Académique Documents
Professionnel Documents
Culture Documents
1. Definición y fundamento.
1
comportamientos de los empleados de la empresa que puedan dar lugar a la
exigencia de responsabilidad administrativa o de responsabilidad civil derivada
canales de denuncia pueden, igualmente, evitar o prevenir supuestos en los
que pueda acabar imputándose responsabilidad penal a los altos directivos de
la empresa, por ejemplo, en aquellos supuestos en que tengan una posición de
garante respecto de bienes o derechos de los empleados (artículo 11 del
Código Penal).
2
de Trabajo del artículo 29 (en adelante, Dictámen 1/2006) y el Informe Jurídico
128/2007 de la AEPD “relativo a la creación de sistemas de denuncias internas
en las empresas”.(en adelante, Informe AEPD) Aun cuando no son vinculantes,
es evidente que sus recomendaciones deben ser atendidas en la organización
del Canal de denuncias so pena de poder incurrir en ilícitos administrativos que
llevan aparejado la imposición de importantes sanciones económicas.
3
y gestión del Canal de denuncias, de forma que siempre pueda estar la
empresa en condiciones de acreditar no sólo su existencia sino también su
efectivo funcionamiento y cumplimiento de los diferentes requerimientos de
eficacia que pueden llegar a determinar la aplicación de la exención o
atenuación de la responsabilidad penal.
4
sanciones que puede acarrear el incumplimiento de las normas. Expresión de
extrema eficacia, incluso, sería el que se estableciera la obligación de los
integrantes de la empresa de denunciar y no permitir el desarrollo de
comportamientos contrarios a los códigos internos, de forma que, incluso, la
empresa podría reaccionar frente a comportamientos pasivos de los
trabajadores que ampararan con su silencio los comportamientos antijurídicos.
5
que sea valido el sistema conforme a la normativa de protección de datos es
preciso que
Sin duda, tras la introducción del artículo 31 bis del Código Penal y posible
justificación del Canal de denuncias en los artículos 6.1 y 11.2 a) de la LOPD,
la afirmación anterior requiera alguna matización, en el sentido de que pueda
6
introducirse, igualmente, en relación con los comportamientos necesarios para
prevenir la responsabilidad penal de la empresa y otras responsabilidades
civiles o administrativas de la misma. En cualquier caso, tal requisito se cumple
suficientemente desde el momento en que el Programa de Compliance se
inserta en el ámbito de la relación laboral o mercantil de trabajadores y
proveedores, de forma que se configure como obligatorio el respeto de las
reglas y prohibiciones contenidas en los Códigos internos.
7
incurrir en responsabilidades penales (delito de desobediencia) o
administrativas (sanciones por falta de suministro de información presentes en
numerosas regulaciones sancionadoras administrativas).
Para concluir este punto, una vez más, debe de tenerse en cuenta que la
confidencialidad de la denuncia es, sobre todo, un principio destinado a
fomentar el uso del canal de denuncias y, con ello, a la mejor eficacia del
programa de compliance o cumplimiento normativa con las consecuencias que
ello tiene en la defensa penal de la sociedad. Por ello, cuando se habla de
confidencialidad no es suficiente con la garantía formal de la misma. La
empresa estará en mejor posición si, además, introduce los procedimientos y
mecanismos técnicos adecuados para garantizar que no existan fugas o
accesos no consentidos a esta información tan sensible.
8
Nada impide el que los canales de denuncias puedan abrirse a personas que
no son trabajadores a la empresa pero que, por su vinculación con ella, puedan
tener un fácil conocimiento de comportamientos inadecuados de trabajadores o
directivos de la empresa. En particular, clientes, proveedores, subcontratistas.
De hecho, como señala la doctrina hay una tendencia creciente en los países
que tienen más desarrollados estos sistemas a abrir los sistemas de denuncia
a clientes, proveedores o, en general, a terceros que por las relaciones
profesionales que mantengan con la empresa puedan llegar a conocer
comportamientos irregulares.
