SciELO - Scientific Electronic Library Online

 
 número85Pautas y recomendaciones técnico-jurídicas para la configuración de un canal de denuncias eficaz en organizaciones públicas y privadas. La perspectiva españolaDelegación de competencias y compliance penal: un estudio sobre la transferencia y transformación de los deberes (de vigilancia) en derecho penal económico índice de autoresíndice de materiabúsqueda de artículos
Home Pagelista alfabética de revistas  

Servicios Personalizados

Revista

Articulo

Indicadores

  • No hay articulos citadosCitado por SciELO

Links relacionados

  • No hay articulos similaresSimilares en SciELO

Compartir


Derecho PUCP

versión impresa ISSN 0251-3420

Derecho  no.85 Lima jul-dic 2020

http://dx.doi.org/10.18800/derechopucp.202002.003 

Sección Principal

Análisis de la directiva europea de whistleblowing y principales retos de la nueva regulación. El caso de España en particular

Analysis of the European whistleblowing directive and main challenges of the new regulation. The case of Spain

Josep Maria Torrent I Santamaria1  *, Abogada penalista
http://orcid.org/0000-0002-0199-3687

Laura Pérez Gil De Gómez1  **, Abogada penalista
http://orcid.org/0000-0001-7657-9555

1 Universitat de Barcelona (España). Correo electrónico: josepmaria@martellabogados.eu.

RESUMEN

Con la aprobación de la Directiva Europea 1937/2019, de 23 de octubre, que los países de la Unión Europea han de transponer en el plazo de dos años desde su publicación, todas las empresas, así como las entidades públicas de más de cincuenta trabajadores, estarán obligadas a implementar un canal de denuncias. Es objeto de este artículo sintetizar las principales novedades que introduce esta norma, destacando la importancia de alcanzar inicialmente un consenso sobre la definición misma del informador. En España, la falta de regulación expresa de esta figura hasta el momento ha conllevado la búsqueda de soluciones por parte de la doctrina en la teoría general del delito, así como en otras disciplinas del derecho, ante las dificultades que han surgido con el uso de los canales de denuncia dentro de las empresas que optaron por incorporar un programa de compliance. Finalmente, abordaremos algunos de los problemas que plantea la transposición de la Directiva desde la óptica de su compatibilidad con el compendio de derechos y garantías que informan el proceso penal. En esa línea, se propone una armonización de la aparente exoneración de responsabilidad del whistleblower de nuevo cuño con el Código Penal vigente, también focalizada en la necesidad de dotar de garantías a las investigaciones internas para preservar la validez de la prueba que se pueda obtener con las mismas.

Palabras clave: Canal de denuncias; denunciante; protección del informante; investigaciones internas; represalias; prueba

ABSTRACT

With the approval of the European Directive 1937/2019 on October 23rd, that the countries of the European Union are required to transpose no later than two years after its entry into force, all companies, as well as public entities with more than fifty workers, must enable a whistleblower channel. The purpose of this article is to synthesize the main novelties that this norm introduces, highlighting the importance of initially reaching an agreement on the very definition of the informant. In Spain, the lack of regulation of this figure so far has led the doctrine to search for solutions in the general theory of crime, as well as in other disciplines of law, in order to solve the difficulties that have arisen with the use of reporting channels by companies that chosed to incorporate a compliance program. Finally, we will point out some of the problems arising from the transposition of the Directive from the perspective of its compatibility with the system of rights and guarantees that rule the criminal process. Along these lines, a harmonization of the newly released whistleblower's apparent exemption from liability with the current Penal Code is proposed, also focused on the need to provide guarantees to internal investigations to preserve the validity of the evidence that may be obtained by them.

Key words: Whistleblowing channel; whistleblower; protection of the informant; internal investigations; reprisals; evidence

I. INTRODUCCIÓN

El alambicado camino hacia la construcción de una realidad normativa de ámbito europeo a menudo ha tenido que sortear las dificultades propias de una pluralidad de ordenamientos nacionales que beben de tradiciones jurídicas distintas. Estas tensiones se intensifican cuando afectan a aspectos vinculados directa o indirectamente al derecho penal, ya que los estados miembros históricamente han sido reacios a compartir la exclusividad de su ius puniendi.

El fenómeno del whistleblowing y su ingente regulación es (otra) muestra de la evidente superación de este paradigma (Silva Sánchez, 2013, pp. 11 y ss.), en el que el Estado es un actor más dentro de una sociedad policéntrica y se ve en la obligación de introducir incentivos a la colaboración de terceros para la persecución de conductas delictivas. Ello resulta especialmente relevante en el sector privado, donde la dimensión de determinadas corporaciones se ha revelado capaz de desbordar las competencias indagatorias de los Estados y la asimetría informativa puede generar intolerables situaciones de impunidad (Gómez-Jara Diez, 2017, pp. 30-31).

De hecho, nadie puede afirmar hoy con seriedad que estemos ante una situación novedosa. Las instituciones europeas han promovido desde hace décadas el reconocimiento de la responsabilidad de las personas jurídicas y la utilización del derecho en esferas descentralizadas. Da fe de esta vocación la Recomendación N° R (88) 18 del Consejo de Europa, de 20 de octubre, en la que ya se advertía de la "dificultad que plantea la identificación de las personas físicas responsables de una infracción, habida cuenta de la estructura a menudo compleja de las empresas", y se preconizaba la necesidad de imponer sanciones penales cuando lo exigiera la naturaleza de la infracción.

Este proceso de paulatina armonización de la respuesta de los distintos Estados al fenómeno de la delincuencia en organizaciones colectivas ha doblegado las resistencias del principio societas delinquere non postest, propio de la tradición penal continental (Martínez Patón, 2019, pp. 14 y ss.). En el caso español, no fue hasta la Ley Orgánica 5/2010, de 22 de junio, que se introdujo por primera vez la responsabilidad penal de las personas jurídicas ante la demanda de respuestas a la criminalidad empresarial por parte de diferentes instrumentos jurídicos internacionales3.

El artículo 31 bis, apartado segundo, del Código Penal español4 prevé la exención de responsabilidad de las personas jurídicas (o su atenuación, si los requisitos se cumplen de forma parcial) que hayan "adoptado y ejecutado con eficacia, antes de la comisión del delito", un programa de prevención de delitos con las correspondientes "medidas de vigilancia y control".

No en vano, entre los requisitos que debe reunir este modelo organizativo (Código Penal, art. 31 bis, apartado 5), se contiene la obligación de implementar lo que denominamos "anales de denuncia" o sistema de whistleblowing. Esta previsión supuso una novedad en la regulación y, sin duda, conformará una auténtica categoría penal que deberá convivir con el resto de principios y reglas que configuran nuestro sistema, en especial con aquellas destinadas a establecer límites a la obtención de información de signo incriminatorio. A fin de cuentas, el proceso penal, cuyo norte es la búsqueda de la verdad material, repele la obtención de evidencias por medios que impliquen una vulneración de las garantías del justiciable, que en ningún caso están subordinadas a este fin, sino más bien todo lo contrario. El escaso tiempo transcurrido desde su implantación ha sido suficiente para constatar que no será una convivencia fácil.

La significación, el alcance y la protección del estatuto del informante o whistleblower han sido desiguales en cada ordenamiento jurídico en función de las obligaciones, derechos y garantías previas con que contaban los trabajadores, tanto en el sector privado como en el sector público. El presente trabajo pretende abordar, desde una perspectiva práctica, las novedades introducidas con la reciente Directiva 1937/2019, de 23 de octubre, del Parlamento y el Consejo de la Unión Europea (en adelante, Directiva), relativa a las medidas de protección mínimas que deben establecerse para los whistleblowers; y aventurar algunos de los retos que supondrá su obligada transposición al ordenamiento jurídico español (y al proceso penal, en particular) en el plazo de dos años desde su publicación (para entidades de más de 250 trabajadores), prorrogable a cuatro años para aquellas que tengan entre cincuenta y 249 trabajadores.

Abordaremos ut infra las novedades que introduce la Directiva y las disfunciones que este modelo presenta para los whistleblowers, en especial para aquellos que reportan la comisión de conductas ilícitas en el seno de "personas jurídicas de pequeñas dimensiones", donde estas labores de supervisión, vigilancia y control pueden ser titularizadas por el propio órgano de administración (Código Penal, art. 31 bis, apartado 3) y no por "un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica" (apartado 2), lo cuál es el requisito ordinario. Por último, nos detendremos en los posibles problemas que pueden derivarse de la aplicación práctica de la exoneración de responsabilidad que dibuja la Directiva, así como en la necesidad de dotar de garantías a las investigaciones internas para preservar el material obtenido en las mismas de cara a su incorporación al proceso penal.

II. ESCENARIO PREVIO A LA ENTRADA EN VIGOR DE LA DIRECTIVA DE WHISTLEBLOWING

II.1. Antecedentes históricos

Como decíamos, la Directiva no aborda un debate nuevo ni mucho menos. Si bien es cierto que hasta el momento no ha existido una regulación específica del estatuto del whistleblower en el ámbito de la Unión Europea, resulta innegable la importancia que supone para la persecución efectiva de algunos delitos la obtención directa de información a través de quienes conocen los hechos de primera mano. Esta necesidad de colaboración con terceros ajenos al aparato policial estatal, stricto sensu, se ha acrecentado en las últimas décadas, especialmente en el ámbito de la criminalidad económica y de empresa, ya que las complejas estructuras mercantiles donde esta tiene lugar resultan normalmente inaccesibles para aquellos que no forman parte de la organización. Los Estados no son -ni han sido- ajenos a esta realidad.

