La ley de protección de los informantes: dos borrones

Por Juan Antonio Lascuraín

 

El objetivo de esta entrada es reparar en lo que son a mi juicio dos graves defectos de la ley de protección de los informantes (Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción):

• la obligación de denuncia a la Fiscalía por parte de las entidades y organismos del sector privado y de las del sector público sometidas a responsabilidad penal, creo que frente a la Constitución,
• y la falta de inmunidad penal del informante, creo que frente a la Directiva que da origen a la Ley (Directiva 2019/1937, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones de Derecho de la Unión).

Finalizaré mi reflexión con un comentario, ya no queja, sobre una cuestión que me parecen muy relevante en la práctica de la revelación interna de irregularidades en las empresas y en las instituciones públicas: si es posible el mantenimiento de la confidencialidad en caso de que el asunto denunciado se “penalice” (se someta a la jurisdicción penal). La pregunta es si con la confidencialidad estamos ante una garantía con pies de barro.

 

Previo: una ley necesaria

Como voy a estar un poco gruñón con la Ley, antes de los gruñidos quiero hacer una loa a la misma y a la Directiva de origen. Estamos ante una ley muy necesaria desde el punto de vista penal, y por eso son aún más fastidiosos sus defectos. Uno, el de la obligatoriedad de la denuncia pública, por antigarantista; el otro, la falta de inmunidad penal, porque menoscaba en no poca medida los nobles objetivos de la norma.

Sobre la oportunidad de la protección de los informantes ya reflexioné en mi entrada “La Directiva UE de protección de alertadores: perspectiva penal” . Como nos enseña la Criminología cada vez son más y más preocupantes los delitos que se comenten desde las empresas y desde las organizaciones públicas. Llevaría mucho tiempo detenerse en las causas, similares pero no iguales en las empresas y en las organizaciones públicas.

Lo que sucede en la empresa es que es un grupo en el que sus miembros suelen ser fuertemente dependientes de él, vitalmente dependientes de él, por lo que tratarán de ser bien vistos por la organización – para permanecer en ella o para prosperar en ella – y desde luego y ante todo no hacer nada que perjudique los intereses de la misma, como parecería serlo en principio la denuncia de conductas irregulares que la beneficien. A este contexto coactivo suele sumarse una peculiar cultura interna de justificación del delito económico. Ese “hacemos daño a otros pero como amarga necesidad para sobrevivir”.

En las instituciones públicas se dan circunstancias análogas de opacidad del delito. Por una parte, porque la autoridad o funcionario que se corrompe lo hace en el seno de una institución que controla, que organiza, y que organiza también para ocultar sus irregularidades. Frecuentemente esas irregularidades solo van a ser cognoscibles por sus subordinados, que se toparán con fuerte barreras para denunciarlos: de nuevo el temor hacia el poder de sus superiores, que puede abarcar su propio puesto de trabajo; la generación también en las unidades de función pública de culturas criminales de grupo del tipo “es justo que tengamos beneficios adicionales a la vista de lo que se nos paga y de lo que nos costó acceder al funcionariado”.

A estos factores criminógenos se añade otro que es el de impunidad de los delitos de empresa y de organización pública. Los delitos crecen cuando son difícilmente detectables. Mucha ganancia con poco riesgo. Y aquí lo son. Desde dentro no se denuncia lo que es muy difícil conocer desde fuera con nuestros medios policiales y judiciales. Y cuando excepcionalmente se detecta externamente el delito nos topamos con un segundo obstáculo para castigarlo. Sabemos que se cometió el delito pero nos falta información de quién o quiénes lo cometieron en la intrincada organización empresarial o pública. Y esa falta de información nos conduce a la absolución. Como es sabido, la presunción de inocencia solo nos permite sancionar desde la certeza de los hechos: cuando nos consta que precisamente alguien ha realizado el comportamiento lesivo y nos consta más allá de toda duda razonable.

