Breve introducción: ¿cuál es el objetivo de la Directiva Whistleblowing?

La fecha límite para la transposición de la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (la “Directiva”) se acerca. En España contamos con un grupo de trabajo del Ministerio de Justicia que comenzó a trabajar en el borrador para su transposición en 2020, y el pasado 27 de enero finalizó el período de consultas. La Directiva deberá estar transpuesta, como tarde, el 17 de diciembre de 2021.

Ante la inminencia de la transposición, es importante recordar los aspectos más relevantes a los que afectará esta nueva regulación con el fin de  estar preparados para los cambios.

La Directiva pretende “aflorar” conductas ilícitas, a través de la protección de personas que están en situación privilegiada para denunciar. Se trata de encontrar la solución a la cultura de miedo a las represalias que viven aquellos y aquellas que conocen ciertas infracciones cometidas por (o en el seno de)  empresas, Administraciones Públicas u otras entidades y que les lleva a rechazar la idea de denunciar por temor a sufrir consecuencias por denunciarlo. La realidad es que este tipo de incumplimientos son muy difíciles de identificar si las personas más cercanas a las mismas (trabajadores, proveedores, etc.) no las denuncian.

Por lo tanto, esta Directiva pretende otorgar una protección amplia a aquellas personas que denuncien ilícitos y crear los canales para que estas denuncias sean cursadas, con la protección adecuada a los derechos y libertades de los/las denunciantes, pero también los derechos de las empresas, Administraciones Públicas, entidades y la consecución del interés general de la sociedad.

La adopción de esta Directiva en España –y en Europa– tendrá, sin duda, importantes repercusiones en múltiples ámbitos. En concreto, destacamos en este artículo las posibles consecuencias que la transposición puede llegar a generar en materia de compliance penal, protección de datos y laboral.

Lo que necesitas saber de la Directiva ¿En qué materias hay protección?

La Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (la “Directiva”) pretende que conductas ilícitas en materia del derecho de la Unión Europea sean perseguidas, a través de la protección de personas que están en situación privilegiada para denunciar. El ámbito material es el siguiente:

• Contratación pública,
• Servicios, productos y mercados financieros, y prevención del blanqueo de capitales y la financiación del terrorismo,
• Seguridad de los productos y conformidad,
• Seguridad del transporte,
• Protección del medio ambiente,
• Protección frente a las radiaciones y seguridad nuclear,
• Seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales,
• Salud pública,
• Protección de los consumidores,
• Protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información,
• Infracciones que afecten a los intereses financieros de la Unión,
• Infracciones relativas al mercado interior.

La Directiva no será de aplicación en materias con normas específicas de protección de denuncias, ni tampoco afecta a materias sobre las que la UE no tenga competencias, como:

• La protección de información clasificada;
• La protección del secreto profesional de los médicos y abogados;
• El secreto de las deliberaciones judiciales;
• Las normas de enjuiciamiento criminal.

De manera muy interesante, la Directiva hace referencia expresa a que la protección de los/las denunciantes incide directamente en el respecto de la libertad de expresión de los mismos, e incluye medidas para que los/las denunciantes (siempre que se cumplan ciertos requisitos) cuenten con protección para contactar con medios de comunicación. Que la libertad de expresión esté involucrada puede tener efectos tanto formales (¿posible necesidad de Ley Orgánica?) como materiales (posibilidad de procedimientos de protección de derechos fundamentales, acceso al recurso de amparo, etc.).

¿A quién se protege?

Son objeto de protección todas aquellas personas en situación de vulnerabilidad con respecto a la entidad denunciada (o en cuyo seno se presenta la denuncia). Se interpreta de manera muy amplia. Por ejemplo:

• Trabajadores (independientemente de que sean temporales, indefinidos, etc.);
• Autónomos “vulnerables”;
• Contratistas (incluyendo consultores, proveedores…);
• Accionistas o directivos que puedan sufrir represalias;
• Antiguos empleados o candidatos;
• Personas que aunque no dependan económicamente / laboralmente, puedan sufrir represalias (voluntarios, becarios, etc.)
• Familiares, clientes, compañeros de cualquiera de los anteriores que tengan relación laboral (o análoga) con el empresario / entidad o bien que sean clientes o destinatarios de los servicios. Pensemos por ejemplo en que se trate de una empresa de energía, que pueda importunar a través del servicio a familiares del denunciante.