La doctrina sitúa el precedente más remoto de la regulación del tratamiento del delator en el derecho público romano, donde llegaron a establecerse recompensas de diversa naturaleza para los denunciantes, tales como honores o pagos de un precio de lo recuperado en las multas. Citamos a título de ejemplo la Lex Acilia Repetundarum (año 123 a. C.), la Lex Papia Poppaea (año 9 a. C.) o la Lex Iulia Maiestatis (año 8 a. C) (Ortiz, 2017, pp. 51-52). La veracidad de los hechos era ya entonces una de las condiciones para ser "premiado", ya que desde mediados del siglo I a. C. se castigaba a quienes acusaban con falsedad a otro de un crimen si obraban con dolo (Heredia Muñoz, 2017, p. 12).

Al margen del incuestionable interés del precedente en el derecho romano para cualquier figura susceptible de nueva regulación como cimiento de nuestro actual ordenamiento, el referente del marco común al que se encamina el sistema continental europeo -como siempre que hablamos de cumplimiento normativo- es el sistema anglosajón. Desde el siglo XIX se han ido sucediendo en Estados Unidos una serie de leyes que, partiendo de una concepción del denunciante como verdadero cazarrecompensas, han terminado asumiendo la necesidad de protegerle. Hacemos un breve acopio, a modo de síntesis, del listado de leyes americanas analizadas por Nieto Martínez(2015, pp. 2-3) que han supuesto un hito en la evolución del tratamiento al whistleblower. Así, la False Claims Act (FCA) de 1863 preveía recompensas para los ciudadanos de un porcentaje de lo recuperado por el Estado al final del litigio derivado de su denuncia; mientras que la reforma de la Civil Service Act en 1978 inicia la era de la protección del informante, otorgándosela a aquellos funcionarios que denunciaran comportamientos indebidos en la Administración. Por último, la Sarbanes-Oxley Act de 2002, promulgada tras los escándalos financieros que marcaron el inicio del siglo, introdujo importantes novedades en la gobernanza corporativa con el objetivo de reforzar la ética empresarial y la protección de los inversores, así como un sistema de protección del whistleblower.

A nivel global, en el marco de las Naciones Unidas, más de 140 países han suscrito la Convención contra la Corrupción de 31 de octubre de 2003, ratificada por España el 16 de setiembre de 2005. En virtud de lo dispuesto en su art. 33 se insta a los Estados parte a adoptar las medidas necesarias de protección a los denunciantes "de buena fe" que tengan "motivos razonables". No obstante, adelantamos que, hasta ahora, la recomendación que proporciona dicho precepto no se ha visto del todo reflejada en la legislación procesal penal estatal de manera específica (Gómez Colomer et al., 2019, p. 2, epígrafe 17).

Del análisis conjunto de estos precedentes se concluye que los medios del legislador para incentivar las revelaciones a lo largo de los siglos y en diferentes culturas jurídicas poseen grandes similitudes, conforme ha sistematizado Ragués i Vallès (2006, pp. 8-9):

  1. Reforzar los deberes de denuncia y las sanciones en caso de incumplimiento.

  2. Recompensar de alguna manera al denunciante.

  3. Otorgar la protección necesaria al denunciante.

En la Directiva resuenan los ecos de esta tradición, tal y como veremos en los siguientes apartados. Pero, antes, nos detendremos en cómo se ha enfrentado en España la laguna legislativa existente en materia de whistleblowing para atender a las necesidades que representa dotar de efectividad a los canales de denuncia ya existentes en la regulación interna de las empresas.

II.2. Marco normativo actual en el caso de España

A día de hoy, las empresas que opten por implementar un programa de prevención de delitos del que pretendan la eficacia exoneradora de responsabilidad penal que predica el artículo 31 bis del Código Penal, necesariamente han de contar con un canal de denuncias. Así se desprende del precepto cuando, en su enumeración de los requisitos del modelo de cumplimiento, incluye la obligación de "informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención". En otras palabras, no todas las empresas tienen un programa de cumplimiento penal, pero las que lo tienen han de implementar un canal de denuncia. Este escenario se verá alterado con la transposición de la Directiva, de aplicación a toda empresa de más de cincuenta trabajadores, pero sobre ello ahondaremos más adelante.

