MERCANTIL

El compliance officer en la responsabilidad penal de la persona jurídica y en la gestión del whistleblowing

Tribuna
Whistleblower o compliance officer_img

Resumen. Palabras clave 

Resumen: Los informadores –o whistleblowers- son aquellos trabajadores o personas que desempeñan sus servicios profesionales en entidades privadas u organismos públicos y que revelan, a través del canal de denuncias interno, aquellas irregularidades que identifiquen en la actividad ordinal de la empresa u organismo para el que trabajen.

Los informadores pueden sufrir represalias en aquellos supuestos en los que los órganos de gobierno conozcan el contenido de la denuncia. Por ello, la protección de éstos se ha visto reforzada en el ordenamiento jurídico español con la trasposición de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, por medio de la entrada en vigor de la Ley 2/2023, de 20 de febrero.

Palabras clave: informadores, denuncia, represalias, interés general, delitos.

 

Abstract: Whistleblowers are those workers or persons who perform their professional services in private entities or public bodies and who disclose, through the internal whistleblowing channel, any irregularities they identify in the ordinary activities of the company or body for which they work.

Whistleblowers may suffer reprisals in those cases in which the governing bodies are aware of the content of the whistleblowing. For this reason, the protection of whistleblowers has been reinforced in the Spanish legal system with the transposition of Directive 2019/1937 of the European Parliament and of the Council, of 23 October 2019, by means of the entry into force of Law 2/2023, of 20 February.

Key words: whistleblowers, complaint, reprisals, general interest, crimes.

 

1.- Introducción

En el presente artículo se introduce la exoneración o atenuación de la responsabilidad penal de la persona jurídica en atención a la intervención del compliance officer como órgano de supervisión y de control del programa de cumplimiento normativo que tiene como principal objetivo el análisis y la prevención de todas aquellas actividades que se pueden desarrollar en el seno de la empresa y que pueden revestir caracteres de delito.

Un programa de cumplimiento normativo eficaz debe incluir medidas de vigilancia y control idóneas para prevenir delitos naturaleza o para reducir de forma significativa el riesgo de su comisión. El desarrollo por el compliance officer de un programa de cumplimiento precisa de la intervención de los integrantes de la empresa u organismo, por lo que a éstos se les debe de facilitar un canal de denuncias interno por el cual pueden trasladar, de manera anónima, las irregularidades que conocen de esa entidad.

Con el fin de otorgar mayor protección, tanto al canal interno de denuncias –whistleblowing- como a los informantes –whistleblowers-, se ha transpuesto a través de la Ley 3/2023, de 20 de febrero, al ordenamiento jurídico español la Directiva UE 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, con el fin de otorgar una mayor protección a las personas que presten sus servicios para entidades privadas u organismos públicos y que denuncien acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea y que afecten a los intereses financieros de la UE; o que infrinjan ayudas o subvenciones y por supuesto, acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.

2.- La responsabilidad penal de la persona jurídica en relación con el «compliance officer»

2.1.- La figura del compliance officer

El oficial de cumplimiento, como asesor de los órganos directivos de la empresa, no puede ser considerado responsable penalmente de un delito corporativo por el mero ejercicio de su actividad, lo cual no excluye que pueda ser responsable si se demuestra que participa de forma directa o indirecta en la comisión del ilícito. Es decir, el compliance officer podrá ser responsable de un delito, pero no como consecuencia de la labor que desempeña, sino por haber cometido un ilícito penal.

La Circular 1/2016 de la Fiscalía General del Estado ha establecido que, siempre que se trate de delitos susceptibles de generar responsabilidad penal a la persona jurídica, el oficial de cumplimiento puede transferir la responsabilidad penal derivada de sus actuaciones delictivas a la persona jurídica, ya que, como se ha comentado, el compliance officer está incluido entre las personas que tienen facultades de organización y control dentro de la misma. Además, obviamente el delito le podrá ser imputable de forma directa al oficial de cumplimiento si se trata de un delito común, o bien mediante la cláusula de transferencia de responsabilidad del art. 31 del Código Penal si se tratara de un delito especial.

Citando un ejemplo europeo, el Tribunal Federal Alemán dictó sentencia el 17 de julio de 2009, en virtud de la cual acordó condenar como cómplice por omisión, en un delito de estafa, a un profesional, director de departamento jurídico y auditoría interna. Esta sentencia condenó a una función muy similar a la del compliance officer a raíz de que el acusado no impidiera la actuación delictiva de un individuo, sin corregir un error en el cálculo de las tarifas de un servicio de limpieza de viales que había detectado.

