“Hay una intromisión del Estado en las corporaciones”
Desde que el economista norteamericano Howard R. Bowen acuñó en 1953 el concepto de responsabilidad social corporativa en su artículo Social responsabilities of the businessman, el Estado no ha dejado de infiltrar a las compañías privadas.
Fuera de forma consciente o no, la libertad de empresa, signo del capitalismo evolucionado, empezó a ser permeada por ideas sociales que transformaron la filantropía voluntaria en una obligada aportación de parte de los beneficios procedentes de la iniciativa ya no tan privada en provecho de objetivos más generales.
Al intervencionismo, en el caso español, de instaurar una responsabilidad penal de las personas jurídicas comúnmente extendida por el territorio de la Unión Europea -con la llamativa excepción de Alemania- en su importantísima reforma del Código Penal de diciembre de 2010, que acabó con el societas delinquere non potest trasladándole los costes de prevenir delitos en su seno, se añade ahora la no menos crucial entrada en vigor (desde junio de este año 2023, hace ahora casi 100 días) y también a instancias de la Unión Europea, de la ley cuya crónica de urgencia analizamos en el presente artículo, valorando los cambios y novedades -también sus ausencias- más llamativas que instaura.
Cambios que, desde la óptica de los costes productivos, implican inversiones económicas importantes, de nuevo a sufragar por las empresas, que les lleva del “pagar por prevenir” al “pagar por investigar y denunciar las irregularidades detectadas en su seno”, y que en un mercado globalizado y mundial les hará más éticas, pero puede que menos competitivas.
Lo decimos, en el sector privado, porque a la actuación ex ante en prevención de irregularidades desde el diseño que supone la implantación de modelos y estructuras que ejecuten políticas de compliance, voluntarias, pero muy necesarias, se añade ahora la obligatoriedad de instaurar, si no se tenían -era imperativo sólo en determinados sectores (financiero, blanqueo de capitales…)- algo que va más allá de los canales de denuncias: los Sistemas Internos de Información (SII), que únicamente no son obligatorios para las PYMEs, donde, salvo que se adopten voluntariamente, los denunciantes de irregularidades no tendrán más remedio que acudir a la denuncia externa.
Conformados los SII por esos 1) propios canales de denuncia, 2) su responsable de gestión e investigación interna de irregularidades (RSII) y 3) el protocolo/procedimiento a través del que llevarlo a cabo, a la aparente libertad en su configuración, la norma le añade pautas y principios de obligada observación que suponen una clara intromisión del Estado en el seno de la organización de las corporaciones, siempre con la finalidad de procurar una mayor integridad en su manera de operar. El soft law que viene a ser impregnado por el hard law.
Para conseguirlo, permite la denuncia anónima, que según las encuestas y las últimas experiencias la incentiva y potencia, pero que cuenta con evidentes riesgos de manipulación que deben hacerle al investigador interno obrar con muchísima cautela en los tres meses que la norma le deja para tratar de comprobar la veracidad, responsable y consecuencias a neutralizar en lo que se denuncie.
Amplía además la Norma que comentamos, respecto a lo acordado en la Directiva whistleblowing 2019/1937 que traspone, el ámbito de lo denunciable, que pasa de irregularidades en determinadas áreas (contratación pública, mercados financieros, seguridad de los productos, del transporte, medio ambiente…) a cualquiera, comunitaria y nacional, que aparentemente constituya delito o infracción administrativa grave o muy grave.
Permite la Ley 2/23 que el informante acuda a denunciar irregularidades bien a su propia empresa, bien, gran novedad, ante las Agencias Independientes de Protección del Informante (las AIPIs), nacional o autonómicas, gestoras de los también novedosos canales externos genéricos, o, sobre todo en casos urgentes con riesgos irreparables, a los cauces de revelación pública (redes sociales y prensa, principalmente), lo que no impide igualmente que se pueda seguir denunciando ante la Policía, Fiscalía, Tribunales o Autoridad Administrativa competentes para reprimirlas, como se ha venido haciendo hasta la fecha.
