Qué es y cómo se regula un «Whistleblowing» o canal de denuncia interna: Nueva Directiva (UE) 2019/1937

Tras la publicación, en el DOUE del 26 de noviembre de 2019, de la nueva Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (en inglés conocida coloquialmente por whistleblowers), analizamos los aspectos fundamentales que nos encontramos en disposiciones legales, reglamentarias y administrativas que se avecina  para dar cumplimiento a lo establecido en la Directiva antes del 17 de diciembre de 2021.

Dentro del entorno del compliance o cumplimiento normativo, la implantación del «Whistleblowing» o canal de denuncia interna es una pieza clave en la implantación de un modelo efectivo de cumplimiento normativo para evitar responsabilidades penales de las personas jurídicas en los ámbitos laborales o financieros.

Como tratamos en nuestro tema dentro del Cumplimiento normativo en la empresa (Compliance), «Canal Ético o de denuncias», éste fenómeno puede definirse como un canal de comunicación dentro de las organizaciones de comportamientos o escenarios irregulares o delictivos realizados por los propios empleados o terceras personas que tengan algún tipo de relación con la mercantil.

I.- Antecedentes

En España, la introducción de este tipo de herramientas, propias de la cultura del whistleblowing anglosajón, se introduce por primera vez en apdo. 2 del art. 31bis Código Penal, en el que se impone la obligación de «informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención». Tras esta norma destancan:

- Norma ISO 19600 , sobre Sistemas de Gestión de Compliance. 

- Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

- Reglamento (UE) nº 596/2014 del Parlamento Europeo y del Consejo, de 16 de abril de 2014 sobre el abuso de mercado (Reglamento MAR).

- Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos financieros (Directiva MiFID II).

- Reglamento (UE) 600/2014 del Parlamento Europeo y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos financieros

- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

- Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

- Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres

- Dictamen nº 1/2006 del Grupo de trabajo del artículo 29.  En el citado documento, el Grupo de Trabajo señalaba que “Aplicar las normas de protección de datos de la Unión Europea a los programas de denuncia de irregularidades supone otorgar una consideración específica a la cuestión de la protección de la persona que pueda haber sido incriminada en una alerta. En este sentido, el Grupo de Trabajo enfatiza que los programas de denuncia de irregularidades conllevan un riesgo muy grave de estigmatización y vejación de dicha persona dentro de la organización a la que pertenece. La persona estará expuesta a tales riesgos incluso antes de saber que ha sido incriminada y de que los supuestos hechos se hayan investigado para determinar o no su fundamento”. Asimismo, se concluía que “El Grupo de Trabajo es de la opinión de que una correcta aplicación de las normas de protección de datos a los programas de denuncia de irregularidades contribuirá a paliar dichos riesgos. También es de la opinión de que, lejos de evitar que dichos programas funcionen de conformidad con su objetivo pretendido, la aplicación de dichas normas, por lo general, contribuirá a un funcionamiento adecuado de los programas de denuncia de irregularidades”.

- Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007. El Gabinete Jurídico de la Agencia Española de Protección de Datos, analiza la legalidad de un sistema de denuncia interna (whistleblowing) conforme a la normativa española en materia de protección de datos (ex Ley Orgánica 15/1999, de 13 de diciembre), puesto que estos sistemas afectan a datos de carácter personal, tanto del denunciante como del denunciado.

II.- Canales de denuncia anónimos y no anónimos

En cualquier canal de denuncias se debe garantizar que cualquier denunciante (en general, los empleados de la empresa) encuentre protegida 

Se puede canalizar esta herramienta de denuncias a través del Compliance Officer, de modo que solo este profesional sea el que conozca la identidad del denunciante y el hecho o conducta denunciados. De este modo, la investigación es más sencilla, pues será posible establecer una entrevista privada con esta persona para comenzar con la fase de instrucción.

La alternativa a esta manera de configurar el canal de denuncias pasa por anonimizar la identidad de los denunciantes, de modo que el Compliance Officer no sepa quien ha sido el que ha alertado el hecho, sino tan solo el contenido del hecho irregular. En este caso, no es posible determinar de modo inmediato a quién le podemos pedir más detalles o formular cuestiones concretas sobre el contenido de su aviso.

En el caso de que se opte por esta alternativa y proliferen las falsas denuncias, se debe poner en marcha un protocolo de inhibición del impacto en el propio canal, como la incorporación de medidas disciplinarias correctoras o la investigación de indicios de falsedad.

III.- ¿A través de qué instrumento se puede implementar?

Caben diferentes métodos a elección de la empresa y sus necesidades. Así, será posible canalizar las denuncias a través de un correo electrónico concreto, a una extensión telefónica o una aplicación interna diseñada al efecto. Siguiendo las directrices aportadas en su momento por el Informe jurídico de la Agencia Española de Protección de Datos (AEPD) nº 128/2007, los requisitos del Whistleblowing o canal de denuncia interna han de ser:

IV.- Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión

La Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión ha sido publicada el pasado 26 de noviembre en el DOUE, con el objetivo de buscar nuevos canales eficientes contra la delincuencia y la corrupción.

Como establece el considerando (1) de la norma, las personas que trabajan para una organización pública o privada o están en contacto con ella en el contexto de sus actividades laborales son a menudo las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto. Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés coloquialmente whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad. Sin embargo, los denunciantes potenciales suelen renunciar a informar sobre sus preocupaciones o sospechas por temor a represalias. En este contexto, es cada vez mayor el reconocimiento, a escala tanto de la Unión como internacional, de la importancia de prestar una protección equilibrada y efectiva a los denunciantes.

Entre las novedades del texto europeo encontraremos:

• Se aplicará sobre determinadas infracciones como, las relativas a contratación pública, mercados financieros, seguridad sanitaria e intimidad personal.
  
  
• La obligación de existencia de un canal interno de denuncias será obligatorio para las entidades públicas, pero también alcanzrá a las empresas privadas con 50 o más personas trabajadoras.
  
  
• Las líneas de denuncia han de cumplir requisitos como: Garantías de confidencialidad y tramitación diligente; acuse de recibo; el establecimiento de unos plazos concretos y razonables; o.la designación de personas imparciales para tramitar las denuncias.
  
  
• Agotados los cauces internos se procederá a emplear los externos.
  
  
• Se otorga protección a las personas que realicen revelaciones públicas siempre que la infracción puede suponer un peligro para el interés público, inminente o manifiesto, o exista riesgo de represalias o pocas probabilidades de que se solucione la infracción si se emplean medios externos convencionales.
  
  
• Se establece un catálogo de represalias prohibidas, que incluyen amenazas, despidos, degradaciones, discriminación, daños a la reputación, etc

¿A quién afecta la obligación de establecimiento de canales de denuncia interna?

En virtud del artículo 8 de la norma, la necesidad de un canal interno de denuncias y seguimiento del mimos afectará tanto al sector privado como público, previa consulta a los interlocutores sociales y de acuerdo con ellos cuando así lo establezca el Derecho nacional.

Esta necesidad se aplicará, como hemos adelantado:

• A las entidades jurídicas del sector privado que tengan 50 o más trabajadores. Las entidades jurídicas del sector privado que tengan entre 50 y 249 trabajadores podrán compartir recursos para la recepción de denuncias y toda investigación que deba llevarse a cabo. Lo anterior se entenderá sin perjuicio de las obligaciones impuestas a dichas entidades por la presente Directiva de mantener la confidencialidad, de dar respuesta al denunciante, y de tratar la infracción denunciada.
• A todas las entidades jurídicas del sector público, incluidas las entidades que sean propiedad o estén sujetas al control de dichas entidades. En este punto se fija que los Estados miembros podrán eximir de la obligación a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades mencionadas en el párrafo primero del presente apartado con menos de 50 trabajadores, del mismo modo, los Estados miembros podrán prever que varios municipios puedan compartir los canales de denuncia interna o que estos sean gestionados por autoridades municipales conjuntas de conformidad con el Derecho nacional, siempre que los canales de denuncia interna compartidos estén diferenciados y sean autónomos respecto de los correspondientes canales de denuncia externa.

¿A quién se pretende proteger?

Por denunciante ha de entenderse una persona física que comunica o revela públicamente información sobre infracciones obtenida en el contexto de sus actividades laborales.

La nueva Directiva se aplicará a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral, incluyendo, como mínimo, a:

• a) las personas que tengan la condición de trabajadores en el sentido del artículo 45, apartado 1, del TFUE, incluidos los funcionarios;
• b) las personas que tengan la condición de trabajadores no asalariados, en el sentido del artículo 49 del TFUE;
• c) los accionistas y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos, así como los voluntarios y los trabajadores en prácticas que perciben o no una remuneración;
• d) cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

Las medidas de protección del denunciante también se aplicará:

• a) cuando comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral ya finalizada.
• b) cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
• c) los facilitadores, entendidos como las personas físicas que asiste a un denunciante en el proceso de denuncia en un contexto laboral, y cuya asistencia debe ser confidencial
• d) terceros que estén relacionados con el denunciante y que puedan sufrir represalias en un contexto laboral, como compañeros de trabajo o familiares del denunciante, y
• e) las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

Como vemos, y atendiendo al considerando (39), la protección debe extenderse también a otras categorías de personas físicas que, sin ser «trabajadores» (art. 45.1 TFUE), puedan desempeñar un papel clave a la hora de denunciar infracciones del Derecho de la Unión y que puedan encontrarse en una situación de vulnerabilidad económica en el contexto de sus actividades laborales. Por ejemplo, en lo que respecta a la seguridad de los productos, los proveedores están mucho más cerca de la fuente de información sobre posibles prácticas abusivas e ilícitas de fabricación, importación o distribución de productos inseguros; y respecto de la ejecución de los fondos de la Unión, los consultores que prestan sus servicios se encuentran en una posición privilegiada para llamar la atención sobre las infracciones que presencien. Dichas categorías de personas, que incluyen a los trabajadores que prestan servicios por cuenta propia, los profesionales autónomos, los contratistas, subcontratistas y proveedores, suelen ser objeto de represalias, que pueden adoptar la forma, por ejemplo, de finalización anticipada o anulación de un contrato de servicios, una licencia o un permiso, de pérdidas de negocios o de ingresos, coacciones, intimidaciones o acoso, inclusión en listas negras o boicot a empresas o daño a su reputación. Los accionistas y quienes ocupan puestos directivos también pueden sufrir represalias, por ejemplo, en términos financieros o en forma de intimidación o acoso, inclusión en listas negras o daño a su reputación. Debe concederse también protección a las personas cuya relación laboral haya terminado y a los aspirantes a un empleo o a personas que buscan prestar servicios en una organización que obtengan información sobre infracciones durante el proceso de contratación u otra fase de negociación precontractual y puedan sufrir represalias, por ejemplo, en forma de referencias de trabajo negativas, inclusión en listas negras o boicot a su actividad empresarial.

Completando el ámbito de aplicación personal de la norma, su art. 4, amplían la aplicación de norma a los denunciantes cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.

Procedimientos de denuncia interna y seguimiento

Los canales que se establezcan, permitirán denunciar por escrito o verbalmente, o de ambos modos. La denuncia verbal será posible por vía telefónica o a través de otros sistemas de mensajería de voz y, previa solicitud del denunciante, por medio de una reunión presencial dentro de un plazo razonable.

Los procedimientos de denuncia interna y seguimiento incluirán:

• a) canales para recibir denuncias que estén diseñados, establecidos y gestionados de una forma segura que garantice que la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia esté protegida, e impida el acceso a ella al personal no autorizado;
• b) un acuse de recibo de la denuncia al denunciante en un plazo de siete días a partir de la recepción;
• c) la designación de una persona o departamento imparcial que sea competente para seguir las denuncias, que podrá ser la misma persona o departamento que recibe las denuncias y que mantendrá la comunicación con el denunciante y, en caso necesario, solicitará a este información adicional y le dará respuesta;
• d) el seguimiento diligente por la persona o el departamento designados a que se refiere la letra c);
• e) el seguimiento diligente cuando así lo establezca el Derecho nacional en lo que respecta a las denuncias anónimas;
• f) un plazo razonable para dar respuesta, que no será superior a tres meses a partir del acuse de recibo o, si no se remitió un acuse de recibo al denunciante, a tres meses a partir del vencimiento del plazo de siete días después de hacerse la denuncia;
• g) información clara y fácilmente accesible sobre los procedimientos de denuncia externa ante las autoridades competentes de conformidad con el artículo 10 y, en su caso, ante las instituciones, órganos u organismos de la Unión.

Entrada en vigor