¿A qué empresas / entidades afecta la Directiva?

La prohibición de represalias frente a denunciantes afecta a todas las entidades del sector público o privado en las materias protegidas por la Directiva.

La obligación de disponer de canales internos de denuncias afecta a todas las entidades del sector público y aquellas entidades privadas que tengan 50 trabajadores o más. No obstante, cada estado miembro, a la hora de trasponer la Directiva, tiene cierto margen de actuación. Por ejemplo, puede reducirse el número de trabajadores en empresas de ciertos sectores, o bien excluirse la obligatoriedad en Administraciones Públicas de municipios con pocos habitantes o bien con menos de 50 empleados.

¿Cómo se protege al denunciante?

En primer lugar, se garantiza la confidencialidad del denunciante (excepto con consentimiento expreso de éste o por motivos necesarios y proporcionales previstos en una Ley, como el derecho a la defensa). Solo podrá conocer su identidad el personal autorizado para la llevanza del canal de denuncia.

Se protege a los/las denunciantes (y personas relacionadas, como se ha explicado anteriormente) contra cualquier tipo de represalia. El concepto de represalia es amplísimo. Cualquier tipo de discriminación, suspensión, denegación de formación, despido, no renovación, pérdidas económicas… Se constituye en una auténtica garantía de indemnidad. Además, la carga de la prueba recae en la empresa / entidad que haya tomado la medida perjudicial.

Los/las denunciantes no incurrirán en ninguna responsabilidad por ninguna cláusula contractual de confidencialidad o no revelación de información (por ejemplo en el contrato de trabajo o prestación de servicios) por acudir a los sistemas de denuncia de la Directiva. Además, si para obtener la información objeto de la denuncia hubiese cometido algún ilícito (incluyendo delitos de vulneración de secreto, normas de protección de datos, etc.), el/la denunciante no incurrirá en responsabilidad de ningún tipo, siempre que tuviese motivos razonables para pensar que la denuncia era necesaria para poner de manifiesto una infracción.

Además, los estados deberán garantizar que el/la denunciante tenga acceso a recursos judiciales, y a formación y asesoramiento gratuitos en relación a la protección frente a represalias. El/la denunciante, cuando corresponda, deberá tener asistencia jurídica gratuita, e incluso los estados podrán prestar asistencia financiera o medidas de apoyo, incluyendo apoyo psicológico, en el marco de un proceso judicial.

¿Y qué ocurre con las denuncias falsas?

Esto es un punto que puede inquietar, puesto que la generalización de los canales de denuncias puede ocasionar su uso malintencionado, máxime cuando en ocasiones el/la denunciado/a puede no ser informado hasta un momento posterior de la investigación. Para evitar malos usos, los estados miembros deben establecer sanciones proporcionadas para las denuncias o revelaciones públicas falsas a sabiendas. No hay medidas más específicas, pero cada estado puede decidir cómo evitarlas en la trasposición de la Directiva.

¿Se permiten las denuncias anónimas?

Cada estado puede decidir si requerir que las empresas / entidades acepten y sigan las denuncias anónimas o no. En España, de momento, se prevé su existencia en la Ley Orgánica de Protección de Datos. Sin embargo, para confirmar si España finalmente impondrá la obligación de aceptar denuncias anónimas, habrá que esperar a ver el texto de la trasposición. En todo caso, si un/a denunciante anónimo llegue a ser identificado/a, se le aplicará el régimen de protección de la Directiva.

Canales de denuncia internos: confidencialidad

En aquellas entidades con obligación de disponer de canal de denuncias internas, deben existir medios adecuados para poder presentar las denuncias. La nota fundamental es la confidencialidad del denunciante, sea cual sea el canal elegido, y para ello la entidad deberá garantizar que los canales cumplen con dicho requisito. Los canales deberán ser:

• Por escrito (eg. correo electrónico o buzón físico); y/o
• Verbal (eg. teléfono);
• Además, el/la solicitante tendrá derecho en todo caso, previa solicitud, a tener una reunión presencial.

