EL CANAL DE DENUNCIAS EN LAS ORGANIZACIONES
José Luis Colom Compliance, Management & IT Advisor
- LOS MODELOS DE PREVENCIÓN DE DELITOS EN LAS ORGANIZACIONES
La Responsabilidad Penal de la Persona Jurídica, fue introducida en España con la reforma del Código Penal de 2010 y consolidada con la de 2015. En síntesis se basa en que si se producen determinados delitos en la organización, durante la actividad de la misma y en su provecho, por parte de los administradores, por un lado, o de empleados y demás personas sometidas a la autoridad de la empresa, por otro, ésta pasa a ser también penalmente responsable, con importantes consecuencias a nivel de penas.
Éstas penas pueden oscilar desde una sanción económica, pasando por clausura de locales o intervención judicial, hasta la disolución de la organización. Al margen está la afectación a la reputación de la sociedad que también puede ser devastadora si se ve involucrada en un proceso penal.
No obstante, existe la posibilidad de que la persona jurídica se beneficie de las ventajas que también determina nuestro ordenamiento jurídico, concretamente en el apartado 4 del artículo 31 bis del Código Penal, en forma de eximente de responsabilidad si previamente a la comisión del delito se ha establecido un modelo eficaz de prevención penal que haya minimizado el riesgo de que éste se cometiera, aunque finalmente haya acabado produciéndose, ya que no debe confundirse mitigar el riesgo a niveles aceptables mediante la implantación de controles, con conseguir hacerlo desaparecer completamente, algo imposible en la práctica.
Evidentemente el modelo ha de estar basado en la mejora continua e irse perfeccionando a partir de analizar las incidencias e irregularidades que se vayan detectando, junto a su riesgo asociado. En otras palabras, ha de ser, y poder demostrarse, un sistema inteligente que aprenda y se adapte con la experiencia. También la cultura de cumplimiento, que no es otra cosa que seguir por convencimiento lo que dispone el modelo, ha de formar parte del ADN de la empresa, desde la alta dirección hasta el último nivel jerárquico.
- LOS CANALES DE DELACIÓN
Es evidente pues, que disponer de un sistema de detección no solo de delitos, sino de ilícitos en general y de aquellas actitudes poco éticas o que conculquen normas y procedimientos internos de la organización, será el pilar fundamental sobre el que se apoye la mejora continua y adaptación del Modelo de Cumplimiento o de prevención de delitos penales. Además, su grado de utilización podría llegar a ser un indicador de la cultura de cumplimiento a la que nos hemos referido antes.
………………………………………………………………………………………………………………………………………………………………………………………………………………..
El apartado 5 del artículo 31 bis CP, dispone: “Los modelos de organización y gestión a que se refieren la condición 1.ª del apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos: (…) 4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”.
Como consecuencia de dicha disposición, no se considerará un modelo de prevención de delitos efectivo, que exima de responsabilidad penal a la persona jurídica, si no dispone de un canal de delación debidamente implantado y conocido. Además, es una prueba de que la sociedad emplea medidas efectivas de Diligencia Debida en su modelo de prevención penal y de su compromiso con el Buen Gobierno Corporativo y la Responsabilidad Social.
También la norma ISO 19600:2014, sobre Sistemas de Gestión de Compliance, en la cláusula 10.1.2 Escalado de información, dispone: “(…) Un sistema de gestión de Compliance eficaz debería incluir un mecanismo para que los empleados de la organización y/u otras personas informen sobre malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de Compliance de la organización, de forma confidencial y sin temor a represalias”.
Se ha demostrado en otros países, donde nos llevan ventaja en su implantación, que los Canales de Delación, también llamados Canales de Denuncia, son el eje fundamental del sistema de detección en cualquier Modelo de cumplimiento, más allá de los descubrimientos fortuitos o cuando es demasiado tarde por haberse ya manifestado abiertamente la conducta típica.
Cometer delitos, o cualquier tipo de ilícito, va contra los principios éticos de la empresa y en general de la sociedad, de forma inherente. Es por ello, que está tomando fuerza referirse al canal de delación como Canal Ético, ya que el delator, como se ha visto, está colaborando a preservar la cultura de cumplimiento en la organización y, por extensión, en la sociedad. Esencialmente es un deber cívico circunscrito en el seno de la Persona Jurídica.
- VENTAJAS QUE APORTA UN CANAL DE DELACIÓN
- Es considerada la forma más efectiva para detectar delitos, fraude y comportamientos poco éticos en la empresa.
- Favorece la cultura del compromiso en la organización, colaborando en la reducción de ilícitos.
- Permite anticiparse proactivamente a nuevas tendencias en los riesgos penales, antes de que estos empiecen a contemplarse tras materializarse sus efectos en la comisión de un delito.
- Es un canal complementario a la cadena de mando establecida en base a la jerarquía, más rápido y sin posibilidad de bloqueo interesado hasta el Órgano de Administración.
- CANAL DE DELACIÓN Y PROTECCIÓN DE DATOS
4.1 DENUNCIAS CONFIDENCIALES (ANÓNIMAS O IDENTIFICADAS)
Se presenta el dilema respecto a si las denuncias presentadas a través del Canal de Delación deben ser anónimas, identificadas, o si deben admitirse ambos tipos.
4.1.1 La opinión del GT29
El Grupo de Trabajo del Artículo 29, que es un grupo consultivo europeo sobre protección de datos, considera que los sistemas de denuncia de irregularidades deben establecerse de tal manera que no fomenten la denuncia anónima como la forma habitual de presentar una denuncia. En especial, las empresas no deberían difundir el hecho de que pueden presentarse denuncias anónimas a través del sistema. Por el contrario, dado que los sistemas de denuncia de irregularidades deben garantizar la confidencialidad de la identidad del denunciante, los individuos que pretendan denunciar en el marco de un sistema de denuncia de irregularidades deberán saber que no sufrirán perjuicios debido a su acción. Por esta razón, los sistemas de denuncia de irregularidades deberán comunicar al denunciante, en el momento de establecerse el primer contacto, que su identidad se mantendrá confidencial en todas las etapas del proceso, y en especial no se revelará a terceros, a la persona incriminada o a los superiores jerárquicos del empleado. Si, a pesar de esta información, el denunciante desea mantener el anonimato, la denuncia se aceptará.
4.1.2 La opinión de la AEPD
La Autoridad de Control española (AEPD) parece interpretarlo de forma más restrictiva que el grupo consultivo europeo, ya que en su Informe Jurídico 128/2007 indica: “Por ello, a fin de garantizar el cumplimiento del mencionado principio [derecho de acceso] deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante, sin perjuicio de las salvaguardas que se han señalado para garantizar la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.
Es preciso señalar que aunque dichos informes de la AEPD no tienen un carácter vinculante, dicha opinión contiene una argumentación jurídica (vid. STJUE de 24 noviembre 2011, C-468/10 y 469/10) que debería ser tenida en cuenta para el establecimiento de los canales de delación.
4.2 CANAL DE DELACIÓN EXTERNALIZADO COMO SOLUCIÓN AL DILEMA
En la 7ª sesión anual abierta de la AEPD se planteó la consulta respecto a si la Agencia había cambiado las conclusiones en relación con el tratamiento de los datos en el marco de un canal de denuncias (Informe 2007 – 0128), tras la publicación de Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código Penal. En particular, la consulta planteaba si estaría legitimado el tratamiento de los datos de clientes y proveedores en el marco de la prevención de delitos. La Agencia en este sentido dio respuesta a la pregunta señalando que:
“ha venido considerando posible el establecimiento de los canales de denuncia siempre que se cumplan los requisitos establecidos en la Ley Orgánica de Protección de Datos de Carácter personal.
La legitimación para el establecimiento de estos canales podría fundarse en el Art 7 f) de la Directiva 95/46/CE. Por ello, la mera referencia al colectivo afectado no sería suficiente para dar una respuesta definitiva a la cuestión, siendo necesario conocer qué tipo de actuaciones serían susceptibles de denunciarse en estos medios.
La reforma de la legislación penal podría ayudar a justiciar el interés legítimo prevalente, pero no bastaría por si sola para fundar el tratamiento.
En particular la Agencia ha considerado necesario que las denuncias tengan carácter confidencial y no anónimo, si bien cabría la contratación de un encargado del tratamiento que conservase los datos identificativos de los denunciantes sin comunicarlos en ningún caso a la empresa.”
De este nuevo pronunciamiento se deduce que la AEPD deja entrever la legitimación a través de externalizar el Canal de Delación en un tercero que actuaría como encargado del tratamiento que disociaría los datos a ser comunicados a la empresa, conservando los identificativos del delator.
4.3 MEDIDAS DE SEGURIDAD REQUERIDAS EN EL CANAL DE DELACIÓN
Actualmente, en base a la LOPD y debido a la naturaleza de los datos tratados, éstos serán como mínimo de nivel medio dado que a partir de ellos pueden llegar a evaluarse determinados aspectos de la personalidad o del comportamiento de los delatados, así como registrar infracciones penales.
No obstante, dado que es impredecible el destino final de los datos (pueden llegar a una investigación policial o a un proceso penal) y la posibilidad de que el delator ético registre cualquier tipo de información antes y durante el curso de la investigación, se recomienda adoptar medidas de seguridad asociadas a nivel alto.
Tras la aprobación del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos de la Unión Europea (RGPDUE), desaparecen las clasificaciones de seguridad basadas en tres niveles (alto, medio y bajo), quedando sustituidas por determinadas categorías especiales de datos y la gestión del riesgo. Por analogía debemos pensar que poco alterará las fuertes medidas de seguridad necesarias para su conservación, siempre limitada ésta a la posible instrucción y resolución de cada denuncia.
4.4 VENTAJAS DEL CANAL DE DELACIÓN EXTERNALIZADO
Las ventajas de externalizar el canal de denuncias, especialmente y como veremos, si su gestión se encomienda a abogados externos, son:
- Por una parte el delator puede actuar de forma identificada ya que se informa y se aportan las debidas garantías para que su denuncia o aporte de información esté amparada por el deber de secreto del abogado externo. De esta manera no se incumplen los informes jurídicos de la AEPD ni se penaliza la acción probatoria como la exige el Derecho Penal.
- El gestor del canal de denuncias garantiza contractualmente que anonimizará la información que transferirá en su caso a la empresa, tras filtrarla y recabar cuanta información adicional considere necesaria, preservando así el anonimato del delator y facilitando una posible investigación posterior.
- Además, si el sistema es capaz de mantener un registro de las diferentes aportaciones y transacciones respecto al desarrollo y seguimiento de la delación, se considera una prueba más de la debida diligencia de la empresa en tratar los indicios de delito, demostrando compromiso y eficacia del modelo de prevención en favor de la exención de responsabilidad de la persona jurídica.
- El gestor del canal de delación actúa como intermediario entre los delatores y el Compliance Officer, el órgano de Instrucción interno y/o el órgano de Administración de la sociedad.
- El hecho de que el servidor que contiene la base de datos de denuncias esté fuera del control de la empresa, sus técnicos o su red, da confianza de confidencialidad al delator. Además libera a la organización de aplicar las fuertes medidas de seguridad necesarias en base a la legislación en materia de protección de datos.
- Pueden establecerse reportes confidenciales de actividad, para efectuar un seguimiento del canal de delación por parte del Compliance Officer y/o el órgano de Administración.
- CANAL DE DELACIÓN Y JURISDICCIÓN PENAL
5.1 DENUNCIAS ANÓNIMAS Y ÁMBITO PENAL
En al ámbito del Derecho Penal se viene exigiendo la identificación del denunciante pero sí que se admiten, y podrían llegar a formularse, denuncias anónimas con ciertas cautelas.
En la instrucción núm. 3/1993 de 16 de marzo, la Fiscalía General del Estado lo admitió, si bien recomienda prudencia por parte de la fiscalía ante una denuncia anónima.
También la STS de 11 de abril de 2013, entiende que aunque la Ley de Enjuiciamiento Criminal exige como requisito la identificación de los denunciantes (art. 266 y art. 267 LECRIM), considera que la denuncia anónima es legal (se deduce del artículo 308) si bien es necesario que se actúe con máxima prudencia y seriedad: “(…)consideramos –en línea con la que entendemos doctrina científica mayoritaria– que la cualidad de anónima de una denuncia no impide automática y radicalmente la investigación de los hechos de que en ella se da cuenta, por más que la denuncia anónima (técnicamente «delación», sinónimo de «acusar», que puede definirse como «el hecho de revelar a la autoridad judicial, o demás autoridades y funcionarios competentes la perpetración de un delito, designando al autor o culpable, pero sin identificarse el denunciador, cuya identidad se esconde en el anonimato») deba ser contemplada con recelo y desconfianza. Sin embargo, al no proscribirla expresamente la Ley de Enjuiciamiento Criminal, no puede decretarse a limine su rechazo por principio…. En tales casos, el Juez debe actuar con gran prudencia, y no puede ni debe actuar con ligereza en la admisión o en el rechazo de la denuncia anónima. Pero si ésta aparenta credibilidad y verosimilitud, debe inicialmente inquirir, con todos los medios a su alcance, en la comprobación, prima facie , de la exactitud de su contenido, y si ello fuera afirmativo, puede proceder desde luego por sí mismo, de oficio, si el delito fuere público, sin necesidad de la intervención del denunciante y sin ningún otro requisito”.
- CONCLUSIÓN
Se ha visto la importancia y las ventajas para el modelo de prevención de delitos en una organización que representa disponer de un Canal de Delación, ya que pueden representar la exención de la responsabilidad penal de la persona jurídica.
Pero, para evitar que las posibles denuncias anónimas sean tomadas con “recelo y desconfianza” en la jurisdicción penal, no se recomienden por el GT29 y no sean aceptadas por la AEPD, la solución de externalizar el Canal de Delación en un encargado del tratamiento de modo que el denunciante sea anónimo para la organización, pero identificado para el gestor intermediario del mismo, hace que reúna las ventajas de ambas formas de proceder, dotando al canal de la suficiente confianza para ser utilizado, a la vez que del rigor necesario para ser admitido como prueba en un posible proceso y la garantía de cumplir con las obligaciones en materia de protección de datos.
Además la organización se ahorra disponer de las importantes medidas de seguridad que implican la conservación y el tratamiento de dicho tipo de datos.
- BIBLIOGRAFÍA CONSULTADA
- José Luis Colom. “Análisis jurídico de los whistleblowers y los canales de denuncia habilitados en la empresa”.
Versión inicial publicada el 3 de enero de 2016 en “Control Capital Network”
Versión actualizada el 12 de julio de 2016 en Blog “Aspectos Profesionales”
- “Dictamen 1/2006 relativo a la aplicación de las normas sobre protección de datos de la UE a los sistemas internos de denuncia de irregularidades en los ámbitos de la contabilidad, controles de auditoría internos, cuestiones de auditoría, lucha contra la corrupción y delitos financieros y bancarios”, adoptado el 1de febrero de 2006, WP117. Dictamen 1/2006 GT29
- AEPD. Informe Jurídico 128/2007. “Creación de sistemas de denuncias internas en las empresas (mecanismos de whistleblowing)”. Gabinete Jurídico. Informe Jurídico 128/2007 AEPD
- Informe Jurídico 0201/2010. “trata sobre el consentimiento de los trabajadores en entorno laboral”, Gabinete Jurídico. Informe Jurídico 0201/2010 AEPD
- Fiscalía General del Estado. Instrucción 3/1993, de 16 de marzo. “La denuncia anónima: su virtualidad como notitia criminis”. Instrucción 3/1993 FGE
- Salvador Silvestre. “Informe respecto a las denuncias anónimas en la jurisdicción penal”. Govertis 2016. Informe interno.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.