Tras la publicación, en el DOUE del 26 de
noviembre de 2019, de la nueva Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo,
de 23 de octubre de 2019, relativa a la protección de las personas que
informen sobre infracciones del Derecho de la Unión (en inglés conocida
coloquialmente por whistleblowers),
analizamos los aspectos fundamentales que nos encontramos en disposiciones
legales, reglamentarias y administrativas que se avecina para dar
cumplimiento a lo establecido en la Directiva antes del 17 de diciembre de
2021.
Dentro del entorno del compliance o
cumplimiento normativo, la implantación del «Whistleblowing» o canal de
denuncia interna es una pieza clave en la implantación de un modelo efectivo de cumplimiento normativo para
evitar responsabilidades penales de las personas jurídicas en los ámbitos
laborales o financieros.
Como tratamos en nuestro tema dentro del Cumplimiento normativo en la empresa (Compliance), «Canal
Ético o de denuncias», éste fenómeno puede definirse como un canal de
comunicación dentro de las organizaciones de comportamientos o escenarios
irregulares o delictivos realizados por los propios empleados o terceras
personas que tengan algún tipo de relación con la mercantil.
I.- Antecedentes
En España, la introducción de este tipo de
herramientas, propias de la cultura del whistleblowing anglosajón, se introduce
por primera vez en apdo. 2 del art. 31bis Código Penal, en el que se impone la obligación de
«informar de posibles riesgos e incumplimientos al organismo encargado de
vigilar el funcionamiento y observancia del modelo de prevención». Tras esta
norma destancan:
- Norma ISO 19600 , sobre Sistemas de
Gestión de Compliance.
- Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995, relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos.
- Reglamento (UE) nº 596/2014 del Parlamento
Europeo y del Consejo, de 16 de abril de 2014 sobre el abuso de mercado
(Reglamento MAR).
- Directiva 2014/65/UE del Parlamento Europeo y del
Consejo, de 15 de mayo de 2014 relativa a los mercados de instrumentos
financieros (Directiva MiFID II).
- Reglamento (UE) 600/2014 del Parlamento Europeo
y del Consejo de 15 de mayo de 2014 relativo a los mercados de instrumentos
financieros
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de
Datos Personales y garantía de los derechos digitales.
- Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de
datos de carácter personal.
- Ley Orgánica 3/2007, de 22 de marzo, para la igualdad
efectiva de mujeres y hombres
- Dictamen nº 1/2006 del Grupo de trabajo del
artículo 29. En el citado documento, el Grupo de Trabajo señalaba
que “Aplicar las normas de protección de datos de la Unión Europea a los
programas de denuncia de irregularidades supone otorgar una consideración
específica a la cuestión de la protección de la persona que pueda haber sido
incriminada en una alerta. En este sentido, el Grupo de Trabajo enfatiza que
los programas de denuncia de irregularidades conllevan un riesgo muy grave de
estigmatización y vejación de dicha persona dentro de la organización a la
que pertenece. La persona estará expuesta a tales riesgos incluso antes de
saber que ha sido incriminada y de que los supuestos hechos se hayan
investigado para determinar o no su fundamento”. Asimismo, se concluía que “El
Grupo de Trabajo es de la opinión de que una correcta aplicación de las normas
de protección de datos a los programas de denuncia de irregularidades
contribuirá a paliar dichos riesgos. También es de la opinión de que, lejos de
evitar que dichos programas funcionen de conformidad con su objetivo
pretendido, la aplicación de dichas normas, por lo general, contribuirá a un
funcionamiento adecuado de los programas de denuncia de irregularidades”.
- Informe jurídico de la Agencia Española de
Protección de Datos (AEPD) nº 128/2007. El Gabinete Jurídico de la Agencia
Española de Protección de Datos, analiza la legalidad de un sistema de denuncia
interna (whistleblowing) conforme a la normativa española en materia de
protección de datos (ex Ley Orgánica 15/1999, de 13 de diciembre), puesto que estos
sistemas afectan a datos de carácter personal, tanto del denunciante como del
denunciado.
II.- Canales de denuncia anónimos y no
anónimos
En cualquier canal de denuncias se debe
garantizar que cualquier denunciante (en general, los empleados de la empresa)
encuentre protegida
Se puede canalizar esta herramienta de denuncias
a través del Compliance Officer, de modo que solo este profesional sea el que
conozca la identidad del denunciante y el hecho o conducta denunciados. De este
modo, la investigación es más sencilla, pues será posible establecer una
entrevista privada con esta persona para comenzar con la fase de instrucción.
La alternativa a esta manera de configurar el
canal de denuncias pasa por anonimizar la identidad de los denunciantes, de
modo que el Compliance Officer no sepa quien ha sido el que ha alertado el
hecho, sino tan solo el contenido del hecho irregular. En este caso, no es
posible determinar de modo inmediato a quién le podemos pedir más detalles o
formular cuestiones concretas sobre el contenido de su aviso.
En el caso de que se opte por esta alternativa y
proliferen las falsas denuncias, se debe poner en marcha un protocolo de
inhibición del impacto en el propio canal, como la incorporación de medidas
disciplinarias correctoras o la investigación de indicios de falsedad.
III.- ¿A través de qué instrumento se
puede implementar?
Caben diferentes métodos a elección de la empresa
y sus necesidades. Así, será posible canalizar las denuncias a través de un
correo electrónico concreto, a una extensión telefónica o una aplicación
interna diseñada al efecto. Siguiendo las directrices aportadas en su momento por
el Informe jurídico de la Agencia Española de Protección de Datos (AEPD)
nº 128/2007, los requisitos del Whistleblowing o canal de denuncia interna
han de ser:
No hay comentarios:
Publicar un comentario