Ciertamente, muchas Comunidades Autónomas (Castilla y León5, Valencia,6 Islas Baleares7, Aragón8, Navarra9 o Asturias10) han abordado la cuestión de la protección de los denunciantes (Blanes Soliva & Meco Tébar, 2019, pp. 5-8). Sin embargo, y a pesar de tan loable esfuerzo de dichas administraciones territoriales, la regulación en la mayoría de los casos ha sido parcial y no ha comportado un progreso significativo para la cultura del whistleblowing en España. Las citadas administraciones territoriales, en el marco de la lucha contra la corrupción, han circunscrito esta legislación al ámbito público, a diferencia de la Directiva Europea, cuya aplicación se extiende también a las empresas que operan en el sector privado. Excepto en el caso de Castilla y León, donde la ley atribuye las competencias en materia de recepción e instrucción de las denuncias a la Inspección General de Servicios, en el resto de casos se han creado "Oficinas" o "Agencias" esto es, entidades de derecho público que en teoría están dotadas de independencia. No obstante, las leyes establecen que estos órganos son de designación política a través de los respectivos Parlamentos autonómicos, cuestión que en la práctica podría comprometer la independencia invocada.

Más allá de las menciones referidas, no se ha desarrollado ninguna norma específica a nivel estatal relativa a esta materia ni, en concreto, sobre el estatuto de los denunciantes o el de quienes sean denunciados por esta vía. Así, las empresas poseen un amplio margen de discrecionalidad para desarrollar sus canales de denuncia. Esta libertad comienza por la propia denominación de la herramienta. Cada vez se recurre con más frecuencia a fórmulas como canales de comunicación o éticos, en aras de procurar a los mismos la connotación de confianza para con sus posibles destinatarios. Se huye de esta manera de evocar al denostado "soplón", cuya motivación se vincula, más que al bien común, a la consecución del mal para la empresa o algún compañero. La idea que ha de perseguirse es que el buen funcionamiento del canal constituye un reflejo de la transparencia de la compañía y de la asunción de la cultura de cumplimiento por parte de todos sus miembros.

Lo más cerca que ha estado recientemente el legislador español de afrontar la regulación de este ámbito ha sido mediante una Proposición de Ley de 17 de enero de 2020, de medidas de lucha contra la corrupción11 del Grupo Parlamentario Ciudadanos. La proposición se había registrado anteriormente en setiembre de 2016 (122/000022, Proposición de Ley Integral de Lucha contra la Corrupción y Protección de los Denunciantes)12 y, aunque se presentaron enmiendas a la misma por el resto de grupos, su tramitación se bloqueó en la Comisión Constitucional del Parlamento. Si bien el texto integra una regulación expresa de la protección del denunciante, la misma está limitada (como en el caso que mencionábamos de las autonomías que han legislado) a canales de denuncia que, en teoría, habrían de implementarse en el sector público. Asimismo, en su Exposición de Motivos se menciona la necesidad de generar confianza en los denunciantes dentro del sector público a través de su protección, ya que muchas veces no actúan por miedo a represalias. Se cita como ejemplo al regular esta materia a "Canadá, Estados Unidos, Bélgica, Francia, Noruega, Rumanía, Holanda o Reino Unido".

Si bien un análisis exhaustivo de esta mención limitada al sector público y su configuración merecerían un capítulo aparte, no podemos dejar pasar la oportunidad de señalar cierta preocupación por la previsión de la gestión de estos canales. La norma atribuye las competencias para controlar y supervisar el cumplimiento de las obligaciones en materia de conflictos de intereses, régimen de incompatibilidades y buen gobierno a un órgano de nueva creación llamado Autoridad Independiente de Integridad Pública. Sin embargo, puede hacerse la misma crítica que a las Comunidades Autónomas que han abordado la materia: sus miembros son designados por el Congreso de los Diputados, lo que casa mal con la independencia que debieran proyectar los miembros de un órgano destinado a detectar la corrupción en el sector público, máxime cuando el Código Penal la exige como requisito indispensable en los órganos de control de las empresas.

Este reproche no es nuevo, el sistema de designación de cargos en órganos tan sensibles como el Consejo General del Poder Judicial ya ha sido dura y reiteradamente criticado por el Grupo de Estados Contra la Corrupción del Consejo de Europa (GRECO) en distintos informes13. Por ello, sería deseable que el nuevo marco jurídico que se genere a resultas de la transposición de la Directiva contemplara un sistema nombramientos que no confrontara tanto con la proyección de independencia de los órganos de control.

