A través de la experiencia, hemos podido constatar que los informantes o denunciantes no denunciaban porque no se sentían suficientemente protegidos contra posibles presiones y represalias. Por este motivo, el Parlamento Europeo y el Consejo aprobaron la Directiva 2019/1973 de 23 de octubre relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, con la obligación para cada estado miembro de transponerla a su ordenamiento jurídico.
En este sentido, hace pocos días, finalmente se ha publicado la esperada Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, cuyo fin es salvaguardar a las personas que, en un contexto laboral o profesional, detecten infracciones penales o administrativas graves o muy graves, y las comuniquen mediante los mecanismos recogidos en la norma.
Llama especialmente la atención este límite a las sanciones graves o muy graves. Mientras que el objetivo de la Directiva parece tener un alcance mayor, nuestro legislador, sin embargo, lo justifica alegando que "los canales de información puedan concentrar su actividad investigadora en las vulneraciones que se considera que afectan con mayor impacto al conjunto de la sociedad" (Preámbulo III de la Ley 2/2023). Se trata de algo que también ha sido objeto de crítica por parte de organizaciones internacionales expertas en la protección de los denunciantes.
Por otro lado, en 2010, nuestro Código Penal reconoció la posibilidad de responsabilizar penalmente a las personas jurídicas de la comisión de determinados delitos cometidos por sus empleados, en caso de que estas no hubiesen adoptado la debida supervisión, vigilancia y control sobre ellos. Con este régimen, se promovía que las organizaciones se dotaran de sistemas organizativos y de control para evitar la comisión de delitos en su seno, quedando exentas de responsabilidad penal si habían adoptado y ejecutado eficazmente un adecuado modelo para prevenirlos.
Y ante este contexto, ¿qué supone esta nueva Ley para las organizaciones?
En primer lugar, partimos de la base de que las grandes compañías del sector privado ya comenzaron a implantar, a raíz del mencionado régimen, este tipo de canales internos que ahora tendrán que adaptar a los procedimientos y requerimientos de la norma recién publicada. Sin embargo, son las pequeñas y medianas empresas, junto con la Administración Pública, las que sufrirán un mayor impacto, ya que esta nueva Ley obliga a implantar un Sistema interno de información a todas las empresas privadas con 50 o más trabajadores, así como a todas las entidades del Sector Público en su totalidad, entre otras.
Para afrontar la gestión de los riesgos penales y cumplir con este nuevo marco normativo, las organizaciones deben implantar este Sistema interno de información o canal de denuncias que permita a las personas que hayan tenido información en un contexto profesional denunciar acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. Todo, sobre los pilares fundamentales de independencia, confidencialidad, seguridad, protección de datos, secreto y anonimato.
Estos canales, además de poder ser gestionados internamente por una persona o departamento dentro de una organización, podrán ser proporcionados externamente por un tercero experto independiente, algo que puede garantizar mayor eficacia y agilidad en su puesta en marcha.
Por otro lado, las organizaciones sufrirán una mayor presión sancionadora ya que, la Ley contempla la creación de la Autoridad Independiente de Protección del Informante que vele por el cumplimiento de la norma y podrá imponer multas que pueden llegar hasta el millón de euros, en caso de no contar con un Sistema interno de información, adoptar represalias contra los informantes o vulnerar las garantías de confidencialidad y anonimato, entre otras.
Otra de las cuestiones más alarmantes es el breve periodo que tienen las organizaciones para adaptar o implantar este nuevo sistema: tres meses desde la fecha de entrada en vigor de la Ley para Administraciones Públicas y empresas con más de 249 trabajadores, y hasta el 1 de diciembre de 2023, para las empresas con una plantilla de entre 50 y 249 trabajadores, o municipios de menos de diez mil habitantes.
Ante este nuevo escenario, muchas organizaciones se limitarán a poner en marcha estos Sistemas internos de información para cumplir con la norma y evitar posibles sanciones; sin embargo, la implantación de estos sistemas de forma aislada no evitará que dentro de cada organización se continúen produciendo incumplimientos o prácticas reprochables. Lo fundamental será que vayan de la mano de un modelo de organización y gestión o Corporate Compliance Programs para promover una verdadera cultura ética empresarial.
Con todas estas cuestiones sobre la mesa, los verdaderos retos a los que se enfrentan las organizaciones en este sentido son:
- Implantar el Sistema interno de información en tiempo y forma.
- Detectar y limitar los incumplimientos normativos en el seno de la organización.
- Disponer de una estrategia de reducción de riesgos.
- Potenciar la cultura de Compliance dentro de la organización.
- Crear una imagen de transparencia que permita a la organización desarrollar confianza por parte de los grupos de interés.
Para afrontarlos adecuadamente, existen especialistas, abogados tecnológicos con amplia experiencia en el ámbito del Compliance y la Privacidad, que proporcionan soluciones para ayudar a las organizaciones a eliminar o reducir la posibilidad de incumplimiento y a minimizar su impacto. Mediante la implantación de un canal ético a través de una tecnología concreta, la formalización de todo el marco normativo y procedimental para la tramitación y resolución de las denuncias, formación, y soporte a la implantación, lograrán crear o reforzar el modelo de cumplimiento de la organización, reducir los riesgos penales, evitar daños reputacionales y garantizar la confidencialidad y seguridad.