CANAL DE DENUNCIAS E INVESTIGACIONES

1. Definición y fundamento.

Un canal de denuncias es un mecanismo interno, establecido en el seno de

una empresa, que permite a los empleados y demás personas vinculadas con
la misma trasladar a los órganos encargados de velar por el cumplimiento
normativo las posibles irregularidades e incumplimientos de la legislación
relevante para la actividad para la empresa y de la normativa interna. Es una
las piezas esenciales de cualquier programa de “compliance” que está
destinado a permitir a los organismos de control existentes en la empresa el
conocimiento de posibles actividades irregulares y, con ello, no sólo reaccionar
contra las mismas sino también evitar que la empresa pueda incurrir en
responsabilidad penal.

Esta última idea es esencial. La organización de un sistema interno de

denuncias no es, solamente, un mecanismo de gestión o control que resulta
conveniente dentro de las políticas de control y cumplimiento de la empresa.
No es algo que se pueda decidir crear o no. Es un mecanismo rigurosamente
imprescindible si se pretende conseguir que la empresa pueda beneficiarse de
la exención de responsabilidad penal (o incluso de la atenuación de la misma).
Así, tal y como resulta de lo establecido en el artículo 31 bis 5 del Código
Penal (tras la reforma operada por la Ley Orgánica 1/2015 de 30 de marzo),
para que los modelos de organización y gestión de la empresa puedan permitir
los efectos de exención o atenuación de la responsabilidad penal de la persona
jurídica, deben cumplir, entre otros, los siguientes requisitos:

“4.º Impondrán la obligación de informar de posibles riesgos e

incumplimientos al organismo encargado de vigilar el funcionamiento y
observancia del modelo de prevención.”

Obviamente, la existencia y eficaz aplicación de un canal de denuncias no sirve

sólo para evitar que la empresa pueda incurrir en responsabilidad penal. Puede
ser, igualmente, un mecanismo adecuado para prevenir o, en su caso, corregir

1
comportamientos de los empleados de la empresa que puedan dar lugar a la
exigencia de responsabilidad administrativa o de responsabilidad civil derivada
canales de denuncia pueden, igualmente, evitar o prevenir supuestos en los
que pueda acabar imputándose responsabilidad penal a los altos directivos de
la empresa, por ejemplo, en aquellos supuestos en que tengan una posición de
garante respecto de bienes o derechos de los empleados (artículo 11 del
Código Penal).

2. Organización del Canal de denuncias.

El fundamento y finalidad del Canal de denuncias, como elemento integrante

del programa de Compliance, sirve para determinar los criterios y requisitos
mínimos que han de ser considerados a la hora de organizar el Canal de
Denuncias. Para que un Canal de denuncias pueda servir para la obtención del
beneficio de la exención o, en su caso, atenuación de la responsabilidad penal
de la empresa, ha de cumplir con los requisitos generales de adecuación y
eficacia que se exigen por el artículo 31 bis del Código Penal para todos los
elementos que integran los programas de Compliance. Es decir, no basta con
una empresa establezca un Canal de denuncias para poder alegar con éxito la
exención penal frente a una acusación de cualquiera de los delitos que
determinan su responsabilidad penal. Para que ésta alegación sea eficaz debe
alegar y acreditar que el canal se ha implantado de forma efectiva y que sus
características resultan adecuadas y suficientes para la finalidad de control y
prevención a la que debe servir.

Al margen de lo anterior, desde el momento en que la organización y

funcionamiento del Canal de denuncias supondrá, normalmente, el tratamiento
de datos personales, habrá que tener muy presente la normativa europea y
nacional en materia de protección de datos. En esta ámbito, existen dos
documentos de lectura obligada (que se acompañan como Anexo a esta
lección). Son el “Dictamen 1/2006 sobre la aplicación de las normas de la UE
relativas a la protección de datos a programas internos de denuncia de
irregularidades en los campos de la contabilidad, los controles internos asuntos
de auditoría, lucha contra el soborno, delitos bancarios y financieros” del Grupo

2
de Trabajo del artículo 29 (en adelante, Dictámen 1/2006) y el Informe Jurídico
128/2007 de la AEPD “relativo a la creación de sistemas de denuncias internas
en las empresas”.(en adelante, Informe AEPD) Aun cuando no son vinculantes,
es evidente que sus recomendaciones deben ser atendidas en la organización
del Canal de denuncias so pena de poder incurrir en ilícitos administrativos que
llevan aparejado la imposición de importantes sanciones económicas.

Dejan, en cualquier caso, claro estos documentos que la implantación del

Canal de denuncias interno y el tratamiento y eventual cesión de los datos
personales que se obtengan en su funcionamiento no requiere el
consentimiento de los titulares de los datos. Según el Informe AEPD, la
necesidad de consentimiento puede verse exceptuada a la amparo de lo
establecido en el artículo 6.2 de la LOPD, según el cual “no será preciso el
consentimiento cuando se refieran a las partes de un contrato o precontrato de
una relación negocial, laboral o administrativa y sean necesarios para su
mantenimiento y cumplimiento”. La comunicación de los datos a terceras
personas que investiguen los hechos denunciados, tampoco requiere
autorización del titular de los datos al amparo de lo establecido en el artículo
11.2 c) de la LOPD según el cual “el tratamiento responde a la libre y legítima
aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control
implique necesariamente la conexión de dicho tratamiento con ficheros de
terceros. En este caso, la comunicación sólo será legítima en cuanto se limite a
la finalidad que la justifique”. Hoy en día, tras la reforma del Código Penal y las
exigencias relativas a los programas de Compliance como mecanismo para
eludir la responsabilidad penal de la persona jurídica, podría ser también de
aplicación las excepciones contenidas en los artículos 6.1 y 11.2 a) de la LOPD
(transcribir).

Una última consideración general debe tenerse en cuenta a la hora de

organizar el Canal de denuncias. Es de carácter práctico y tiene que ver con
una de las finalidades de cualquier programa de Compliance: la de hacer
posible la defensa de la sociedad ante una eventual imputación de
responsabilidad penal. Tal finalidad obliga a extremar las exigencias de
formalización y conservación de la documentación relacionada con la creación

3
y gestión del Canal de denuncias, de forma que siempre pueda estar la
empresa en condiciones de acreditar no sólo su existencia sino también su
efectivo funcionamiento y cumplimiento de los diferentes requerimientos de
eficacia que pueden llegar a determinar la aplicación de la exención o
atenuación de la responsabilidad penal.

a) Ambito objetivo del Canal de Denuncias.

La organización del Canal de Denuncias requiere, en primer lugar, fijar con

precisión los supuestos en los que cabe formular denuncias, los hechos que
pueden ser denunciados. En relación con este punto, la organización del Canal
de denuncias debe tener en cuenta, entre otras, las siguientes indicaciones.

El sistema de denuncias no es ni puede ser un medio para hacer llegar a la alta

dirección de la empresa cualquier tipo de denuncias que versen sobre cualquier
comportamiento de los posibles denunciados. El Canal de denuncias, para ser
eficaz y adecuado a los efectos del cumplimiento de las exigencias del artículo
31 bis, ha de referirse a comportamientos, previamente delimitados, que tengan
que ver con deberes específicamente contemplados en los Códigos Internos de
la compañía. Estos comportamientos, además deben resultar objetivamente
adecuados no sólo en relación con los supuestos delictivos que se hayan
considerado en los mapas de riesgo previamente elaborados por la empresa
sino también con otros supuestos de comportamientos antijurídicos que sean
objeto del programa de Compliance (ya sean estos comportamientos
susceptibles de dar lugar a la exigencia de responsabilidad penal a los
infractores o desencadenar la responsabilidad civil o administrativa de la
empresa).

Los códigos internos de la compañía, por lo demás, deben establecer con

claridad el carácter obligatorio y vinculante de las normas que proscriben
dichos comportamientos, de forma que no quede duda que el cumplimiento de
las mismas forma parte integrante de las obligaciones de carácter laboral o de
otra índole de los empleados de la empresa. Esta obligatoriedad de la normas
exige, obviamente, el que se establezca con claridad y precisión las posibles

4
sanciones que puede acarrear el incumplimiento de las normas. Expresión de
extrema eficacia, incluso, sería el que se estableciera la obligación de los
integrantes de la empresa de denunciar y no permitir el desarrollo de
comportamientos contrarios a los códigos internos, de forma que, incluso, la
empresa podría reaccionar frente a comportamientos pasivos de los
trabajadores que ampararan con su silencio los comportamientos antijurídicos.

Requisito de eficacia del Canal de denuncias es, obviamente, la adecuada

difusión y conocimiento entre los trabajadores y demás interesados, no sólo de
los Códigos internos que tipifican los comportamientos inadecuados y de su
carácter obligatorio así como de la posibilidad de formular denuncias y de las
reglas que ordenan el procedimiento correspondiente. La importancia de este
requisito obliga a extremar el cuidado en la documentación y acreditación de
este extremo. Como ejemplos que no agotan todas las posibilidades cabe citar:
el re flejo en los contratos y documentos que se suscriban con trabajadores,
clientes y proveedores, de clausulas que dejen constancia del conocimiento y
aceptación de las normas internas y sus consecuencias, así como de las
posibilidades que abre el Canal de denuncias; la inclusión de información
suficiente en la intranet y pagina web de la compañía y, enfín, la dedicación en
los recursos de formación sobre el programa de Compliance de sesiones
destinadas a explicar tanto el contenido obligatorio y consecuencias del
incumplimiento de los códigos internos como el funcionamiento del Canal de
denuncias, con obtención de pruebas de asistencia a las mismas.

Esta vinculación de los supuestos denunciables con las obligaciones laborales

y contractuales de los denunciados, así como las garantías de difusión y
conocimiento por los potenciales afectados, resultan, además, de las
exigencias derivadas de la normativa de protección de datos. En este sentido,
el Informe AEPD requiere para la validez del Canal de denuncias, “el pleno
conocimiento de la existencia de los mecanismos descritos por parte de las
personas cuyos datos pudieran ser tratados por los mismos, quedando la
existencia de dichos procedimientos incorporada a la relación contractual como
parte integrante de la misma.” El informe AEPD, igualmente, señala que para

5
que sea valido el sistema conforme a la normativa de protección de datos es
preciso que

“la finalidad que justifica el establecimiento de los sistemas de denuncia

descritos en la consulta resultase ajustada al adecuado mantenimiento
de las relaciones contractuales, de forma que el sistema se centrase en
la denuncia de conductas que pudieran efectivamente afectar a
mantenimiento o desarrollo de la relación contractual que vincula al
denunciado y a la consultante. En este sentido, el artículo 4.1 de la Ley
Orgánica 15/1999 consagra el denominado principio de proporcionalidad
del tratamiento a la finalidad, disponiendo que “Los datos de carácter
personal sólo se podrán recoger para su tratamiento, así como
someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y
no excesivos en relación con el ámbito y lasfinalidades determinadas,
explícitas y legítimas para las que se hayan obtenido”.

Razonamiento del que concluye que

“ el tratamiento de datos de carácter personal derivado de la existencia

del sistema de denuncia descrito en la consulta podrá resultar acorde
con lo dispuesto en la Ley Orgánica 15/1999 y amparado por su artículo
6.2, en lo referente a la necesidad del tratamiento para el mantenimiento
de la relación contractual, en caso de que el sistema se circunscriba a
las denuncias referidas a materias o normas internas o externas cuyo
incumplimiento tiene una consecuencia efectiva sobre el mantenimiento
de la relación contractual entre la empresa y el denunciado, sin que sea
suficiente su establecimiento en relación con cualesquiera
“comportamientos, acciones o hechos que puedan constituir violaciones
tanto de las normas internas de la compañía como de las leyes,
normativas o códigos éticos” aplicables a la consultante”.

Sin duda, tras la introducción del artículo 31 bis del Código Penal y posible
justificación del Canal de denuncias en los artículos 6.1 y 11.2 a) de la LOPD,
la afirmación anterior requiera alguna matización, en el sentido de que pueda

6
introducirse, igualmente, en relación con los comportamientos necesarios para
prevenir la responsabilidad penal de la empresa y otras responsabilidades
civiles o administrativas de la misma. En cualquier caso, tal requisito se cumple
suficientemente desde el momento en que el Programa de Compliance se
inserta en el ámbito de la relación laboral o mercantil de trabajadores y
proveedores, de forma que se configure como obligatorio el respeto de las
reglas y prohibiciones contenidas en los Códigos internos.

b) Ambito subjetivo del Canal de denuncias.

El canal de denuncias tiene, típicamente, su ámbito de funcionamiento en el

seno de la empresa, de ahí que serán, normalmente, los empleados de la
misma los que podrán formular denuncias frente a los restantes trabajadores,
directivos o miembros de los órganos de administración que realicen
comportamientos inadecuados.

El requisito de eficacia de este mecanismo exige, como se ha dicho

anteriormente, que los trabajadores de la empresa conozcan la existencia y
funcionamiento de este mecanismo de denuncia (lo que la empresa deberá
estar en condiciones de acreditar adecuadamente) y que en la difusión que del
canal se realice se establezca con claridad que el trabajador no sufrirá
represalia alguna por el hecho de denunciar comportamientos inadecuados.
Esta afirmación requiere la confidencialidad en el tratamiento y gestión de la
denuncia, lo que implica la no divulgación de las características y demás
extremos de la denuncia (denunciante, denunciado y hechos objeto de la
denuncia) fuera de los órganos autorizados para su recepción, investigación y
resolución. La confidencialidad de la denuncia es conforme con la normativa de
protección de datos, tal y como ratifica el Informe AEPD, en el que se señala
que de la legislación española de protección de datos no puede extraerse, en
ningún modo, el derecho del denunciado a acceder a la identidad del
denunciante (apartado V del Informe AEPD).

La confidencialidad de la denuncia sólo cede ante el requerimiento judicial o

administrativo, que será de obligado cumplimiento para la empresa so pena de

7
incurrir en responsabilidades penales (delito de desobediencia) o
administrativas (sanciones por falta de suministro de información presentes en
numerosas regulaciones sancionadoras administrativas).

