El 16 de diciembre de 2019 entró en vigor la Directiva (UE) 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión Europea, la conocida como Directiva Whistleblowing, o canal de denuncias en España, por la que las empresas públicas y/o privadas de más de 50 personas trabajadoras, tendrán la obligación de implantar este sistema de denuncias, mediante canales internos, confidenciales y seguros. El objetivo principal de la directiva es proteger a quienes denuncien prácticas corruptas, fraudes o cualquier vulneración de leyes nacionales o europeas, mediante el establecimiento de estos canales protegidos de comunicaciones y la prohibición de cualquier represalia contra ellos.
La norma europea obligaba a todos los Estados Miembros a que antes del 17 de diciembre de 2021, las disposiciones generales legales de la Directiva tuvieran que ser adoptadas, ya que se cumplía el límite para su transposición. Hasta la fecha, solo algunos países como Dinamarca, Suecia, Portugal, Malta y Francia han cumplido este límite temporal. Frente a esta situación, en febrero del 2022 la Comisión Europea decidió enviar cartas de emplazamiento a 24 Estados Miembros, para que procedan a adoptar las medidas necesarias a fin de subsanar el incumplimiento del Derecho de la Unión Europea. Dicho esto, la norma europea concede una moratoria de 2 años (hasta el 17 de diciembre de 2023) para que las empresas de entre 50 y 249 personas trabajadoras cumplan con la indicada Directiva.
Ante la presión de la Comisión Europea, el pasado 4 de marzo de 2022, el Consejo de Ministros aprobó un Anteproyecto de Ley “reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, para la transposición de la Directiva (UE) 2019/1937 Whistleblowing”. Este anteproyecto se encuentra en fase parlamentaria, pudiendo ser modificado por los grupos parlamentarios hasta su aprobación como Ley.
Si bien es cierto que la futura ley puede suponer una alteración respecto al clausulado actual del Anteproyecto, parece claro cuáles son los aspectos relevantes. En este sentido, se destacan los siguientes:
Ámbito de aplicación
La obligación de establecer canales internos y las medidas de protección de los denunciantes se refieren exclusivamente a las denuncias que versen sobre infracciones en determinados ámbitos que vienen recogidos en la propia Directiva, ampliables por la legislación que establezca cada uno de los Estados Miembros. En concreto, el ámbito objetivo mínimo que viene recogido en la Directiva se refiere a las infracciones del derecho de la Unión en las siguientes áreas: contratación pública, servicios financieros, seguridad de los productos, de los alimentos y del transporte, protección del medio ambiente, sanidad animal, seguridad nuclear, salud pública, protección de los consumidores, privacidad y protección de datos, competencia, mercado interior o intereses financieros de la Unión.
El Anteproyecto amplia este ámbito objetivo con una referencia genérica a aquellas infracciones al resto del Ordenamiento Jurídico "que afecten o menoscaben directamente al interés general", precisando que tal interés se entiende afectado cuando la infracción implique un quebranto para la Hacienda Pública.
Sujetos Obligados
En el sector privado: Todas las personas físicas o jurídicas que tengan contratados 50 o más empleados. Asimismo, todas las empresas, independientemente de su número de empleados, en el ámbito de la aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y del medio ambiente. Por último, los partidos políticos, sindicatos, patronales y fundaciones.
Las entidades jurídicas del sector privado con menos de 249 empleados dispondrán de un plazo hasta el 01 de enero de 2023 para aplicar la Ley.
En el sector público: Todas las entidades que integran el sector público.
Sistemas de información internos y externos:
Se prevé la creación de dos sistemas de información, uno interno y otro externo.
Por una parte, la creación de un canal interno de denuncias en el seno de las empresas, con la finalidad de: garantizar la protección, la confidencialidad y las disposiciones sobre protección de datos personales del alertador (también conocido como denunciante); realizar prácticas adecuadas de seguimiento; realizar un acuse de recibo por parte de la empresa y organización en un periodo de 7 días a contar desde la recepción de la información; y llevar a cabo un feedback sobre la resolución de la información en los 3 meses siguientes desde la denuncia por parte del alertador .
Por otra parte, junto con el mecanismo descrito de denuncia interna, el legislador prevé la creación, por parte de la autoridad administrativa, de un canal externo, reflejado en la figura de la Autoridad Independiente de Protección del Informante o alertador, que determinará si el hecho que se está denunciando supone una infracción y si es necesario proteger al alertador.
Medidas de protección al alertador
Se establece una prohibición total de represalias, estableciendo medidas para proteger al alertador de posibles actos u omisiones que supongan un trato desfavorable y que le sitúen en situaciones de desventaja frente a otros en el contexto laboral, así como el establecimiento de medidas de apoyo al mismo. Se excluyen de esta protección quienes realicen actuaciones o comunicaciones falsas o que carezcan de fundamento entre otras.
Sanciones
La falta de implantación por parte de las empresas de este canal de denuncias, o su implantación sin llevar a cabo las medidas impuestas por la Ley, conllevarán sanciones para estas empresas. El Anteproyecto recoge las infracciones calificadas como leves, graves o muy graves (tipificando como muy grave cualquier represalia al informante o la vulneración de las garantías de confidencialidad u otras que son propias del procedimiento), con previsión de que la comisión de infracciones previstas en la ley llevará aparejada la imposición de sanciones que pueden llegar a cuantificarse en 1.000.000 de euros para las personas jurídicas.
La figura de los alertadores internos ligados a la figura del compliance no es nueva, pues ya existen en las empresas y organizaciones dentro de sus programas de cumplimiento normativo. Para ello, el Estado ha ido incentivando de diversas maneras la creación de canales de denuncia en las organizaciones. Desde la Agencia Tributaria, pasando por la CNMV, la CNMC, la Agencia Española de Protección de Datos o las agencias anticorrupción, muchas administraciones públicas se han ido dotando de buzones éticos o de canales de alerta.
El llamado Whistleblowing interno, trata de fortalecer el autocontrol de las organizaciones, de forma que sean estas las que se ocupen de detectar y sancionar las irregularidades que se produzcan en el desarrollo de su actividad. Los alertadores son una parte esencial de los programas de cumplimiento normativo. Cumplir con las normas, sus requisitos y sus obligaciones con la mayor antelación posible es fundamental para evitar futuras sanciones en las empresas. Así, el Corporate Compliance juega un papel fundamental en cualquier empresa, para evitar ser sancionada por no cumplir las leyes y normas.
Desde Baker Tilly contamos con un equipo de expertos en programas de cumplimiento normativo que llevamos desarrollando e implantando desde que se introdujo la figura de la responsabilidad penal de las personas jurídicas y que otorgan eficacia atenuante o incluso eximente de la responsabilidad corporativa para aquellos programas de cumplimiento efectivos que incluyan un canal de denuncias antes de la comisión de un delito.