Es imprescindible que la recepción y seguimiento de la denuncia se realice por personas o departamentos que garanticen la confidencialidad, ausencia de conflictos de interés e independencia. En este sentido, es muy interesante la posibilidad de que la empresa o entidad nombre a terceros para que gestionen el canal de denuncias. En función del tercero escogido, puede ser más sencillo poder demostrar la independencia y ausencia de conflictos de interés, de manera que el/la denunciante pueda tener más tranquilidad en este sentido. En todo caso, es preciso que se haya suscrito el correspondiente contrato de protección de datos con el tercero, de manera que este acceso a datos personales esté amparado por el Reglamento General de Protección de Datos.

Hay que tener en cuenta las obligaciones formales que lleva aparejado el canal de denuncias. Entre otras:

• Informar de manera clara, transparente, accesible y visible la existencia y características del canal de denuncias (teniendo en cuenta las obligaciones del Reglamento General de Protección de Datos).
• Existencia de registro de denuncias.
• Obligación de transcribir o documentar el contenido de las llamadas y de las reuniones.
• Obligación de dar acuse de recibo de la denuncia.

Canales de denuncia internos externos

Es posible que el canal de denuncias interno no tenga el nivel de funcionamiento deseado, porque no se sigan con diligencia las denuncias, o en un plazo razonable, o porque el/la denunciante tenga razones válidas para temer por la vulneración de la confidencialidad, o porque exista riesgo de destrucción de pruebas. Por tanto, aunque la regla general debe ser la denuncia en el canal interno, de manera adicional deberá haber autoridades nacionales que gestionen un canal de denuncias externo a las organizaciones.

Las condiciones son análogas a los canales internos: entre otras, protección de la confidencialidad y ausencia de represalias y seguimiento diligente de las denuncias. Hasta que no exista trasposición de la Directiva, no sabremos exactamente qué autoridades serán las encargadas, ni cuáles serán sus competencias concretas.

Revelación pública de la denuncia

En caso de que ninguno de los mecanismos anteriores (canales de denuncias internos y/o externos) funcionen, o bien el/la denunciante tenga razones para pensar que hay un peligro inminente o manifiesto para el interés público, o bien que en el caso de denuncia externa exista un riesgo de represalias o de que no sea efectiva, el/la denunciante podrá revelar de manera pública el objeto de la denuncia y acogerse a la protección de la Directiva (eg ausencia de represalias). Esto significa que podrá acudir a la prensa y hacer pública la denuncia bajo el régimen de protección de la Directiva, lo cual constituye una novedad remarcable.

Esto sin perjuicio de que cada estado miembro pueda tener sus propios mecanismos de protección de la libertad de expresión e información, como es el caso de España y la protección de las fuentes periodísticas.

Implicaciones prácticas para las empresas, Administraciones y otras entidades

Las obligaciones de la Directiva implica que las empresas, Administraciones y entidades afectadas deberán desarrollar mecanismos internos para garantizar su cumplimiento. A continuación indicamos, desde un punto de vista práctico, qué implicaciones principales existen en relación con la normativa penal, de protección de datos y laboral.

A. En materia de cumplimiento penal

La implantación de un canal de denuncias en los términos recogidos en la Directiva va a reforzar la cultura de prevención y detección de delitos en el seno de las empresas. No obstante, requerirá de las empresas una actualización y revisión de la normativa interna en materia de compliance. En concreto:

• Aunque dependerá en gran medida de las características de la empresa, puede ser recomendable que el canal de denuncias sea gestionado por el órgano de cumplimiento de la entidad. En caso de no existir un órgano de cumplimiento dentro de la empresa, es recomendable constituirlo, para lo que será necesario establecer su reglamento de funcionamiento. Igualmente, se puede delegar esta función en terceros.
• El órgano o persona encargado de la gestión del canal de denuncias debe ser capaz de detectar ilícitos penales, para lo cual es necesario un buen conocimiento del programa y la normativa en materia de compliance que exista en la empresa. Para ello, la empresa debe proporcionar, si fuera alguien interno, la formación pertinente para garantizar la eficacia del canal de denuncias. De externalizarlo, la empresa deberá asegurarse de la idoneidad del proveedor que se seleccione.
• A la hora de elaborar la política o reglamento que rija el funcionamiento del canal de denuncias, las necesidades de cumplimiento penal y las medidas existentes en la empresa deben ser tenidas en cuenta.
• Desde el punto de vista del cumplimiento penal, es necesario elaborar un protocolo de investigaciones internas con el fin de reaccionar correctamente ante las irregularidades detectadas mediante el canal de denuncias. A este respecto adquiere especial relevancia el respeto de la cadena de custodia al recopilar la prueba y los derechos fundamentales de las personas involucradas, para poder hacer valer los hallazgos de la investigación en un potencial procedimiento judicial.

B. En materia de protección de datos

El tratamiento de datos derivado de la existencia del canal de denuncias está sujeto a requisitos estrictos, debido a las implicaciones que cualquier incumplimiento pueda tener para los/las denunciantes, los /las denunciados/as, o para el resto de personas involucradas:

• Es preciso disponer de una política de privacidad para todas aquellas personas que participen en el canal de denuncias, así como de las personas investigadas. Es preciso informar del tratamiento tanto en el momento en que se cree el canal de denuncias, como a la hora de acceder al mismo. En caso de que no se informe a un/a denunciado/a por alguna razón necesaria e imperiosa (Ej. posible destrucción de pruebas) es preciso que se documente de manera adecuada la proporcionalidad de la medida y su duración.
• Es preciso que los/las denunciantes / denunciados/as conozcan de antemano el funcionamiento del canal de denuncias, las posibles consecuencias y sus derechos bajo la normativa de protección de datos, con la finalidad de que tengan una expectativa adecuada de su privacidad.
• Deben existir protocolos para que el canal de denuncias cumpla con los principios de minimización de datos (que no se traten más datos de los necesarios), principio de conservación (máximo 3 meses, que se puede ampliar a 6 meses), etc.
• Deben existir medidas de seguridad adecuadas para garantizar la confidencialidad de los/as denunciantes (y también de los/as denunciados/as) y para evitar cualquier tratamiento de datos diferentes de los previstos en el canal de denuncias.
• El delegado de protección de datos (en su caso) deberá dar su punto de vista en cuanto a las implicaciones para el tratamiento de datos personales del diseño del canal de denuncias. Es recomendable que también sea consultado (incluso sin que se desvelen identidades) en caso de que las investigaciones tengan especial incidencia en el derecho a la protección de datos de los/as denunciantes / denunciados/as.
• En caso de que el canal de denuncias lo gestione un tercero, deben existir protocolos para escoger a proveedores con altos estándares de protección de datos personales (incluyendo formación específica), y con un contrato de protección de datos que cumpla con la normativa (incluyendo altas medidas de seguridad).
• Debido a la naturaleza del tratamiento, puede ser obligatorio realizar una evaluación de impacto (art. 35 del Reglamento General de Protección de Datos) para garantizar que el impacto en los derechos y libertades de los interesados no es desproporcionado.

C. En materia de derecho laboral

Las consecuencias laborales que presumiblemente se derivarán de la trasposición de la Directiva al ordenamiento jurídico español no son pocas atendiendo al tenor literal de la norma, por lo que entes públicos y privados deberán localizarse en:

• Establecer o, en su caso, revisar los canales y procedimientos de denuncia internos para adaptarlos a las garantías exigidas por la Directiva.
• Involucrar a los agentes sociales desde un ámbito multidisciplinar (penal, protección de datos y laboral).
• Gestionar el canal de denuncias ya sea internamente bajo el principio de no injerencia o mediante la contratación de un tercero en aras de garantizar la imparcialidad en el procedimiento de denuncia.
• Toda vez que se quiera imponer una medida disciplinaria o no disciplinaria pero restrictiva para los derechos de las personas trabajadoras, analizar pormenorizadamente el contenido de esta Directiva a efectos de valorar si la persona trabajadora en cuestión está bajo la protección dispensada por la misma.
• Detectar las responsabilidades que desde un punto de vista laboral puedan depurarse para así aplicar las medidas correctoras que procedan en caso de que el/la denunciante incurra en alguno de los delitos listados en la Directiva.
• Impartir formación toda la plantilla en aras de cumplir con el objetivo de difundir el contenido de la Directiva y especialmente a aquellas personas que internamente vayan a gestionar el canal o procedimiento de denuncia interno.

Authored by Ignacio Sánchez, Gonzalo Gállego, Enrique de la Villa, Juan Ramón Robles, Virginia Canales y Carolina Llorente.