Por Juan Antonio Lascuraín

 

¿Por qué la Unión Europea se preocupa ahora de dictar una Directiva que obliga (que obliga a los Estados a que obliguen) a que las empresas y las entidades públicas tengan canales de denuncias y protejan a los denunciantes?

La inquietud que late en el fondo de la Directiva (UE) 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, es, no solo, pero sobre todo, una inquietud penal. Nos cuesta un mundo detectar la creciente criminalidad de empresa y la criminalidad de las instituciones públicas. Por cierto, que hay una estrecha relación entre los dos parámetros: la criminalidad es en buena parte creciente porque es difícilmente detectable. Si los ladrones vienen a este pueblo a robar es porque no hay policía que los detecte.

 

La necesidad penal de la alerta

 

La inquietud es pues una inquietud por la cifra negra, por la falta de detección, de los delitos cometidos en el seno de organizaciones legales, formales. La criminología ha puesto de manifiesto las dificultades tanto de aflorar estos delitos corporativos como, cuando afloran, de individualizar las responsabilidades por los mismos.

Influyen en ello factores muy diversos. El primero es un cierto contexto “coactivo” que pueden respirar los miembros del grupo: miembros fuertemente dependientes, vitalmente dependientes, del grupo; coacción dirigida a evitar todo comportamiento que pueda perjudicar al grupo, generándose una peculiar cultura interna ética – inética – de justificación del delito económico.

Un segundo factor que obstaculiza la pena y el efecto preventivo de la pena tiene que ver con la garantía de la presunción de inocencia y la consecuente regla BARD (beyond any reasonable doubt: solo enjuiciaremos tu conducta cuando la misma nos conste plenamente, más allá de toda duda razonable).

Nos cuesta detectar el delito de empresa; nos cuesta detectar al responsable individual del delito de empresa; nos cuesta aportar pruebas fehacientes de su delito. A la vista de estos obstáculos para la persecución del delito corporativo se entenderá muy bien el empeño cívico, ético, de justicia, de alentar y fortalecer el principal instrumento de afloramiento del mismo, que es la denuncia interna. Algún estudio serio (Global Fraud Study, 2014, de la Association of Certified Fraud Examiners) cifra en el entorno del 40% los casos de fraude, en sentido amplio, descubiertos gracias a la alerta interna, al toque de silbato (wistleblowing), de algún miembro de la organización en la que se comete el delito.

 

Objetivos de la Directiva

 

Pues bien: esa denuncia debe ser si no alentada, facilitada; si no facilitada, al menos no obstruida. Esto es lo que pretende la Directiva. La ubicuidad de los canales de denuncia y la robustez de los mismos. Y esa robustez pasa por tres parámetros: la confidencialidad del denunciante, la indemnidad del denunciante y la diligencia en la investigación de su denuncia. Proteger al denunciante y tomarse en serio su denuncia. La cuarta pata, por cierto, en otro orden de cosas, es la disuasión de la denuncia de mala fe.

Los objetivos fundamentales de la Directiva son, pues, estos:

– establecer canales confidenciales y eficaces de denuncia en las personas jurídicas privadas y públicas;

         – proteger a los alertadores frente a posibles represalias de su organización

Ubicuidad, confidencialidad, indemnidad. Está bien hacer esta abstracción, porque la lectura de las directivas europeas suele ser muy engorrosa, y esta no es una excepción, pues tienden a dedicar la mayor parte de su tinta a las consideraciones que justifican la norma (110 considerandos que ocupan 17 de las 40 páginas de nuestra Directiva) y a definir su ámbito y a imbricarla en el intrincado sistema normativo de la Unión (10 páginas de anexos en nuestro caso).

 

Ubicuidad: la obligatoriedad de los canales de denuncia

 

Con más contundencia de lo que parece, la Directiva obliga al establecimiento de canales de denuncia tanto en las entidades públicas como privadas. Digo “con mas contundencia de lo que parece” porque, aunque el artículo que prevé estos canales lo hace con un soft “los Estados miembros velarán” (art. 8.1), después se refiere a esta aparente recomendación como una “obligación” (art. 9, párrafo 2). Aunque, por cierto, inconsistentemente, la ausencia de canal de denuncias en las entidades obligadas no se prevé como infracción (art. 23).

Esta obligación lo será para las “entidades jurídicas del sector público y privado” que tengan 50 o más trabajadores (arts. 8.3 y 8.9). Este límite no se aplicará a las entidades que realicen determinadas actividades (art. 8.4). Podrán quedar también exentos los ayuntamientos de menos de 10.000 habitantes (art. 8.9).

Desde la perspectiva penal, de los canales de denuncia de irregularidades penales, la pregunta que cabe hacerse es si estamos ante una novedad o si nuestro ordenamiento penal recogía ya esta obligación. No lo hacía desde luego para las administraciones públicas, exentas de responsabilidad penal (art. 31 quinquies 1 CP), pero sí, siquiera un poco nebulosamente, para las demás personas jurídicas.