Sin ser compliance officer, a pesar de que se tuvieran cometidos muy parecidos, el tribunal alemán confirmó que este sujeto ostentaba una posición de garantía en el contexto de impedir delitos que pudieran surgir de la empresa por parte de sus empleados.

La sentencia discutía si la posición de garante de esta persona se limitaba a mejorar los procesos internos de la empresa y a identificar las posibles irregularidades que se cometieran contra la empresa, o bien si el responsable también tenía obligaciones de detectar y evitar, en la medida de lo posible, infracciones cometidas por la propia empresa.

Finalmente, el tribunal alemán entendió que el acusado sí ocupa una posición de garantía y que, siendo responsable de la vigilancia y control de las operaciones de la Sociedad, habiendo detectado el error existente, no lo comunicó a los órganos directivos estando obligado a ello.

2.2.- Funciones del compliance officer

Hay que destacar que, entre algunas de las funciones de este responsable, se encuentra la de identificar y atender los riesgos derivados de sus relaciones con clientes, proveedores, distribuidores y comerciales externos, así como con cualquier colaborador que pudiese ser considerado representante de la empresa, esto es debido a que uno de los sectores que puede generar riesgos para las empresas son sus relaciones con terceras partes.

La Circular 1/2016 de la Fiscalía General del Estado dispone que el oficial de cumplimiento puede ser una de las personas que, al omitir de forma grave el control del subordinado, permite la transferencia de responsabilidad a la persona jurídica. Por tanto, la FGE lo incluye también como garante, por lo que la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado.

En cumplimiento del artículo 31 bis 2º CP, si la supervisión del funcionamiento y del cumplimiento del modelo de prevención de delitos que se hubiera implantado en la empresa fuera delegada al compliance officer, con poderes de iniciativa y control, en ese supuesto, sí que estaríamos hablando de que el oficial de cumplimiento es garante (en virtud de esa delegación) de evitar la comisión de delitos.

Con la reforma del Código Penal, en la que se introduce la figura del compliance officer y, con ella, las funciones que este debe desempeñar, se introduce, además, como elemento básico del modelo de prevención de riesgos penales, el canal de denuncias o canal ético, por el cual las personas de la organización pueden denunciar aquellas irregularidades que detecten.

Por tanto, entre una de las funciones que tiene este responsable se encuentra el desarrollar e implementar procesos para gestionar la información que se traslada por parte de la plantilla de la empresa, tales como reclamaciones recibidas por líneas directas, creación de un canal de denuncias anónimas u otros mecanismos. Además, dado que los recursos del oficial de cumplimiento son limitados, en primer lugar, se deberán priorizar los riesgos en los que se deberá centrar la atención para ser monitorizados, siendo alguno de los principales indicadores las reclamaciones de clientes, proveedores o denuncias gestionadas en el canal de denuncias.

La responsabilidad penal del compliance officer, siguiendo la figura de la comisión por omisión, surgirá siempre y cuando se corrobore que le han sido delegadas las funciones de vigilancia y control y que, además, con la omisión del cumplimiento de sus deberes se ha tolerado, posibilitado o facilitado la comisión presente o futura de un delito. Además, debe tratarse de un delito relacionado con la actividad de la empresa y que la supervisión de ese delito haya sido encomendada al compliance, bien por delegación, o bien por contrato.

A pesar de lo anterior, las empresas suelen valerse de otra empresa externa para gestionar los canales de denuncia y garantizar así mayores niveles de independencia y confidencialidad.

2.3.- Responsabilidad penal del compliance officer

La responsabilidad penal del compliance officer, siguiendo la figura de la comisión por omisión, surgirá siempre y cuando se corrobore que le han sido delegadas las funciones de vigilancia y control y que, además, con la omisión del cumplimiento de sus deberes se ha tolerado, posibilitado o facilitado la comisión presente o futura de un delito. Además, debe tratarse de un delito relacionado con la actividad de la empresa y que la supervisión de ese delito haya sido encomendada al compliance officer, bien por delegación, o bien por contrato.