En este punto, igualmente, hay que tener en cuenta que la apertura del canal
de denuncias a terceros debe documentarse de alguna forma, de tal manera
que este hecho pueda acreditarse en un eventual procedimiento. Referencias a
la posibilidad de denunciar por clientes o proveedores en la documentación
contractual (condiciones generales) o comercial (albaranes, facturas) o en la
página web de la empresa suelen ser el mecanismo habitual de
documentación.
Desde un punto de vista de eficacia, parece claro que las denuncias anónimas
podrían garantizar un uso más extendido de la denuncia, desde el momento en
que eliminaría las reticencias de los posibles denunciantes a usar este
mecanismo, ante el temor a represalias o, simplemente, el reproche que
puedan recibir de sus compañeros. Parece claro, igualmente, que una
denuncia anónima aumenta el riesgo de denuncias gratuitas o infundadas. La
posibilidad de denuncias anónimas está presente en los primeros precedentes
9
en la materia. Así, por ejemplo, la Ley-Sarbanes Oxley hace referencia a
“procedimientos para la recepción, retención y tratamiento de quejas recibidas
por el causante en relación con la contabilidad, controles contables internos o
cuestiones de auditoría; y la presentación confidencial y anónima por parte de
los empleados de la persona causante de preocupación en relación con
cuestiones contables o de auditoría cuestionables”. Es típica, por ello, en
sistemas y compañías anglosajonas, circunstancia que, sin duda, llevó al
Informe 1/2006 a no oponerse a su admisión.
Tal y como resulta del informe AEPD, el respeto del principio de calidad de los
datos contenido en el artículo 4 de la LOPD (destinado a garantizar que “los
datos personales sean exactos y puestos al día de forma que respondan con
10
veracidad a la situación actual del afectado”) exige que sólo pueden ser
aceptadas en el sistema denuncias en las que aparezca identificada el
denunciante.
c) Órgano competente.
La reforma del Código Penal ofrece, en este punto, un criterio organizativo que
ha de ser tenido en cuenta a la hora de configurar los canales internos de
denuncia. Señala, en este sentido, el artículo 31 bis apartado 3 del Código
Penal que,
11
“1. Podrán formular cuenta de pérdidas y ganancias abreviada las
sociedades que durante dos ejercicios consecutivos reúnan, a la fecha
de cierre de cada uno de ellos, al menos dos de las circunstancias
siguientes:
a) Que el total de las partidas de activo no supere los once millones
cuatrocientos mil euros.
b) Que el importe neto de su cifra anual de negocios no supere los
veintidós millones ochocientos mil euros.
c) Que el número medio de trabajadores empleados durante el ejercicio
no sea superior a doscientos cincuenta.
Las sociedades perderán la facultad de formular cuenta de pérdidas y
ganancias abreviada si dejan de reunir, durante dos ejercicios
consecutivos, dos de las circunstancias a que se refiere el párrafo
anterior.
2. En el primer ejercicio social desde su constitución, transformación o
fusión, las sociedades podrán formular cuenta de pérdidas y ganancias
abreviada si reúnen, al cierre de dicho ejercicio, al menos dos de las tres
circunstancias expresadas en el apartado anterior.”
A sensu contrario, las empresas que no tengan esta condición deben atribuir a
un órgano especializado las funciones de vigilancia y control si quieren cumplir
con las exigencias que, conforme al Código Penal, pueden determinar la
exención de la responsabilidad penal.
12
Así, en materia de protección de datos, el informe 1/2006 recomienda a las
empresas que establezcan “una organización específica dentro de la sociedad
o del grupo dedicada a tratar los informes de los denunciantes y que dirija la
investigación”. Esta organización “deberá estar compuesta de personal
especializado , formado y dedicado, limitado en su número y vinculado
contractualmente por obligaciones”. Este sistema debería “estar estrictamente
separado de otros departamentos de la sociedad, tales como el departamento
de recursos humanos”.