Para concluir este punto, una vez más, debe de tenerse en cuenta que la
confidencialidad de la denuncia es, sobre todo, un principio destinado a
fomentar el uso del canal de denuncias y, con ello, a la mejor eficacia del
programa de compliance o cumplimiento normativa con las consecuencias que
ello tiene en la defensa penal de la sociedad. Por ello, cuando se habla de
confidencialidad no es suficiente con la garantía formal de la misma. La
empresa estará en mejor posición si, además, introduce los procedimientos y
mecanismos técnicos adecuados para garantizar que no existan fugas o
accesos no consentidos a esta información tan sensible.

Es claro que la denuncia de hechos irregulares en los que haya participado o

de los que pueda ser responsable el denunciante no le exime de
responsabilidad alguna, no pudiendo la empresa prometer o garantizar
indemnidades que no están en su mano conceder. No obstante, la colaboración
activa en el descubrimiento del delito puede dar lugar a la aplicación de
importantes atenuaciones (arts….del Código Penal). Es, por ello, un contenido
típico (y recomendable desde el punto de vista de la idea de eficacia del
mecanismo de denuncias) el que se informe a los trabajadores que la denuncia
no eximirá de responsabilidad por la participación en los hechos, si bien podrá
dar lugar a la aplicación de circunstancias atenuantes de la responsabilidad
penal.

El requisito de eficacia se refuerza con la configuración de la denuncia de

comportamientos inadecuados como deber contractual, de forma que la
tolerancia o silencio ante determinados comportamientos cuando son
conocidos y no denunciados pueda llevar a la imposición de sanciones
laborales. La eficacia, igualmente, exige que el sistema de denuncia establezca
garantías y prevenciones frente a la denuncia falsa, incorporando típicamente
los sistemas de denuncias advertencias sobre las consecuencias de toda
índole (laboral e incluso penal) que pueden derivar de denuncias falsas.

8
Nada impide el que los canales de denuncias puedan abrirse a personas que
no son trabajadores a la empresa pero que, por su vinculación con ella, puedan
tener un fácil conocimiento de comportamientos inadecuados de trabajadores o
directivos de la empresa. En particular, clientes, proveedores, subcontratistas.
De hecho, como señala la doctrina hay una tendencia creciente en los países
que tienen más desarrollados estos sistemas a abrir los sistemas de denuncia
a clientes, proveedores o, en general, a terceros que por las relaciones
profesionales que mantengan con la empresa puedan llegar a conocer
comportamientos irregulares.

Una vez más, es la idea de eficacia la que debe orientar la decisión de la

empresa en este tema: cuanto más eficaz sea el sistema, más seguridad en la
obtención de la exención penal, de forma que una apertura a terceros del canal
de denuncias puede ser una opción adecuada.

En este punto, igualmente, hay que tener en cuenta que la apertura del canal
de denuncias a terceros debe documentarse de alguna forma, de tal manera
que este hecho pueda acreditarse en un eventual procedimiento. Referencias a
la posibilidad de denunciar por clientes o proveedores en la documentación
contractual (condiciones generales) o comercial (albaranes, facturas) o en la
página web de la empresa suelen ser el mecanismo habitual de
documentación.

Cuestión jurídica importante en este punto es el saber si las denuncias pueden

o no ser anónimas.

Desde un punto de vista de eficacia, parece claro que las denuncias anónimas
podrían garantizar un uso más extendido de la denuncia, desde el momento en
que eliminaría las reticencias de los posibles denunciantes a usar este
mecanismo, ante el temor a represalias o, simplemente, el reproche que
puedan recibir de sus compañeros. Parece claro, igualmente, que una
denuncia anónima aumenta el riesgo de denuncias gratuitas o infundadas. La
posibilidad de denuncias anónimas está presente en los primeros precedentes

9
en la materia. Así, por ejemplo, la Ley-Sarbanes Oxley hace referencia a
“procedimientos para la recepción, retención y tratamiento de quejas recibidas
por el causante en relación con la contabilidad, controles contables internos o
cuestiones de auditoría; y la presentación confidencial y anónima por parte de
los empleados de la persona causante de preocupación en relación con
cuestiones contables o de auditoría cuestionables”. Es típica, por ello, en
sistemas y compañías anglosajonas, circunstancia que, sin duda, llevó al
Informe 1/2006 a no oponerse a su admisión.

Señala, en este sentido, el Informe 1/2006 que

“por lo que se refiere a las normas de protección de datos, los informes

anónimos plantean un problema específico con respecto al requisito
esencial de que los datos personales sólo deberían recopilarse de
manera leal. Como norma, el Grupo de Trabajo considera que sólo los
informes identificados deberían comunicarse a través de programas de
denuncias de irregularidades para satisfacer ese requisito. No obstante,
el Grupo de Trabajo es consciente de que algunos denunciantes podrían
no encontrarse siempre en situación o tener disposición psicológica para
presentar informes identificados. También es consciente del hecho de
que las quejas anónimas son una realidad dentro de las sociedades,
incluso y especialmente en ausencia de sistemas de irregularidades
confidenciales y organizadas y que esta realidad no puede ignorarse.
Por ello, el Grupo de Trabajo considera que los programas de denuncias
de irregularidades podrían llevar a la presentación de informe anónimos
a través del programa y a la toma de medidas basados en ellos, pero
sólo como excepción a la regla…” y en condiciones excepcionales que
identifica el Informe 1/2006.

La percepción de la AEPD es, sin embargo, mucho más restrictiva.

Tal y como resulta del informe AEPD, el respeto del principio de calidad de los
datos contenido en el artículo 4 de la LOPD (destinado a garantizar que “los
datos personales sean exactos y puestos al día de forma que respondan con

10
veracidad a la situación actual del afectado”) exige que sólo pueden ser
aceptadas en el sistema denuncias en las que aparezca identificada el
denunciante.

Como acertadamente señala la doctrina esta posición del informe AEPD es

poco práctica y, sobre todo, insuficiente desde el punto de vista de la adecuada
defensa penal de la sociedad. Resulta evidente que, aún cuando no esté
permitida por el sistema, la empresa puede llegar al conocimiento de
comportamientos irregulares a través de denuncias anónimas con suficiente
verosimilitud. Permanecer impasible ante las mismas es un riesgo para la
empresa, que no podría acreditar que ejerció adecuadamente el control sobre
sus empleados ni adoptó medida alguna pese a tener conocimiento de hechos
irregulares a través de dicho mecanismo anónimo. Recomienda, por ello,
prever en los sistemas de Compliance que cuando, pese a todo, se reciba una
denuncia anónima verosímil la empresa actuará igual que en los casos de
denuncias procedentes de sujetos identificados.

c) Órgano competente.

La reforma del Código Penal ofrece, en este punto, un criterio organizativo que
ha de ser tenido en cuenta a la hora de configurar los canales internos de
denuncia. Señala, en este sentido, el artículo 31 bis apartado 3 del Código
Penal que,

“3. En las personas jurídicas de pequeñas dimensiones, las funciones de

supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser
asumidas directamente por el órgano de administración. A estos efectos,
son personas jurídicas de pequeñas dimensiones aquéllas que, según la
legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y
ganancias abreviada.”

Actualmente, según el artículo 258 del Texto refundido de la Ley de Sociedades

de capital, pueden presentar cuenta de pérdidas y ganancias abreviada, las
siguientes sociedades:

11
 “1. Podrán formular cuenta de pérdidas y ganancias abreviada las
sociedades que durante dos ejercicios consecutivos reúnan, a la fecha
de cierre de cada uno de ellos, al menos dos de las circunstancias
siguientes:
a) Que el total de las partidas de activo no supere los once millones
cuatrocientos mil euros.
b) Que el importe neto de su cifra anual de negocios no supere los
veintidós millones ochocientos mil euros.
c) Que el número medio de trabajadores empleados durante el ejercicio
no sea superior a doscientos cincuenta.
Las sociedades perderán la facultad de formular cuenta de pérdidas y
ganancias abreviada si dejan de reunir, durante dos ejercicios
consecutivos, dos de las circunstancias a que se refiere el párrafo
anterior.
2. En el primer ejercicio social desde su constitución, transformación o
fusión, las sociedades podrán formular cuenta de pérdidas y ganancias
abreviada si reúnen, al cierre de dicho ejercicio, al menos dos de las tres
circunstancias expresadas en el apartado anterior.”

A sensu contrario, las empresas que no tengan esta condición deben atribuir a
un órgano especializado las funciones de vigilancia y control si quieren cumplir
con las exigencias que, conforme al Código Penal, pueden determinar la
exención de la responsabilidad penal.

Las cuestiones jurídicas generales implicadas en la organización del órgano al

que se encuentran atribuidas las funciones de vigilancia y control se han
tratado ya en otras lecciones de este curso, por lo que nos remitimos a ellas.

Cabe realizar, sin embargo, algunas recomendaciones específicas de índole

organizativo que derivan de alguno de los principios y normativas sectoriales
que afectan a esta cuestión.

12
Así, en materia de protección de datos, el informe 1/2006 recomienda a las
empresas que establezcan “una organización específica dentro de la sociedad
o del grupo dedicada a tratar los informes de los denunciantes y que dirija la
investigación”. Esta organización “deberá estar compuesta de personal
especializado , formado y dedicado, limitado en su número y vinculado
contractualmente por obligaciones”. Este sistema debería “estar estrictamente
separado de otros departamentos de la sociedad, tales como el departamento
de recursos humanos”.

Desde el punto de vista de la eficacia (como sabemos criterio esencial en el

supuesto de que se ponga en cuestión la responsabilidad penal de la empresa
y deba ésta acreditar que disponía de adecuados sistemas de control) parece
claro que el sistema de denuncias debe disponer de personal cualificado
(normalmente con formación jurídica o económica), suficientemente
independiente (especialmente de los ámbitos de la empresa más relacionados
con la actividad potencialmente infractora) y con capacidad y posición en la
escala jerárquica de la empresa como para poder impulsar la investigación que
se realice y proponer la adopción de las medidas correctoras adecuadas.