Esta opacidad solo suele ser horadable desde dentro. Por eso es muy sensato que jurídicamente alentemos la alerta interna. O que al menos la facilitemos. O que al menos no la dificultemos. Rasgo imprescindible de ese aliento es la protección del informante, que es el fin primordial de la Ley 2/2023, como reza su título. Por cierto, y como nos enseñan nuestros colegas anglosajones, el invento de la responsabilidad penal de las personas jurídicas acaba funcionando como un estímulo a la revelación interna del delito. Una especie de “empresa: investiga y entrégame al culpable del delito o, si no, voy contra ti”.

 

La inmunidad penal

El primero de los dos grandes borrones de la ley es la falta de inmunidad penal por el hecho de la comunicación de la irregularidad, defecto de importancia difícilmente exagerable. Y es que la lógica básica de la ley es la de la facilitación de la alerta mediante la ubicuidad de los canales de denuncia y la inmunidad del alertador. Se trata obviamente de garantizar que no haya represalias desde la organización hacia el informante que denuncia una irregularidad que favorece a la organización, porque sin esa protección nadie va a denunciar. La regla de la confidencialidad no es más que una norma de flanqueo, de garantía de la indemnidad.

Dicho esto no está dicho todo, porque quizás la peor consecuencia que puede tener el informante no venga de dentro sino del Estado: que el hecho de informar de la irregularidad le acabe deparando responsabilidad civil (que se considere una fuente de indemnización para la empresa); o, peor, que incurra en una infracción administrativa; o, mucho peor, que se considere que está cometiendo incluso un delito (por ejemplo, de revelación de secretos o de injurias o calumnias). Y, por cierto para la pena (para el castigo) basta ya, como sabemos, la imputación y el sometimiento a un incisivo procedimiento penal.

Esto lo vio con claridad la Directiva. Ya en sus considerandos (lo que no es de extrañar: nunca he entendido que las Directivas repitan prácticamente el contenido normativo en el preámbulo; 110 considerandos en esta Directiva) afirma que:

• “los denunciantes no deben incurrir en responsabilidad alguna, ya sea civil, penal, administrativa o laboral” (considerando 91);
• especificando después que se trata de un comodín en los procedimientos de “por difamación, violación de derechos de autor, secretos comerciales, confidencialidad y protección de datos personales” (considerando 97).

Y esto se plasma después en el artículo 21 de la Directiva:

“no se considerará que las personas que comuniquen información sobre infracciones o que hagan una revelación pública de conformidad con la presente Directiva hayan infringido ninguna restricción de revelación de información, y estas no incurrirán en responsabilidad de ningún tipo en relación con dicha denuncia o revelación pública” (21.2). Se especifica después que esto vale para “los procesos judiciales, incluidos los relativos a difamación, violación de derechos de autor, vulneración de secreto, infracción de las normas de protección de datos, revelación de secretos comerciales, o a solicitudes de indemnización basadas en el Derecho laboral privado, público o colectivo”. En ellos, los informantes “no incurrirán en responsabilidad de ningún tipo como consecuencia de denuncias o de revelaciones públicas en virtud de la presente Directiva” (21.7).

Con gran sensatez la Directiva limita la inmunidad penal a la conducta de la revelación, y no la extiende en consecuencia al posible contenido penal de la conducta de la obtención de la información que luego se revela. Y esto es obvio: por extremar el ejemplo, no tendría sentido la inmunidad del que tortura a un compañero para obtener la información que le sirve para la denuncia posterior. Y así, dice el artículo 21.3 de la Directiva que

“[l]os denunciantes no incurrirán en responsabilidad respecto de la adquisición o el acceso a la información que es comunicada o revelada públicamente, siempre que dicha adquisición o acceso no constituya de por sí un delito. En el caso de que la adquisición o el acceso constituya de por sí un delito, la responsabilidad penal seguirá rigiéndose por el Derecho nacional aplicable”.

Por cierto, que el preámbulo, en el punto 92, hace un guiño a que quizás este delito en la adquisición de la información pudiera merecer alguna atenuación en atención a que ha tenido un cierto valor: a que los órganos nacionales deberán evaluar la responsabilidad del denunciante

“a la luz de toda la información objetiva pertinente y teniendo en cuenta las circunstancias particulares del caso, incluida la necesidad y la proporcionalidad de la acción u omisión en relación con la denuncia o revelación pública”.

