¿Cómo afecta a las empresas la ley de protección al informante?

El pasado 13 de marzo de 2023 entró en vigor la Ley 2/2023 que traspone la conocida como Directiva Whistleblowing. La finalidad primordial de esta ley es fomentar la “cultura de la información” en la ciudadanía como medio de detección de la comisión de infracciones en el ámbito empresarial. Siendo así que, hasta la fecha, la utilización de los actuales canales de denuncia de las organizaciones ha sido relativamente escasa debido, entre otras razones, a la ausencia de un marco normativo que garantizara la protección del denunciante ante posibles represalias del denunciado o su entorno, la nueva Ley pretende garantizar la protección de quienes denuncien infracciones (ya sean administrativas, penales o contra el derecho de la Unión Europea) conocidas, de manera lícita, en el contexto laboral o profesional, a fin de evitar que puedan verse persuadidos de aflorar esas infracciones por temor a eventuales represalias.

En lo positivo, la ley establece un concepto muy amplio de “informante”, obliga prácticamente a todas las personas físicas y jurídicas, tanto del sector público como privado, a establecer sistemas internos de información que garanticen su protección y, en lo que al tipo de infracciones que pueden ser comunicadas a través de estos sistemas, establece un ámbito objetivo de aplicación amplio.

La ley establece dos vías distintas de comunicación. Por un lado, un Sistema Interno de Información -SII- (canal interno) para las entidades públicas y privadas. Por otro, un Canal Externo ante una autoridad estatal de nueva creación, vinculada al Ministerio de Justicia, que se denominará Autoridad Independiente de Protección del Informante (AAI) y que tendrá acceso directo a la Fiscalía.

La ley establece como cauce preferente para denunciar las infracciones previstas en su artículo 2 el SII. Éste, en esencia, debe garantizar la confidencialidad (o anonimato, en su caso) de la identidad del informante y de cualquier tercero mencionado en la comunicación, de las actuaciones que se desarrollen, así como la protección de los datos incluidos y que se generen con motivo de la denuncia. Dados los elevadísimos estándares de confidencialidad y seguridad exigidos por la ley, parece que la única manera de atenderlos pasa por la implantación de soluciones tecnológicas que aúnen todos los canales internos de una organización y la información que se genere en el marco de su utilización.

Se exige el nombramiento por parte del órgano de administración de cada organización de un Responsable del Sistema (RSI) que desarrollará sus funciones de forma independiente y autónoma y cuyo nombramiento y cese deberá comunicarse, en todo caso, a la AAI. Se contempla expresamente la posibilidad de que el compliance officer asuma esta responsabilidad.

La ley establece, no obstante, la posibilidad de externalizar la gestión del sistema (incluyendo la tramitación de las denuncias) en un tercero especializado. La ventaja, entre otras, de acudir a un tercero externo es que, en su caso, los expedientes que se generen con motivo de las denuncias internas quedarían bajo la protección del secreto profesional del abogado (legal privilege).

En lo negativo, esta ley adolece de deficiencias técnicas de calado. Se trata de una ley ordinaria con pretensiones de ley orgánica por cuanto, en determinados preceptos, menoscaba derechos fundamentales y principios inspiradores del proceso penal, a pesar de mencionar expresamente en su artículo 2 que las normas del proceso penal prevalecen sobre las exigencias de la ley.

En este sentido, el artículo 9.2.j) parece imponer la obligación de remisión “inmediata” de la información al Ministerio Fiscal “cuando los hechos pudieran ser indiciariamente constitutivos de delito”; obligación que colisiona claramente con el derecho fundamental de defensa consagrado en el artículo 24 de nuestra Constitución en su manifestación del derecho a la no autoincriminación.

En el marco de la instrucción que pueda llevar a cabo la AAI, incluye la obligación de atender los requerimientos de las autoridades competentes para aportar documentación, datos o cualquier información. Habrá que ver a qué requerimientos se refiere exactamente este precepto porque si se estuviera refiriendo a la obligación de la persona afectada por la denuncia de atender los mismos, estaríamos de nuevo ante una previsión contraria al derecho de todo investigado a no aportar la información que, en su caso, pudiera incriminarle.

Respecto al canal externo, será la AAI (o autoridad análoga) la encargada de recibir y tramitar las informaciones que, a través de este, se comuniquen. Esta autoridad podrá remitir la información directamente a la Fiscalía si aprecia que los hechos son indiciariamente delictivos.

En el plazo de un año, el Consejo de Ministros deberá aprobar mediante real decreto el Estatuto de la AAI en el que deberá establecer la organización, estructura, funcionamiento.

Siendo muy positivo que por fin se haya establecido un marco normativo de protección para quienes denuncien determinado tipo de infracciones, orientado al fin último de fomentar la colaboración ciudadana en la lucha contra la delincuencia económica, no lo es tanto que, bajo ese propósito, se aprueben leyes contrarias, en algunas de sus previsiones, a los derechos más fundamentales consagrados por nuestra Constitución y nuestro ordenamiento jurídico. El fin no siempre justifica los medios y éste es, sin duda, un claro ejemplo de que no debe ser así.

Berta Aguinaga, socia responsable del área de Penal y Compliance de Ontier