Entre los requisitos de los programas de cumplimiento – y conviene recordar que los programas de cumplimiento constituyen el modo en el que las personas jurídicas observan su deber penal de no tolerar el delito de los suyos en su favor – no está expressis verbis el de implantar un canal de denuncias pero sí el “establecimiento de un sistema disciplinario” (art. 31 bis 5.5º CP) y sí el de la “imposición de la obligación de informar de posibles riesgos e incumplimientos” (art. 31 bis 5.4º CP). Si la empresa debe implantar un sistema sancionador adecuado, lo que exige un sistema adecuado de detección de las infracciones, y si debe obligar a denunciar las irregularidades internas, lo que exige que se facilite la observancia de esa obligación, va de suyo y así lo interpretan doctrina, jurisprudencia y los estándares ISO 37001 y UNE 19601, que debe implantar un canal de denuncias.

Más peliaguda es, por cierto, la cuestión de si hace bien el legislador penal en obligar a que se obligue en el interior de la empresa a la denuncia interna, paso que no da la Directiva.

A favor de establecer una obligacion interna de denuncias se utilizan dos argumentos. Se dice que es coherente con la obligación general de denuncia penal de nuestra Ley de Enjuiciamiento Criminal (arts. 259 y 262). Y se subraya que despeja toda duda al trabajador en relación a un supuesto conflicto de lealtades.

En contra, se dice precisamente que, más allá de lo simbólico (multa de hasta 250 pesetas: risum teneatis), no existe de facto en nuestro ordenamiento una obligación general de denuncia del delito, cosa que parece sensata en un sistema de libertades. Ciertamente la empresa no es en rigor un entorno de libertad sino más bien un entorno de control, pero resulta discutible desde la sociología empresarial que esta sea una medida eficaz y eficiente. Las denuncias hay que facilitarlas, alentarlas como actos éticos, acentuar su positividad en una cultura tan reacia a ellas como la española. Pero… ¿obligar a denunciar? ¿Sancionar, no al que hace daño, sino al que no tiene nada que ver con él y simplemente no lo denuncia? Se dice: frente al fomento de una cultura solidaria, ¿es lo mejor el ambiente policial que genera una obligación general de denuncia en la empresa?

 

La prelación de la denuncia interna

 

Dos últimos comentarios en este ámbito de la obligación de canales (obligación que impone la Directiva) y de la obligación añadida de denuncias (obligación que impone el Código Penal). La primera se refiere a si el alertador ha de utilizar primero el canal interno de la organización y solo subsidiariamente canales institucionales o públicos. La segunda cuestión es la de qué hacemos con las denuncias anónimas: si deben ser admitidas en los canales de las empresas o no, y si merece protección el alertador que sale luego de su anonimato.

Vamos con lo primero. La Directiva se refiere a tres tipos de denuncia: la interna, la que denomina “externa” y que se etiquetaría con más precisión de “institucional”, y, una segunda alerta externa, que es la revelación pública. ¿Deben los Estados diseñarlas como alternativas o debe establecerse alguna regla de prelación? ¿Debe obligarse a que los trapos sucios se laven primero en casa? ¿Denuncia interna first?

La Directiva contiene dos reglas al respecto.

La primera no es de estricta prevalencia, sino de promoción de la denuncia interna:

Los Estados miembros promoverán la comunicación a través de canales de denuncia interna antes que la comunicación a través de canales de denuncia externa, siempre que se pueda tratar la infracción internamente de manera efectiva y siempre que el denunciante considere que no hay riesgo de represalias” (art. 7.2).

La segunda regla es la de la subsidiariedad de la revelación pública. La protección de la Directiva a los alertadores públicos solo procederá si habían denunciado antes por un canal interno o institucional o si tal denuncia previa no resultaba razonable: si

la persona tiene motivos razonables para pensar que la infracción puede constituir un peligro inminente o manifiesto para el interés público, […] o, en caso de denuncia externa, existe un riesgo de represalias o hay pocas probabilidades de que se dé un tratamiento efectivo a la infracción […]” (art. 15.1).

Las previsiones de la Directiva me parecen adecuadas.

Respecto a la cautela para con la revelación pública responde a un estándar que ha sido normativizado en algunos ordenamientos (Reino Unido, Australia, Canadá) y avalado por el TEDH en cuanto límite sensato a la libertad de expresión (STEDH Bucur y Toma c. Rumanía, de 8 de enero de 2008).

Respecto a la no necesidad de acudir siempre primero a la vía interna, igual que apuntaba hace un momento que no es buena idea imponer la denuncia penal, creo que peor idea aún sería dificultarla de algún modo. Más allá de la cautela elemental de proporcionalidad relativa a la revelación pública, no parece que deba imponerse en todo caso la denuncia interna frente a la institucional. Cuestión distinta es que la empresa trate de promoverla por poderosas razones que hacen a la propia calidad de su sistema de cumplimiento – de acopio de información -, a su estrategia de defensa penal y a la posibilidad de eliminar o atenuar su propia responsabilidad penal.

 

Indemnidad: anonimato vs. confidencialidad

 

En relación con las denuncias anónimas la Directiva es muy cautelosa. Señala expresamente que

la presente Directiva no afectará a la facultad de los Estados miembros de decidir si se exige o no a las entidades jurídicas de los sectores privado o público y a las autoridades competentes aceptar y seguir las denuncias anónimas de infracciones” (art. 6.2). Eso sí: “Las personas que hayan denunciado o revelado públicamente información sobre infracciones de forma anónima pero que posteriormente hayan sido identificadas y sufran represalias seguirán, no obstante, teniendo derecho a protección” (art. 6.3).

En nuestro ordenamiento tanto la Ley Orgánica de Protección de Datos (art. 24) como la Ley de Prevención del Blanqueo de Capitales las admiten (art. 26 bis.1). Las empresas pueden optar hoy por admitirlas o no, con sus ventajas (sobre todo, el fomento la alerta) y sus inconvenientes (sobre todo, el fomento de la alerta espuria). Ahora bien, han de ser conscientes de las consecuencias de sus decisiones.

No admitirlas no significa que el Consejo de Administración pueda cerrar los ojos a una denuncia anónima acompañada de pruebas que, dicho gráficamente, chorrean sangre. Admitirlas es admitirlas con sus bien conocidas debilidades de credibilidad limitada y dificultad de defensa respecto a las mismas. Dicho ahora con el Tribunal Supremo,

  • la denuncia anónima “debe ser objeto de un juicio de ponderación reforzado, en el que su destinatario valore su verosimilitud, credibilidad y suficiencia para la incoación del proceso penal”;
  • que no sólo su contenido no puede tener acceso al proceso como prueba de cargo (SSTEDH Kostovski, de 20 de noviembre de 1989; Windisch, de 27 de septiembre de 1990), sino que “es necesario excluirla también como indicio directo y único para la adopción de medidas restrictivas de los derechos fundamentales”;
  • que “la confidencia puede ocultar un ánimo de venganza, autoexculpación, beneficio personal”;
  • y que, en fin, si bien “no impide automática y radicalmente la investigación de los hechos de que en ella se da cuenta, […] deba ser contemplada con recelo y desconfianza” (STS 318/2013 de 11 de abril, FD 2).

Creo que la empresa debe aplicar esta sabia y garantista desconfianza en sus investigaciones internas [por cierto, creo que un tema pendiente de reflexión seria es el de las garantías procedimentales en los procedimientos disciplinarios privados] y saber cuál es el destino incierto de estas denuncias si decide a su vez trasladarlas a la Fiscalía.

Pasando ahora del anonimato a la confidencialidad: las principales garantías del alertador son la indemnidad (la proscripción radical de represalias al mismo) y la confidencialidad. Me temo que la eficacia de esta tiende a veces a magnificarse: el alertador debe saber que, si la denuncia es materialmente una denuncia penal y se judicializa, su identidad terminará probablemente siendo conocida por imperativo del derecho de defensa del denunciado. ¿De qué sirve entonces la garantía de confidencialidad?, puede pensarse. Sirve si la denuncia no va adelante. Y quizás serviría en el ámbito disciplinario si se considera que la identificación del denunciante no es una garantía de defesa en este ámbito.

 

Riesgos penales de los alertadores

 

El primer riesgo penal del que tiene que ser protegido el alertador es el riesgo de responsabilidad penal por la propia revelación. Por si cupieran dudas de que pudiera estar cometiendo un delito contra la intimidad o de revelación de un secreto de empresa, la Directiva aclara que

no se considerará que las personas que comuniquen información sobre infracciones o que hagan una revelación pública de conformidad con la presente Directiva hayan infringido ninguna restricción de revelación de información, y estas no incurrirán en responsabilidad de ningún tipo en relación con dicha denuncia o revelación pública” (art. 21.2). Ello alcanza expresamente a los procesos de “difamación, violación de derechos de autor, vulneración de secreto, infracción de las normas de protección de datos, revelación de secretos comerciales” (art. 21.7). Ello es coherente, por cierto, con la ausencia de responsabilidad civil que establece el art. 2.3 de la reciente Ley de Secretos Empresariales.

Cuestión diferente es la relativa a los delitos cometidos para captar la información que luego se revela. Si alguien pincha el teléfono ajeno u obtiene información de alguien mediante amenazas, y lo hace para detectar un delito de empresa, difícilmente va a estar justificado por un estado de necesidad, pues no hay tal estado (con minúscula) si el sujeto puede acudir al Estado (con mayúscula). Podría darse desde luego la circunstancia justificante de cumplimiento de un deber extrapenal si la Directiva así lo regulara. Pero no es tan temeraria. El artículo 21.3 especifica que

“[e]n el caso de que la adquisición o el acceso constituya de por sí un delito, la responsabilidad penal seguirá rigiéndose por el Derecho nacional aplicable”.

Una segunda razón para no cometer delitos destinados a obtener la información propia de la alerta proviene de su probable inutilidad si además de constituir un delito el acto de captación de la información constituye la vulneración de un derecho fundamental. Requeriría no una, sino creo que varias entradas de blog, detallar la compleja jurisprudencia constitucional y penal al respecto, antes y después del caso Falciani (STC 97/2019), pero baste ahora con constatar la falta de valor de las pruebas que provengan directamente de la vulneración de un derecho fundamental y de aquellas que lo hagan indirectamente si se produce entre ellas y las primeras una “conexión de antijuridicidad”.

Por lo demás, la Directiva no prevé otras medidas de atenuación del riesgo penal que quizás puedan ser proveídas por los Estados miembros. La más demandada por la doctrina es la atenuación para el arrepentido: la atenuación de pena para el alertador que informa del delito del que él era coautor o partícipe, posible en nuestro Código pero en los márgenes de las atenuantes de confesión (art. 21.4ª CP) y reparación (art. 21.5ª CP). Cabría pensar también en algún tipo de atenuación por disminución del injusto – por rédito del delito – en esos casos en los que la información luego revelada se obtuvo por medios delictivos.

 

La protección penal de los alertadores

 

En otro orden de cosas (no el de proteger al alertador de represalias penales, sino el de protegerle de delitos ajenos en forma de represalia) la Directiva no cierra la puerta a la protección penal de los alertadores, pues los mismos deben ser protegidos, en mantra bien conocido, mediante “sanciones efectivas, proporcionadas y disuasorias” frente a quienes impidan o traten de impedir las denuncias o frente a quienes respondan a las mismas con represalias graves. Si se viera tal necesidad, el lugar de tal protección sería el artículo 464 CP y los límites para tal protección serían los de sus tipos penales.

Este tipo sanciona con pena de hasta cuatro años de prisión y multa al que

con violencia o intimidación intentare influir directa o indirectamente” en, entre otros, “quien sea denunciante […] en un procedimiento para que modifique su actuación procesal”, y “a quien realizare cualquier acto atentatorio contra la vida, integridad, libertad, libertad sexual o bienes, como represalia contra las personas citadas en el apartado anterior, por su actuación en procedimiento judicial, sin perjuicio de la pena correspondiente a la infracción de que tales hechos sean constitutivos”.

 

Alguna conclusión

 

No he dicho, pero lo digo ahora, que la Directiva se refiere solo a la protección de las personas que informen de infracciones de Derecho de la Unión en determinados – muchos – ámbitos (art. 2.1). Sin embargo, si no he incidido en ello, es porque los Estados “podrán ampliar la protección en su Derecho nacional a otros ámbitos o actos”, y porque eso parece lo único sensato y a lo que responde la voluntad política actual: a trasponer la Directiva con una ley general de protección de los alertadores. De hecho, se ha presentado ya una Proposición de Ley al respecto (Baldoví Roda y otros, BOCG de 20 de diciembre de 2019).

Concluyo recopilando aquellos datos de la Directiva que me parecen más importantes desde la perspectiva penal:

  • se establece una obligación de establecimiento de canales de denuncia que ya existía penalmente para las personas jurídicas penalmente responsables;
  • no se impone a los Estados que establezcan obligaciones de denuncia, cosa que sí existe, discutiblemente, en nuestro ordenamiento penal;
  • se fomenta la utilización inicial del canal interno, pero no se obliga a ello frente al canal institucional;
  • se deja a los Estados la decisión en torno a la admisibilidad de las denuncias anónimas; la opción del nuestro parece que es la de la cautelosa admisibilidad;
  • no puede haber responsabilidad penal por la revelación propia de la alerta;
  • sí que la habrá, según el Derecho de cada Estado, por la obtención de la información en la que se basa la alerta;
  • no se prevé atenuación penal específica para los alertadores arrepentidos;
  • la disuasión de las represalias más graves contra los alertadores podría requerir de sanciones penales.

* Si para el que alerta de un posible incumplimiento se utiliza el término inglés whistleblower es porque “delator” tiene connotaciones negativas en castellano, y “denunciante”, además de tener un significado técnico en materia penal, es quizás demasiado intenso. Creo que el término “alertador” se ajusta al significado amplio de “detector” que buscamos: el que toca el silbato porque cree razonablemente que algo se está haciendo mal.

Foto: JJBose