Un paso adelante en el ‘compliance’

La UE obliga a las empresas a crear cauces para denunciar infracciones de derecho comunitario

Un paso adelante en el ‘compliance’

El Consejo de Ministros de la Unión Europea (UE) ha aprobado, el pasado 7 de octubre, la Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas que informen sobre infracciones del Derecho de la UE, debiendo de transponerla los Estados miembros antes del 15 de mayo de 2021.

Esta directiva obliga, de un lado, a las empresas, privadas y públicas, a establecer cauces internos de denuncias sobre infracciones del Derecho de la UE. De otro, a los Estados miembros para designar una autoridad competente en esta materia, crear cauces externos de denuncias, así como establecer medidas de protección para los que las lleven a cabo (whistleblowers).

Las infracciones que contempla la norma comunitaria afectan a un amplio número de materias, donde pueden destacarse, la contratación pública, los servicios financieros, la prevención del blanqueo de capitales y financiación del terrorismo, la seguridad de productos y transporte, la protección del medio ambiente, la salud pública, la protección de los consumidores y de los datos personales y de la intimidad, la libre competencia, el fraude, así como el mercado interior, respecto al Impuesto sobre Sociedades.

La directiva protege a los denunciantes, empleados en los sectores público o privado, que hayan tenido conocimiento de infracciones en un contexto laboral, ya sean trabajadores por cuenta propia o ajena, accionistas, miembros del órgano de administración, voluntarios, trabajadores en prácticas no remuneradas, cualquier persona que trabaje bajo la supervisión o dirección de contratistas subcontratistas y proveedores, así como aquellos cuya relación laboral aún no haya comenzado cuando la infracción se haya cometido durante el proceso de selección.

Entre las entidades obligadas del sector privado se encuentran las que cumplan una de las siguientes condiciones: cuenten con 50 o más empleados; su volumen de negocios sea, igual o superior, a 10 millones de euros; y, cualquiera que sea su tamaño, cuando operen en el ámbito de los servicios financieros o sean vulnerables al blanqueo de capitales o financiación del terrorismo. Ahora bien, los Estados miembros podrán aplicar la Directiva a otras empresas (pymes) en función de su actividad y nivel de riesgo. También se encuentran obligadas las Administraciones del Estado, regional y provincial; los Municipios de más de 10.000 habitantes y otras entidades de Derecho público.

Se establecen dos tipos de denuncias: la internas y las externas. Respecto de las primeras, las entidades, sean públicas o privadas, deben crear cauces para recibirlas, garantizando la confidencialidad de la identidad del informante e impidiendo el acceso al personal no autorizado; designar la persona o el servicio competente para tramitarlas (compliance officer), así como hacerlo diligentemente, comunicando al denunciante el curso de la denuncia en un plazo no superior a 3 meses.

Por lo que se refiere a las externas, los Estados miembros han de designar a las autoridades competentes encargadas de recibirlas y tramitarlas. Estas deben, entre otras cuestiones, establecer cauces externos de denuncia independientes, autónomos, seguros y confidenciales; comunicar al denunciante tanto el curso de la denuncia en un plazo no superior a 3 meses o de 6 en casos justificados, como el resultado final de la investigación y transmitir la información a los órganos u organismos competentes de la UE para que sigan investigando, cuando esté previsto por el Derecho nacional o comunitario.

Los cauces para recibir todas ellas pueden consistir en un canal de denuncias (por tanto, escritas en formato electrónico); en papel; orales o por vía telefónica, grabadas o no grabadas y reuniones presenciales con el compliance officer o con el personal especifico de la autoridad competente. Quedan prohibidas las represalias contra el denunciante, tales como la suspensión, despido, destitución o medidas equivalentes; la degradación o denegación de ascensos; los cambios de puesto, ubicación u horario de trabajo; así como la reducción salarial. Además y para evitar estas represalias, la Directiva exige que se dote a los denunciantes de información publica y asesoramiento, de carácter general y gratuito, sobre los procedimientos y recursos disponibles para la protección contra ellas o el acceso a asistencia efectiva por parte de las autoridades competentes.

Los Estados miembros han de establecer sanciones eficaces, proporcionadas y disuasorias, para aquellos que impidan o dificulten la presentación de denuncias; adopten medidas de represalia contra los informantes; promuevan procedimientos temerarios contra ellos o incumplan el deber de mantener la confidencialidad de su identidad o presenten denuncias con revelaciones maliciosas o abusivas. Tal y como puede comprobarse esta norma comunitaria se encuentra en la senda del compliance. Ahora bien, ya no se trata, como ocurre con las previsiones del art. 31.bis del Código Penal, ante el establecimiento, con carácter voluntario, de un sistema de gestión de riesgos que tiene como consecuencia la exención de responsabilidad penal de la persona jurídica, sino de una norma cuyo incumplimiento lleva aparejado un régimen sancionador.

Nos queda esperar a la transposición de la Directiva y no nos extraña que se extienda a infracciones de nuestro Derecho interno. Con independencia de que ello sea así, las organizaciones que dispongan de un compliance penal y tributario y, por tanto, tengan establecido un canal de denuncias, habrán de ampliarlo a las previsiones de la directiva.

Javier Martín Fernández es Socio Director de Ideo Legal. Catedrático de Derecho Financiero y Tributario de la Universidad Complutense