El papel del abogado en la protección de los “whistleblowers”

Por María Guillén Molina, abogada y Fernando Riaguas López, funcionario del Cuerpo Superior Jurídico de la JCCM.

El 13 de marzo de 2023 entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en adelante, la “Ley”). El legislador español ha preferido el término “informante” al de “denunciante” empleado en la versión española de la Directiva.

La ley protegerá a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella, de a) acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea, siempre que i) entren dentro del ámbito de aplicación de los actos de la Unión enumerados en el anexo de la Directiva; ii) afecten a los intereses financieros de la Unión Europea o iii) incidan en el mercado interior; o b) acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave, con arreglo al derecho nacional . El acceso a la información por parte de los informantes debe haberse producido en un contexto laboral o profesional y la información protegida podrá consistir meramente en sospechas razonables, incluso sobre infracciones potenciales, esto es, no consumadas.

La norma obligará a las personas físicas o jurídicas del sector privado que cuenten con 50 o más trabajadores y a todas las entidades del sector público a establecer un canal interno de información, prohibiéndose expresamente “los actos constitutivos de represalia, incluidas las amenazas de represalia y las tentativas de represalia” contra los informantes.

La prohibición está respaldada por medidas muy contundentes, entre las que cabe destacar la presunción legal (iuris tantum) de que el perjuicio sufrido obedece a una medida de represalia, la exención de responsabilidad por la infracción de obligaciones legales de sigilo, o la tipificación como infracción muy grave, sancionable con multas mínimas de 30.001 euros, si el responsable es una persona física, o 600.001 euros si es una persona jurídica, de la “adopción de cualquier represalia” .

Una trasposición en diferido

En todo caso, la verdadera transposición de la Directiva no podrá darse por completada hasta que se pongan en vigor las disposiciones reglamentarias y administrativas necesarias para dar cumplimiento a lo dispuesto en aquella.

El primer plazo a tener en cuenta es el de 3 meses, desde la entrada en vigor, para que las Administraciones, organismos, empresas y demás entidades obligadas a contar con un sistema interno de información (partidos políticos, sindicatos y organizaciones empresariales y sus fundaciones, siempre que reciban o gestiones fondos públicos) adapten los sistemas existentes o, si no cuentan con él, lo implanten. Quedan exceptuadas las entidades jurídicas del sector privado cuyas plantillas tengan entre 50 y 249 trabajadores y los municipios de menos de 10000 habitantes, que dispondrán de un plazo más amplio, hasta el 1 de diciembre de 2023.

Un segundo plazo, de 6 meses, para adaptarse a las disposiciones de la ley, en aquellos aspectos en los que no se adecuen a la Directiva (UE) 2019/1937, es para las entidades que ya cuentan con canales y procedimientos de información externa, como sucede en el caso de las Comunidades Autónomas de Cataluña, Valenciana, Illes Balears, Navarra, Principado de Asturias y Andalucía.

Finalmente, el tercer plazo, de un año desde la entrada en vigor, es el que la disposición final undécima concede al Consejo de Ministros para aprobar, mediante real decreto, a propuesta conjunta de los Ministerios de Justicia y de Hacienda y Administraciones Públicas, el Estatuto de una nueva autoridad administrativa independiente: la Autoridad Independiente de Protección del Informante.

Este último plazo resulta especialmente relevante, puesto que, sin el concurso de la nueva Autoridad Independiente de Protección del Informante, el sistema permanecerá cojo en todos los territorios que no cuenten con un canal propio externo de denuncia.

Además de tener encomendada, en su ámbito de competencias, la misión de habilitar dicho canal, como medio complementario del canal interno, corresponde a dicha autoridad adoptar las medidas de protección al informante y ejercer la potestad sancionadora. De manera que, si el 13 de junio, alguna entidad de las obligadas a contar con un Sistema interno de información incumple esta obligación y la Autoridad Independiente no existe, aún no es funcional o no ha habilitado de manera efectiva el canal externo , la única opción, para quien desee tener derecho a protección con arreglo a lo dispuesto en la Directiva en las mismas condiciones que una persona que haya denunciado por un canal externo, es plantear su denuncia ante las instituciones, órganos u organismos pertinentes de la Unión, aunque, claro está, ello solo será posible si la infracción denunciada entre dentro del ámbito de aplicación de aquella.

La adopción de esta Ley supone una importante adición al marco legal español en materia de compliance. Si bien el whistleblower es una nueva figura en tanto que la protección que reciben, los canales de denuncia ya habían sido introducidos en nuestra legislación en materia de blanqueo de capitales o protección de datos y, anteriormente a todo ello, el Código Penal ya había animado a las empresas al establecimiento de “canales éticos” con el fin de evitar la comisión de delitos y, eventualmente, la atribución de responsabilidad penal por las acciones u omisiones cometidas en el seno de la empresa.

En este contexto, dada la complejidad que puede suponer la correcta puesta en marcha de canales de denuncia con las garantías adecuadas, ha sido frecuente la externalización de los canales internos de denuncia. Los despachos de abogados han tenido una presencia importante en la prestación de este tipo de servicios, por la importancia de calificar correctamente las conductas denunciadas y establecer las salvaguardas legales impuestas por nuestro sistema jurídico.

Siguiendo esta línea, la Ley permite la externalización de la gestión canal de denuncias en su artículo 6, tanto en el sector público como en el privado. La externalización de la gestión en ningún caso supone la externalización de la responsabilidad; cada entidad deberá designar un responsable del sistema interno que puede ser unipersonal o colegiado.

Tanto si se externaliza o no el sistema interno, es conveniente que su implementación se realice teniendo en cuenta el marco jurídico ya establecido en materia de cumplimiento normativo. La propia Ley, con la filosofía de que las obligaciones y derechos que establece se enmarquen en el contexto de la política compliance de la empresa, obliga a las empresas a “(i)ntegrar los distintos canales internos de información que pudiera establecerse dentro de la entidad”.

Ante la relativamente inminente entrada en vigor de la obligación de las empresas para el establecimiento de sistemas internos, la importancia de contar con un buen asesoramiento será fundamental para la correcta implementación de las obligaciones que recaen sobre las empresas. Si bien la externalización del sistema interno puede ofrecer ventajas, la idoneidad de la esta medida dependerá de cada caso. Lo verdaderamente relevante será, en cualquier caso, contar con asesoramiento legal pertinente y permanente, que valore las diferentes vías de actuación posibles y los eventuales problemas o necesidades de actualización que puedan surgir durante la vida del sistema. De esta forma la empresa contará con un verdadero mecanismo de protección que, a la vez que evita las represalias frente a los informantes, le permita tener el control de lo que ocurre en su seno y tomar las medidas pertinentes a tiempo.

La norma se publicó el 21 de febrero, solo seis días después de que el Colegio de Comisarios decidiera presentar un recurso ante el Tribunal de Justicia de la Unión Europea contra ocho Estados miembros, entre ellos España , al considerar incumplida la obligación que incumbía a estos de comunicar a la Comisión las medidas de transposición de la Directiva (UE) 2019/1937, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.