canales de denuncia
Jesús Sánchez Migallón
Jesús Sánchez Migallón

Abogado

Canal de denuncias

Canal de denuncias compliance penal

En este artículo hablaremos sobre el canal de denuncias de las empresas, y las obligaciones que tienen que cumplir en relación a ello.

En los Paises Anglosajones los canales de denuncias se llevan utilizando mucho mas tiempo. En España nació con los planes de compliance y el artículo 31 bis del Código Penal (LO 1/2015) en el ámbito de la prevención de delitos en la empresa, se instaura la “obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y la observancia del modelo de prevención”, pasando los canales de denuncia interna a convertirse, además de en una obligación normativa, en un pilar fundamental de los programas de compliance en las empresas.

No podemos obviar lo que la fiscalía ha manifestado sobre los planes de compliance y los canales de denuncia: 

La existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa es uno de los elementos clave de los modelos de prevención.”

Muchas de ellas (actividades de la función de cumplimiento) resultarán tanto más eficaces cuanto mayor sea su nivel de externalización, como ocurre con la formación de directivos y empleados o con los canales de denuncias, más utilizados (por los empleados) y efectivos cuando son gestionados por una empresa externa, que puede garantizar mayores niveles de independencia y confidencialidad”.

Igualmente como no podía ser de otro modo, la norma UNE 19601 exige tener este tipo de canales de denuncia.

El Consejo de la Unión Europea publicó el pasado noviembre de 2010 la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones cometidas tanto en el ámbito público como en el privado,

Todo ello nos llevará a que las empresas de 50 o más trabajadores o en aquellos sectores como la medicina, o que puedan dañar al medio ambiente tienen que implantar canal de denuncias.

Como decíamos el Consejo de la Unión Europea publicó el pasado noviembre la Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones cometidas tanto en el ámbito público como en el privado, directiva que deberá ser transpuesta en los Estados miembros en el plazo de dos años.

Por lo que haciendo un resumen tenemos que la existencia de los canales de denuncia están abordadas en: 

  1. El Código penal español. 
  2. Circulares de la Fiscalía General del estado acerca de los planes de compliance penal
  3. Directiva 2019/1937 relativa a la protección de las personas que informen sobre infracciones cometidas tanto en el ámbito público como en el privado.
  4. Normas Une 19601 e ISO 37001. 

El objetivo que quiere conseguir La Unión Europea es que el canal de denuncias:

  1. sea seguros
  2. Se protege a todo aquel que quiera denunciar
  3. No se tomen represalias por denunciar estos hechos denunciables.

Los objetivos fundamentales en las empresas son dos:

(a) que los empleados puedan dirigirse al responsable de cumplimiento directamente, sin pasar por sus superiores directos;

(b) que se garantice al denunciante que su identidad no será conocida al investigarse los hechos denunciados, bien permitiendo que la denuncia se haga de
forma anónima, bien garantizando la confidencialidad de la misma. A esto debe añadirse en el código de conducta una prohibición de que se imponga ninguna medida negativa a las personas que denuncien de buena fe hechos presuntamente irregulares.

¿ Quién debe o tiene que utilizar estos canales de denuncias?

Actualmente según mi experiencia es que estos canales solo están abiertos de forma interna en la empresa; la directiva recomienda que este canal debe ser abierto y accesible para los llamados partes interesadas de nuestro sistema de compliance, para así sea mas efectivo tanto el sistema de compliance como el propio canal de denuncias, es decir debe de abrirse a clientes, proveedores, freelance.. etc..

¿Qué organizaciones están obligadas a crear el canal de denuncias?

  • La obligación será proporcional al tamaño de la entidad cuando sea privada:
    • Empresa privada con 50 o más empleados.
    • Empresa privada con volumen de negocio o balance anual igual o superior a 10 millones de €.
    • Empresas que operen en el ámbito de los servicios financieros (aunque sean microempresas o pequeñas empresas).
    • Empresas vulnerables al blanqueo de capitales o a la financiación del terrorismo.
  • Están excepcionadas de esta obligación las microempresas y las pequeñas empresas que no operen en el ámbito de los servicios financieros.
  • Cuando la entidad sea pública se deberá tener en cuenta el nivel de riesgo que sus actividades suponen para el interés público. Aun así, estarán obligadas siempre:
    • la Administración del Estado;
    • la Administración regional y provincial;
    • los municipios de más de 10.000 habitantes y
    • las entidades de Derecho Público.

¿Denuncia anónima? ¿ denuncia confidencial? 

El Comité Europeo de Protección de Datos (antes denominado Grupo de Trabajo del Art. 29 – GT29 – por ser constituido en virtud del art. 29 de la Directiva 95/46) recomienda que se fomente que las denuncias no sean anónimas pero que no se prohiban. 

Es normal que una persona que quiera denunciar un hecho tenga miedo a posibles represalias  que puedan tener los directivos de su empresa, sus superiores, y ello  es la principal amenaza de que un canal de denuncias no funcione;

En cuanto a otras categorías de denuncia, como la que distingue las confidenciales y las anónimas, la Directiva se refiere a estas últimas en su artículo 5.2, señalando que “Sin perjuicio de la obligación vigente de disponer de mecanismos de denuncia anónima en virtud del Derecho de la Unión, la presente Directiva no afectará a la facultad de los Estados miembros de decidir si las entidades públicas o privadas y las autoridades competentes deben o no aceptar y tramitar las denuncias anónimas de infracciones.” Los Estados miembros pueden decidir por tanto si las entidades públicas y privadas aceptan denuncias anónimas que entren en el ámbito de la presente Directiva. En todo caso, las personas que denuncien o revelen públicamente información de manera anónima, cumpliendo las obligaciones de esta Directiva, deben gozar de protección en virtud de la misma si con posterioridad son identificados y sufren represalias.

Tanto el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, como nuestra la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, contemplan la posibilidad de ambos tipos de denuncia -confidencial y anónima-.

Podemos destacar en este sentido una sentencia de fecha 12 de Febrero de 2020 en el que El Tribunal Supremo valida la denuncia anónima dentro de una empresa como origen de una investigación interna para destapar un fraude. El tribunal destaca la importancia de este tipo de actuaciones, en las que el autor opta por el anonimato, en especial en los casos como el analizado en el que la empresa no tenía un programa de cumplimiento normativo interno, fuente Expansión jurídico. 

El Supremo valida el uso de las «denuncias anónimas» para la detección de acciones ilícitas de este tipo. «Importancia tiene la denuncia llevada a cabo y en la que, con la inexistencia de un programa de cumplimiento normativo interno, sí que resulta notablemente interesante que en el periodo de los hechos probados se lleve a cabo una mecánica de actuación ad intra en el seno de la empresa que ha sido recientemente regulada en el denominado canal de denuncias interno o, también denominado whistleblowing, y que ha sido incluido en la reciente directiva del Parlamento Europeo y del Consejo del pasado mes de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

¿ Externalizar el servicio de denuncias?

Lo ideal sería poder externalizar este canal de denuncias, puesto que genera mas independencia a la hora de tener algún tipo de incompatibilidad por alguna denuncia recibida por algún familiar que trabaje en la empresa, amigo o compañero de trabajo. Ademas que a la empresa que externalicemos el servicio está especializado en estos asuntos y nos podrá asesorar mucho mejor. No obstante muchas empresas no pueden tener medios económicos para poder externalizar este servicio y tendrá que encomendar algún órgano lo mas independiente posible.  

Queda rigurosamente prohibido por tanto tomar represalias contra cualquiera que de buena fe:

(i) ponga en conocimiento de la empresa una posible vulneración del Código Ético,

(ii) un posible comportamiento contrario a legalidad y/o, en su caso, que pueda implicar la materialización de un riesgo penal,

(iii) colabore en su investigación o ayude a resolverla. Obviamente, esta garantía no alcanza a quienes actúen de mala fe con ánimo de difundir información falsa o de perjudicar a las personas.

Así, resulta conveniente permitir el acceso al canal no sólo a los propios empleados, sino también a terceros que se relacionen con la compañía (clientes, agentes, proveedores) a fin de poder comunicar presuntos hechos ilícitos de los que tengan conocimiento. De este modo, aumentarán las posibilidades de denuncia y, por tanto, de efectividad del modelo.

Con independencia de lo anterior, para que el sistema de protección de denunciantes sea efectivo es necesario que sea conocido por los empleados. Por ello, debe figurar de forma destacada, además de en la intranet de la organización, en los elementos principales del modelo de prevención de riesgos penales: código de conducta, manual de prevención de riesgos penales, así como en los cursos de formación, fundamentalmente. La publicidad ha de ser continua, con finalidad de animar a todos los destinatarios un uso del canal, siendo recomendable además el uso recurrente de correos o píldoras informativas (newsletters) y demás mecanismos con que pueda contar la entidad para este tipo de tareas.

CAUTELAS EN MATERIA DE PROTECCION DE DATOS 

  • Se ha informado  previamente a enviar el formulario de denuncia de todos los extremos que exige la protección de datos. 
  • La identidad del denunciante no se dará a conocer al denunciado.
  • Los datos de quien formule la comunicación y de los empleados y terceros, deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
  • Tener un plazo de conservación de los datos. 
  • Realizar el análisis de riesgos y evaluación de impacto de protección de datos. 

Migallon Millan Abogados

Abogados y consultores.

La especialidad nos hace diferentes.

Aspectos legales

Contacto

C/ Morago nº 7, 1ºA, 13200 Manzanares, Ciudad Real
Teléfono:+34 679 01 90 45
Email: jsmigallon@gmail.com
Todos los derechos reservados - Migallon Millan Abogados
Scroll al inicio