Nada impide que estas funciones puedan ser realizadas por un asesor externo
a la empresa, siempre que en su contratación se adopten las limitaciones y
garantías exigidas, fundamentalmente, por la legislación de protección de datos
(autorizaciones para tratamiento y cesión de datos personales, mecanismos de
seguridad etc.). De hecho, esta opción puede llegar a ser inevitable para las
pequeñas y medianas empresas, para las que les puede resultar costoso el
mantenimiento de una estructura específica para la recepción y gestión de
denuncias y, sobre todo, difícil el garantizar la independencia y confidencialidad
en la investigación.

3. Procedimiento del Canal de denuncias.

a) Forma de la denuncia.

13
En cuanto a la forma de la denuncia, los ejemplos de programas de compliance
existentes suelen utilizar como métodos de formalización de denuncias los
siguientes: denuncia telefónica, denuncia por correo electrónico a una dirección
específicamente dedicada a su recepción, denuncia electrónica a través de la
cumplimentación de un formulario, denuncia por correo postal o, simplemente,
denuncia escrita presentada personalmente.

No contiene la normativa aplicable ninguna indicación determinada sobre esta

cuestión, por lo que, en principio, cualquier forma será válida. La opción entre
una u otra dependerá, por ello, del tipo de empresa, su tamaño y los medios
con que cuente. Desde un punto de vista práctico, no obstante, lo
recomendable es siempre la forma escrita y, dentro de ellas, la forma que
permita una mayor facilidad para su utilización. No hay que olvidar que de lo
que se trata es de articular un sistema que sea eficaz, que sea utilizado de
forma efectiva por los destinatarios y que podrá llegar a ser necesaria la
acreditación ante los Tribunales de la forma en que se utiliza dicho sistema.

Desde el punto de la normativa de protección de datos, el sistema de

formulación de denuncias deberá asegurar el cumplimiento de lo dispuesto en
el artículo 5º de la LOPD y establecer un sistema de acreditación que que se
ha cumplido con tal obligación. Según establece dicho precepto,

“1. Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco: a) de la
existencia de un fichero o tratamiento de datos de carácter personal, de
la finalidad de la recogida de éstos y de los destinatarios de la
información, b) del carácter obligatorio o facultativo de su respuesta a
las preguntas que les sean planteadas c) de las consecuencias de la
obtención de los datos o la negativa a suministrarlos d) de la posibilidad
de ejercer los derechos de acceso, rectificación cancelación y oposición,
e) de la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
…

14
 2. Cuando se utilicen cuestionarios u otros impresos para la recogida,
figurarán en los mismos, en forma claramente legible, las advertencias a
que se refiere el apartado anterior”.

b) Actividades de comprobación de la veracidad de la denuncia.

La recepción de una denuncia a través del Canal de Denuncias no impone la

obligación inmediata de la empresa de trasladar la denuncia a las autoridades
policiales o judiciales para que sean ellas las que investiguen los hechos. Esta
obligación no puede deducirse ni de lo dispuesto en el artículo 31 bis del
Código Penal ni de la regulación contenida en los artículos 259 y 262 de la Ley
de Enjuiciamiento Criminal (en adelante LECRI), conforme a la cual la
obligación de denuncia sólo recae sobre los que “presenciaren la perpetración
de cualquier delito público” o “los que por razón de sus cargos, profesiones y
oficios tuvieran noticia de algún delito público” y ello, además, bajo sanción de
multa inferior a los tres euros. Ni la recepción de una denuncia implica un grado
de conocimiento directo o de noticia de la perpetración del delito como el
exigido por el referido precepto ni los delitos que normalmente serán objeto de
denuncia tendrán la consideración de delitos públicos.

La reacción normal y recomendable tras la recepción de la denuncia (salvo

obviamente que se trate de un hecho grave, notorio y que produzca o pueda
producir perjuicio de intereses de terceros) es abrir una instrucción o
investigación interna destinada a confirmar la veracidad de los hechos
denunciados, antes de remitirlos a las autoridades competentes.

A la empresa no puede serle exigida la adopción de una reacción tan drástica

(que puede comprometer el prestigio y buen nombre de las personas
denunciadas y de la propia empresa) sin realizar un mínimo de comprobación
del fundamento de la misma. Mínimo de comprobación que, obviamente,
interesa a la propia empresa que está preocupada por garantizar el
cumplimiento normativo en su funcionamiento ordinario. La investigación de la
denuncia le permitirá no sólo confirmar o descartar los hechos y profundizar en
el conocimiento de las personas que puedan ser responsables de los hechos

15
denunciados, sino también detectar las posibles fallos y malos funcionamientos
de sus sistemas internos de control, lo que, en última instancia, redunda en la
mejora permanente del sistema. Por lo demás, la investigación interna puede
ser más eficaz y ágil para el esclarecimiento de las posibles infracciones que
una investigación policial, de forma que esta labor de instrucción previa a la
toma de decisiones satisface, en última instancia, la finalidad de la reforma de
la responsabilidad penal de la personas jurídicas: el hacer de la empresa un
colaborador eficaz de la justicia en el descubrimiento y persecución de
determinados delitos.

La investigación interna de la empresa plantea diversas cuestiones jurídicas

que derivan de la aplicación de la normativa laboral, penal o de protección de
datos.

Así, en el ámbito laboral, el artículo 20.3 del Estatuto de los Trabajadores

reconoce con toda rotundidad el derecho del empresario para “adoptar las
medidas que estime más oportunas de vigilancia y control para verificar el
cumplimiento por el trabajador de sus obligaciones y deberes laborales,
guardando en su adopción y aplicación la consideración debida a su dignidad
humana y teniendo en cuenta la capacidad real de los trabajadores
disminuidos, en su caso”. El trabajador está sujeto a la potestad disciplinaria
que ejerce el empresario y puede ser, por ello, sancionado por la infracción de
sus deberes contractuales (entre los que se encuentran todos aquellos
comportamientos que afectan a los riesgos penales en que puede incurrir la
empresa.) y, por tanto, está sujeto a las facultades de investigación y control e
instrucción necesarias para la verificación y aplicación de tales sanciones.
Facultades que habrán de ejercitarse cumpliendo los requisitos y garantías
que, en cada caso, se establezca (normalmente) en los Convenios colectivos,
con el límite siempre del derecho del trabajador al respeto a su intimidad
personal (artículo 4.2 e Estatuto de los Trabajadores) derecho cuyo
desconocimiento tiene la consideración de infracción muy grave conforme a lo
dispuesto en el artículo 81.11 de la Ley de Infracciones y sanciones en el orden
social. En virtud de este derecho, por ejemplo, el artículo 18 del Estatuto de los
Trabajadores limita las posibilidades del registro de la persona o los efectos

16
personales del trabajador a los supuestos en que sea necesario para la
protección del patrimonio empresarial o de los restantes trabajadores y siempre
con las garantías y cautelas que se establecen en dichos preceptos.

En nuestros días, la cuestión que se plantea típicamente es la posibilidad del

empresario de establecer mecanismos de vigilancia y control sobre los medios
de comunicación (teléfonos móviles) y de trabajo (ordenadores personales,
cuentas de correo electrónico) que el empresario facilita al trabajador. Dichos
medios de comunicación y trabajo serán, en la mayor parte de los casos, el
mecanismo típico de envío y almacenamiento de datos cuyo descubrimiento
pueda ser imprescindible para la investigación interna. El problema de este tipo
de mecanismos es su posible uso para finalidades personales, de forma que el
acceso a la información contenida en ellos pueda afectar a la intimidad
personal de los trabajadores.

El conflicto entre el derecho de la empresa a vigilar y controlar el cumplimiento

de las obligaciones laborales de los trabajadores y el derecho al respeto a la
intimidad de los trabajadores, en este caso, ha sido resuelto a favor de la
empresa. Los medios de trabajo puestos a disposición de los trabajadores
pueden ser objeto de vigilancia y control por el empresario, bastando para
desactivar la barrera del derecho a la intimidad que pueda derivar de la
información y datos personales que consten en ellos, la prohibición de uso
personal de los mismos y la advertencia previa de que pueden ser objeto de
control. (STS de 26 de septiembre de 2007, de 11 de marzo de 2011 y, la
menos garantista de 6 de octubre de 2011).

En cuanto a los derivados de la normativa penal habrá que tener en cuenta la

regulación del delito de descubrimiento y revelación de secretos, que se
encuentra tipificado en los artículos 197 a 201 del Código Penal. El artículo
197.1 del Código Penal tipifica, de esta forma, el referido delito,

“El que, para descubrir los secretos o vulnerar la intimidad de otro, sin
su consentimiento, se apodere de sus papeles, cartas, mensajes de
correo electrónico o cualesquiera otros documentos o efectos

17
 personales, intercepte sus telecomunicaciones o utilice artificios técnicos
de escucha, transmisión, grabación o reproducción del sonido o de la
imagen, o de cualquier otra señal de comunicación, será castigado con
las penas de prisión de uno a cuatro años y multa de doce a veinticuatro
meses”.

Tal y como ha estudiado la doctrina lo normal es que una investigación interna

no trasgreda los límítes de estos preceptos.

Y ello por tres razones.

En primer lugar, porque lo normal es que en una investigación se acceda a

información que nada tiene que ver con el ámbito de la intimidad personal o
familiar del trabajador, sino más bien con su vida profesional o laboral.