Para determinar finalmente si cabe la responsabilidad penal del compliance officer debe precisarse si las han sido delegadas las funciones de vigilancia y de control, y además si el canal de denuncias era gestionado por la propia empresa, o por una empresa externa.

Para el caso de que la empresa haya delegado tales funciones en el compliance officer (posición de garante), y el canal de denuncias sea gestionado por la propia empresa, el oficial de cumplimiento si tendría responsabilidad, a través de la figura de la comisión por omisión, ya que con la omisión del cumplimiento de sus deberes ha tolerado, posibilitado y facilitado la comisión presente o futura de un delito relacionado con la actividad de la empresa [1].

2.4.- El compliance officer en el delito de blanqueo de capitales

Es importante resaltar la importancia que tiene el delito de blanqueo de capitales dentro del seno de organización de una empresa. Es por ello, que el artículo 31 bis CP circunscribe la responsabilidad penal de la persona jurídica a un concreto catálogo de delitos en los que se prevé de forma expresa este tipo de responsabilidad, y entre ellos se encuentra el delito de blanqueo de capitales del art. 302 CP.

El mapa de riesgos plasma los riesgos de forma gráfica y entendible, con el fin de disponer de toda la información necesaria para el diseño de medidas de vigilancia y control idóneas y eficaces que permitan reducir el riesgo de comisión de delitos. La base de la función de compliance es el control de los riesgos de incumplimiento, por lo que es esencial conocer el mapa de riesgos de la organización.

Dentro del control interno de un mapa de riesgos se identifica las fuentes de riesgo, que pueden afectar a diferentes sectores de una empresa. Respecto del delito de blanqueo de capitales, ha de puntualizarse el control financiero. Éste tiene como principales objetivos el estudio de aspectos fiscales, de ámbito mercantil, la prevención del blanqueo de capitales, anticorrupción, financiación del terrorismo, etc.). Es un control transversal, cuya exigibilidad dependerá del tipo de actividad que desempeñe la empresa, pero que, en cualquier caso, debe comprender los riesgos propios que derivan de los delitos económicos fundamentales (blanqueo de capitales y delitos contra la Hacienda Pública), pues estas infracciones pueden materializarse en cualquier organización en funcionamiento [2].

Los ámbitos que estarán bajo la responsabilidad de compliance serán aquellos relacionados con normas de conducta que deben aplicarse a las distintas actividades desarrolladas por la entidad, siendo aquellos en los que reside una mayor probabilidad de riesgo. Pueden considerarse como áreas o departamentos sujetos a responsabilidad del compliance aquellos en los que pueda ser de aplicación alguna de las siguientes normas de conducta sobre la prevención de blanqueo de capitales y de la financiación del terrorismo [3].

El oficial de cumplimiento debe necesariamente ser un órgano de la persona jurídica, lo que facilitará el contacto diario con el funcionamiento de la propia corporación. Ello no implica que este órgano deba desempeñar por sí todas las tareas que configuran la función de cumplimiento normativo, que pueden ser realizadas por otros órganos o unidades distintos al específico de cumplimiento normativo, como el de prevención del blanqueo de capitales.

En base a lo anterior, si el compliance officer es el encargado de diseñar un plan de prevención de riesgo penales de la empresa, y es éste quien no incluye el riesgo de delito de blanqueo de capitales, facilita que las entidades blanqueen capitales utilizando sus servicios de inversión.

La delegación al compliance officer de las funciones de vigilancia y control para la prevención del blanqueo de capitales, hace analizar la posible responsabilidad de este responsable. Además, la falta de identificación del riesgo e implantación de controles ha posibilitado y facilitado la comisión del delito de blanqueo de capitales.

En conclusión, el compliance officer tendría responsabilidad penal siguiendo la figura de la comisión por omisión, siempre y cuando se corrobore que le han sido delegadas las funciones de vigilancia y control para la prevención del blanqueo de capitales, pues de su falta de diligencia se ha posibilitado y facilitado la comisión del delito de blanqueo de capitales.

2.5.- La responsabilidad penal de la persona jurídica

Según lo dispuesto en el artículo 31 bis Código Penal, las personas jurídicas serán responsables en los siguientes supuestos:

“- De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que, actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.

- De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquellos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.”

Por tanto, las personas jurídicas serán criminalmente responsables:

- Por los delitos que cometan quienes tengan facultades de organización y control dentro de la organización (directivos, administradores, apoderados…); y

- Por los delitos cometidos por los subordinados de esos sujetos (trabajadores, colaboradores, empresas subcontratadas) en los casos en los que haya existido un incumplimiento grave de los deberes de vigilancia y control de su actividad por parte de las empresas.

El CP prevé en su art. 31 bis. 2 que la persona jurídica podrá estar exenta de responsabilidad penal cuando:

1.ª el órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2.ª la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

3.ª los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

4.ª no se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición.”

La STS 154/2016, de 29 de febrero, insiste en que “…el requisito fundamental de que las personas jurídicas hayan incumplido con su obligación de establecer medidas de vigilancia y control para evitar la comisión de delitos es la determinación del actuar de la persona jurídica, relevante a efectos de la afirmación de su responsabilidad penal, ha de establecerse a partir del análisis acerca de si el delito cometido por la persona física en el seno de aquella, ha sido posible o facilitado por la ausencia de una cultura de respeto al derecho como fuente de inspiración de la actuación de su estructura organizativa e independiente de la de cada una de las personas jurídicas que la integran, que habría de manifestarse en alguna clase de formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados jerárquicos tendentes a la evitación de la comisión por estos de los delitos

El núcleo de la responsabilidad de la persona jurídica no es otro que el de la ausencia de las medidas de control adecuadas para la evitación de la comisión de delitos que evidencien una voluntad seria de reforzar la virtualidad de la norma”.

De ahí la importancia en tener un programa de compliance a medida y adaptado a las necesidades de la empresa para así establecer los debidos controles y, con ella, evitar cualquier riesgo para la empresa.”

En adición, la STS 316/2018, de 28 de junio, determina que “una buena praxis corporativa en la empresa es la de implementar estos programas de cumplimiento normativo que garanticen que este tipo de hechos no se cometan, o dificulten las acciones continuadas de distracción de dinero, o abusos de funciones que un buen programa de cumplimiento normativo hubiera detectado de inmediato”.

A efectos ilustrativos, indicamos la responsabilidad penal a la que podría enfrentarse la persona jurídica por la realización en su seno del tipo penal de corrupción de los negocios del art. 286 ter CP.

El tipo penal del delito de corrupción en los negocios se recoge en el art. 286 ter CP:

Los que mediante el ofrecimiento, promesa o concesión de cualquier beneficio o ventaja indebidos, pecuniarios o de otra clase, corrompieren o intentaren corromper, por sí o por persona interpuesta, a una autoridad o funcionario público en beneficio de estos o de un tercero, o atendieran sus solicitudes al respecto, con el fin de que actúen o se abstengan de actuar en relación con el ejercicio de funciones públicas para conseguir o conservar un contrato, negocio o cualquier otra ventaja competitiva en la realización de actividades económicas internacionales, serán castigados, salvo que ya lo estuvieran con una pena más grave en otro precepto de este Código, con las penas de prisión de prisión de tres a seis años, multa de doce a veinticuatro meses, salvo que el beneficio obtenido fuese superior a la cantidad resultante, en cuyo caso la multa será del tanto al triplo del montante de dicho beneficio.”

Las penas para este delito vienen recogidas en el art. 288.2º y 3º CP: “ 2.º En el caso de los delitos previstos en los artículos 277, 278, 279, 280, 281, 282, 282 bis, 284, 285, 285 bis, 285 quater y 286 bis al 286 quater:

a) Multa de dos a cinco años, o del triple al quíntuple del beneficio obtenido o que se hubiere podido obtener si la cantidad resultante fuese más elevada, cuando el delito cometido por la persona física tiene prevista una pena de más de dos años de privación de libertad.

b) Multa de seis meses a dos años, o del tanto al duplo del beneficio obtenido o que se hubiere podido obtener si la cantidad resultante fuese más elevada, en el resto de los casos.

3.º Atendidas las reglas establecidas en el artículo 66 bis, los jueces y tribunales podrán asimismo imponer las penas recogidas en las letras b) a g) del apartado 7 del artículo 33.”

2.6.- La intervención de la persona jurídica en el proceso judicial en calidad de investigada

2.6.1.- Entrega de documentación mercantil

De acuerdo a lo dispuesto en el art. 11.2.d) LOPD: “1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:

d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas.”

Sobre la confidencialidad de los datos y el aseguramiento de no inhibición de terceros no autorizados, el art. 15 de la Ley 1/2019, de 20 de febrero, de Secretos Empresariales prevé que: “Los jueces y tribunales podrán asimismo, de oficio o previa solicitud motivada de una de las partes, adoptar las medidas concretas necesarias para preservar la confidencialidad de la información que pueda constituir secreto empresarial y haya sido aportada a un procedimiento relativo a la violación de secretos empresariales o a un procedimiento de otra clase en el que sea necesaria su consideración para resolver sobre el fondo.

Las medidas a las que se refiere el párrafo anterior podrán incluir, entre otras que sean adecuadas y proporcionadas, las siguientes:

a) Restringir a un número limitado de personas el acceso a cualquier documento, objeto, material, sustancia, fichero electrónico u otro soporte que contenga información que pueda constituir en todo o en parte secreto empresarial;

b) Restringir a un número limitado de personas el acceso a las vistas, cuando en ellas pueda revelarse información que pueda constituir en todo o en parte secreto empresarial, así como el acceso a las grabaciones o transcripciones de estas vistas;

c) Poner a disposición de toda persona que no esté incluida entre el limitado número de personas al que se hace referencia en las letras a) y b) una versión no confidencial de la resolución judicial que se dicte, de la que se hayan eliminado o en la que se hayan ocultado los pasajes que contengan información que pueda constituir secreto empresarial.”

2.6.2.- Declaración de los representantes legales de la entidad

El artículo 24.2 CE dispone que: “Asimismo, todos tienen derecho al Juez ordinario predeterminado por la ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia.”

A su vez, entre los derechos fundamentales que tiene todo investigado, se encuentra el de guardar silencio y a no prestar declaración si así lo desean, como dispone el art. 118.1 LECrim: “Derecho a guardar silencio y a no prestar declaración si no desea hacerlo, y a no contestar a alguna o algunas de las preguntas que se le formulen”

Asimismo, la STS de fecha 2 de junio de 2016 sostiene que: “Sólo en los casos en que la prueba existente en contra del acusado -dice el TEDH- le coloque en una situación en la que le sea exigible una explicación, su omisión puede, como razonamiento de sentido común, permitir sacar en conclusión la inferencia de que no ha habido explicación y de que el acusado es culpable. Contrariamente, si la acusación no ha aportado pruebas lo suficientemente consistentes como para exigir una respuesta, la ausencia de explicación no debe ser suficiente para concluir en una declaración de culpabilidad.”

2.6.3.- Designación de representante para su comparecencia en juicio

Como así dispone el art. 119 LECrim: “1. Cuando de acuerdo con lo dispuesto en el artículo 118 de esta Ley, haya de procederse a la imputación de una persona jurídica, se practicará con ésta la comparecencia prevista en el artículo 775, con las siguientes particularidades:

a) La citación se hará en el domicilio social de la persona jurídica, requiriendo a la entidad que proceda a la designación de un representante, así como Abogado y Procurador para ese procedimiento, con la advertencia de que, en caso de no hacerlo, se procederá a la designación de oficio de estos dos últimos. La falta de designación del representante no impedirá la sustanciación del procedimiento con el Abogado y Procurador designado.

b) La comparecencia se practicará con el representante especialmente designado de la persona jurídica imputada acompañada del Abogado de la misma. La inasistencia al acto de dicho representante determinará la práctica del mismo con el Abogado de la entidad.

c) El Juez informará al representante de la persona jurídica imputada o, en su caso, al Abogado, de los hechos que se imputan a ésta. Esta información se facilitará por escrito o mediante entrega de una copia de la denuncia o querella presentada.”.

Entre los cargos que pueden ostentar la representación de la persona jurídica se encuentra el del consejo de administración, como así recoge el art. 233 LSC: “En la sociedad de capital la representación de la sociedad, en juicio o fuera de él, corresponde a los administradores en la forma determinada por los estatutos, sin perjuicio de lo dispuesto en el apartado siguiente.

2. La atribución del poder de representación se regirá por las siguientes reglas: d) En el caso de consejo de administración, el poder de representación corresponde al propio consejo, que actuará colegiadamente. No obstante, los estatutos podrán atribuir el poder de representación a uno o varios miembros del consejo a título individual o conjunto.”

En el caso de que la persona jurídica no designara a alguno de los miembros del Consejo de administración, otro de los designados puede ser el compliance officer debido a que la elaboración de planes estratégicos corporativos (planes de prevención, supervisión y vigilancia), así como la gestión del canal de denuncias, determina que éste conozca mejor y más profundamente el funcionamiento y el desempeño de los procesos y las actividades en los que se halla involucrada la empresa.

3.- El «whistleblowing» como transmisor de la «notitia criminis»

3.1.- El concepto de whistleblowing

El término anglosajón de whistleblowing se identifica con el denominado canal de denuncias interno [4].

En términos de la STS 35/2020, de 6 de febrero, “los canales de denuncia deben permitir que las personas denuncien por escrito y que lo puedan hacer por correo, a través de un buzón físico destinado a recoger denuncias o a través de una plataforma en línea, ya sea en la intranet o en internet, o que denuncien verbalmente, por línea de atención telefónica o a través de otro sistema de mensajería vocal, o ambos... Los procedimientos de denuncia interna deben permitir a entidades jurídicas del sector privado recibir e investigar con total confidencialidad denuncias de los trabajadores de la entidad y de sus filiales (en lo sucesivo, «grupo»), pero también, en la medida de lo posible, de cualquiera de los agentes y proveedores del grupo y de cualquier persona que acceda a la información a través de sus actividades laborales relacionadas con la entidad y el grupo.”

El whistleblowing se identifica con el canal de denuncias interno de una entidad jurídica, medio del cual disponen sus trabajadores para la denuncia anónima de ciertas irregularidades cometidas por sus superiores o trabajadores. Los trabajadores que son participes en la denuncia de las irregularidades cometidas por la empresa y que utilizan para ello los canales de denuncia internos previstos, son denominados whistleblowers.Los whistleblower -quien toca el silbato-, son aquellos trabajadores que creyendo que el interés público debe prevalecer sobre el interés de la organización para la que presta sus servicios, revela a través del canal de denuncias interno –toca el silbato- de que la entidad jurídica está llevando a cabo una actividad corrupta, ilegal, fraudulenta o perjudicial [5].

Los canales de denuncia o whistleblowing constituyen los medios idóneos para el encausamiento de la notitia criminis, ya que los informantes, o denunciantes -whistleblowers- son el cauce más importante para descubrir delitos de fraude cometidos en el seno de organizaciones.

La principal razón por la que los trabajadores que tienen conocimiento de prácticas delictivas en su empresa, o entidad pública, no proceden a denunciar, es fundamentalmente porque no se sienten suficientemente protegidos contra posibles represalias provenientes del ente cuyas infracciones denuncia.

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que deviene de Incorporación de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, surge con el objetivo de prestar una protección adecuada y suficiente frente a las posibles represalias que pueden sufrir los trabajadores que informen sobre las irregularidades de la empresa para la que prestan sus servicios, a través de los procedimientos previstos, y el fortalecimiento de la cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público [6].

3.2.- Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción

En fecha 13 de marzo de 2023 entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que transpuso al ordenamiento jurídico español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión o, también denominada, Directiva Whistleblowing [7].

El objetivo de la Ley 2/2023, de 20 de febrero, es ampliar en el ordenamiento jurídico español la protección reforzada de los informantes o whistleblowers que la Directiva europea Whistleblowing promulga. Resulta de aplicación la mencionada Ley a todos los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre irregularidades en un contexto laboral o profesional [8].

La Ley 2/2023, de 20 de febrero, refuerza un sistema compuesto por diferentes mecanismos que se encuentran al alcance del informador para la denuncia de las infracciones cometidas en el seno de una institución pública o entidad privada. Los tres mecanismos son el sistema interno de información, el canal externo de información; y la revelación pública.

El art. 2 de la citada Ley prevé como ámbito material de aplicación La presente ley protege a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella de: a) Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea[9].

b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social.”

En relación con el art. 2, el art. 35 de esa Ley sostiene cuáles son las condiciones para la protección del informante. En interpretación de ese precepto, serán titulares de protección, como denunciantes de las infracciones previstas en el art. 2, aquellos que tengan motivos razonables para pensar que la información descubierta es veraz en el momento de su revelación, y cuando la comunicación o revelación la hubieran realizada en cumplimiento de los requerimientos previstos en esa Ley.

Por tanto, sólo dos son los requisitos que deben cumplir los informadores para que sea de aplicación las medidas de protección reforzadas de la Ley 2/2023, de 20 de febrero, y son: Tener los indicios suficientes de que las irregularidades que se denuncian son ciertas y que, en el proceso de revelación a través del canal de denuncias interno, se cumplan con los requerimientos previstos en esa Ley.

En los arts. 36, 37, 38 y 39 de esa Ley se legisla el sistema de protección reforzada de los informantes bajo los identificativos de “prohibición de represalias, medidas de apoyo, medidas de protección frente a represalias y medidas para la protección de personas afectadas”.

Se define a la represalia como cualesquiera actos y omisión que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública [10].

Se identifican como represalias, entre otras, la suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, daños, incluidos los de carácter reputacional, o pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo, evaluación o referencias negativas respecto al desempeño laboral o profesional, inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios, denegación o anulación de una licencia o permiso, denegación de formación, discriminación, o trato desfavorable o injusto, etc. [11]

El canal de denuncias interno es el mecanismo idóneo y preceptivo en cualquier programa de compliance, ya sea de una entidad privada o una institución pública, para garantizar la revelación de comportamientos irregulares que afecten a los intereses generales. Este mecanismo de denuncias debe ser desarrollado técnicamente para asegurar el anonimato del informante. Entre tales funciones de vigilancia y control del canal de denuncias interno interviene el compliance officer, el cual debe garantizar el anonimato del informador, así como la tramitación de la denuncia presentada para su traslado al órgano de gobierno o administración de la entidad u Organismo y posible remisión a la Autoridad Independiente de Protección del Informante o incluso al Ministerio Fiscal, si los hechos revisten caracteres de delito.

3.3.- La figura del compliance officer y el whistleblowing

La UNE 19601 y 19602, así como el art. 31 bis CP, han establecido que el órgano de cumplimiento normativo es el responsable de la recepción y tramitación de las denuncias presentadas por los informadores. El art. 8 de la Ley 3/2023, de 20 de febrero, recoge en su art. 8 que “El órgano de administración u órgano de gobierno de cada entidad u organismo obligado por esta ley será el competente para la designación de la persona física responsable de la gestión de dicho sistema o «Responsable del Sistema», y de su destitución o cese.”

Si bien el precepto no detalla específicamente la responsabilidad o las funciones de ese Responsable del Sistema - o compliance officer-, a éste se le asigna con carácter general la gestión y tramitación diligente del canal de denuncias. El art. 8.4 de la Ley refuerza que el responsable debe ejercer sus funciones manera independiente y autónoma, prohibiéndose cualquier tipo de injerencia o instrucción en el desarrollo de los mismos, y con una dotación de medios personales y materiales adecuada.

La dualidad entre responsable del sistema y el compliance officer viene recogida en el art. 8.6 “En las entidades u organismos en que ya existiera una persona responsable de la función de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema, siempre que cumpla los requisitos establecidos en esta ley.”

El compliance officer es quien debe tener pleno conocimiento de los incumplimientos o irregularidades comunicadas para poder adoptar las medidas que fueran necesarias, ya que es el encargado de la gestión del canal de denuncias interno. Por tanto, entre las obligaciones del compliance officer se encuentra mantener una situación de vigía permanente respecto de las irregularidades denunciadas a través del mecanismo interno de revelación. Además, debe cumplir, en el ejercicio de sus funciones, con las garantías de independencia, confidencialidad, protección de datos y secreto de las comunicaciones y, tras las comprobaciones oportunas, el compliance officer deberá dar traslado al órgano de administración, así como del nivel de eficacia, a través de los distintos informes que se le hagan llegar [12].

Respecto de las obligaciones que el compliance officer debe cumplir en el ámbito de las investigaciones internas se encuentran:

“- Establecimiento máximo de un plazo general de 3 meses para dar respuesta a las actuaciones de investigación, salvo en casos de especial complejidad que podrá prorrogarse hasta un máximo de otros tres meses.

- Exigencia del respeto a la presunción de inocencia y al honor de las personas investigadas, así como del derecho a ser informadas de las actuaciones infractoras que se les atribuyan.

- Remisión inmediata de la información al Ministerio Fiscal o, en caso de que afecten a los intereses financieros de la Unión Europea, a la Fiscalía Europea cuando los hechos pudieran ser indiciariamente constitutivos de delito [13].

A pesar de que el compliance officer sea el responsable directo para la gestión del canal de denuncias interno, es una práctica extendida que las empresas e instituciones públicas recurran a terceros o proveedores independientes para la gestión de dicho mecanismo de denuncias. La Ley 3/2023, de 20 de febrero, reconoce explícitamente la posibilidad de conferir a un tercero la gestión del sistema interno.

4.- Conclusiones

I.- El núcleo de la responsabilidad de la persona jurídica recae en la ausencia de modelos de organización y gestión adecuados e idóneos para identificar aquellas actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

La función del compliance officer para eximir o atenuar la responsabilidad penal de la persona jurídica vendrá determinada por la eficiencia del programa de cumplimiento normativo para evitar la comisión delictiva en el seno de la empresa.

II.-La finalidad de la Ley 3/2023, de 20 de febrero, es la de protección a las personas que en un contexto laboral o profesional detecten irregularidades penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados en la misma. Dicha revelación puede realizarse por múltiples medios, entre ellos, el canal de denuncias interno cuya gestión le es atribuida al compliance officer.

Asimismo, el fomento de la revelación por los trabajadores de irregularidades cometidas en la empresa o en el organismo público para el que presten sus servicios, también debe conllevar que se implementen medidas de protección para la elusión de las represalias que el informador o whistleblower puede sufrir en el caso de que la empresa conozca de la denuncia presentada. La citada Ley implemente nuevas medidas de prohibición de represalias, medidas de apoyo, de protección frente a represalias y de protección de las personas afectadas.

III.- En términos del art. 8.6 de la Ley 3/2023, de 20 de febrero, el compliance officer puede ostentar la cualidad de Responsable del Sistema, entre cuyas funciones destacan la gestión y tramitación del canal de denuncias interno conforme a los principios de independencia, confidencialidad, protección de datos y secreto de las comunicaciones.

IV.- Cabe destacar, entre otras de las novedades implementadas por la Ley 3/2023, de 20 de febrero, es la remisión inmediata de los informes realizados por el compliance officer al Ministerio Fiscal o, en caso de que afecten a los intereses financieros de la Unión Europea, a la Fiscalía Europea cuando los hechos pudieran ser indiciariamente constitutivos de delito.

V.- La consolidación de las medidas de protección frente a las represalias de los informadores, previstas en la Ley 3/2023, de 20 de febrero, supondrá el auge de las actuaciones cívicas de denuncia de la existencia de prácticas irregulares y de corrupción que podrán finalizar con la pertinente condena penal de la entidad u organismo responsable.

 

Este artículo ha sido publicado en el "Boletín Mercantil", en junio de 2024.

 

Notas 

[1] RODRÍGUEZ GARCÍA, N y LOPEZ RODRÍGUEZ, F (2021). "Compliance" y responsabilidad de las personas jurídicas. Tirant lo Blanch. Valencia.

[2]Ibidem.

[3] AGUILERA GORDILLO, R. (2018). Compliance penal. Régimen jurídico y fundamentación analítica de la responsabilidad penal de la persona jurídica y el compliance program.Tesis doctoral. Universidad de Córdoba.

[4] STS 35/2020, de 6 de febrero.

[5] PUÑAL GARCÍA, L. (2018). Whistleblowing y Transparencia en el Sector Privado de Alemania.En COTINO HUESO, L Y BOIX PALOP, A (2018). El buen gobierno y la transparencia, a caballo entre la Ética y el Derecho.Ilemata, Revista Internacional de Éticas Aplicadas, nº 27, p.205.

[6] Dosieres Legislativos vLex Nº 2-2023, Febrero 2023.

[7] ALDEA GAMARRA, A. (2024). Implicaciones en el contexto del compliance derivadas de la Directiva Whistleblowing y su transposición al ordenamiento jurídico español a través de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Revista de Estudios Europeos nº 83, p.93.

[8] ALDEA GAMARRA, A. (2024). Implicaciones en el contexto del compliance derivadas… Op.cit. p.98.

[9] Entre ellas, la afección de intereses financieros de la UE o incidencia en el mercado interior, así como las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades o con prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable al impuesto sobre sociedades.

[10] Art. 36.2 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

[11] Art. 36.3 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

[12] ALDEA GAMARRA, A. (2024). Implicaciones en el contexto del compliance derivadas… Op.cit. p.110.

[13]Ibidem.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación