ÍNDICE DE CONTENIDOS

La Directiva Whistleblowing, un nuevo marco jurídico
Ámbito de aplicación
Excepciones y exclusiones
La protección al denunciante, prohibición de represalias y obligatoriedad de medidas de apoyo
El buzón de denuncias

Documento completo Directiva Whistleblowing (UE) 2019/1937 del Parlamento Europeo

LA DIRECTIVA WHISTLEBLOWING, UN NUEVO MARCO JURÍDICO

Sin duda, una de las marcas más características de la Unión Europea a lo largo de su historia, ha sido su obsesión por escribir derecho en renglones torcidos. Y la directiva que nos ocupa, la (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de personas que informen sobre infracciones del Derecho de la Unión, a la que nos referiremos en adelante como Directiva Whistleblowing, como la han bautizado algunos medios, és un claro ejemplo de como la UE protege sus intereses.

Como ya hemos visto en su título, fue aprobada el 23 de octubre de 2019, lo que quiere decir que en breve se cumplirán los dos años que la UE da como periodo de trasposición, sin que, por el momento, se haya visto el más mínimo avance por parte del Gobierno o el Congreso de los Diputados. Una vez más, el estado español llega tarde y probablemente mal, aunque eso ya lo hablaremos en el futuro.

Hay que aclarar, eso si, que un periodo de adaptación no implica que no esté en vigor, es un error muy común, incluso entre los profesionales del derecho considerar el periodo de transposición como dos años de gracia, pero lo cierto es que la Directiva entra en vigor, y por tanto es alegable, en el mismo momento en el que es publicada por las instituciones europeas.

La Directiva modifica el foco sobre la corrupción, que hasta la fecha había caído casi exclusivamente sobre políticos y funcionarios, ampliándolo a cualquier trama, aunque no haya instituciones públicas involucradas en ella. También amplia su ámbito mas allá de la corrupción en si misma, ensanchando en el propio título su rango de acción “al riesgo de infracción del Derecho de la Unión”, a la vez que empieza a esbozar las competencias de la Fiscalía Europea, nueva institución que echó a andar el pasado 1 de junio y que dará, en el futuro, mucho que hablar en el panorama jurídico.

En la práctica, y a pesar del escaso ruido que ha traído consigo, estamos, probablemente, ante una de las normas europeas mas importantes de la historia reciente de la institución por diversos motivos.

• Es una Directiva extraordinariamente importante, pues nos dice quién, -LA UNION EUROPEA-, tiene la soberanía sobre un tema determinado y nos da un procedimiento único de control y sobretodo, “sobretodo”, unas bases para gestionar los conflictos en ese tema, bases por encima de las normativas estatales. No se impone ni se permite la sectorialización estatal en el ámbito de la Directiva.
• Es una Directiva de nueva generación, porque a diferencia del resto de Directivas y Reglamentos, articula y vertebra la legislación ya publicada, creando un mecanismo que liberará de mucha conflictividad a los Juzgados.
• Es una Directiva que no exime a nadie, por tanto, plantea la responsabilidad directa y personal de jueces y magistrados, fiscales, abogados del estado, secretarios municipales, interventores y tesoreros, pero también de las altas instituciones del Estado y partidos políticos, colegios profesionales y medios de comunicación, de trabajadores y funcionarios, de civiles y militares, desde el nivel más bajo, al más alto. Cualquier norma que los exonere queda decaída. NO HAY AFORADOS.
• Es una Directiva de nueva generación, porque incluye prácticamente en su totalidad al tercer pilar, el del Poder Judicial, excluyendo únicamente la fase deliberativa de las sentencias, no la sentencia ni la ejecución de la misma, como desarrollaremos mas adelante. Y permite asimismo que dentro de la Directiva, una denuncia contra un magistrado del Tribunal Supremo Español sea tramitada e investigada por una autoridad Alemana y que, pongámoslo como ejemplo, una autoridad Española pueda investigar al Presidente de Irlanda.
• Es una directiva de nueva generación, que permite la denuncia anónima e invierte la carga de la prueba. Es el denunciado el que debe probar que no es responsable de los hechos que se imputan.
• Es una directiva de creación de un procedimiento de resolución alternativa de conflictos y de simplificación administrativa, pues los casos más usuales pueden encontrar cabida y solución; y los menos usuales una fase probatoria previa y un mecanismo para enderezar conductas desviadas.

Ámbito de aplicación

Y todo esto se aplicará, no exclusivamente en casos de corrupción, sino en todos los siguientes casos, a los que se reconoce explicita y positivamente que entran dentro del Derecho de la Unión:

• Cualquier contrato público, (sea cual sea la institución implicada y la cuantía, y quien lo firme por la otra parte, persona física o jurídica).
• Servicios, productos y mercados financieros (préstamos, hipotecas, comisiones, riesgos, usura… y también alquileres)
• Prevención del blanqueo de capitales, cumplimiento legal (compliance)
• Financiación del terrorismo (designación de quien es terrorista y quien no)
• Seguridad de los productos que puedan adquirirse dentro del territorio de la Unión (cualquier producto que pueda adquirirse)
• Conformidad de los productos bienes y servicios sometidos a la legislación Europea, aunque no afecte a la seguridad de los mismos.
• Seguridad del transporte, (sea por carretera, tren, avión, fluvial o marítimo, control y vigilancia de los mismos, aduanas).
• Protección del medio ambiente, (urbanismo, caza)
• Protección frente a las radiaciones, (clínicas, hospitales, antenas de telecomunicaciones, wifi)
• Seguridad nuclear, (centrales y almacenamiento y transporte de residuos)
• Seguridad de los alimentos, (etiquetado, caducidad, aditivos)
• Control de los piensos y aditivos para animales.
• Sanidad animal, (veterinaria, plagas, animales de compañía)
• Bienestar de los animales, (¿tauromaquia?, abandono, agresiones a los mismos).
• Salud pública, (riesgos, hospitales, farmacia, medicación, política sanitaria, políticas ABQ).
• Protección de los consumidores de productos y servicios, incluidos los servicios prestados por el Estado (Expresamente se cita a la Administración de Justicia, Policía, Ejercito, Hacienda).
• Protección de la privacidad y de los datos personales, (transmisiones transfronterizas de datos, DPD, video-vigilancia, metadatos) .
• Seguridad de las redes telemáticas y otras infraestructuras críticas (agua, gas, electricidad y comunicaciones)
• Sistemas de información, (procedimientos, acceso, agujeros de seguridad y resiliencia; ).
• Cualesquiera infracciones que afecten a los intereses financieros de la Unión tal como se contemplan en el artículo 325 del TFUE (Lucha contra el fraude, a partir de 10.000 €)
• Todas las infracciones relativas al mercado interior, tal como se contemplan en el artículo 26, apartado 2, del TFUE (mercado interior sin fronteras; libre circulación de mercancías, personas, servicios y capitales; mercados cautivos, dumping, vulneración de directivas sobre el trabajo)
• Todas las infracciones de las normas de la Unión en materia de competencia (competencia desleal, abuso de patentes, contratos de exclusiva).
• Cualquier actividad que haya percibido ayudas otorgadas por los Estados, aunque no fuera dinero directo de la Unión. (subvenciones, garantías bancarias, especial agencias, comisiones y organismos de control, transparencia, anti fraude, agencias de protección de datos, comisiones nacionales como la CNMC, que tienen que tener siempre un mecanismo que controle al controlador.
• Casa Real, Consejo de Estado, CGAE, CGPJ, CGPE, patronales, sindicatos, cofradías, clubs de futbol, fundaciones, patronatos, medios de comunicación, instituciones dedicada a Formación, asociaciones culturales, insersos o Iglesias), Consejos (Consejo de Estado), tribunales (Tribunal de Cuentas).
• Todas las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades (fiscalidades modificadas por decreto por la instalación de un proyecto empresarial).
• Cualquier práctica cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable del impuesto sobre sociedades. (vacaciones fiscales, desgravaciones específicas. Iglesia Católica-Concordato)

Finalmente, en su anexo, relaciona más de cien Directivas y un buen puñado de Reglamentos que deben reinterpretarse de conformidad con la nueva norma.

Y para dejar claro a quien se debe proteger, se otorga la protección como denunciante de corrupción a las siguientes personas:

• Trabajadores (articulo 45, apartado 1 del TFUE, policías y militares incluidos)
• Trabajadores no asalariados (artículo 49 TFUE, empresas, autónomos y voluntarios)
• Accionistas y miembros de la administración, dirección o supervisión de una empresa.
• Trabajadores bajo supervisión de contratistas, subcontratistas y proveedores.
• También trabajadores que ya han finalizado o no hayan empezado su relación laboral.
• Finalmente, crea un “cajón de sastre” con los facilitadores, intermediarios, asesores de todo tipo, terceros que estén relacionados con el denunciante y que puedan sufrir represalias personalmente en un contexto laboral, como en compañeros de trabajo o familiares del denunciante, y también las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

Ciertamente, la Directiva da un pequeño margen a cada Estado para modificar los límites y las interpretaciones, pero, mientras el estado español no legisle, mientras ésto no suceda, se debe interpretar la Directiva 2019/1937 de la manera más amplia posible, de la manera que genere más protección al ciudadano y a las instituciones europeas.

Excepciones y exclusiones

La directiva, por otro lado, incluye las siguientes excepciones a su ámbito de aplicación:

La exclusión al secreto de las deliberaciones judiciales lo es a “solo” a esa parte del trabajo de la judicatura, cualquier otra acción, actuación o trámite procesal “SI” queda incluido en la protección de la Directiva, incluidas las resoluciones fruto de esas deliberaciones, como la instrucción, sentencia o la ejecución de la misma, o aquellas acciones, manifestaciones, formaciones o intereses que sean propias del juez; incluido su elección por el CGPJ.

Y no establece diferencia alguna entre las jurisdicciones civil, penal, laboral, militar o administrativa.

Queda incluida, pues, la Fiscalía en todos sus aspectos, estudios, trabajos y documentos, estén en el formato que estén, y la Abogacía del Estado. Por tanto, de conformidad con la Directiva deberán establecer un procedimiento, independiente del Ministerio de Justicia, para recoger, tratar, tramitar, resolver y sancionar de manera transparente las responsabilidades personales de su actuación por infracción del Derecho de la Unión; repetimos solo queda excluida de la Directiva el “secreto de las deliberaciones judiciales”.

No se excluye tampoco al Tribunal Constitucional, ni los consejos (Consejo de Estado), ni tribunales ad hoc (Tribunal de Cuentas).

Tampoco excluye a la policía ni sus actuaciones, del ministro del Interior para abajo, siempre que sea en el marco competencial de la Directiva. Recordemos que, al igual que los jueces, la policía tiene una extensa regulación europea que las regula.

La Directiva permite perfectamente que quien tramite, investigue y dictamine que ha existido una vulneración de una Administración Española, determinando las responsabilidades personales por infringir lo protegido por la Directiva, sea un actor (autoridad) reconocido, de otro país de la Unión.

La protección al denunciante, prohibición de represalias y obligatoriedad de medidas de apoyo.

La Directiva prohíbe específicamente represalias tales como:

a) Suspensión, despido, destitución o medidas equivalentes.

b) Degradación o denegación de ascensos.

c) Cambio de puesto de trabajo, cambio de ubicación del lugar de trabajo, reducción salarial o cambio del horario de trabajo.

d) Denegación de formación.

e) Evaluación o referencias negativas con respecto a sus resultados laborales.

f) Imposición de cualquier medida disciplinaria, amonestación u otra sanción, incluidas las sanciones pecuniarias.

g) Coacciones, intimidaciones (amenazas de multas), acoso u ostracismo.

h) Discriminación, o trato desfavorable o injusto.

i) No conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido.

j) No renovación o terminación anticipada de un contrato de trabajo temporal.

k) Daños, incluidos a su reputación, en especial en los medios sociales, o pérdidas económicas, incluidas la pérdida de negocio y de ingresos.

l) Inclusión en listas negras sobre la base de un acuerdo sectorial, informal o formal, que pueda implicar que en el futuro la persona no vaya a encontrar empleo en dicho sector.

m) Terminación anticipada o anulación de contratos de bienes o servicios.

n) Anulación de una licencia o permiso.

o) Referencias médicas o psiquiátricas.

Además deben establecerse las siguientes medidas de apoyo:

a) Información y asesoramiento completos e independientes, que sean fácilmente accesibles para el público y gratuitos, sobre los procedimientos y recursos disponibles, de protección frente a represalias y derechos de la persona afectada. (Es decir, crea un turno de asistencia de oficio específico para ellos, de carácter gratuito, especializado e independientemente de que tengan o no, capacidad económica).

b) Asistencia efectiva por parte de las autoridades competentes ante cualquier autoridad pertinente implicada en su protección frente a represalias, incluida, cuando así se contemple en el Derecho nacional, la certificación de que pueden acogerse a protección al amparo de la presente Directiva. (Es decir, crea un turno de oficio completo de abogados, procuradores y peritos y específicamente formados, para ellos de carácter gratuito, independientemente de que tengan o no capacidad económica).

c) Asistencia jurídica en los procesos penales y en los procesos civiles transfronterizos de conformidad con la Directiva (UE) 2016/1919 y la Directiva 2008/52/CE del Parlamento Europeo y del Consejo, y, de conformidad con el Derecho nacional, la asistencia jurídica en todos los otros procesos y cualquier otro tipo de asistencia jurídica o técnica procesal.

d) Además los Estados miembros podrán prestar asistencia financiera y medidas de apoyo a los denunciantes (testigo protegido), incluido apoyo psicológico, en el marco de un proceso judicial.

Es decir que, si no hay turno de oficio, el Estado debe pagar los abogados, peritos, detectives, procuradores, viajes, etc. del denunciante de corrupción. De la misma forma, aunque no sea español.

Las medidas de apoyo mencionadas en el artículo serán prestadas, según corresponda, por un centro de información (el turno) o por una autoridad administrativa única e independiente claramente identificada (el defensor legal).

El concepto de independencia pasa a ser absolutamente estricto y, parece indicar que el sector privado puede controlar el público y, a su vez, el público al privado. De la misma forma, competencias hasta ahora consideradas únicamente como nacionales, pueden ser a partir de la entrada en vigor de la Directiva, ejercidas fuera de las fronteras de los Estados miembros, considerando la Unión como una única unidad en determinados ámbitos competenciales y jurisdiccionales.

Los Estados miembros establecerán sanciones efectivas, proporcionadas y disuasorias aplicables a las personas físicas o jurídicas que impidan o intenten impedir las denuncias, incluidas las administraciones públicas y a los miembros de ellas.

a) Que adopten medidas de represalia contra los denunciantes de corrupción familia, amigos o intereses.

b) Promuevan procedimientos abusivos, por ejemplo querellas, detenciones o contencioso administrativos, o políticas para abrumarles con costas judiciales contra ellos.

c) Incumplan el deber de mantener la confidencialidad de la identidad de los denunciantes y su entorno

d) También establecerán sanciones efectivas, proporcionadas y disuasorias aplicables respecto de denunciantes cuando se establezca que habían comunicado o revelado públicamente información falsa a sabiendas. Los Estados miembros también establecerán medidas para indemnizar los daños y perjuicios derivados de dichas denuncias o revelaciones públicas de conformidad con el Derecho nacional.

e) Prohibición de que no puedan limitarse los derechos y vías de recurso previstos, ni se pueda renunciar a ellos, por medio de ningún acuerdo, política, forma de empleo o condiciones de trabajo, incluida cualquier cláusula de sometimiento a arbitraje.”

El buzón de denuncias

El buzón de denuncias es, probablemente, el punto de la directiva que mas afecta directamente a todas las empresas e instituciones. Es obligatorio para todas las administraciones públicas y empresas de mas de 50 trabajadores, así como para las empresas o instituciones que trabajen con la administración pública, reciban mas del 40% de su facturación de administraciones públicas, reciban subvenciones públicas, o estén participadas total o parcialmente por administraciones públicas (empresas municipales, sectores estratégicos, etc.)

¿Qué dice la Directiva?

Para saber cómo deben ser esos buzones de denuncia, debemos empezar a trabajar a partir de los considerandos, que nos indicaran cuál es la filosofía subyacente de los canales o vías de denuncias de la Directiva.

Empecemos pues, por analizarlos.

1.- LOS CONSIDERANDOS

(53)Siempre que se garantice la confidencialidad de la identidad del denunciante, corresponde a cada entidad jurídica individual del sector privado y público definir el tipo de canales de denuncia que se hayan de establecer. Más concretamente, los canales de denuncia deben permitir que las personas denuncien por escrito y que lo puedan hacer por correo, a través de un buzón físico destinado a recoger denuncias o a través de una plataforma en línea, ya sea en la intranet o en internet, o que denuncien verbalmente, por línea de atención telefónica o a través de otro sistema de mensajería vocal, o ambos. A petición del denunciante, dichos canales deben también permitir denunciar mediante la celebración de reuniones presenciales en un plazo razonable.

El canal o vía de denuncia, como vemos, debe ser MULTICANAL o MULTIVIA, por lo que deja de ser válido lo habitual hasta ahora, de designar o establecer un correo electrónico y menos aún que sea de la propia empresa, entidad u organización, en caso de buzón interno. El multicanal establece la obligación legal, no potestativa, a las entidades públicas y privadas que la información o denuncia se presente por los siguientes canales:

1. Escrito por carta o correo electrónico, será pues necesario disponer de un correo electrónico “ad hoc “y de un buzón físico postal.
2. Plataforma interna web (intranet o similar, siendo posibles plataformas externas)
3. verbal (telefónica u otra)
4. Presencial (en plazo razonable. Poder contactar con persona responsable)

Todos los canales deben no sólo ser posibles, sino estar disponibles. Ninguno sustituye al otro, se compactan o solapan. Todo canal interno o externo deberá permitir OBLIGATORIAMENTE todos estos sistemas.

Y eso se debe llevar a cabo bajo la garantía de la confidencialidad, es decir, quien gestione el canal debe garantizar la independencia de criterio y el secreto de las denuncias frente a la institución o empresa propietaria del canal. Algo que sólo puede lograrse permitiendo y alentando que sean terceros independientes quienes lo hagan.

(54)También se puede autorizar a terceros a recibir denuncias de infracciones en nombre de entidades jurídicas de los sectores privado y público, siempre que ofrezcan garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto. Dichos terceros pueden ser proveedores de plataformas de denuncia externa, asesores externos, auditores, representantes sindicales o representantes de los trabajadores.

Desde el primer momento el legislador piensa y admite la EXTERNALIZACIÓN DEL SERVICIO, tanto si es del ámbito público como del privado.

La filosofía de la norma quiere atajar la dependencia orgánica, normal y funcional, que significa colocar a administrar el canal a alguien de confianza. Entiende que no es la forma, no ya idónea, sino que ni siquiera cumple con los requisitos de la Directiva. Queda prohibido que la llevanza de la gestión del buzón, canal o vías de denuncia sean propias.

Los valores imprescindibles a garantizar, sean externas o no, serán LA INDEPENDENCIA, LA CONFIDENCIALIDAD, LA PROTECCIÓN DE DATOS Y EL SECRETO, a la par que EL CONOCIMIENTO Y LA EXPERIENCIA.

La independencia debe irrogarse no sólo de las personas responsables del canal, sino de sus técnicos, colaboradores, diseñadores, los que realizan el mantenimiento, de todos. Así se responde a la pregunta acerca de si será independiente un departamento interno cuya persona directiva o responsable, sea el propio directivo encargado de IT de la empresa o institución, o si la tramitación de la denuncia puede ser llevada a cabo por el departamento interno o externo de legal, la respuesta es evidentemente negativa.

En cuanto a la confidencialidad, debemos garantizar la inexistencia de filtraciones en todos los ámbitos, no sólo los personales, también los técnicos. Que el acceso al sistema esté blindado, no controlado por la IT de la empresa, y a prueba de toda filtración o ataque, externo o interno. No cabe la menor duda que el más interesado en conocer lo que pueda ocurrir será, sin duda, el propio titular o propietario del sistema. La confidencialidad ha de llegar a garantizar que, como parte del sistema depende de las comunicaciones telefónicas y telecomunicaciones… no pueda acceder tampoco la empresa propietaria del canal a ninguna relación de llamadas, contactos o rastros informáticos.

En cuanto a la protección de datos, el sistema no sólo debe permitir, sino que debe mantener una protección absoluta sobre los datos de carácter personal, anonimizándolos de forma automática y permanente, garantizando en todo momento que no existirán filtraciones ni queridas ni no queridas. Esa garantía constituye UNA RESPONSABILIZACIÓN, y como tal, sujeta a responsabilidad civil o penal.

Finalmente, como corolario, EL SECRETO. Comporta que el sistema debe ser blindado. Para poder garantizarlo, en primer lugar, es necesaria la externalización en servidores y comunicaciones, que deben ser ajenos a la entidad o empresa. En segundo lugar, la pericia de los técnicos de desarrollo del sistema debe estar contrastada. Finalmente los datos deben ser anonimizados.

El secreto sólo lo garantizan la estricta deontología de las personas en el entorno de la tecnología. Son ellas quienes garantizarán el sistema de la denuncia. De ahí que las
personas encargadas, no sólo deben ser personas responsables, sino también de acreditada solvencia, en especial en cuanto a su ética y su formación técnica, pero también y sobre todo, en cuanto a su formación jurídica.

No todos ni todas valen. No cualquiera puede atender un buzón o vías de denuncia puesto que el incumplimiento de la independencia, la confidencialidad, la protección de datos y el secreto de todo el sistema, comportará la comisión de un delito grave -que establece la Directiva y deberá recoger el código penal- con pena no sólo para quien o quienes sean los responsables del canal o vías de denuncia ( no hay un solo canal), sino también para los máximos responsables de la persona jurídica, pública o privada responsable de su debida llevanza.

La idea del conflicto de intereses, aparece ya en el considerando 56

(56)La elección de las personas o departamentos de una entidad jurídica del sector privado más adecuados para encomendarles la recepción y seguimiento de las denuncias depende de la estructura de la entidad, pero, en cualquier caso, su función debe permitir garantizar la independencia y la ausencia de conflictos de intereses. En las entidades de menor tamaño, podría tratarse de una función dual a cargo de un ejecutivo de la sociedad bien situado para comunicarse directamente con la dirección de la entidad, por ejemplo, un responsable de cumplimiento normativo o de recursos humanos, un responsable de la integridad, un responsable de asuntos jurídicos o de la privacidad, un responsable financiero, un responsable de auditoría o un miembro del consejo de administración.

Independencia y ausencia de conflicto de intereses es la característica principal de los responsables de las vías de información y denuncia interna.

Se recomienda que sean personas con acceso a la dirección o responsables de cumplimiento normativo (compliance), a quienes ya se les supone la característica de independencia. De no tener acceso a esa dirección resulta evidente que sus labores serían puestas en entredicho ante cualquier jurisdicción.

La problemática descrita acerca de que es preferible que el gestor del sistema sea externo en lo referente a las garantías de INDEPENDENCIA, CONFIDENCIALIDAD, PROTECCIÓN DE DATOS Y SECRETO, choca con las dificultades insalvables en el caso de gestor interno. Debe estar garantizado todo el sistema.

Descrita la carcasa del sistema, en el considerando 57 se empieza a hablar de como debe funcionar el mecanismo.

(57)En el contexto de la denuncia interna de infracciones, informar al denunciante, en la medida de lo jurídicamente posible y de la manera más completa posible, sobre el seguimiento de la denuncia es crucial para generar confianza en la eficacia del sistema de protección de los denunciantes y reducir la probabilidad de que se produzcan nuevas denuncias o revelaciones públicas innecesarias. Debe informarse al denunciante, en un plazo razonable, de las acciones previstas o adoptadas para seguir la denuncia y los motivos para elegir dicho seguimiento. El seguimiento puede incluir, por ejemplo, la remisión a otros canales o procedimientos cuando la denuncia afecte exclusivamente a los derechos individuales del denunciante, archivo del procedimiento debido a la falta de pruebas suficientes o por otros motivos, puesta en marcha de una investigación interna y, en su caso, a sus resultados y toda medida adoptada para abordar el problema planteado, remisión a una autoridad competente para proseguir la investigación en la medida en que dicha información no afecte a la investigación interna o a los derechos del interesado. En todos los casos, el denunciante debe ser informado de los avances y el resultado de la investigación. En el transcurso de la investigación, debe ser posible pedir al denunciante que proporcione información adicional, aunque no exista ninguna obligación de hacerlo.

Es decir, se establece como principal herramienta el derecho a información al denunciante en todo momento, con el fin de generar confianza y, en caso de tratarse de infracciones de derecho individual, poder dirigir su reclamación.
Aquí podría finalizar el análisis, pero el considerando va mucho más allá.
El procedimiento no sólo es un sistema técnico complejo que debe garantizar los cuatro apartados ya vistos sino que, además, debe desarrollarse de una forma impoluta, con un procedimiento procesal previamente establecido, un marco jurídico previamente conocido por todos, con seguimiento completo del proceso. El sistema no sólo debe garantizar derechos, confidencialidad y no filtraciones, sino que además debe permitir el contacto del informante con la persona gestora de la denuncia, de forma que pueda tener conocimiento de sus labores de investigación o instrucción.

En manos del instructor quedan, decisiones muy importantes a tomar, que van del ARCHIVO, a la REMISIÓN A AUTORIDAD COMPETENTE (eufemismo de juzgado de guardia o fiscalía), nacional o europea.

Hay que tener bien presente que la actuación del instructor pre constituye prueba para todas las partes afectadas.

En cuanto a los plazos, encontramos la referencia en el considerando siguiente:

(58)Un plazo razonable para informar al denunciante no debe exceder de tres meses. Cuando todavía se esté considerando el seguimiento apropiado, el denunciante debe ser informado de ello, así como de cualquier otra respuesta que haya de esperar.

La denuncia debe haberse instruido en 3 meses, aquí acabaría el comentario. Sin embargo, podría ser simplista. Lo irrogado por el Considerando es que el procedimiento debe tener un final. Es decir, no es válido dejar pasar el tiempo, ni dejar el tema en barbecho.

Es obligación del gestor del sistema, bajo su responsabilidad, FINALIZAR EL PROCESO, sea como sea , en un termino de 3 meses o en caso de ser un caso grave o complejo, informar del proceso al denunciante, que recordemos puede acudir a otros sistemas de denuncia como el de DENUNCIA PÚBLICA, y contra el propio instructor, ante la pasividad de la interna o externa, ver considerando (45).

2. EL ARTICULADO GENERAL

Si vamos al texto normativo material, todo lo anterior tiene su reflejo, en unos pocos artículos de la directiva 2019/1937 CE. Concretamente en el CAPITULO II DENUNCIAS INTERNAS Y SEGUIMIENTO, artículos 7 a 9, y especialmente en el artículo 10 y siguientes.

En cuanto a los canales internos, el articulado recoge sintéticamente lo expuesto en los considerandos. Así, el articulo 7 considera que los canales internos son básicos, y esenciales para la Directiva y la protección del Derecho europeo. Incluso más que los canales externos o públicos. Es la teoría del “prefiero que se lo arregle usted primero en su casa, porque confío en su madurez”, aunque siempre, siempre constatando que NO SE PRODUZCAN REPRESALIAS.

El art. 7 se refiere también a la publicidad de los canales o vías de denuncia. Deben ser transparentes y efectivos. La Directiva es sensible a la mala praxis de muchas empresas sujetas a Compliance que podrían anunciar a bombo y platillo su código ético, pero esconder el canal de denuncias.

Por otra parte, es tan importante disponer del canal o vía de denuncia, como su facilidad de acceso y operatividad.

Es el articulo 8 de la directiva, que recordemos está en vigor, y que establece la OBLIGATORIEDAD DEL CANAL INTERNO, y OBLIGA a las entidades publicas y privadas a disponer de los mismos.

De momento, TODAS las entidades o empresas públicas, aunque sean rurales, y las empresas de más de 50 trabajadores.

En un país donde se acostumbra a pontificar acerca de que quien ha de cumplir la norma sólo es el vecino, hemos asistido a una ceremonia de confusión, donde se afirmaba que, sin lugar a dudas, que sólo los municipios de más de 10.000 habitantes los obligados.

Desgraciadamente esa afirmación es falsa, o es que no se han leído el considerando

(52)A fin de garantizar, en particular, el respeto de las normas de contratación pública en el sector público, la obligación de establecer canales de denuncia interna debe aplicarse a todas las autoridades contratantes y entidades contratantes a nivel local, regional y nacional, pero de forma que guarde proporción con su tamaño.

En el art. 8. 9, segundo párrafo, cuando expone “ Los Estados miembros podrán eximir de la obligación prevista en el apartado 1 a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades mencionadas en el párrafo primero del presente apartado con menos de 50 trabajadores.”, queda claro que es potestativo. Parece que el considerando (52) establece una obligación, conforme a ello. El Estado Español, por su parte, NO HA EXIMIDO A NADIE.

Ningún ente público, se libra pues, de un canal o vía de denuncia, interno individualizado o compartido. Ninguno.

EL PROCESO

Para analizar los requisitos técnicos del canal o vía de denuncia, es preciso

empezar por lo que se establece en el artículo 9 de la Directiva. En él se crea una DUALIDAD DEL SISTEMA. Por un lado, se debe recepcionar con todas las garantías posibles. Por otro, después se debe gestionar lo recepcionado con las mismas garantías hasta su resolución.

Esto es, en pocas palabras, EL PROCESO.

Veamos cuales son esos requisitos y como se establecen:

1. Una recepción diseñada, establecida y gestionada, con SEGURIDAD, INDEPENDENCIA, CONFIDENCIALIDAD, PROTECCIÓN DE DATOS Y SECRETO. Pero no sólo en la RECEPCIÓN. Técnicamente las cinco formas de recepción deben cumplirlo. Y también la gestión, instrucción o procedimiento, debiendo en todo momento cumplir con la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia, que deberán estar protegidas técnica y operativamente.

Se ha de IMPEDIR el acceso a la información al personal no autorizado.

No es necesario reiterar que el sistema debe ser completamente externo. No interno. La clave de bóveda está en que no debe ser accesible a ningún personal interno ni relacionado con el titular del canal. Es mas, el impedimento es la solución técnica del sistema y no hay mayor impedimento que la ignorancia o el desconocimiento de dónde se hallan los datos y los documentos de la información o denuncia.

2. Un asunto que ha generado algunas dudas es EL ACUSE DE RECIBO, hecho importantísimo. Todas las comunicaciones del procedimiento deben acreditar su contendido, justificar plazos y detectar el repudio. Como valor esencial, además debe garantizarse la confidencialidad frente a terceros.

3. La Directiva, lo primero que establece es que el gestor o instructor debe enviar, personalizado, acuse de recibo de la denuncia en un plazo de siete días a partir de la recepción.

4. No se puede establecer ningún procedimiento sin disponer de herramientas de investigación y análisis de riesgos.

En cartera, el auditor/instructor debe de llevar una serie de herramientas para detectar las debilidades del propietario del canal, porque la directiva le encamina a resolver, y resolver comporta ver que parte de la estructura estaba en riesgo y por donde se ha quebrado.

5. La INDEPENDENCIA, orgánica y funcional, de la persona para seguir la denuncia. La independencia no sólo se irroga de la persona, empresa o departamento que crea o diseña el sistema, si no muy especialmente de la persona imparcial competente para GESTIONAR las denuncias.

Hay que recordar que no sólo hay aspectos técnicos muy llamativos. Hay aspectos jurídicos que aún lo son más, ya que la persona que mantendrá la comunicación con el denunciante y que tramitará la denuncia, debe ser no sólo un especialista jurídico, si no además dominar el sistema técnico a la perfección, así como el procedimiento interno. Debe ser una persona individualizable de alta capacidad técnica y ética, que deberá mantener la comunicación con el denunciante y, en caso necesario, solicitará a éste información adicional y le dará respuesta, con evidentes habilidades relacionales.

6. El plazo de resolución de la información o queja, lo será de 3 meses a partir del acuse de recibo, (7 días).

7. No sólo el procedimiento interno debe ser regulado y llevado a cabo por persona técnica, sino que además se genera un deber de información para el denunciante de informarle de los procedimientos de denuncia externa ante las autoridades competentes, y en su caso, ante las instituciones, órganos u organismos de la Unión. Es decir, el gestor de la denuncia interna, debe ser una persona debidamente formada en derecho interno y de la Unión, conocer el sistema público y externo de denuncias para indicar las mejores opciones o las precisas al denunciante.

8. Para finalizar contrastamos del artículo 9, que los sistemas deben permitir la denuncia, y permitir exponerla por escrito o verbalmente. Nos remite a los 5 sistemas, es decir el de carta ordinaria, el de escrito por mail, el telefónico o similar, web y el presencial, esta última en plazo razonable.

Lo anterior comporta que el buzón debe no sólo permitir, sino que es OBLIGATORIO, disponer de todos estos sistemas concurrentes.

Conclusiones Generales

Podría disertar extensamente sobre el contenido de esta Directiva, y, de hecho, lo he hecho ya, escribiendo numerosos dictámenes, artículos y ensayos sobre su impacto. Sin lugar a dudas nos encontramos ante la legislación mas importante que ha salido en la historia reciente de la UE, y siguiendo la forma de trabajar de la UE, se ha ido implementando en silencio y sin grandes escándalos, pero ahora que ha llegado cambiará la forma en la que entiende el derecho de la Unión de forma paulatina pero imparable.

Las administraciones públicas deberán, porque ya no queda apenas tiempo, adaptarse a esta nueva normativa, especialmente con la implementación de buzones de denuncia que se adapten a las exigencias normativas que ya hemos desgranado y estableciendo los protocolos necesarios para la protección de las personas que denuncien prácticas irregulares.

Y es a estas personas especialmente a las que debemos esta Directiva de la que, al final, nos beneficiaremos todos y todas, aquellas personas que denunciaron casos de corrupción (whistleblowers, como se les llama en inglés) y que sufrieron las consecuencias en forma de represalias y rechazo de sus compañeros y superiores, a los que por fin se les reconoce su papel fundamental en la protección de los intereses de la Unión y, en general, de los intereses de todos los ciudadanos.

Josep Jover