En todo caso el warning para aquellos informante que consiguen la información por medios delictivos es doble. No solo su delito de obtención no tiene amparo en la ley, no está justificado, sino que, en los casos en los que además de delito se vulnere un derecho fundamental – significativamente a la intimidad – podrá suceder que no tenga validez probatoria de cara al delito al que se dirige la denuncia. Me remito aquí para esto a la compleja jurisprudencia constitucional que recoge la STC 97/2019, del caso Falciani, sobre los supuestos en los que la aportación de una prueba obtenida con vulneración de derechos fundamentales vulnera a su vez las garantías constitucionales de un juicio justo.

 

La desobediencia del legislador

Parece bastante claro cuál es el mensaje de la Directiva: no hay responsabilidad penal por la revelación, puede haberla por la obtención de la información. Lamentablemente esto no lo ha entendido el legislador español.

Así, el artículo 38.1 dice, sensatamente que

“[n]o se considerará que las personas que comuniquen información sobre las acciones u omisiones recogidas en esta ley o que hagan una revelación pública de conformidad con esta ley hayan infringido ninguna restricción de revelación de información, y aquellas no incurrirán en responsabilidad de ningún tipo en relación con dicha comunicación o revelación pública, siempre que tuvieran motivos razonables para pensar que la comunicación o revelación pública de dicha información era necesaria para revelar una acción u omisión en virtud de esta ley”. Perfecto hasta ahí, en el pórtico de la insensatez: “Esta medida no afectará a las responsabilidades de carácter penal”. Quitamos justo el escudo que más hacía falta.

Creo que la Ley se hace un lío con la siguiente previsión, esta sí adecuada:

“Los informantes no incurrirán en responsabilidad respecto de la adquisición o el acceso a la información que es comunicada o revelada públicamente, siempre que dicha adquisición o acceso no constituya un delito” (art. 38.2).

 

¿Qué hacemos entonces? ¿Responsabilidad penal del informante frente al amparo europeo de la Directiva?

Creo que existen al menos dos vías para impedir esta consecuencia tan disfuncional para la ley.

La primera es de interpretación interna sistemática de la Ley. Como frente a esa estúpida exclusión penal del artículo 38.1 se traspone literalmente en el 38.5 la concreción de la exclusión de responsabilidad de todo tipo por las comunicaciones o revelaciones

“[e]n los procesos judiciales, incluidos los relativos a difamación, violación de derechos de autor, vulneración de secreto, infracción de las normas de protección de datos, revelación de secretos empresariales, o a solicitudes de indemnización basadas en el derecho laboral o estatutario”,

podríamos salvar la contradicción entre los artículos 38.1 y 38.5 decantándola en el sentido de la segunda cláusula.

Para abonar lo anterior, e incluso con independencia de ello, cabe acogerse a la doctrina del Tribunal de Justicia de la Unión Europea relativa a la aplicabilidad directa de las Directivas europeas cuando su contenido es incondicional y suficientemente preciso y no ha sido traspuesto o lo ha sido defectuosamente (por todas, SSTJUE de 4 de diciembre de 1974, asunto Van Duyn; de 19 de enero de 1982, asunto Becker; de 7 de julio de 2016, asunto Ambisig y AICP). Esta doctrina ha sido acogida por nuestro Tribunal Constitucional “en virtud del principio de primacía del Derecho de la Unión Europea” en los casos en los que “se prevea derechos para los ciudadanos” (por todas, SSTC 13/2017, 25/2022). Conviene entonces precisar que de lo que aquí hablamos es precisamente, en la propia terminología de la ley, de “derechos de protección” del informante (art. 35.1).

La traducción penal de todo ello para el alertador de buena fe que resulte acusado de, por ejemplo, un delito de revelación de secretos de empresa, es, por de pronto, que queda amparado por el cumplimiento de un deber (art. 20.7ª CP) si presenció la comisión del delito, obligación que subraya el comienzo del Preámbulo de la Ley. Antes de esta justificación y más en general, para todos los casos de denuncia de buena fe, procede afirmar la atipicidad de la conducta, pues en un sistema de libertades debe negarse toda imputación si la conducta está permitida por el ordenamiento.