Cabe mencionar, por último, que en España está vigente la LO 19/1994, de 23 de diciembre, de protección a testigos y peritos en causas criminales14. Esta ley no se circunscribe al ámbito de los denunciantes que hacen uso de los canales que habiliten internamente las empresas, sino que resulta de aplicación general dentro del proceso penal; no obstante, el fin que persigue tiene semejanzas con lo que pretende la Directiva Europea objeto de este estudio. El legislador trató de facilitar con la norma que la administración de justicia funcione correctamente, protegiendo a aquellos testigos y peritos que podrían temer represalias derivadas de su aportación al proceso. Sus disposiciones son aplicables a los mismos cuando el juez determine que estos o sus parientes se hallen en "peligro grave". En esos casos, se prevé una serie de medidas que garantizan la preservación de sus datos durante la fase de instrucción, así como la custodia de las personas afectadas, llegando excepcionalmente a facilitarles incluso una nueva identidad y los medios necesarios para cambiar de residencia o trabajo. A fin de compaginar estas medidas con el derecho de defensa, en la otra cara de la moneda estas medidas pueden ser objeto de fiscalización por las partes mediante el sistema ordinario de recursos. También pueden solicitarse de forma motivada el nombre y apellido de los testigos y peritos protegidos en los escritos de calificación provisional de cara a la ratificación de sus declaraciones en el juicio oral, ya que solo así pueden ser consideradas como una verdadera prueba de cargo.

Dicho esto, y a falta de regulación concreta, los límites impuestos por el Estado a la configuración interna de los canales diseñados por las propias corporaciones han tenido que definirse mediante una lectura conjunta de las distintas disposiciones que habitan el ordenamiento jurídico en sus diversos ámbitos. A continuación, intentaremos perfilar el marco actual de seguridad jurídica que ha ido señalando la doctrina en torno a las cuestiones fundamentales de los canales de denuncia, lo que proporciona un análisis sistemático del conjunto del ordenamiento.

II.2.1. Ámbito de aplicación de los canales de denuncia a día de hoy

La adscripción a los canales de denuncia se desprende normalmente de la aceptación de los códigos éticos de las compañías por parte de sus miembros y, recuérdese, estos instituyen normas internas cuyo objetivo no es otro que el buen funcionamiento corporativo a través de la no comisión de delitos, entre otras vías. Así, si bien se puede prever una sanción interna para quien no utilice el canal, aun teniendo conocimiento de la comisión de una irregularidad, esta es una facultad que corresponde a las empresas.

El segundo debate arroja la duda de qué hacer cuando la herramienta funciona y, efectivamente, tiene lugar alguna denuncia. La obligación de la empresa -a través de su órgano de control- es investigarla; pero, ante un resultado positivo, no podemos decir que de la obligación genérica de denuncia que establece el artículo 259 de la Ley de Enjuiciamiento Criminal se desprenda la obligación de denunciar ante la autoridad pública competente. La anacrónica consecuencia de la no denuncia es una multa de 25 a 250 pesetas15 y no resultaría exigible ante la prevalencia del derecho fundamental de la persona jurídica a no confesarse culpable (Lascuraín Sánchez, 2017). Dicho lo cual, la denuncia a las autoridades de la comisión de un delito es un reflejo de la efectividad del programa de cumplimiento que, a la postre, debería conllevar la exoneración de una hipotética responsabilidad penal.

Fuera de este deber de denuncia genérico, el artículo 450 del Código Penal prevé un delito de omisión pura consistente en no evitar un delito contra la vida, integridad física, libertad o libertad sexual, pudiendo hacerlo con su intervención inmediata y sin riesgo propio o ajeno, así como no poder acudir a las autoridades competentes para que lo impidan. Es por ello que, en estos casos, siempre que el delito no esté todavía consumado, sí que puede hablarse de que existe una obligación de acudir a la autoridad. No obstante, al haber en España un sistema de numerus clausus de ilícitos que puede cometer la persona jurídica, este precepto no será aplicable en la mayoría de los delitos.

En suma, la cultura ética no consiste en convertir en policía a cada uno de los integrantes de una organización, sino en interiorizar el respeto a la legalidad como un activo empresarial, aislando y reportando a quien cometa conductas atentatorias a este doble interés sin miedo a represalias.

II.2.2. Protección al denunciante

La Circular de la Fiscalía 1/2016, que resultó en su día una primera pauta interpretativa del artículo 31 bis ante la falta de jurisprudencia sobre la configuración de la responsabilidad de las personas jurídicas en España, ya ponía de manifiesto la importancia de que las entidades regulasen la protección del whistleblower, permitiéndoles "informar sobre incumplimientos varios, facilitando la confidencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas telefónicas, correos electrónicos...) sin riesgo a sufrir represalias". Apuntaba incluso a que se externalizaran dichos canales para garantizar mayores niveles de confidencialidad e independencia, lo que en la práctica redunda en la confianza de los usuarios potenciales. Sin embargo, nos hallamos ante meras recomendaciones que no vinculan a las empresas de forma obligatoria. Es por ello que la barrera legal de protección de los denunciantes ha habido que buscarla en el derecho constitucional y laboral, y en la regulación relativa a la protección de datos.

