Buen Gobierno Corporativo | Gestion Órganos de Gobierno | Gobertia

Los canales de denuncias: instrumentos eficaces y necesarios del control corporativo.

Más de la mitad de las empresas españolas ha sido víctima de algún delito económico en los últimos dos años. Así se desprende de la Encuesta mundial sobre fraude y delito económico 2018, que cada dos años elabora PwC a partir de la opinión de más de 7.000 compañías en todo el mundo. Concretamente, el 54% de las empresas españolas asegura haber sufrido algún tipo de fraude económico en los últimos dos años.

España se sitúa por encima de la media mundial (49%), en línea con los principales países de nuestro entorno, como Reino Unido (50%), Alemania (50%) y Estados Unidos (53%).

A pesar del aumento de la inversión para luchar contra el delito económico, el desarrollo de las nuevas tecnologías, la  mayor implantación y efectividad de los mecanismos de detección y la  creciente preocupación en las organizaciones por el fraude económico, muchas compañías carecen todavía de una estrategia de prevención y detección del fraude.

El informe recoge como  principales mecanismos que utilizan las empresas españolas para detener el fraude y delito económico  las auditorías internas (según el 17% de las empresas en España), el análisis de datos (17%) y los canales de denuncias (14%).

Precisamente los canales de denuncia, son el medio más fácil y económico con el que cuentan las empresas para detectar el fraude.

Los Principios de buen gobierno de la OCDE ya se referían al  Consejo de Administración como  protagonista a la hora de definir el mensaje ético de la empresa, “no sólo a través de sus propias acciones, sino también al nombrar y supervisar la labor de los ejecutivos principales y, por ende, de la dirección en general.

La propia norma   UNE 19601 – Sistemas de gestión de compliance penal. Requisitos con orientación para su uso-, desarrollada por AENOR como norma de gestión certificable a partir de los criterios de la ISO 19600 y de las disposiciones establecidas en el Código Penal español, concreta qué es deber del   órgano de gobierno en relación con el sistema de gestión de Compliance: “Adoptar, implementar, mantener y mejorar continuamente  un sistema de gestión de Compliance penal idóneo para prevenir y detectar delitos o para reducir  de forma significativa el riesgo de su comisión; dotando al mismo de  recursos financieros, materiales y humanos  adecuados y suficientes para su funcionamiento eficaz”.

En este punto corresponde al órgano de gobierno velar – examinar periódicamente la eficacia, en términos de la UNE-  que el sistema de gestión adoptado cumpla con todos los requisitos exigidos legalmente, por el artículo 31 bis 5 del Código Penal.

Obligación de Informar

Entre estos requisitos destaca, el de “Imponer  la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención” (art. 31.bis 5. 4º C.P.).

Para que este deber se entienda cumplido por el órgano de gobierno, el mismo debe velar porque:

1º.- La persona jurídica establezca un instrumento o canal útil para facilitar el cumplimiento del deber de cumplir con el  expresado deber u  obligación de informar. Lo que en la práctica viene denominándose en las empresas un canal ético o canal de denuncias.

2º.- El Código Ético o Reglamento de Régimen Interior de la persona jurídica, imponga a sus directivos, empleados y contratistas y colaboradores externos, en sus contratos, la obligación de informar, con carácter vinculante,  de posibles riesgos, infracciones, irregularidades o incumplimientos.

 3º.- Los  empleados,  contratistas  y colaboradores externos de la persona jurídica, hayan sido  debidamente  informados del modo y manera de cumplir dicha obligación, de los principios y objetivos que la inspiran, y de las consecuencias de su incumplimiento.

            De manera análoga,  la  UNE 19601  en su punto 8.7 bajo el epígrafe: “Comunicación de incumplimientos e irregularidades” exige, como requisito del sistema de gestión de Compliance (cuya adopción, implementación, mantenimiento y mejora continua corresponde al órgano de gobierno), que “la organización implemente  procedimientos adecuados para facilitar canales de comunicación  que permitan,  tanto a los miembros de la organización   como a terceros,  comunicar  de buena fe y, sobre la base de indicios razonables, aquellas circunstancias que puedan suponer la materialización de un riesgo penal para la organización, así como incumplimientos o debilidades del sistema de gestión de compliance penal”.

La obligación de informar debe de establecerse de forma clara en la política de Compliance, cuya aprobación es competencia del órgano de administración, y reforzarse por otros medios en el día a día.