 

La obligación de denuncia a la Fiscalía

Las entidades públicas y privadas a las que se dirige la ley deben implantar un “procedimiento de gestión de informaciones” (art. 9.1). Ese procedimiento deberá contemplar la “[r]emisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea” (art. 9.2.j).

Por lo primero por lo que nos interroga este precepto es por una cuestión más general. La de si un buen sistema de cumplimiento debe prever como parte de su sistema sancionador la llamada a la puerta del Juzgado o de la Fiscalía si un comportamiento individual en su seno parece delictivo, o si, en cambio, basta la sanción interna (por ejemplo, en último término, el despido). Los problemas para encontrar una respuesta adecuada a esta pregunta son varios. Por un lado, si ante el delito podemos considerar que la sanción interna es suficientemente preventiva; por otro, si la obligación de denuncia de la entidad supone una adecuada extensión del deber de denuncia ciudadana. Si este en realidad existe, a la vista de su ridícula sanción (25 a 250 pesetas), se cierne solo sobre “[e]l que presenciare la perpetración de cualquier delito público” (art. 259 LECr), aunque también sobre “[l]os que por razón de sus cargos, profesiones u oficios tuvieren noticia de algún delito público” (art. 262 LECr).

Pero el que ahora nos interesa es el tercer lado del triángulo: si con esta obligación de denuncia no se estará restringiendo el derecho constitucional de la persona jurídica a no autodenunciarse en la medida de que el delito individual pueda poner de manifiesto el delito de la organización: que tal delito individual se produjo por falta de un sistema razonable de prevención del mismo.

El riesgo no es nimio pues vivimos aún en un cierto contexto de incertidumbre en torno a ese estándar de la diligencia de la persona jurídica. La empresa podrá siempre pensar que, aunque cree que hace las cosas bien, el hecho de que se haya cometido un delito individual de los suyos, en su seno y en su favor va a levantar una fuerte sospecha de descontrol que puede terminar, no ya en su imputación y en su acusación, que ya es bastante pena, sino incluso en su condena.

“Que no denuncie, entonces, en ejercicio de sus garantías constitucionales”, podrá decirse. Ya, pero es que entonces estará generando un fuerte indicio en su contra. Si se llega a conocer el delito individual, la falta de denuncia se atribuirá a que no había un correcto sistema de cumplimiento: a que la persona jurídica no quería autodenunciarse. Algo parecido hemos pensado en relación con el deber de renuncia a la defensa del abogado penal para no incurrir en blanqueo por el cobro de sus honorarios (por cierto: si es que esto es un acto de blanqueo y no un gasto necesario con otra finalidad).

O sea: que el brete, el brete inconstitucional, es el siguiente: si mi sistema de cumplimiento es probablemente defectuoso, si denuncio, me denuncio, y si no lo hago, pues también. La salida es esa: la inconstitucionalidad. O la forzada interpretación de que ese deber de denuncia se refiere solo a los supuestos en los que la entidad no tiene posibilidades de responsabilidad penal, bien sea porque por su índole esté excluida (art. 31 quinquies 1 CP), bien porque se trate de un delito que no genera responsabilidad penal de las personas jurídicas.

 

¿Confidencialidad?

Una de las preguntas que siempre ha inquietado en la construcción razonable de los canales de denuncias es la de la admisibilidad de las denuncias anónimas frente a la exigencia de una identidad protegida con garantía de confidencialidad, que a su vez es una garantía de indemnidad. Ninguna represalia puede haber si no sabemos quién ha sido.

En relación con las denuncias anónimas la Directiva dice básicamente dos cosas en su artículo 6:

– que no las va a regular, dejando la decisión acerca de su admisibilidad al Derecho de los Estados;

– que si se admiten, habrá de protegerse al denunciante conforme a la Directiva si luego es identificado y sufre represalias. El anonimato previo no priva de protección posterior.

La Ley impone que se admitan las denuncias anónimas (art. 7.3), en coherencia con lo que ya venía haciendo nuestro ordenamiento en materia de datos y de blanqueo. La admisibilidad de las denuncias anónimas tiene el inconveniente de que puede promover las denuncias espurias y, como pone de manifiesto nuestra jurisprudencia penal, la de su baja credibilidad (la identidad es en realidad un elemento de veracidad, por la propia sanción de la falsedad), y la de la generación de indefensión, pues el afectado carece del dato esencial relativo a quién le imputa como elemento para combatir la veracidad de la imputación.

Pero, en un mundo en el que apenas se denuncia y en el que por ello lo que tratamos es de alentar la denuncia, tiene la evidente ventaja de que la facilita, pues es la que definitivamente vence el miedo a la alerta interna: ninguna represalia puede darse en el anonimato, si no hay sujeto al que represaliar.

Esta ventaja engorda a la par de la posible evanescencia de la confidencialidad. Si el asunto llega a los tribunales de lo penal y si, como será usual, el informante es un testigo, las garantías de defensa del acusado exigirán el conocimiento de su identidad. Así lo recoge la Directiva (art. 16.2) y así lo recoge ya el preámbulo de la Ley: “este pilar esencial de la norma europea se exceptúa cuando […] se solicita en el marco de un proceso judicial, lo que ocurre en muchas ocasiones, argumentando el juzgador la necesidad de conocer la identidad de quien denunció, para garantizar el derecho de defensa del denunciado”.

Una duda adicional es si el derecho de defensa permite la salvaguarda en todo caso de la confidencialidad en la instrucción disciplinaria, sea empresarial o sea de la autoridad administrativa en el manejo del canal institucional. En la regulación del canal institucional, la Ley dice en general que el informante tiene la garantía de “reserva de identidad […], de modo que esta no sea revelada a terceras personas” (art. 21.1º); y tajantemente que “[e]n ningún caso se comunicará a los sujetos afectados la identidad del informante” (art. 19.2). Y más en general se configura como una medida global de protección: “La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora” (art. 33.3).

Según esto existe reserva absoluta de identidad del informante, frente al derecho de defensa del afectado, en el procedimiento empresarial interno y en el equivalente de la Autoridad Independiente, pero no en el penal ni en el procedimiento administrativo sancionador. Esto suscita una cuestión en la que creo que se ha pensado poco y es la de cuáles han de ser las garantías en un procedimiento sancionador interno de una empresa: hasta qué punto son reducibles por tratarse de un procedimiento menor. ¿Es tan obvio que el derecho de defensa del expedientado admita que se mantenga la confidencialidad del informante?

 

Conclusiones

Concluyo. La Ley tiene dos defectos groseros:

• la falta de inmunidad penal por el hecho de informar, que podemos salvar con la invocación directa de la Directiva;
• la obligación de las personas jurídicas susceptibles de responsabilidad penal de comunicar los delitos individuales a la Fiscalía, que es probablemente inconstitucional.

Y la Ley tiene algunos defectos técnicos menores. Me llama la atención la constante repetición de “Autoridad Independiente de Protección del Informante, A. A. I.”, solo a veces con la coma final, y cuyas siglas no se refieren al nombre de la Autoridad (que sería A. I. P. I.), sino a que es una Autoridad Administrativa Independiente. También da que pensar que la obligación de permitir las denuncias anónimas se acompañe de un intrigante “incluso” (“Los canales internos de información permitirán incluso la presentación y posterior tramitación de comunicaciones anónimas”).

Con todo, el defecto más simpático es la dicción del artículo 2.1.b que, para definir el ámbito material de aplicación de la ley, dice: “Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social”. Imagínense que trasladáramos esa técnica, que en realidad cuestiona el primer inciso, a otros textos jurídicos: “Todos tiene derecho a la vida. En todo caso, los murcianos tienen derecho a la vida”. Ya saben, todos somos iguales pero unos más iguales que otros (Animal Farm, George Orwell).