I. Introducción: la incoación de un expediente sancionador
Recientemente, se ha tenido conocimiento de la incoación de un procedimiento sancionador contra la Autoridad Portuaria de Valencia por la presunta comisión de una infracción muy grave prevista en el artículo 63.1.g) de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, la “Ley 2/2023” o “Ley Whistleblowing”). El tipo infractor invocado sanciona el “incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley”.
El motivo que subyace al expediente no es que la Autoridad Portuaria carezca de un Sistema interno de información (lo tiene y está operativo), sino que su gestión haya sido encomendada a un tercero externo. La autoridad competente parece sostener que dicha externalización infringe las limitaciones del artículo 15 de la Ley 2/2023, realizando una interpretación extensiva de la expresión “en el ámbito de la Administración General del Estado” que, como se expondrá, resulta jurídicamente cuestionable.
Esta actuación administrativa merece una reflexión detenida, pues afecta directamente al régimen de organización de los canales de denuncia de todo el sector público institucional estatal y, en particular, de las Autoridades Portuarias, entidades con personalidad jurídica propia y un régimen jurídico singular.
II. Análisis jurídico: improcedencia de la sanción
1. Marco normativo: la Ley 2/2023 y las Autoridades Portuarias
La Ley 2/2023 incorpora al ordenamiento español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en adelante, la “Directiva Whistleblowing”), ampliando su ámbito material a las infracciones penales y administrativas graves y muy graves del Derecho nacional.
Por su parte, las Autoridades Portuarias son organismos públicos con personalidad jurídica y patrimonio propios, dependientes del departamento ministerial competente en materia de transportes a través de Puertos del Estado, conforme al artículo 24 del Real Decreto Legislativo 2/2011, de 5 de septiembre, por el que se aprueba el Texto Refundido de la Ley de Puertos del Estado y de la Marina Mercante (TRLPEMM). Estas entidades ajustan sus actividades al ordenamiento jurídico privado, salvo en el ejercicio de las funciones de poder público que les atribuya el ordenamiento.
El núcleo del problema radica en una confusión (o, cuando menos, una equiparación indebida) entre la Administración General del Estado (AGE) y el conjunto del sector público institucional estatal.
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) distingue entre (i) AGE, integrada por órganos jerárquicamente ordenados (Ministerios, Secretarías de Estado, etc.); y (ii) su sector público institucional, compuesto por los organismos públicos y entidades de derecho público vinculados o dependientes de las Administraciones Públicas. Las Autoridades Portuarias son organismos públicos portuarios del sector público institucional estatal, de régimen especial, y se rigen primariamente por su legislación específica. Funcionalmente se aproximan a entidades públicas empresariales por su sometimiento ordinario al Derecho privado, salvo cuando ejercen potestades públicas, pero jurídicamente conviene denominarlas como Autoridades Portuarias u organismos públicos de régimen específico, salvo que el contexto exija una clasificación presupuestaria o sectorial más concreta.
Entonces, una Autoridad Portuaria es, inequívocamente, una entidad del sector público institucional estatal. Aunque tiene la consideración de Administración Pública a determinados efectos organizativos y procedimentales, no forma parte, en sentido estricto, de la AGE. Esta distinción es estructural en nuestro Derecho administrativo y no puede ser ignorada en sede interpretativa.
2. La divergencia entre los artículos 13, 14 y 15 de la Ley 2/2023
El examen sistemático de la Ley 2/2023 revela una diferencia deliberada en el ámbito subjetivo de sus preceptos, que resulta determinante para resolver la cuestión.
El artículo 13 (obligación de disponer de sistema interno de información) emplea una fórmula amplia e inclusiva. Obliga a disponer de un Sistema interno de información a “todas las entidades que integran el sector público”, incluyendo expresamente a los “organismos y entidades públicas vinculadas o dependientes de alguna Administración pública”. La Autoridad Portuaria de Valencia está, sin duda alguna, obligada por este precepto. En cambio, el artículo 15 (gestión del sistema por tercero externo) dispone que la encomienda de la gestión del Sistema a un tercero externo, “en el ámbito de la Administración General del Estado, las Administraciones autonómicas y ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local (...) comprenderá únicamente el procedimiento para la recepción de las informaciones sobre infracciones y, en todo caso, tendrá carácter exclusivamente instrumental”.
Entonces, el artículo 15 no reproduce la fórmula amplia del artículo 13. Se refiere únicamente a las tres Administraciones territoriales (AGE, autonómicas y locales), sin mencionar a los organismos públicos del sector público institucional. Si el legislador hubiera querido extender la restricción a las entidades instrumentales, habría utilizado la misma fórmula del artículo 13 o, al menos, una referencia equivalente a la del artículo 14.
Esta diferencia de redacción permite defender, con sólido fundamento, que la restricción del artículo 15 no se proyecta automáticamente sobre todo el sector público institucional, sino únicamente sobre las Administraciones territoriales expresamente enumeradas.