Eso sí, privilegia y pretende que se acuda en primer lugar al canal interno de la propia empresa, donde se tendrá que investigar de manera efectiva, lo que incluye enfrentar las consecuencias -disciplinarias, laborales y aun civiles- derivadas de la propia infracción, si es que la hay, dado que es la mejor posicionada y la que más rápidamente puede hacerlo, aunque nuevamente será a costa de sus medios materiales y humanos.
Es lo que llamamos colaboración público-privada, máxima expresión de cómo la norma pone a la empresa a su costa a trabajar en impedir y resolver las irregularidades de directivos y trabajadores y vinculados que, antes de la promulgación de la Ley difícilmente eran detectadas y menos aún sancionadas por la Justicia.
Se permite a la empresa que investigue la consistencia de las denuncias que operan en su seno, siempre que se produzcan dentro del contexto laboral propio y conocidas a través de los canales internos, a la par que el Estado se libera de hacerlo con el consiguiente ahorro del trabajo y gastos económicos que le habría supuesto gestionarlo personalmente.
El “premio” para la corporación por encargarse con sus medios de depurar e investigar todas las denuncias de presuntas infracciones normativas que reciba consiste en que sólo si las detecta de naturaleza penal las debe reportar al Ministerio Fiscal (organismo público), porque respecto de las de carácter administrativo -que lógicamente serán mayoría- la norma no le obliga a ponerlas en conocimiento de la Autoridad competente (AEAT, AEPD, CNMC..) -aunque sí a solventarlas-, como sin embargo sí ocurre con las que el denunciante lleve directamente ante la AIPI y su canal externo. De cómo de efectiva sea su respuesta ante las denuncias internas, dependerá la confianza o decepción en su gestión por parte de los futuros denunciantes que, en el segundo caso, acudirán directamente a las AIPIs, a la prensa o a los Jueces. La empresa decide.
Por otra parte, a diferencia de lo que ocurrió con el Derecho Penal, cuya responsabilidad está excluida para los delitos que pudiera cometer la Administración Pública, la norma que analizamos, al menos extiende a todo el sector público sin excepción -y podía haber librado de hacerlo a los Ayuntamientos con menos de 10.000 habitantes de población, pues así lo permitía la Directiva- instrumentos del compliance tan efectivos como son los canales internos y la obligación de denunciar y reportar los delitos que descubra al Ministerio Fiscal.
La norma se refiere expresamente al Ministerio Fiscal por seguir la tendencia de la Unión Europea, donde es la figura pública mayoritariamente encargada en exclusiva de investigar delitos, pero esa remisión no vacía de contenido los artículos 259 y 262 de nuestra Ley de Enjuiciamiento Criminal, de manera que las infracciones penales pueden también seguir siendo denunciadas en España ante la Policía y, por supuesto, ante el juez, único ante quien, si lo admite a trámite, se interrumpe el plazo de prescripción delictivo.
Ante el escaso y muy disgregado desarrollo que las leyes de integridad y transparencia han desplegado en el sector público pese a los llamamientos de los organismos internacionales contra la corrupción, la Unión Europea ha optado por permitir penetrar en la Administración Pública, si no las sanciones penales que se aplican desde hace más de una década con las empresas, al menos las políticas y herramientas efectivas de prevención de irregularidades que poco a poco irán acercando el cumplimiento normativo a niveles muy parecidos al que ya se ha alcanzado en las grandes empresas del sector privado.
La imitación de soluciones que han multiplicado la prevención de infracciones en el campo del Derecho Penal puede, sin optar por él, convertir el inicial fracaso de la transparencia y la integridad del Derecho Público en un camino por el que poco a poco alcanzar mayores cotas de ética en el seno de la Administración, poniendo a raya las muy sibilinas modalidades de corrupción que a día de hoy todavía mantiene.
En el caso español, complica un poco la ejecución de la norma la peculiaridad política de haber repartido la gestión de los canales externos entre la AIPI estatal y las Autonómicas que se creen -a fecha de octubre de 2023 sólo está en funcionamiento la catalana, pues ni siquiera se ha puesto en marcha la nacional- y el hecho de que la atribución competencial se determine en función del espacio geográfico en que la presunta irregularidad genere sus efectos, desconociéndose, por ejemplo, ante qué concreta AIPI se debe inscribir el nombramiento de los investigadores internos de aquellas empresas con sedes en el territorio de más de una Comunidad Autónoma, multinacionales o corporaciones -cada día más numerosas- cuya actividad se desarrolle totalmente en el ciberespacio.
Por otra parte, instaura la Ley 2/23 por primera vez un verdadero régimen de protección a quien -trabajador, funcionario público o vinculado- informe de buena fe de posibles infracciones normativas, que voluntariamente puede ejecutar la empresa, pero que también deben acordar las AIPIs, -nacional y autonómicas- y los jueces.
Protección multidisciplinar y extensa que, de forma cautelar o definitiva, deja en pañales y constituye la envidia de quienes en la esfera jurisdiccional sólo podemos aplicar la obsoleta e insegura que aportan viejas normas como la Ley orgánica 19/1994 de protección de testigos o peritos o la Ley 4/2015 del estatuto de la víctima -tan necesitadas de una urgente reforma y que ni siquiera alcanzan el ámbito laboral o administrativo- ya que la norma no hace la más mínima mención a la posibilidad de otorgar protección a quien denuncie ante organismos obligados a perseguir irregularidades fuera de los contemplados en la Norma, especialmente ante el juez, el fiscal o la Policía.
Por similitud al caso de hacerlo ante la vía de la revelación pública cuando opere “peligro inminente o manifiesto para el interés público, en particular cuando se da una situación de emergencia o exista un riesgo de daños irreversibles” (artículo 28.1.b), debería gozar de la protección de la Norma quien lo denuncie sin pasar por los canales interno ni externo, acudiendo directamente ante juez, fiscal o Policía. Sin embargo, no ha sido esa la interpretación que, para un asunto anterior a la entrada en vigor de la Ley 2/23, ha realizado la sentencia de 16/11/2021 de la sección 4ª del TSJ de la Comunidad Valenciana, denegando la protección de la Norma a un empleado municipal de urbanismo del Ayuntamiento de Montesinos (Alicante) que denunció ante el juez determinadas irregularidades urbanísticas presuntamente constitutivas de delito ecológico.
Una protección tuitiva, interna o administrativa, a quien denuncie irregularidades operadas en el contexto laboral o profesional, que puede consistir, si se sufren represalias por haberlo hecho o pretendido, desde en recibir medidas de apoyo como información, asesoramiento y asistencia legal o acompañamiento, hasta en ayuda financiera o psicológica en casos necesarios, que la Norma condiciona a la aprobación de las AIPIs, en vez de basarlas en criterios objetivos de mera necesidad, y siempre que provengan de represalias que normalmente no sobrepasen los dos años desde su producción.
Remarcable, por contundente y acertada, es la defensa ex lege que determina la prohibición en sí mismo de la represalia bajo la triple sanción de la nulidad de sus efectos de todo tipo, su represión como sanción administrativa propia y la responsabilidad civil por los daños y perjuicios que genere.
Además de por la inversión de la carga de la prueba en las denominadas acciones judiciales abusivas que los represaliantes acostumbran a emprender en procesos, entre otros, por difamación, violación de derechos de autor, vulneración de secreto, infracción de normas de protección de datos, revelación de secretos empresariales, o solicitudes de indemnización basadas en el Derecho laboral o estatutario.
Cierto que se detectarán abusos por parte de falsos denunciantes de irregularidades que conllevarán perjuicios reputacionales de mandos empresariales o funcionariales, y aun de las corporaciones o entidades afectadas mismas, pero es en el equilibrio que no desincentive la denuncia de buena fe donde la Norma coloca el límite preciso entre proteger o no al informante, cuyos móviles por denunciar le son indiferentes en contra de lo que ha matizado la jurisprudencia del TEDH, por ejemplo, en la importantísima sentencia sobre la materia de 14 de febrero de 2.023, en el caso Halet contra Luxemburgo
Sin embargo es en la materia de protección del informante -nuclearmente explicativa de la intención primordial del legislador- donde, por un lado la Ley 2/23 española se aparta de los mandatos de mínimos obligatorios de la Directiva, denegándola por ejemplo en algún supuesto de su artículo 35.2 en que debería prestarla en casos que pueden y deben perfectamente ser denunciados, y por otro, y paradójicamente, donde nos apercibimos del déficit regulatorio que por confrontación se observa en la definición del estatuto defensivo de quien resulte denunciado: el sospechoso de haber cometido la irregularidad que la Norma denomina “afectado”.
En comparación con los detallados derechos procesales de Defensa que desarrolla y articula el artículo 118 de la Ley de Enjuiciamiento Criminal para el investigado penal, la Ley 2/23 apenas nos indica algo tan importante como qué capacidad de reacción y qué garantías puede activar la defensa de quien se enfrenta con el estigma de aparecer como sospechoso ante el investigador interno de la empresa, la entidad del sector público o incluso de la AIPI.
Y es que la principal crítica a una Norma que por primera vez detalla, regula y afecta de manera tan valiente a sectores laborales y funcionariales con obligaciones y preceptos tan novedosos, radica en las omisiones normativas de las que también adolece y que los jueces y tribunales necesariamente deberán integrar en los próximos recientes años en su jurisprudencia en los órdenes laboral, administrativo y penal, principalmente.
Mi experiencia de más de 37 años investigando delitos desde el sector público penal me ha llevado a plantearme, entre otros, las diferencias que habrá entre investigar delitos en un juzgado o fiscalía, y hacerlo en tres meses en el seno de una empresa o entidad pública por parte de un investigador interno (RSII) o en las propias AIPIs.
Aspectos como el inicio de la investigación interna corporativa y la posibilidad de archivar de plano algunas quejas; el “triaje” hacia otros departamentos de lo que no tenga entidad para ser investigado; el propio orden de llevanza de las pesquisas; el equilibrio necesario entre creerse al denunciante -máxime si es anónimo y no puede contrastarse su versión- y garantizarle una defensa adecuada al denunciado; la delimitación de las concretas diligencias de comprobación de la veracidad y autoría de lo denunciado -documentos, interrogatorios a denunciantes, testigos y denunciados, inspecciones oculares, ocupación de evidencias, periciales, dictámenes, auditorías…-; su licitud o ilicitud probatoria; el tratamiento y valor de las diligencias de investigación prohibidas, ilícitas, irregulares o simplemente defectuosas; la posibilidad o la interdicción de la adopción de medidas restrictivas de derechos fundamentales al obtener información; las medidas cautelares asegurativas de la adecuada respuesta a la irregularidad; las conclusiones y propuestas de actuación de la fase de conclusión de la investigación, con las posibles medidas finales declarativas -entre las que tratar el archivo del expediente o la remisión del tanto de culpa a la Fiscalía, pero también al juez o a la Policía-; las medidas finales ejecutivas reparatorias, resarcitorias, enmendantes….; la modificación de los modelos de compliance a que conlleven; o incluso la relación con las autoridades judicial o administrativa obligadas a perseguir lo comunicado o el propio procedimiento penal o administrativo.
Y entre todas, tres situaciones muy controvertidas: 1) la obligación de colaborar con las AIPIs, hasta el punto de sancionarse administrativamente no hacerlo, 2) la de aportar lo investigado al juez, con deber de registrarlo o 3) la de acudir a la Fiscalía inmediatamente se detecte un delito cuando lo descubierto sea la implicación de la propia corporación investigadora en la infracción investigada.
La afección de intereses societarios y de beneficios propios de la corporación en la acción denunciada por el whistleblower ante los canales internos choca con preferentes manifestaciones del derecho de defensa de la empresa afectada como el de a no autoincriminarse y el de a elegir libremente su opción y estrategia defensiva que la Norma no contempla, o que simplemente calla, pero que sin duda deben reconocer pronto los tribunales en los escasos supuestos en que la irregularidad o el incumplimiento normativo denunciado en su propio canal interno la cometa la propia corporación que lo debe investigar.
Y ahondando en cierto déficit en las garantías, también es criticable, porque no se entiende, y la Directiva no lo impone, sino antes al contrario, volviendo a las investigaciones en el canal externo de las AIPIs, que el artículo 20.4 L 2/23 prohíba todo tipo de recurso contra las decisiones que estas adopten en el curso de sus investigaciones, cerrando la posibilidad de que los tribunales al menos puedan instaurar interpretaciones garantistas en un campo tan novedoso donde van a intervenir tantos protagonistas.
