En virtud de las disposiciones transitorias primera y segunda de la Ley 2/2023 de protección al informante, el 13 de junio vence el plazo para que una buena parte del sector público y privado adapten sus mecanismos internos para informar de infracciones al nuevo régimen legal. Deriva de la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Tanto la Directiva como la Ley española enmarcan un estatuto de protección a las personas que informen de determinadas infracciones, sabiendo que el recelo a una gestión irresponsable de sus comunicaciones o el miedo a las represalias compromete seriamente el desempeño de los canales internos articulados al efecto.
Con esa finalidad, la Ley española regula las garantías que deben contemplar tanto el sistema interno de información como todos los canales internos que integra. En conjunto, es una regulación de mínimos que se proyecta sobre cuestiones esenciales, pero que obvia algunos avances ya generalizados en muchas organizaciones. Para ellas, guiarse exclusivamente por lo regulado en la Ley española puede suponer una regresión en la calidad de la gestión.
El ámbito material de aplicación de la Ley se circunscribe a ciertas infracciones de Derecho positivo de la Unión Europea y de Derecho nacional español. Las organizaciones sensibilizadas con una gestión responsable incluyen las vulneraciones de los valores que cimientan su cultura ética que, en no pocas ocasiones, coinciden o son la antesala de infracciones legales de calado. Llama la atención que el nuevo marco normativo obvie esta realidad, cuando la cultura corporativa se reconoce como una cuestión fundamental por la mayoría de estandares nacionales e internacionales sobre compliance, por la Circular 1/2016 de la Fiscalia General del Estado y por las principales sentencias sobre responsabilidad penal de las personas jurídicas dictadas por nuestro Alto Tribunal. A pesar del olvido, ni la Directiva ni la Ley española impiden considerar las infracciones de la ética corporativa.
Tanto la Directiva como la Ley española recogen medidas de protección destinadas a las personas físicas, provocando que la condición de informante y el estatuto de protección se proyecte sobre ellas. Solamente habla de las personas jurídicas cuando existen vínculos con las personas físicas denunciantes. Se olvida que las personas jurídicas pueden conocer infracciones y tienen derecho a actuar conforme su capacidad legal propia, que es independiente a la de cualquier persona física. Disponen normalmente de mayores recursos para fundamentar sus comunicaciones, aportar evidencias y sus actos resultan de procesos decisorios exentos de improvisación. No siempre es así en las comunicaciones cursadas por personas físicas, que suelen producirse los viernes por la tarde, acusando la fatiga emocional de la semana. Adaptarse al nuevo marco regulador no significa abandonar esta posibilidad, aunque no esté expresamente contemplada.
El nuevo marco normativo extiende la protección a otras personas físicas vinculadas con el informante, como sus compañeros de trabajo o familiares. Sin embargo, existen sujetos acreedores de especial protección, no necesariamente relacionados con ese círculo cercano.
A raíz de la incorporación en España de los delitos de acoso sexual y trato denigrante al catálogo aplicable a las personas jurídicas, ya concurren informantes advirtiendo de irregularidades que han testimoniado, pero que afectan a personas fuera de su entorno laboral inmediato y que ni siquiera conocen. Siendo cierto que los informantes precisan protección, todavía más las personas afectadas por tales comportamientos.
Tanto la Directiva como la Ley española excluyen de su ámbito de aplicación los conflictos interpersonales, olvidando que su manifestación más grave -en forma de delitos de acoso sexual y trato denigrante- sí está dentro del alcance de infracciones denunciables. Esto no solo precisa extender expresamente el ámbito de protección a estas personas sino también conjugar las medidas requeridas para la lucha contra la discriminación y el acoso.
El preámbulo de la Ley española hace referencia a la figura del denunciado con varios propósitos, incluido el garantizar su derecho a la defensa. Sin embargo, su articulado habla de los sujetos afectados, que no es un término equivalente al anterior.
Suele considerarse como denunciado aquel que figura en la comunicación como presunto artífice de la infracción. Sin embargo, puede no ser finalmente su autor, tras las pesquisas de una investigación, por ejemplo. Por eso, los sujetos afectados no sólo incluyen al denunciado, sino a otros que han participado o incluso han sido los autores verdaderos de la infracción, aunque no fueran los denunciados por el informante. Sobre ellos realmente recaerán, en su caso, las consecuencias derivadas del expediente.
Como es lógico, tanto la Directiva como la Ley española prohíben las represalias contra el informante y su entorno. Aunque estas represalias pueden producirse por acción u omisión, el término evoca intencionalidad: nadie ejerce una represalia de manera inintencionada. Para no obviar la protección ante descuidos que igualmente damnifican al informante, el estándar ISO 37002:2021 sobre canales de denuncias recurre al concepto de “conducta perjudicial”, que incluye las represalias, pero comprende otras muchas casuísticas no intencionales: por ejemplo, que se conozca su identidad debido a una gestión descuidada. Aunque es un hecho sancionable por la Autoridad Independiente de Protección al Informante, no supone técnicamente una represalia que active las medidas para su protección. De ahí la conveniencia de referirse a conductas perjudiciales o conceptos equivalentes como desencadenantes del estatuto de protección, en lugar de restringirlo a las represalias.
La Directiva con la Ley española enfatizan la necesidad de mantener el tratamiento confidencial de los datos del informante y de su comunicación, pues constituye el núcleo esencial para su protección. Sin embargo, la exaltación de este principio puede comprometer etapas sensibles de la gestión del expediente, como dificultar algunas labores de investigación o privar de ciertas garantías de proceso al denunciado. No es raro que para soslayar estos y otros inconvenientes, algunos textos legales recurran al principio de necesidad de conocer (“need to know”), que ampara compartir ciertas informaciones cuando es absolutamente preciso, a la luz de las circunstancias. No constituye una salvedad al principio de confidencialidad, sino su ampliación a otros sujetos por motivos de necesidad legítima. Así lo regulan normas relacionadas con la seguridad de la información y el tratamiento de datos personales.
Lamentablemente, ni la Directiva ni la Ley española contemplan expresamente la necesidad de conocer, pero cabe reflexionar sobre la conveniencia y legitimidad de considerarlo en la regulación del proceso de gestión de comunicaciones internas.
La Ley española exige informar al Ministerio fiscal o a la Fiscalía Europea cuando se constaten indicios de determinadas infracciones. Para no activar este resorte prematuramente e incluso de forma imprudente, cabe poner cuidado en el momento de calificación -aún provisional- de los hechos informados e investigados, dado que podría considerarse el resorte lógico de ese traslado a las autoridades. Atención especial deben prestar los legitimados a participar en la gestión de las comunicaciones dotados de criterio experto para valorar los hechos informados, sabedores de las consecuencias automáticas que acarrea una calificación por su parte en cualquier momento del proceso.
En el video número 18 de la Serie sobre “Reflexiones de compliance” abordo una aproximación al compliance poco tratada: entenderlo como un mecanismo de selección artificial orientado a reducir paulatinamente la población susceptible de cometer irregularidades, disminuyendo así las necesidades de control.
Deja un comentario