Proyecto de Ley de Whistleblowing: luces y sombras

Por Guillermo Meilán Iglesias y Andrea Bartolomé Pi, abogados de Pérez-Llorca.

El objetivo primordial de esta norma es proporcionar una protección adecuada a aquellas personas físicas que informen de determinadas infracciones cuando muestren “una conducta valiente de clara utilidad pública”.

1.- Protege a (i) todas aquellas personas físicas que trabajen en el sector público o privado y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, tales como funcionarios, trabajadores por cuenta ajena, autónomos, accionistas, consejeros, etc.; y (ii) otros sujetos relacionados con los informantes anteriores y que los asistan en su labor, o que puedan sufrir represalias como consecuencia de la misma, como representantes legales de los trabajadores, compañeros de trabajo, familiares, etc.

2.- Protege la comunicación de las siguientes informaciones: (i) acciones u omisiones que puedan constituir infracciones del Derecho de la UE, si éstas (a) entran dentro del ámbito de aplicación de los actos enumerados en el Anexo de la Directiva (UE) 2019/1937^[1]; (b) afectan a los intereses financieros de la UE^[2]; (c) inciden en el funcionamiento del mercado interior^[3]; (d) conciernen a normas en materia de competencia y ayudas de Estado; o (e) afectan al mercado interior en relación con actos que infrinjan las normas del impuesto sobre sociedades o con prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe la finalidad de la legislación aplicable al impuesto sobre sociedades; o (ii) acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.

3.- Los sistemas internos de información son el cauce preferente para comunicar cualquier tipo de irregularidad en el ámbito empresarial público o privado y su implantación corresponde al órgano de administración o de gobierno de cada entidad, previa consulta con los representantes de los trabajadores.

3.a.- Su implementación es obligatoria para: (i) todas las personas físicas o jurídicas del sector privado que tengan contratados a 50 o más trabajadores; (ii) personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la UE en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del Anexo de la Directiva (UE) 2019/1937, que se regularán por su normativa específica, si bien aplicarán el texto del Proyecto en todo aquello que no regule dicha normativa[4]; y (iii) todas las entidades del sector público, así como los partidos políticos, sindicatos, patronales y fundaciones creadas por ellos, siempre que reciban o gestionen fondos públicos.

Los plazos de implementación que prevé la norma varían: (i) los sistemas internos de información deberán implementarse por los sujetos obligados en un plazo máximo de tres meses –aunque en el caso de las entidades jurídicas privadas que tengan menos de 250 trabajadores se prevé que tengan de plazo hasta el 1 de diciembre de 2023–; y (ii) los canales y procedimientos de información externa ya existentes deberán adaptarse a las disposiciones de esta norma en un plazo máximo de seis meses.

3.b.- El sistema debe contar con una persona física que actúe como máximo responsable y que cuente con independencia y autonomía respecto del resto de los órganos de la entidad . Aunque se admite la posibilidad de que sus atribuciones recaigan sobre un órgano colegiado, en estos casos deberán delegarse las facultades de gestión del sistema y de tramitación de expedientes de investigación en uno de sus miembros, que deberá ser un alto directivo.

4.- También prevé la creación de un sistema público de comunicación al que el informante podrá acudir directamente o después de efectuar una comunicación a través del correspondiente canal interno. Este canal externo estará gestionado por un ente público, la Autoridad Independiente de Protección del Informante (“A.A.I.”), que verificará si la información recibida cumple con el ámbito objetivo de la norma y debe iniciarse una investigación al respecto o si, por el contrario, debe inadmitirse la comunicación, o remitirse a otra autoridad competente para su tramitación o si afecta a la Hacienda Pública. La A.A.I. se constituye como un ente de derecho público de ámbito estatal con personalidad jurídica propia y plena capacidad pública y privada, cuya misión principal es garantizar tanto la investigación de las comunicaciones que reciba a través del canal externo de comunicación como la protección efectiva de los informantes, y cuenta con potestad sancionadora.

5.- Recoge una serie de medidas de protección para amparar a aquellas personas que alerten sobre infracciones y que cumplan con los requisitos de la norma, pero también para salvaguardar el derecho a la presunción de inocencia de los potenciales sujetos investigados. Así, se prohíben aquellas conductas que puedan calificarse de represalias (resolución injustificada de un contrato, el desarrollo de conductas intimidatorias, etc.) y que se adopten mientras dure el procedimiento de investigación o en los dos años siguientes. Los potenciales sujetos investigados, por su parte, mantendrán todos sus derechos de tutela judicial y defensa, de acceso al expediente, de confidencialidad, reserva de identidad y la presunción de inocencia mientras dure la investigación.

6.- Los programas de clemencia son una de las novedades más llamativas de la nueva norma: se establece un mecanismo que permite la posibilidad de eximir al infractor que comunique una información, del cumplimiento de la sanción administrativa objeto de la información comunicada^[5]. Esta decisión es potestativa de la autoridad competente y no aplicará en ningún caso a aquellos supuestos en los que se produzca la comunicación de unos hechos que sean constitutivos de delito.

7.- Las infracciones de la norma pueden cometerse tanto por personas físicas como jurídicas, y pueden comportar: (i) la imposición de multas coercitivas que pueden llegar a alcanzar los 300.000 euros –en el caso de personas físicas– o 1.000.000 euros –en el caso de personas jurídicas–; o (ii) en aquellos casos en los que la infracción se califique como muy grave, medidas adicionales (amonestación, prohibición de obtener subvenciones, etc.).

Después de realizar un detenido análisis del proyecto, nos encontramos con varios interrogantes sobre cuestiones esenciales que podrían aflorar desde el primer momento en que se aplique la norma y poner en peligro no sólo el derecho de defensa de determinados sujetos infractores, sino también la adecuada protección de los informantes:

• En el caso de los sistemas internos de información, el mecanismo parece pensado para recibir comunicaciones cuyo contenido no implique de manera directa a la organización que reciba la comunicación, desde el momento en que el Proyecto obliga expresamente en su artículo 9.2 j)[6] a que el responsable del sistema interno remita la información recibida al Ministerio Fiscal o a la Fiscalía Europea “con carácter inmediato” cuando los hechos revistan indicios de delito. Pero ¿qué sucede en caso de que la información revelada pueda comportar la comisión de un delito por parte de la propia persona jurídica que reciba la información (cuestión bastante habitual, por otro lado, cuando se denuncian infracciones penales en el ámbito corporativo, ya que muchas veces el comportamiento de las personas físicas implicadas en los hechos puede generar responsabilidad penal de la persona jurídica al amparo del artículo 31 bis del Código Penal)?

Esta pregunta podría encontrar respuesta en el artículo 2, cuyo apartado 2 establece que la protección dispensada por la norma a los informantes “no excluirá la aplicación de las normas relativas al proceso penal, incluyendo las diligencias de investigación”; no obstante, si tenemos en cuenta la obligación de comunicación al Ministerio Fiscal que se impone al responsable del sistema interno de información en el ya comentado artículo 9.2 j) del Proyecto, creemos que no queda suficientemente claro si la redacción del artículo 2.2  salvaguarda la posición de la persona jurídica a la que nos referíamos en nuestra pregunta anterior. De no ser así, consideramos que la obligación prevista en el artículo 9.2 j) del Proyecto podría colisionar directamente con el derecho constitucionalmente reconocido a todos los sujetos que sean llamados como presuntos responsables penales a no autoincriminarse. Ello incluye no sólo a las personas físicas, sino también a las personas jurídicas, en la medida en que éstas tienen reconocidos los mismos derechos constitucionales que las personas físicas en el marco de un procedimiento penal^[7]. Por tanto, el derecho a la defensa reconocido a las personas jurídicas ampara su derecho a no autoincriminarse, incluyendo el derecho a no revelar documentación o información que podría ser utilizada con el fin de tratar de atribuirles responsabilidades penales^[8].

• El Proyecto establece un mecanismo de clemencia pensado para que el órgano responsable de resolver el procedimiento administrativo sancionador exima o atenúe la responsabilidad administrativa de quien confiese los hechos. Ahora bien, ¿qué trato se debe dispensar por parte de una entidad a un informante que, a su vez, sea infractor y responsable de los hechos (le aplique o no el mecanismo de clemencia previsto) cuando decida comunicarlos a través de un sistema interno de información para tratar de rebajar en el ámbito laboral las consecuencias de su comportamiento ilícito? ¿Cómo se debe conjugar el adecuado funcionamiento del sistema y la ausencia de represalias de quien informa en este caso, con el derecho de defensa del informante-infractor? La norma guarda silencio al respecto
• ¿Qué protección real se va a conceder al informante? El texto no deja lugar a dudas acerca de la existencia de un mecanismo de protección. Ahora bien, en nuestra opinión, la norma no es lo suficientemente clara como para despejar las dudas de quien se plantee dar el paso y comunicar, al hacer descansar la concesión de la protección en la existencia de “motivos razonables para pensar que la información referida es veraz”, motivos que la norma no concreta y que creemos que deberían integrarse en el texto habida cuenta de su indeterminación.
• Por último, y aunque el Proyecto tenga loables intenciones para poner este mecanismo en marcha cuanto antes, creemos que el funcionamiento de la A.A.I. no va a ser una realidad inmediata. Por un lado, el texto concede a determinados grupos de sujetos obligados a cumplir con la norma una moratoria hasta el 1 de diciembre de 2023 para implementar su sistema interno de información –lo que sitúa la plena implementación de estos mecanismos a más de un año vista–. Por el otro, el funcionamiento real y efectivo de la A.A.I. requerirá de la aprobación de un Real Decreto que desarrolle su estructura, organización y funciona

[1] Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. Los actos enumerados en el Anexo afectan a los siguientes ámbitos: (i) contratación pública; (ii) servicios, productos y mercados financieros, y prevención del blanqueo de capitales y la financiación del terrorismo; (iii) seguridad de los productos y conformidad; (iv) seguridad del transporte; (v) protección del medio ambiente; (vi) protección frente a las radiaciones y seguridad nuclear; (vii) seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales; (viii) salud pública; (ix) protección de los consumidores; (x) protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información.

[2] Vid. art. 325 del Tratado de Funcionamiento de la Unión Europea (“TFUE”).

[3] Vid. art. 26.2 TFUE.

[4] También se incluyen dentro de este grupo a las personas jurídicas que, pese a no tener su domicilio en España, desarrollen en nuestro país actividades a través de sucursales o agentes, o mediante la prestación de servicios sin establecimiento permanente.

[5] Se exceptúan las sanciones vinculadas a conductas prohibidas por la Ley 15/2007, de 3 de julio, de Defensa de la Competencia, que se rigen por dicha normativa específica.

[6] Art. 9.2 j) del Proyecto: “2. El procedimiento establecerá las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en esta ley. En particular, el procedimiento responderá al contenido mínimo y principios siguientes: (…) j) Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea”.

[7] STS 221/2016, de 16 de marzo de 2016 [ECLI:ES:TS:2016:966]: “el conjunto de derechos invocables por la persona jurídica, derivado de su estatuto procesal de parte pasiva, eso sí, con las obligadas modulaciones, no puede ser distinto del que ostenta la persona física a la que se imputa la comisión de un hecho delictivo”; y STS 154/2016, de 29 de febrero de 2016 [ECLI:ES:TS:2016:613], que reconoce el deber de los órganos jurisdiccionales de velar por el respeto y la plena eficacia del derecho a la defensa de la persona jurídica.

[8] Así se puede comprobar en la jurisprudencia emanada tanto de nuestro Tribunal Constitucional (“TC”) como del Tribunal Europeo de Derechos Humanos (“TEDH”), que ya se han pronunciado acerca del alcance del derecho a la defensa y a no autoincriminarse. Se ha configurado así una doctrina pacífica y asentada relativa a los requerimientos de documentación que se puedan realizar bajo la coerción del Estado a personas a las que posteriormente se pueda exigir responsabilidad penal que encuentre su sustento precisamente en dicha documentación, considerando estas prácticas vulneradoras del derecho a la defensa cuando concurran una serie de circunstancias. Vid. STC 68/2006, de 13 de marzo de 2006 [ECLI:ES:TC:2006:68], con cita de muchas otras. En estos supuestos, el TC y el TEDH han apreciado la vulneración del derecho a no autoincriminarse y a la defensa cuando la coerción del Estado –materializada a través de un requerimiento de documentación en fase de inspección tributaria– se realiza a una misma persona (ya sea física o jurídica) que, posteriormente, es condenada en el marco de un procedimiento penal con base en la documentación entregada bajo coerción. Esta jurisprudencia ha sido pacíficamente reconocida en la STEDH (Gran Sala), caso Saunders v. Reino Unido, 17 de diciembre de 1996 [ECLI:CE:ECHR:1996:1217JUD001918791]; en la STEDH (Sección 2ª), caso J.B. v. Suiza, 3 de mayo de 2001 [ECLI:CE:ECHR:2001:0503JUD003182796]; y en las SSTC 68/2006, de 13 de marzo de 2006 (ya citada) y 18/2005, de 1 de febrero de 2005 [ECLI:ES:TC:2005:18].