Nada impide que estas funciones puedan ser realizadas por un asesor externo
a la empresa, siempre que en su contratación se adopten las limitaciones y
garantías exigidas, fundamentalmente, por la legislación de protección de datos
(autorizaciones para tratamiento y cesión de datos personales, mecanismos de
seguridad etc.). De hecho, esta opción puede llegar a ser inevitable para las
pequeñas y medianas empresas, para las que les puede resultar costoso el
mantenimiento de una estructura específica para la recepción y gestión de
denuncias y, sobre todo, difícil el garantizar la independencia y confidencialidad
en la investigación.
a) Forma de la denuncia.
13
En cuanto a la forma de la denuncia, los ejemplos de programas de compliance
existentes suelen utilizar como métodos de formalización de denuncias los
siguientes: denuncia telefónica, denuncia por correo electrónico a una dirección
específicamente dedicada a su recepción, denuncia electrónica a través de la
cumplimentación de un formulario, denuncia por correo postal o, simplemente,
denuncia escrita presentada personalmente.
“1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco: a) de la
existencia de un fichero o tratamiento de datos de carácter personal, de
la finalidad de la recogida de éstos y de los destinatarios de la
información, b) del carácter obligatorio o facultativo de su respuesta a
las preguntas que les sean planteadas c) de las consecuencias de la
obtención de los datos o la negativa a suministrarlos d) de la posibilidad
de ejercer los derechos de acceso, rectificación cancelación y oposición,
e) de la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
…
14
2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las advertencias a
que se refiere el apartado anterior”.
15
denunciados, sino también detectar las posibles fallos y malos funcionamientos
de sus sistemas internos de control, lo que, en última instancia, redunda en la
mejora permanente del sistema. Por lo demás, la investigación interna puede
ser más eficaz y ágil para el esclarecimiento de las posibles infracciones que
una investigación policial, de forma que esta labor de instrucción previa a la
toma de decisiones satisface, en última instancia, la finalidad de la reforma de
la responsabilidad penal de la personas jurídicas: el hacer de la empresa un
colaborador eficaz de la justicia en el descubrimiento y persecución de
determinados delitos.
16
personales del trabajador a los supuestos en que sea necesario para la
protección del patrimonio empresarial o de los restantes trabajadores y siempre
con las garantías y cautelas que se establecen en dichos preceptos.
“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin
su consentimiento, se apodere de sus papeles, cartas, mensajes de
correo electrónico o cualesquiera otros documentos o efectos
17
personales, intercepte sus telecomunicaciones o utilice artificios técnicos
de escucha, transmisión, grabación o reproducción del sonido o de la
imagen, o de cualquier otra señal de comunicación, será castigado con
las penas de prisión de uno a cuatro años y multa de doce a veinticuatro
meses”.
18
los tres meses siguientes al momento del registro de los datos, salvo
que ya hubiera sido informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en
las letras a), d) y e) del apartado I del presente artículo”
Desde el punto de vista del principio de eficacia que debe presidir el sistema
para cumplir los objetivos de exención del artículo 31 bis del Código Penal,
tales medidas no deberían ceñirse, exclusivamente, a medidas de orden laboral
o disciplinario. Descubierta la comisión de posibles hechos delictivos por parte
de empleados de la empresa, la no puesta en conocimiento de los mismos a
las autoridades competentes (por el temor a la imputación de la propia empresa
si se trata de un delito que ha beneficiado a la misma y que puede dar lugar a
19
la exigencia de responsabilidad penal) supone el riesgo de que, en el supuesto
de un descubrimiento posterior de los hechos e inicio de acciones penales, no
podría invocarse por la empresa la exención prevista en el artículo 31 bis del
Código Penal. El beneficio de la exención está ligado, como es sabido, al
establecimiento de procedimientos efectivos de vigilancia y control que
permitan la persecución de los delitos.
20
No serán conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en
base a los cuales hubieran sido recabados o registrados.”
21