Escrito por Jordi Dapeña Esquirol, socio de ASCOM.
El pasado 23 de abril de 2018, la Comisión Europea hizo pública la propuesta de la Directiva del Parlamento Europeo y del Consejo sobre la protección de los denunciantes de corrupción o fraude y violaciones de las leyes en los países de la Unión Europa, que en el marco de la lucha contra las actividades ilegales en todas sus formas, desde la corrupción o el fraude hasta la mala praxis o negligencia, en el seno de las organizaciones públicas y privadas, regula un “estatuto legal de protección del denunciante” que elevará el nivel de protección de los trabajadores, en consonancia con los Derechos Sociales Europeos (Pillar of Socials Rights).
Lo primero que sorprende es su ámbito subjetivo que, en contraste con la Ley española de lucha contra la Corrupción y Protección de los Denunciantes en fase de tramitación parlamentaria y que limita la protección a los funcionarios y trabajadores públicos, extiende la aplicación del estatuto legal de protección a los trabajadores del sector privado.
Así, obliga a las empresas privadas con más de 50 trabajadores o con un volumen de negocios anual de más de 10 millones de euros, y a las administraciones nacionales y regionales, y a los municipios con más de 10.000 habitantes, a implementar un canal de denuncias interno y un procedimiento para gestionar las comunicaciones y denuncias recibidas, fijándose un plazo de 3 meses para dar respuesta o resolver el incidente.
Además de la vía interna, se establecen dos vías o canales más de comunicación para el caso de que la comunicación/denuncia interna no funcione, no se adopten las medidas esperadas o exista un peligro inminente para el interés público. Supuestos en los que los Estados miembros deben proporcionar los canales adecuados para denunciar a las autoridades competentes e incluso a los medios de comunicación.
La utilización de cualquiera de los canales de comunicación debe activar la aplicación del estatuto de protección del denunciante que comprende entre otras medidas: (i) garantizar la confidencialidad, (ii) la prohibición de represalias, con sanciones en caso de que existieran (despido, degradación laboral o cualquier otra medida en contra del trabajador), (iii) acceso a asesoramiento gratuito y protección en los procedimientos judiciales (exención de responsabilidad por revelación de información).
La directiva EU tendrá efectos directos sobre la función de gestión de las organizaciones empresariales:
En primer lugar, sobre el deber de diligencia de un ordenado empresario que el artículo 225.1 LSC exige a los administradores sociales en el desempeño de su cargo. Éstos tienen el deber y la obligación de adoptar las medidas necesarias y precisas para la buena dirección, vigilancia y control de la sociedad (art. 225.2 LSC), siendo ahora una de esas medidas, de implementación obligatoria, el disponer de un canal de denuncias interno como un elemento más de una gestión diligente, ética y sostenible.
En segundo lugar, sobre el alcance y contenido de la gestión social. El canal de denuncia interno tiene como función principal la prevención y la detección, mediante la comunicación, de conductas ilegales y malas prácticas contrarias a las obligaciones compliance, así como al interés general y de las que pueden derivarse responsabilidades tanto para el sujeto infractor como para la persona jurídica, siendo un indicador más del nivel de integración de la cultura de cumplimiento en los procesos operacionales, de gestión y de gobernanza de la organización.
Ahora bien, implementar una canal de denuncia de forma aislada y separada de la gestión diligente y sostenible de la empresa por el simple hecho de ser obligatorio, no es reflejo de una gestión idónea y eficaz en términos de cumplimiento normativo. Para alcanzar una gestión eficaz que garantice de forma razonable la consecución de los objetivos de negocio y de cumplimiento normativo fijados por la organización, así como la sostenibilidad de la actividad social, a las funciones de prevención y detección debe añadirse la capacidad de reacción (interna y externa) que se concreta en la capacidad de corrección y mejora continua del sistema ante no conformidades y/o incumplimientos, dándose cumplimiento al ciclo Deming para la mejora continua (Planificar – Hacer – Verificar – Actuar) que recogen los sistemas de gestión ISO.
A nivel nacional, la primera referencia sobre mecanismos de comunicación de incidencias la encontramos en el Código Unificado de Buen Gobierno Corporativo emitido por la Comisión Nacional del Mercado de Valores en el año 2006 que en su artículo 50 establecía la recomendación que el Comité de Auditoría creara un sistema que permitiera a los empleados, de forma confidencial o anónima, comunicar irregularidades especialmente financieras y contables.
Los marcos actuales de referencia de estructuras de alto nivel de Sistemas Gestión Compliance (Soft Law) a los que las organizaciones pueden acudir para adoptar, desarrollar, implementar, evaluar, mantener y mejorar un Sistema de Gestión de Cumplimiento idóneo y eficaz, y que integran un canal de denuncia, son (i) el estándar genérico internacional ISO 19600 Sistemas de Gestión de Compliance; (ii) el estándar específico internacional ISO 37001 Sistemas de Gestión Antisoborno y su equivalente nacional UNE:ISO 37001; (iii) el estándar específico nacional UNE:ISO 19601 Sistemas de Gestión de Compliance Penal que desarrollando los requisitos que recoge el Código Penal de 2015 en su art. 31 bis 5 para los modelos de prevención y gestión de riesgos penales, va más allá incorporando buenas prácticas en materia de compliance internacionalmente aceptadas.
En el ámbito normativo (Hard Law) tenemos, por un lado, la LO 10/2010 sobre Prevención del Blanqueo de Capitales y Financiación del Terrorismo que obliga a los sujetos obligados a implementar un Sistema de Prevención de Riesgos que incluye un canal de denuncia interno y, por otro lado, el Código Penal que en su art. 31 bis 5 recoge el canal de denuncia como requisito de eficacia eximente del modelo de prevención penal.
Por ello, ante la nueva Directiva también las empresas privadas deben tomar conciencia de la necesidad y conveniencia de adoptar e implementar un sistema de gestión de cumplimiento normativo integrando en éste, junto a otros elementos, un canal de denuncias interno y disponer así de un sistema idóneo y eficaz con capacidad de prevención y detección de riesgos y de reacción (corrección y mejora continua) ante su materialización. Dotándose así, no sólo de un instrumento de defensa para administradores, directivos y la propia persona jurídica frente a posibles responsabilidades, sino también de una herramienta esencial para acreditar la existencia de una real cultura corporativa ética y de compromiso con el cumplimiento normativo.