Canales de denuncias: la nueva obligación de compliance para 2023

El pasado 21 de febrero se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Con este nuevo marco normativo, desde el 13 de junio todas las empresas españolas con 250 o más empleados deben disponer de un canal interno de denuncias que permita a los empleados reportar las potenciales ilegalidades de las que tuvieran conocimiento en el ámbito de la actividad social. Este canal de denuncias debe estar disponible, asimismo, para un amplio número de terceros externos a la entidad, como proveedores, subcontratistas o candidatos a empleo, entre otros, que por su particular posición podrían ser conocedores de prácticas presuntamente ilícitas entorno al funcionamiento de la empresa.

Como consecuencia de esta nueva norma, cada vez será más habitual que encontremos en las páginas web de las grandes compañías espacios reservados a sus canales de denuncias, tal como sucedió en su momento, por ejemplo, con las políticas de privacidad, o con las políticas de cookies, a las que la generalidad de usuarios ya estamos ciertamente acostumbrados.

Por otra parte, la obligación de establecer canales de denuncias también afecta a empresas de menor tamaño, de entre 50 y 249 empleados, aunque estas dispondrán de un plazo más amplio -hasta el próximo 1 de diciembre- para ponerse al día en sus nuevas obligaciones de compliance. Por último, las empresas con menos de 50 empleados, las más frecuentes en España, no tendrán por el momento la obligación de implementar canales internos de denuncia (con alguna excepción derivada de la pertenencia a ciertos sectores regulados), si bien su implantación sería, sin duda, muestra de buena práctica y de compromiso con el cumplimiento normativo.

En cualquier caso, aunque el grado de penetración de los canales de denuncia pueda a priori parecer limitado, en la práctica quedarán cubiertos los sectores estratégicos y sus principales operadores que, de forma directa e indirecta, emplean a millones de personas en nuestro país.

En este contexto, aquellas compañías que, bien por imperativo legal, bien por decisión voluntaria de sus órganos de administración, establezcan canales de denuncias, deberán cumplir una serie de requisitos, siendo especialmente destacable la obligación de aceptar denuncias anónimas, aspecto no exento de controversia, especialmente por el uso potencialmente ilegítimo o malintencionado que podría hacerse de las mismas. Sobre el anonimato de las denuncias han existido pronunciamientos relevantes en muy diversas instancias, sirviendo como ejemplo -más allá de las abundantes resoluciones judiciales sobre la materia- el criterio favorable de nuestra Agencia Española de Protección de Datos hacia las mismas (derivado, por lo demás, del hoy modificado artículo 24 de la Ley Orgánica 3/2018, que ya las admitía expresamente), o incluso la Directiva 1937/2019, de la que trae causa la ley que hoy comentamos, que daba libertad a los Estados miembros para decidir si obligaban -o no- a sus empresas nacionales a aceptar y tramitar denuncias anónimas. En este marco, la postura del legislador español ha sido contundente a favor del anonimato en las denuncias, otorgando un destacado valor a la seguridad de los futuros denunciantes, pues no existe mecanismo más idóneo de protección (incluso de prevención, si se prefiere) que ocultar la propia identidad del informante.

Como consecuencia de este nuevo entorno legal, a medida que las empresas sujetas implementen los canales de denuncia, deberíamos ser testigos de un incremento de notificaciones de hechos irregulares a sus órganos de control interno, que serán examinadas por medio de procesos de investigación interna (de gran tradición en el mundo anglosajón) cuyos resultados, en muchos casos, podrán incluso ser aportados a las Autoridades competentes.

Sin embargo, la ejecución de investigaciones internas trae consigo numerosos retos en el plano legal, pues llevadas a cabo sin adoptar las necesarias cautelas que la propia Ley 2/2023 establece, podrían ser contrarias a derecho y/o colisionar con los derechos de los sujetos investigados o de terceros. Sirvan como ejemplos la intromisión ilegítima en la esfera de intimidad de los empleados (mediante la inspección de lugares reservados), la violación del secreto de la correspondencia (al acceder indebidamente a sistemas de correos electrónicos), la vulneración del derecho de defensa o de la presunción de inocencia (al ocultar al investigado cuestiones de orden esencial, como los hechos que se le imputan), o la afectación a la dignidad del empleado, entre otros riesgos legales. Este tipo de infracciones podría acarrear responsabilidades de diversa naturaleza - penales, en determinados casos- tanto para la propia empresa como para sus investigadores internos, pudiendo incluso llegar a invalidar los resultados de la investigación llevada a cabo.

En todo caso, es razonable pensar -así al menos lo esperamos- que la nueva Ley 2/2023 vendrá a reforzar la cultura de cumplimiento normativo en el ámbito empresarial, promoviendo la concienciación de los empleados, directivos, administradores y otros grupos de interés, desincentivando su participación en conductas reprochables y haciéndoles partícipes de la importancia de su cooperación para detectar infracciones, poner en conocimiento de los órganos internos de control las prácticas irregulares detectadas y colaborar en su investigación y sanción.