Además, la Directiva Whistleblowing no contiene restricción alguna a la externalización de los canales internos de información para puertos, autoridades portuarias ni, en general, para ninguna categoría de entidad pública. Al contrario, admite expresamente que los canales internos puedan ser gestionados internamente por una persona o un departamento designado a tal efecto o ser facilitados externamente por un tercero (artículo 8.5), siempre que se garanticen la independencia, la confidencialidad, la protección de datos personales, el secreto y el seguimiento diligente de las comunicaciones.
La restricción del artículo 15 de la Ley 2/2023 es, por tanto, una opción específica del legislador español que va más allá de lo exigido por el Derecho de la Unión. Una interpretación extensiva de esta restricción, aplicándola a sujetos no expresamente contemplados en su tenor literal, carecería de base en la normativa europea y debería, en todo caso, contar con un fundamento legal inequívoco.
A las consideraciones anteriores se añade un argumento de orden constitucional que refuerza la improcedencia de la sanción.
El artículo 25.1 de la Constitución consagra el principio de legalidad en materia sancionadora, del que derivan los principios de tipicidad y seguridad jurídica. En este contexto, sancionar la externalización de la gestión del canal de denuncias con base en el artículo 63.1.g) de la Ley 2/2023 plantea serias objeciones:
- No se incumple la obligación de disponer de un Sistema interno de información. La Autoridad Portuaria de Valencia dispone de dicho Sistema; la cuestión es exclusivamente quién lo gestiona. Subsumir la externalización (no prohibida expresamente para los organismos públicos del sector institucional) en un tipo que sanciona la inexistencia del Sistema supone una extensión interpretativa del tipo infractor contraria al principio de tipicidad.
- Interpretación extensiva. Aplicar a un organismo público del sector institucional una limitación prevista literalmente solo para las Administraciones territoriales constituye una analogía prohibida en Derecho administrativo sancionador (artículo 27.4 de la LRJSP).
- Quiebra de la seguridad jurídica. Si la Ley no prohíbe expresamente la externalización para las entidades del sector público institucional (a diferencia de lo que hace para las administraciones territoriales), el operador jurídico no puede razonablemente anticipar que dicha conducta será sancionada.
III. Las ventajas de la externalización: un modelo coherente con el Derecho de la Unión
Más allá del debate sobre la legalidad de la sanción, conviene subrayar que la externalización de la gestión del canal de denuncias no solo es plenamente legítima para las entidades del sector público institucional, sino que constituye una opción organizativa expresamente contemplada por el Derecho de la Unión y susceptible de reforzar la eficacia del propio Sistema interno de información.
La Directiva (UE) 2019/1937 admite expresamente que los canales internos de información puedan ser gestionados por un tercero externo, siempre que se respeten las garantías de independencia, confidencialidad, protección de datos, ausencia de conflictos de interés y seguimiento diligente de las comunicaciones (art. 8.5). La norma europea no contempla la externalización como una excepción, sino como una modalidad ordinaria de organización del sistema, sometida únicamente al cumplimiento de las garantías materiales exigidas por la Directiva.
Esta previsión resulta plenamente coherente con la filosofía de la Ley 2/2023, que sitúa el acento no tanto en quién presta materialmente el servicio como en que el Sistema interno de información preserve la independencia del Responsable del Sistema, la confidencialidad del procedimiento y la adecuada tramitación de las informaciones recibidas.
En esta misma línea, la Circular 1/2016, de 22 de enero, de la Fiscalía General del Estado, adopta una posición claramente favorable a la externalización de determinadas funciones de cumplimiento normativo. La Fiscalía afirma expresamente que “no existe inconveniente alguno” en que las personas jurídicas recurran a la contratación externa de las distintas actividades que integran la función de compliance, pues imponer que todas ellas sean desarrolladas y controladas internamente no solo carecería de sentido, sino que restaría eficacia al modelo. Lo verdaderamente relevante -subraya la Circular- es que exista un órgano responsable de la función de cumplimiento normativo, no que todas y cada una de las tareas sean ejecutadas directamente por él. Es más, añade que determinadas funciones resultan “tanto más eficaces cuanto mayor sea su nivel de externalización”, citando expresamente los canales de denuncias, que considera más utilizados y efectivos cuando son gestionados por una empresa externa, capaz de garantizar mayores niveles de independencia y confidencialidad.
Desde esta perspectiva, las ventajas de la externalización no se agotan en la mera recepción de las comunicaciones, sino que se proyectan igualmente sobre las investigaciones internas derivadas de aquellas. Aunque la Directiva únicamente menciona de forma expresa la externalización de los canales de denuncia, su artículo 8.6 admite incluso que determinadas entidades compartan recursos para "toda investigación que deba llevarse a cabo", lo que evidencia que el legislador europeo no concibe la investigación interna como una función necesariamente reservada a personal propio de la entidad.
La doctrina especializada en materia de compliance ha defendido igualmente esta interpretación. Así, se ha señalado que la externalización favorece investigaciones más objetivas, técnicamente solventes y libres de conflictos de interés, especialmente cuando los hechos denunciados afectan a directivos o responsables internos o cuando existen riesgos de interferencia sobre la obtención y conservación de las evidencias. Asimismo, diversos autores destacan que la intervención de profesionales independientes incrementa la credibilidad del sistema de información y la confianza del informante, elementos esenciales para la eficacia práctica del modelo de protección previsto por la Directiva y por la Ley 2/2023.
En consecuencia, la gestión externa del canal de denuncias y el apoyo especializado en las investigaciones internas pueden contribuir a:
- Reforzar la imparcialidad y objetividad en la recepción, análisis y tramitación de las comunicaciones, al situar la gestión operativa fuera de la estructura orgánica del organismo informado y reducir riesgos de conflicto de interés, especialmente cuando los hechos comunicados afecten a superiores jerárquicos, órganos directivos o unidades internas sensibles.
- Garantizar un mayor nivel de independencia y confidencialidad, elementos que la Ley 2/2023 identifica como pilares del Sistema. La intervención de un tercero especializado puede ayudar a preservar la identidad del informante, limitar accesos indebidos, ordenar la documentación y asegurar trazabilidad de las actuaciones.
- Aportar especialización técnica en la valoración inicial de las comunicaciones, distinguiendo entre informaciones manifiestamente infundadas, conflictos ajenos al ámbito de la Ley 2/2023, indicios de infracción administrativa o penal, riesgos laborales, irregularidades contractuales, cuestiones de protección de datos u otros supuestos que exijan cauces diferenciados.
- Apoyar la práctica de investigaciones internas proporcionadas y garantistas, mediante entrevistas, revisión documental, análisis de evidencias, elaboración de cronologías, preservación de la cadena de custodia documental y preparación de informes internos, siempre bajo los límites derivados de la protección de datos, la presunción de inocencia, el derecho de defensa y la confidencialidad.
- Reducir la carga de trabajo de los órganos internos de cumplimiento o control, permitiendo que los recursos propios se concentren en las funciones indelegables: aprobación del procedimiento, supervisión del Sistema, adopción de decisiones, remisión a la autoridad competente cuando proceda y protección efectiva del informante.
- Facilitar la elaboración de informes sistemáticos sobre riesgos observados y patrones de incumplimiento, de modo que el Sistema no opere únicamente de forma reactiva, sino también como herramienta de mejora institucional, prevención de riesgos y fortalecimiento de la cultura de integridad.
- Aumentar la confianza del informante en el canal, al percibir una mayor garantía de neutralidad frente a eventuales represalias internas. La confianza es esencial para que el canal interno sea realmente preferente y eficaz; si el informante sospecha que la comunicación será conocida o filtrada dentro de la propia organización, tenderá a acudir a vías externas o a no informar.
- Evitar investigaciones internas improvisadas o deficientes, que pueden perjudicar tanto al informante como a la persona afectada. Una investigación mal diseñada puede vulnerar derechos fundamentales, contaminar evidencias, generar indefensión o comprometer la validez posterior de actuaciones disciplinarias, administrativas o penales.
Naturalmente, la intervención del tercero debe mantener en todo momento un carácter estrictamente instrumental y técnico. La responsabilidad última sobre el Sistema interno de información, la adopción de decisiones, la eventual incoación de procedimientos disciplinarios o administrativos y la protección efectiva del informante continúan correspondiendo exclusivamente a la entidad obligada y, en particular, al Responsable del Sistema designado conforme a la Ley 2/2023. La externalización no desplaza la titularidad de las competencias públicas ni diluye las obligaciones legales de la organización; únicamente incorpora mayores niveles de especialización, independencia y garantías procedimentales, reforzando así la finalidad perseguida tanto por la Directiva (UE) 2019/1937 como por la legislación española de transposición.
IV. Conclusión
El expediente sancionador incoado contra la Autoridad Portuaria de Valencia constituye un precedente relevante para el conjunto del sector público institucional. Su resolución definirá, en la práctica, si las entidades instrumentales pueden beneficiarse de la externalización de la gestión de sus canales de denuncia (como expresamente permite la Directiva Whistleblowing) o si, por el contrario, quedan sometidas a una restricción que la propia Ley 2/2023 no les impone literalmente.
A nuestro juicio, una interpretación respetuosa con los principios de tipicidad, seguridad jurídica y reserva de ley, así como coherente con el Derecho de la Unión Europea, conduce necesariamente a la improcedencia de la sanción. La externalización responsable del canal de denuncias no solo es legítima para las Autoridades Portuarias, sino que representa una buena práctica que fortalece la eficacia del Sistema interno de información y la protección de los informantes.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación