Por Fruitós Richarte i Travesset.
Exmagistrado. Profesor URV. CEO Judilex.
El presente artículo, no pretende ser un referente en las consultas en cuanto a la necesidad y obligatoriedad de los canales de denuncia y sólo conjugar las diversas normativas concurrentes y casi coincidentes en cuanto a responsabilidad penal de la persona jurídica, blanqueo de capitales y la lucha contra la corrupción.
Quizás muchos oyeron el término “canal de denuncia” o posteriormente el de “whistleblowers”, cuya traducción no ha cuajado como “el que toca el silbato”, y conforme a ello me gusta citarle como “el sereno”, vigilante de antaño quien, para avisar de posibles actos contra el orden público, sólo tenia a su alcance un silbato, con el que alertaba a otros “serenos” o a la policía.
Bien no vamos a discutir sobre términos anglosajones, y menos en compliance penal, ni tampoco tendrá éxito el término “sereno”, así que centrados en el modelo de prevención del art. 31 bis CP, no nos cabe duda que para que el modelo sea tributario de la exención de responsabilidad, entre otros deberá disponer de un canal de denuncias, quizás no lo preceptúe literalmente el cuarto de los requisitos del apartado 5 del art. 31 bis CP, pero su desarrollo ha sido muy evidente, “4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”
Dicho ello en derecho comparado, quizás si se ha sido más específico así la ley francesa LOI no 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, mas conocida como LEY SAPIN II, establece sintéticamente las ocho medidas que las empresas deben seguir para desarrollar su programa de cumplimiento, que son las siguientes:
- Código de conducta: la compañía debe desarrollar e implementar un código de conducta (código ético).
- Mecanismos internos de denuncias: establecer un sistema interno de denuncias.
- Mapa de riesgos, evaluación inicial de los riesgos de la compañía que se expongan a la corrupción.
- Debida diligencia de terceros: evaluación de terceros (clientes, intermediarios, proveedores, etc.) basada en el mapa de riesgos desarrollado.
- Controles de contabilidad sólidos, se deben establecer controles contables para garantizar que los libros y las cuentas de la empresa no oculten violaciones como sobornos, obsequios u otros gastos dudosos.
- Programa de Capacitación de Cumplimiento (programa formativo): debe diseñarse un programa de capacitación de cumplimiento dirigido a los CEO, gerentes y empleados más expuestos a los riesgos de corrupción.
- Régimen disciplinario: Establecimiento de sanciones disciplinarias que se aplicarán en casos en que se haya incumplido el código de conducta de la empresa.
- Controles internos: debe configurarse un sistema de control interno para evaluar y monitorear la efectividad del programa de cumplimiento de la compañía.
No es éste el momento de tratar sobre la importancia de la LEY SAPIN II y como, sin duda, ésta marca el camino, ya emprendido por el Reino Unido, sobre el cumplimiento normativo y lucha contra la corrupción en las empresas nacionales y la extraterritorialidad de la Ley penal, en la responsabilidad penal de las personas jurídicas. Sin embargo, sí debemos recalcar en cuanto al canal de denuncias que la Ley Sapin II, establece, que el llamado mecanismo interno de denuncias, también debe establecerse junto con un programa destinado a proteger a los denunciantes y establecer procesos de denuncia de irregularidades, siendo éste más amplio que las otras siete medidas, ya que abarca todos los delitos, infracciones y violaciones del derecho internacional.
Sigue, la Ley Sapin II, estableciendo que los sistemas de información deben garantizar la confidencialidad de la identidad del denunciante, la identidad del tema del informe y la información que finalmente es objeto de inspección o análisis. La divulgación de cualquiera de estos elementos de información está sancionada con hasta dos años de prisión y una multa de 30.000 euros. Interferir en la transmisión o bien en la elaboración de un informe se castiga con hasta un año de prisión y una multa de 15.000 euros.
En orden cronológico, nos hallamos posteriormente con la llamada por los profesionales de cumplimiento normativo, “la propuesta”: Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, cuya larga exposición deja clara su pretensión dotar de una mayor uniformidad al tratamiento legal respecto de la protección de los denunciantes de infracciones, que entre otras afectan a la contratación pública, servicios financieros, prevención del blanqueo de capitales, financiación del terrorismo, medio ambiente, seguridad nuclear, salud pública, consumidores, protección de datos personales e intimidad y fiscalidad, cuyas identidades con los llamados 25 tipos del compliance, son casi ociosas.
La Propuesta, además de la protección de los “serenos”, establece la obligatoriedad de que se impongan sanciones a quienes promuevan represalias o directamente represalien a los whistleblowers. Añadiendo, además, que no sólo el sector público sino también el privado estén obligados a establecer cauces y procedimientos internos de denuncia y tramitación de denuncias, en identidad pues con apartado 5 del art. 31 bis CP, pero ahora en su apartado 5, “5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.”.
Respecto al Sector privado, “la Propuesta” establece la obligación, de crear estos canales de denuncia en:
- empresas de 50 o más trabajadores;
- empresas con un volumen de negocio anual igual o superior a 10 millones de euros;
- entidades de cualquier tamaño que operen en el sector financiero.
Pero si hasta ahora parece que nos estemos refiriendo a cuestiones, casi de lege ferenda, con la excepción de lo establecido en el Código penal, en fecha 31 de agosto de 2018, se publicó el Real Decreto-ley 11/2018, de 31 de agosto, de transposición de directivas en materia de protección de los compromisos por pensiones con los trabajadores, prevención del blanqueo de capitales y requisitos de entrada y residencia de nacionales de países terceros y por el que se modifica la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Por la que se transpone la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales y la financiación del terrorismo, que establece la supervisión y sanción de las infracciones de la normativa de prevención referentes al establecimiento de los canales de denuncias, tanto públicos, como en el ámbito de los propios sujetos obligados de la ley. Así establece que los sujetos obligados deberán contar con canales específicos para la denuncia interna de conductas contrarias a la ley o a los procedimientos internos de la entidad aprobados
Claramente, el redactado de la modificación de la Ley 10/2010, tiende más a que el sistema de control de todos los riesgos penales o administrativos vinculados a las personas jurídicas, se unifiquen y homogenicen, pivotando sobre los conceptos de cultura de cumplimiento, comportamiento ético, de tal forma que aquellos conceptos subjetivos usados en el sistema o modelo de prevención de delitos, se van extendiendo a otros ámbitos como en protección de datos de carácter personal, blanqueo de capitales. De ahí que no sólo sean similares sino idénticos a los llamados requisitos objetivos del modelo de prevención, como: la evaluación de los riesgos y los protocolos, que en blanqueo se contemplan en el manual; la existencia de una revisión obligatoria anual; la existencia de un buzón de denuncias; la existencia de un órgano que sea lo más autónomo e independiente posible, con similitudes con el órgano de vigilancia y control o comité de Compliance, y que además esté dotado debidamente de recursos humanos y materiales, pero también con otros requisitos denominados de estandarización como lo es la formación de todos los colaboradores en riesgos de blanqueo de capitales.
En cuanto al buzón de denuncias de blanqueo de capitales en la nueva redacción del art. 26 bis de la Ley 10/2010, impone la obligación de disponer del mismo, que puede ser compatible con los ya existentes con una clara remisión a los modelos de prevención de delitos, (art. 31 bis. Ap. 4 5ª CP) concretando además que sea anónimo, dejando atrás absurdas cuestiones de protección de datos que no deberían haber desviado la atención en cuanto a la confidencialidad o anonimato de los canales de denuncia. Exige además, el art. 26 bis, que se garantice la protección de los informantes, frente a represalias. Además de ello se refuerza el sistema de denuncias con la existencia de un canal de denuncias propio del SEPBLAC, en los arts. 63,54 y 65 Ley 10/2010, que regula la comunicación de infracciones, el tratamiento de las comunicaciones y la protección de las personas.
Finalmente, en fecha 24 de noviembre de 2018 el Congreso de los Diputados ha aprobado el texto definitivo de la Ley Orgánica de Protección de Datos de Carácter Personal. En cuyo art. 24 “Sistemas de información de denuncias internas en el sector privado”, establece la licitud de los canales de denuncias privados, incluso su uso anónimo, resultando que el acceso a tales datos quedará limitado exclusivamente a quienes desarrollen las funciones de control interno y de cumplimiento, con la excepción de si procediera la adopción de medidas disciplinarias contra un trabajador, permitiendo en tal supuesto a miembros de recursos humanos. Contempla además que se deberán adoptar medidas para preservar la identidad y garantizar la confidencialidad de los datos especialmente del denunciante si se hubiera identificado, debiéndose conservar los datos un máximo de 3 meses, en el sistema de denuncias para continuar la investigación en un entorno distinto por el órgano de la entidad al que competa dicha investigación.
Éste no será el último capítulo de obligaciones, gestión y control de los canales de denuncia, seguro que no. Es más, nos esperan unos meses interesantes en cuanto a que camino seguirá el legislador estatal si el de continuar por la senda de la Proposición de Ley Integral de Lucha contra la Corrupción y Protección de los Denunciantes. (122/000022) o bien rehacer el camino integrando la más que segura directiva relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, actualmente en “propuesta”, siendo una simple recomendación la de adelantarse e integrar el sistema establecido por la “propuesta” y aprobar un texto de Ley contra la corrupción que, entre otros, regule debidamente los canales de denuncia, los procedimientos sancionadores, la protección a los denunciantes y otros tantos aspectos que demanda la sociedad con urgencia.
Sea como fuere los profesionales del cumplimiento normativo debemos afrontar el reto y perder el miedo a los canales de denuncia, a los procedimientos sancionadores, a la gestión de denuncias y con ello a los procesos de investigación, gestión que debe ser realizada no sólo bajo el amparo de un debido protocolo específico, del que muchos por no decir la mayoría de modelos carecen, sino con rigor y la máxima profesionalidad, manteniendo siempre la confidencialidad y ahora si, anónimamente.
1 de diciembre de 2018.
3 comments