Los déficits normativos apuntados no deben empañar otros buenos logros de la Norma, sin embargo, como la inclusión de una acertada regulación de la protección de datos y en especial de la confidencialidad, no sólo de la información investigada y del expediente en que se gestiona, sino, sobre todo, de la identidad no sólo de la persona del denunciante no anónimo, sino igualmente, de la de los testigos que declaren y del investigado.
En definitiva, la Norma regula por primera vez importantes aspectos de las investigaciones internas corporativas, a la vez que implanta como novedad las externas genéricas y la figura de las AIPIs (con pautas regulatorias para su estatuto y su propio y flamante régimen sancionador) pero lo hace con la vista puesta exclusivamente en la protección -encomiable y necesaria- al denunciante de presuntas irregularidades normativas que, precisamente por eso, por ser “presuntas”, debería haber propiciado un necesario equilibrio con las garantías de la Defensa del afectado/sospechoso, que sólo se conseguirá con la intervención de los Tribunales a través de una jurisprudencia que los tutele y armonice.
Por lo demás, volviendo a la gestión investigativa de los canales internos, la Ley 2/23 permite que se pueda llevar a cabo tanto mediante responsables internos como externalizarse, reforzando el papel -independiente desde la funcionalidad- del encargado del cumplimiento normativo –compliance officer-, cuyo estatuto jurídico, salvo contados principios, continúa todavía sin regularse, como igualmente ocurre con la posible responsabilidad que podría aplicarse en caso de defectuosa o insuficiente actuación profesional.
Se preocupa la Norma en diferenciar entre ese encargado de investigar irregularidades (RSII), que puede ser un equipo o una individualidad, interno o externo, y el órgano obligado a implantar los sistemas internos de información en las corporaciones, responsable a su vez de la política de protección de datos y que encarna la representación de la empresa, quien a través de aquel, garantizará, como hemos apuntado, que en los casos en que la misma se vea envuelta en la irregularidad, se permita y ejerza la autodefensa preventiva de la misma.
Para ir terminando, apuntar algunos aspectos que no toca expresamente el texto de la Ley, pero que sin duda aflorarán en su interpretación, como son los problemas derivados del tratamiento de las investigaciones de alguno de los casi veinte delitos que según el Código Penal sólo se pueden perseguir a instancia de la víctima -como el acoso o el robo de información privada-; el choque entre la voluntariedad de la denuncia ante los canales interno y externo y la obligatoriedad de hacerlo siempre ante la jurisdicción penal que además, no contempla la denuncia anónima y, singularmente, la irrupción de la responsabilidad civil, que precisamente delimita el ámbito de implicación que deben alcanzar la prevención y detección de irregularidades en el seno de las organizaciones.
La Norma elude el tema de la recompensa económica por denunciar, al menos en infracciones de las que se derive recuperación de algún activo económico, o el más importante de precisar algún tipo de protección al propio investigador (RSII) que, en supuestos de conflicto de interés, deberá abstenerse de actuar y que, en algún caso, podría acabar represaliado, como ya le ha ocurrido a algún compliance officer en el pasado reciente en un partido político y en un reputado club de fútbol, precisamente por “desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo” (artículo 8.4).
En conclusión, urge que las Administraciones Públicas afectadas creen y pongan en marcha las Agencias Independientes competentes y sus peculiares regímenes sancionadores, que publiquen sus estatutos de funcionamiento y el procedimiento investigador pautando normativamente y con transparencia cómo, cuándo y con qué garantías van a obrar al investigar presuntas irregularidades y proveyendo los medios para hacer real y eficaz la protección al denunciante en la manera que indica la Ley, y, por otra parte, urge que responsables internos de cumplimiento normativo y abogados laboralistas, penalistas, administrativistas, mercantilistas y civilistas -que a todos afecta la Norma- esgriman e invoquen los derechos de informantes/denunciantes y afectados/denunciados ante la empresa, la entidad, la AIPI y en su momento, ante los tribunales, de modo que como pretendía la Directiva y formula la Ley, además de eliminar el miedo a denunciar irregularidades en el contexto laboral/profesional en el sector público y privado, se fortalezca progresiva y crecientemente “la cultura de la información, las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público”. (artículo 1.2).
El Estado continúa entrando en las empresas | E&J (economistjurist.es)