La Directiva «whistleblowing» y su relación con el compliance penal

La Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la UE parte de la necesidad de proteger eficazmente a los alertadores como denunciantes que informan sobre actos delictivos o irregulares obtenidos en un contexto laboral público o privado. La Directiva protege a las personas que informen sobre determinadas infracciones del Derecho de la Unión, con independencia de que tales irregularidades sean consideradas ilícitos administrativos o delitos en cada legislación nacional, en relación con determinadas materias enumeradas en su art. 2. Se mencionan, entre otras, las relacionadas con la contratación pública, la protección del medio ambiente, la salud pública, la prevención del blanqueo de capitales o la protección de los consumidores. Estas materias podrían reconducirse a determinadas figuras delictivas como el delito de blanqueo de capitales, delitos contra la Hacienda Pública, delitos contra el mercado y los consumidores, delitos de daños informáticos, delitos contra el medio ambiente o delitos contra la Administración pública.

La obligación de crear un canal de denuncias: entidades obligadas y exenciones

La Directiva dispone que tanto las entidades jurídicas del sector privado como las del sector público deberán establecer canales y procedimientos de denuncia interna y de seguimiento (art. 8). Esta regla general solo será aplicable en el caso de entidades jurídicas del sector privado en dos supuestos: (i) las que tengan más de 50 trabajadores con independencia de la naturaleza de su objeto social y, sin el anterior límite, (ii) las entidades sometidas a concretas obligaciones en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo.

Con todo, se especifica que los Estados miembros pueden exigir que las entidades jurídicas del sector privado con menos de 50 trabajadores establezcan canales de denuncia interna y seguimiento, atendiendo al riesgo y a la naturaleza de su actividad, en particular, para el medio ambiente y la salud pública.

¿A partir de qué momento será obligatorio contar con un canal de denuncias?

Los Estados miembros, con carácter general, tienen hasta el 17 de diciembre de 2021 para dar cumplimiento a lo establecido en la Directiva. En el caso de las entidades del sector privado que se muevan en el rango de 50 a 249 trabajadores, existe una moratoria hasta el 17 de diciembre de 2023.

La Directiva whistleblowing y su relación con el compliance penal

La previsión de la Directiva refuerza el protagonismo del canal de denuncias como uno de los elementos medulares de los denominados programas de cumplimiento o compliance penal. El Código Penal contiene una referencia indirecta a esta herramienta cuando dispone que se impondrá «la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención» (art. 31 bis 5.4º CP).

Sin embargo, se planteaba si las personas jurídicas de pequeñas dimensiones también debían instaurar un canal de denuncias o bastaba con una comunicación de otra índole. El apartado 3 del art. 31 bis CP español contiene un régimen especial para las personas jurídicas de pequeñas dimensiones, consideradas como tales, con arreglo a un criterio contable, aquellas sociedades autorizadas a presentar cuenta de pérdidas y ganancias abreviada. El Plan General Contable español autoriza la elaboración de las cuentas anuales abreviadas a las sociedades que durante dos años seguidos cumplan como mínimo con dos de las tres condiciones que se citan a continuación:

  • Que el total de las partidas del activo no supere los once millones cuatrocientos mil euros. A estos efectos, se entenderá por total activo el total que figura en el modelo del balance.
  • Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros.
  • Que el número medio de trabajadores empleados durante el ejercicio no sea superior a 250.

A diferencia del Código Penal español, la Directiva, como se ha puesto de manifiesto, no se basa en un criterio contable o de volumen de negocio para la determinación de los sujetos obligados a la implementación del canal de denuncias. La única especialidad que el legislador penal proporciona para esta clase de personas jurídicas es la relativa al órgano que efectúa la labor de compliance officer. Se permite que en esta clase de sociedades esta función la desempeñe directamente el órgano de administración. Esta flexibilización, sin embargo, no dejaría de implicar que las empresas de «pequeñas dimensiones» tuvieran que adoptar un modelo de prevención de delitos para lograr su exoneración en un procedimiento penal. Ahora bien, debe tenerse presente que, con independencia de que una empresa no  disponga de un compliance penal o no pretenda implementarlo, la instauración de un canal de denuncias sí revestirá carácter obligatorio. 

No obstante, la normativa europea precisa que la recepción y el seguimiento de las denuncias en las entidades de menor tamaño podrá atribuirse a otro órgano existente en la sociedad, siempre que pueda comunicarse directamente con la dirección de la organización. Se mencionan, a título de ejemplo, un responsable de recursos humanos o de asuntos jurídicos, un responsable financiero, de auditoría o un miembro del consejo de administración. En este punto, sería recomendable que el legislador español aclarase si estas recomendaciones son compatibles con la previsión del art. 31 bis del CP. Este precepto, como se ha reseñado, precisa que las denuncias internas deben remitirse al órgano interno encargado de vigilar el funcionamiento y la observancia del programa de cumplimiento normativo.

Gimbernat Estudio Jurídico presta asesoramiento para el diseño y la puesta en funcionamiento de los canales de denuncias conforme a la siguiente normativa:

  • Código Penal
  • UNE 19601:2017 de Sistemas de gestión de Compliance penal
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
  • Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión