarse en los sistemas que hubiera podido establecer el sujeto obligado para la comunicación de informaciones relativas a la comisión de actos o conductas contrarias a la restante normativa general o sectorial que les fuera aplicable. Es decir, se prevé su integración en los canales de denuncia o whistleblowing implementados en materia de cumplimiento normativo y prevención de delitos.
  • • Esta obligación de implementación del sistema de comunicaciones o denuncias internas no sustituye la necesaria existencia de mecanismos específicos e independientes de comunicación interna de operaciones sospechosas (conforme al vigente sistema de comunicación por indicio previsto por el art. 18 de la Ley 10/2010 de 28 de abril).
  • • Estos sistemas de comunicación deben cumplir con la normativa de protección de datos.
  • • Los sujetos obligados adoptarán medidas para garantizar que los empleados, directivos o agentes que informen de las infracciones cometidas en la entidad sean protegidos frente a represalias, discriminaciones y cualquier otro tipo de trato injusto.
  • • La normativa prevé que, reglamentariamente, se puedan determinar excepciones (para determinados sujetos obligados) respecto del cumplimiento de esta obligación.
  • • Se trata de un sistema de comunicación interno, a nivel corporativo, complementario con la existencia de sistemas de comunicaciones públicos (previstos por el nuevo artículo 63 de la Ley 10/2010 de 28 de abril, referente a la comunicación de infracciones) que prevé, a su vez, también la protección de los denunciantes.
  • • Sujetos obligados: los enumerados en el art. 2.1 de la L 10/2010, de 28 de abril.Extiende la obligación de crear canales de denuncia a las Administraciones Públicas para que puedan recibir denuncias sobre potenciales incumplimientos por los sujetos obligados sobre las exigencias de la normativa de prevención del blanqueo.La normativa extiende también el tratamiento de las medidas de diligencia reforzada a todas las personas con responsabilidad pública, tanto nacionales como extranjeras. Hasta ahora, solo las personas con responsabilidad pública extranjeras eran objeto de aplicación de automática de estas medidas.
  • • La no implementación del canal de denuncias sería considerada como una infracción leve de la Ley y sancionado con hasta 60.000 € (art. 53 L 10/2010, de 28 de abril).

Recuerde que…

  • • Todo programa de compliance penal debe tener una vía para informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención, como prevé el art. 31 bis. 5 4º CP.
  • • Su finalidad es prevenir incumplimientos normativos, tanto de normas externas como internas de la empresa y corregir los ya detectados.
  • • Sus requisitos son:
    • – Confidencialidad y anonimato de las denuncias e indemnidad del denunciante.
    • – Formación e información a los trabajadores.
    • – Comunicarlo a los representantes legales de los trabajadores.
    • – Revisión y actualización periódica del sistema.
    • – Establecimiento de un sistema disciplinario.
  • • El órgano gestor del canal de denuncias puede ser interno en la organización, externo, o mezcla de ambos. Es conveniente que el órgano instructor sea distinto del que resuelve.
  • • Todo el proceso debe quedar debidamente documentado y evidenciado.