En segundo lugar, el hecho de que tales datos se almacenen en instrumentos

de trabajo suministrados por el empresario determina el que el trabajador no
pueda pretender la protección penal del ámbito de su intimidad, que podría
simplemente haber protegido no haciendo un uso privado de tales medios.

Y, por último, porque la comisión de dicho delito requiere la concurrencia de un

elemento especial del injusto, que es que el sujeto activo realice dolosamente
los comportamiento típicos “para descubrir los secretos o vulnerar la intimidad
de otro”. Sin esa especial voluntad, sin ese dolo directo de primer grado, el
acceso a la intimidad en el marco de una investigación no será penalmente
relevante.

Además de los derechos de carácter laboral del investigado, es preciso

respetar las exigencias de la legislación de protección de datos. El precepto
relevante a estos efectos es el artículo 5.4 LOPD que establece que,

“Cuando los datos de carácter personal no hayan sido recabados del

interesado, éste deberá ser informado de manera expresa, precisa e
inequívoca, por el responsable del fichero o su representante, dentro de

18
 los tres meses siguientes al momento del registro de los datos, salvo
que ya hubiera sido informado con anterioridad, del contenido del
tratamiento, de la procedencia de los datos, así como de lo previsto en
las letras a), d) y e) del apartado I del presente artículo”

Esta obligación de comunicación no se extiende a la identidad del denunciante.

Basta para cumplimentar la obligación anterior que los datos proceden de una
denuncia formulada a través del procedimiento de denuncias internas. La
confidencialidad del sistema de denuncias, requisito necesario para su eficacia,
se opone a que se de esta información, que no añade nada en relación con la
protección de los derechos relacionados con la protección de datos.

En cuanto al plazo para la comunicación al interesado, a diferencia de lo que se

indica en el Informe 1/2009, el Informe AEPD no establece la posible excepción
puntual a este plazo de tres meses, Será recomendable, por tanto, que las
investigaciones preliminares y medidas necesarias para evitar la destrucción de
pruebas o evidencias se produzcan con una cierta rapidez, antes de que la
transcurra este plazo de tres meses y la no comunicación de la denuncia al
interesado pueda suponer la imposición de una sanción por la AEPD.

c) Conclusión del procedimiento.

El procedimiento de investigación ha de concluir, normalmente, con un informe

escrito dirigido al órgano encargado del programa de cumplimiento con la
propuesta de acciones a adoptar a la vista de los hechos que hayan resultado
constatados.

Desde el punto de vista del principio de eficacia que debe presidir el sistema
para cumplir los objetivos de exención del artículo 31 bis del Código Penal,
tales medidas no deberían ceñirse, exclusivamente, a medidas de orden laboral
o disciplinario. Descubierta la comisión de posibles hechos delictivos por parte
de empleados de la empresa, la no puesta en conocimiento de los mismos a
las autoridades competentes (por el temor a la imputación de la propia empresa
si se trata de un delito que ha beneficiado a la misma y que puede dar lugar a

19
la exigencia de responsabilidad penal) supone el riesgo de que, en el supuesto
de un descubrimiento posterior de los hechos e inicio de acciones penales, no
podría invocarse por la empresa la exención prevista en el artículo 31 bis del
Código Penal. El beneficio de la exención está ligado, como es sabido, al
establecimiento de procedimientos efectivos de vigilancia y control que
permitan la persecución de los delitos.

El informe final, igualmente, ha de proponer (y los órganos competentes)

implantar las medidas necesaria para subsanar los posibles defectos que en el
sistema de control se hayan puesto de manifiesto con ocasión de la
investigación de los hechos denunciados. Uno de los requisitos que, conforme
establece el artículo 31 bis 5. Del Código Penal, deben cumplir los modelos de
organización y gestión es, precisamente, el que,

“Realizarán una verificación periódica del modelo y de su eventual

modificación cuando se pongan de manifiesto infracciones relevantes de
sus disposiciones, o cuando se produzcan cambios en la organización,
en la estructura de control o en la actividad desarrollada que los hagan
necesarios”.

d) Conservación de los datos.

Como se ha dicho anteriormente, la empresa debe estar en condiciones de

acreditar que el sistema de denuncias funciona y es aplicado de forma efectiva
en orden a prevenir y sancionar posibles incumplimiento de la normativa
interna. Ello lleva, sin duda, al establecimiento de un sistema de archivo y
conservación de la actuaciones realizadas.

Esta conservación de la información, deberá, sin embargo, respetar lo

establecido en el artículo 4.5 de la LOPD en el que se establece que,

“5. Los datos de carácter personal serán cancelados cuando hayan

dejado de ser necesarios o pertinentes para la finalidad para la cual
hubieran sido recabados o registrados.

20
No serán conservados en forma que permita la identificación del
interesado durante un período superior al necesario para los fines en
base a los cuales hubieran sido recabados o registrados.”

21