¿Cuáles deben ser  las consecuencias de no informar o no  denunciar un posible riesgo o infracción, para los empleados y para quienes ejercen el poder de dirección en virtud de un contrato laboral?

Partiendo de que el Código Ético y Reglamento Interno de Conducta de la sociedad  es parte esencial del modelo de prevención (art. 31 bis 5, 2º),  al igual que el reglamento sancionador (art. 31 bis 5, 5º).

El deber de informar o denunciar   debe de ser conocido y aceptado como parte de las  obligaciones y deberes contractuales  por los empleados, -máxime  por aquéllos ligados por un contrato de alta dirección- debiendo establecerse en el Código Ético –que forma parte de la Política de Compliance de la sociedad- la obligación de informar  sobre riesgos o infracciones  (obligación dimanante del deber de buena fe contractual) y en el Reglamente sancionador  prever que el incumplimiento del “deber de  informar” constituirá  una  infracción de del deber de buena fe –piedra de bóveda- de la relación laboral (art. 5  del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores) , pudiendo llegar dicha infracción  en caso de ser grave a ser  causa de despido disciplinario (art. 54.2 d).

 

La externalización del canal de denuncias como decisión estratégica de un programa de prevención de delitos

La elección del canal de comunicación más adecuado para cumplir con la finalidad que exige tanto el 31 bis 5. 4º del C.P.  como la UNE 19601, es  la primera decisión que ha de tomar el órgano de administración, último responsable del programa  de prevención o sistema de gestión de compliance penal.

La UNE 19601 prevé que la organización pueda externalizar la tramitación de las comunicaciones mediante la contratación de una firma independiente.

La Circular 1/2016 de la Fiscalía General del Estado recomienda la externalización del canal, “más utilizados y efectivos cuando son gestionados por una empresa externa, que puede garantizar mayores niveles de independencia y confidencialidad”.

Un canal de denuncias externo tiene como ventaja frente a un canal interno, que  los obligados por el deber de denunciar:

1º.- Se  sienten más seguros de que se preserve su identidad.  

2º.- Se facilita su asesoramiento  por especialistas en relación a cualquier duda o inquietud relacionada con una conducta concreta, el funcionamiento del propio canal, los propios  derechos y obligaciones del denunciante.

3º.- Pueden sentirse mejor protegidos frente a cualquier represalia, amenaza o acoso  consecuencia de su  denuncia;  conducta que, en todo caso, deberá de preverse en el reglamento sancionador de la entidad como una falta muy grave del reglamento de régimen interior.

Todas estas ventajas, que son en definitiva   garantías para el denunciante,  son requisitos que la  UNE 19601 exige haya  de tener el canal de comunicación, de que se debe dotar todo sistema de gestión de compliance, para poder ser certificado.

Para que esa externalización sea exitosa resulta necesario que todos los posibles denunciantes se hagan cargo del verdadero compromiso de la empresa con el modelo de Compliance implantado, y con la decisión de dejar en manos de un tercero cuestión tan sensible como la comunicación de posibles riesgos o infracciones que puedan ser trascendentales desde el punto de vista legal y competitivo. Ello exige, como paso previo, que el órgano de administración y la alta dirección sepan  explicar adecuadamente ese compromiso empresarial como una decisión estratégica encaminada a establecer una verdadera cultura de cumplimiento en la empresa y un sistema de control adecuado.

Además el canal externo:

4º.- Facilita que puedan ser  denunciados miembros del órgano de  gobierno,  dirección y control (incluido el órgano de cumplimiento), además de las personas que se encuentren bajo la dependencia de éstos, o los contratistas adheridos al sistema.

5º.- Permite ser un medio de  filtración de  las denuncias, asumiendo    el servidor del canal el compromiso contractual de estudiar si los hechos revisten o no -prima facie- características de delito o infracción del Código Ético o del Reglamento de Régimen Interior, o si los mismos no suponen infracción alguna, informando al denunciante, si da trámite a la denuncia, o cual sea el canal adecuado para transmitir su queja en caso de que los hechos no sean constitutivos de infracción alguna.

En todo caso el responsable del canal deberá comunicar al órgano de  cumplimiento de la empresa – preservando la identidad del denunciante –  los hechos objeto de denuncia y el  informe que haya elaborado considerando que los hechos denunciados  no suponen un delito o infracción alguna del  Código Ético o del Reglamento de régimen interior o de los controles establecidos en el programa de prevención de delitos.

6º.- Facilita la información analítica sobre los riesgos puestos de manifiesto en las denuncias, asumiendo    el servidor del canal el compromiso contractual de realizar informes periódicos sobre el contenido de las denuncias, y el análisis estadístico de cuales sean los incumplimientos, irregularidades, riesgos más frecuentes, los departamentos y procesos en el que se manifiestan. Información muy valiosa para poner de manifiesto los puntos débiles del sistema de Compliance y tomar medidas adecuadas para ir mejorando el mismo. Esos informes o reportes periódicos pueden ser un medio idóneo de prueba en un proceso penal;  si el sistema informático del responsable –lo que sería deseable- tiene las oportunas medidas implementadas, al garantizar la trazabilidad de todo el proceso: De la  fecha y contenido de las  denuncias, del  resultado de las mismas, de las medidas adoptadas en relación a las irregularidades, incumplimientos y riesgos puestos de manifiesto.

Junto con la externalización del canal de denuncias, la admisión de denuncias anónimas son otro medio de favorecer la eficacia del canal de denuncias como medio imprescindible para garantizar el programa de prevención.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en vigor desde el pasado 7 de diciembre, y en cuyo artículo 24, bajo el epígrafe  Sistemas de información de denuncias internas”, admite expresamente  las denuncias anónimas que tengan por objeto  “la comisión en el seno de la persona jurídica que establezca el sistema, o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable”.

Adelantándose a lo previsto en la Ley Orgánica 23/2018, la UNE 19601 ya previó expresamente que el canal de comunicación de que debía dotarse el sistema de gestión de compliance debía ”permitir  la realización de comunicaciones de manera anónima o confidencial” y “garantizar la confidencialidad o el anonimato de la identidad de las personas que hagan uso de dichos canales de comunicación”.

 

La decisión de admitir  denuncias anónimas y externalizar el canal de denuncias  deberá de pasar finalmente por el órgano de gobierno de la persona jurídica en su función de adopción, implementación, mantenimiento y mejora continua del sistema de gestión de Compliance idóneo para prevenir y detectar delitos o para reducir de forma significativa el riesgo de su comisión. (UNE apdo. 5.1.1. b)

Desde el punto de vista de la protección de los datos personales que consten en el sistema de información de denuncias la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, exige:

  •  “Qué los empleados y terceros sean informados acerca de la existencia de estos sistemas de información”, lo que por otra parte es un requisito esencial para garantizar la  eficacia del sistema, pues si no se comunica y e informa adecuadamente a los posibles usuarios del canal de su existencia, difícilmente el mismo podrá ser objeto de utilidad. En este sentido la UNE 19601 exige “garantizar que los miembros de la organización conocen los canales de comunicación existentes y los procedimientos  que regulan su funcionamiento; e igualmente que se “fomente el uso de los canales de comunicación entre los miembros de la organización”.
  • Qué el acceso a los datos contenidos en estos sistemas quede  limitado exclusivamente a quienes, incardinados o no en el seno de la entidad desarrollen funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto”. (Por lo tanto la propia L.O. contempla expresamente la posibilidad de  externalizar el canal); previendo además la propia  L.O.  que “cuando resulte necesario para la adopción de medidas disciplinarias dicho acceso  permita al personal con funciones de gestión y control de recursos humanos, y cuando lo sea  para la tramitación de  procedimientos judiciales o administrativos  que, en su caso, procedan, sea lícito el acceso al sistema por  la autoridad competente”.
  • Qué se adopten las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
  • Qué los datos de quien formule la comunicación y de los empleados y terceros a los que en ella se haga expresa mención se  conserven en  el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados, y en todo caso, en el plazo máximo de   tres meses desde la introducción de los datos, pues transcurridos los mismos  deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Aclarando el propio texto legal que “las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica” así como que “transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas”.

Por último fomentar el uso del canal de denuncias entra dentro de la formación y concienciación en Compliance,  uno  de los elementos  de apoyo esenciales de un sistema eficaz de gestión de Compliance, no expresamente exigido por el Código Penal, pero sin por la UNE 19601 (apdo.  7.4) y la ISO 19600 (apd. 7.2.2).

En resumen la implementación de un canal de denuncias con los requisitos que dejamos expuestos, resulta ser uno de los medios más eficaces con que cuenta el órgano de gobierno para demostrar  que cumple el deber de control que le impone la ley.

Conoce Gobertia

Contacta con Gobertia

Dejar un comentario