Tal y como desgrana Ragués i Vallès (2006, p. 10), en estos términos cabe apuntar que el derecho laboral español "no admite como razón de despido procedente el hecho de que un trabajador haya cumplido con sus deberes ciudadanos (y, en determinados casos, penales) de impedir futuros delitos o denunciar" los ya consumados. La difusión de información de la empresa, en caso de que esta haya cometido algún delito, podría considerarse amparada por la libertad de expresión e información. Para ello, deberá tratarse de información veraz y habrá de respetarse la buena fe contractual y no vulnerarse la prohibición de revelar datos secretos, reservados o confidenciales. En cuanto a la protección ante represalias, algún sector de la doctrina ha reconducido los casos más graves a los delitos de coacciones o contra la integridad moral, pero el carácter fragmentario del derecho penal podría impedir el castigo de muchas conductas.

Finalmente, la Ley Orgánica de Protección de datos16 considera una infracción muy grave "la utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello" (art. 72), lo que podría acarrear a la empresa cuantiosas sanciones en el caso de divulgar los datos del denunciante en la toma de cualquier represalia contra el mismo.

II.2.3. Mecanismos de rechazo a las denuncias falsas

Más allá de las sanciones que puedan prever internamente las propias empresas, quienes se vean afectados por una acusación falaz tienen la posibilidad de acudir a la justicia, instando un procedimiento por injurias y/o calumnias (Código Penal, arts. 205-216). Si bien el ius puniendi estatal solo operará en los casos más graves, precisamente ambos ilícitos penales se encuentran tipificados también como delito leve para los casos menos graves, por lo que en la propia ley encontramos la modulación del castigo que puede aplicarse a quien obra deslealmente hacia otro en el seno de la empresa, atribuyéndole la comisión de conductas irregulares o incluso delictivas.

III. LAS NOVEDADES INTRODUCIDAS EN LA DIRECTIVA 1937/2019 DE 23 DE OCTUBRE DEL PARLAMENTO Y EL CONSEJO DE LA UNIÓN EUROPEA: ¿UNA ARMADURA PARA EL EJERCICIO DE UN DERECHO FUNDAMENTAL?

Frente a las primeras reacciones que ha provocado la publicación de la Directiva, muy centradas en el alcance de las obligaciones impuestas a los entes públicos y privados, quizás merezca la pena detenernos un minuto en el enorme esfuerzo conceptual desplegado en torno a la definición de whistleblower17. En efecto, se trata de una tarea tan oportuna como apremiante: las medidas de protección deben partir de un consenso respecto a qué sujetos pueden titularizarlas, y esto es una de importancia capital, tanto por su efecto constitutivo (se establecen los criterios subjetivos que conforman categoría) como por su potencia "performativa" (los dota de un estatuto que contiene derechos tuitivos y obligaciones).

La evaluación de impacto que elaboraron los técnicos de la Comisión Europea (2018), cuya propuesta fue presentada el 23 de abril de 201818, patentiza la urgencia por resolver esta cuestión. En su apartado 2.2 ("Who is a wisthleblower"), enmarcado dentro un título más amplio, aunque igualmente sugerente ("Problem definition"), los técnicos asumen que no existe una definición común de whistleblowing a nivel internacional ni en la legislación promovida por los Estados miembros de la Unión Europea. Semejante vacío conceptual era expresivo de dos circunstancias: la dificultad de alcanzar un consenso respecto de la definición del whistleblower; y la necesidad de establecer las mimbres que permitieran, cuando menos, partir de valores y atributos asumibles por todos los Estados miembros. La enorme sensibilidad de esta cuestión y las dificultades que pueden generar los supuestos limítrofes quedan perfectamente fijados en el documento, que señala: "it is important to make a distinction between whistleblowers - who report violations which affect the public interest - and other categories of complainants, such as aggrieved workers, whose reports relate to personal grievances or breaches of individual working conditions".

Sin embargo, las consultas realizadas con las partes interesadas arrojaban una inusual coincidencia respecto a la necesidad de fijar normas mínimas jurídicamente vinculantes para los whistleblowers. Para la elaboración de la propuesta de Directiva, la Comisión facilitó en el año 2017 distintas consultas y talleres con operadores jurídicos de distinta índole durante doce semanas.

Así, se recibieron 5707 respuestas a la consulta por parte de particulares (97 %) y de organizaciones (3 %) procedentes de Alemania (43 %), Francia (23 %), España (7 %), Italia (5 %), Bélgica (5 %) y el resto de los Estados miembros, cuyo resultado arrojaba una clara unanimidad en la necesidad de proteger a los denunciantes por medio de la fijación normativa vinculante desde la Unión Europea19.

III.1. Construir el consenso: la utilización de los criterios aplicados en la jurisprudencia del Tribunal Europeo de Derechos Humanos para articular una definición de whistleblower

Los técnicos de la Comisión acudieron a la jurisprudencia del Tribunal Europeo de Derechos Humanos (TEDH) en aquellos supuestos donde conductas asimilables a las de un whistleblower habían sido objeto de amparo por considerar que quedaban bajo la bóveda de los artículos 10 y 11 del Convenio Europeo de los Derechos Humanos (CEDH)20 ("However, the baseline for defining whistleblowers and for setting EU standards can be found in the 2014 Council of Europe Recommendation which draws upon the case law of the European Court of Human Rights (ECtHR) on the right to freedom of expression" [Comisión Europea, 2018, p. 6]).

El objetivo, bajo nuestro punto de vista, es bicéfalo: por una parte, trata de facilitarse el acuerdo en la definición de whistleblowing entre los representantes de los distintos Estados miembros (que lo es en un "sentido amplio")21; y, por otra parte, legitima las medidas de protección al whistleblower (por cuanto, en su mayoría, imponen obligaciones a terceros) en la medida en que se está protegiendo el ejercicio de un derecho fundamental.

El TEDH ha emitido algunas decisiones importantes con respecto a la denuncia de irregularidades, fijando principios clave para determinar cuándo una conducta de esta naturaleza debe quedar amparada en el derecho a la libertad de expresión del artículo 10 del CEDH22 y que han servido de base a los técnicos de la Comisión para trazar su definición.

En el caso Guja vs. Moldavia (STEDH, 12 de febrero de 2008); y, más tarde, en Heinisch vs. Alemania (STEDH, 21 de julio de 2011) y Bucur y Toma vs. Romania (STEDH, 8 de enero de 2013), se establecieron seis principios para determinar si concurría una vulneración del artículo 10 del CEDH en relación con las revelaciones públicas, en tanto conductas necesarias en una sociedad democrática ("necessary in a democratic society")23. En apretada síntesis, pueden enumerarse los siguientes principios:

1. Si la persona que efectuó la divulgación tenía a su disposición "canales alternativos" para realizarla.

2. El "interés público" en la información divulgada24 (la "definición amplia" que contiene la Directiva debe mucho a este punto).

Estos dos elementos señalan con agudeza el diagnóstico al que nos hemos referido en la introducción: la organización empresarial como centro de acción de una multiplicidad de conductas con enorme impacto e interés público a cuyo centro no arriba la luz ni los taquígrafos a los que toda sociedad democrática debe someter a sus agentes (accountability), y la correlativa necesidad de reportarla desde dentro (expresada como derecho a la libertad de expresión)25. Todo ello tiene por fin último que las irregularidades puedan aflorar y, en su caso, ser investigadas y corregidas, haciendo partícipes de ambas tareas a los propios empleadores.

3. La "autenticidad" de la información divulgada, si bien la Directiva rebaja la exigencia de este término y lo sustituye por una "creencia razonable", término mucho más ambiguo y subjetivo26.

4. El "perjuicio al empresario", si bien en las sentencias analizadas (Guja vs. Modalvia y Bucur y Toma vs. Romania) el empleador era un organismo público, lo que permitió al TEDH apelar al interés en mantener la confianza de los ciudadanos en las instituciones. Dicha circunstancia, en todo caso, podría ser equiparada dentro del sector privado a la protección de bienes jurídicos colectivos que también gozan de protección en el Código Penal, como la confianza en el tráfico mercantil y la libre competencia, o la protección del mercado y los consumidores.

5. Que la actuación esté amparada por la "buena fe". Resuenan aquí los ecos de la advertencia contenida en la propuesta de Directiva respecto de la necesidad de distinguir entre el whistleblower y "otras categorías de denunciantes" ut supra señalada. En efecto, el TEDH precisa que un acto motivado por un agravio o un antagonismo personales, o por la expectativa de una ventaja, incluso un beneficio pecuniario, podría no justificar un nivel de protección tan alto ("an act motivated by a personal grievance or a personal antagonism or the expectation of personal advantage, including pecuniary gain, would not justify a particularly strong level of protection")27.

Sin embargo, como veremos, la Directiva prevé una cláusula de exoneración de responsabilidad criminal para el denunciante "que haya obtenido la información o documentos mediante la comisión de un delito como la intromisión física o informática"28. Bastaría con que alegue en su descargo el haber denunciado o haber hecho una revelación bajo una creencia razonable (de nuevo el reasonable grounds), y luego la motivación subyacente puede ser concomitante con la verdad de lo denunciado.

Huelga señalar qué clase de fricciones puede generar la incoación de un procedimiento penal (o incluso la condena) al albur de una información revelada por alguien que actuó bajo la "creencia razonable" de la comisión de una infracción y la certeza de su irresponsabilidad futura, máxime cuando el acopio de este tipo de información por parte de funcionarios públicos está revestida de enormes garantías procesales, precisando en la mayoría de casos de una autorización judicial sustentada en la suficiente concurrencia de indicios y la preservación de derechos fundamentales básicos.

6. Por último, se apunta a la gravedad de la sanción impuesta a la persona que realizó la divulgación y sus consecuencias.

En consecuencia, la Directiva subsana el déficit conceptual (al menos en su alcance subjetivo) que anidaba en la fragmentariedad caleidoscópica de las medidas adoptadas por cada Estado miembro29 y que ya había sido advertida en los documentos de trabajo anteriores a su publicación.

El alcance de las medidas introducidas en la Directiva proyecta efectos sobre distintos ámbitos del derecho, si bien aquí nos centraremos en las de orden penal. Cumple señalar cierta ambivalencia que caracteriza esta parcela: mientras que la Recomendación de 30 de abril de 2014 (Recommendation CM/REC(2014)7) señala la necesidad de revisar las leyes penales, entre otras muchas, para ofrecer una mayor protección al whistleblower30, la Directiva inicia diciendo que no afectará a las normas de enjuiciamiento criminal (art. 3.3.d), cuestionable previsión que imputamos a la necesidad de mantener la integridad de la soberanía estatal sobre el ius puniendi, debiendo ser los estados miembros quienes introduzcan en sus respectivos ordenamientos las directrices contenidas en el documento.

III.2. Ámbito de aplicación material y subjetiva

El artículo 2 de la Directiva especifica los ámbitos de aplicación material (que se extienden tanto a los intereses propios de la Unión Europea como al ámbito nacional), si bien será el legislador nacional quien decida qué delitos se enmarcan en cada uno de ellos. Solo se excluyen de forma expresa aquellas materias que tienen que ver con la protección de información clasificada, la protección del secreto médico y del secreto profesional en la relación cliente-abogado, el secreto de las deliberaciones judiciales, las normas sobre protección y confidencialidad establecidas a nivel nacional en la ley de enjuiciamiento criminal, y los derechos de los trabajadores en relación con sus representantes sindicales (art. 3).

Lo que sí permite advertir la extensa enumeración de materias del artículo 2 es la afectación a un gran número de delitos previstos en el Código Penal español, a lo que podrán sumarse otros a iniciativa del legislador nacional, que señalamos sin ánimo de exhaustividad: los delitos contra la administración pública (título XIX); delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores (título XIII, cap. XIII); los delitos contra la Hacienda Pública y la Seguridad Social (título XIV); el delito de blanqueo de capitales (título XIII, cap. XIV); los delitos contra la seguridad colectiva, en tanto la Directiva incluye la seguridad del transporte, la seguridad de los productos, las radiaciones y seguridad nuclear, y la seguridad alimenticia y animal, además de la salud pública estrictamente considerada (título XVII); los delitos contra los recursos naturales y el medio ambiente (título XVI); el delito de financiación del terrorismo (art. 576) y financiación de los partidos políticos (título XIII); los delitos de descubrimiento y revelación de secretos (título X, cap. I); y el delito de daños (título XIII, cap. IX ).

El artículo 4 establece el ámbito de extensión subjetiva del whistleblower, que a nuestro entender puede dividirse en dos bloques: uno que denominaremos ad intra y otro que denominaremos ad extra. Esto permite entender que la Directiva parte de una certeza: que la capacidad de las organizaciones para tomar represalias se extiende más allá de las personas que se encuentran bajo su organización31, lo que no puede extrañar a nadie teniendo en cuenta que mucha de la jurisprudencia del TEDH citada versa sobre la protección de publicaciones o trabajos periodísticos realizados por personas ajenas a la estructura empresarial.

Así, desde una perspectiva ad intra, la Directiva se aplica:

1. A los trabajadores asalariados de los ámbitos público y privado, también tras finalizar su relación laboral e incluso antes de que dé comienzo.

2. A los sujetos que no entren dentro de la categoría de trabajadores, como son los accionistas y personas pertenecientes al consejo de administración, gobierno o supervisión de la empresa.

3. A los voluntarios (sean o no remunerados), los trabajadores en prácticas y cualesquiera otras personas que trabajen bajo la supervisión y dirección de contratistas, subcontratistas y proveedores.

Por su parte, desde una perspectiva ad extra, la protección de la Directiva se extiende:

4. A los facilitadores, cuya definición establece que se tendrá por tal a "la persona física que asiste a un denunciante en el proceso de denuncia en un contexto laboral, y cuya asistencia debe ser confidencial" (art. 5).

5. Los terceros que estén relacionados con el denunciante y que puedan sufrir represalias en un contexto laboral, como son los compañeros de trabajo o familiares.

6. Las entidades jurídicas que sean propiedad del denunciante, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral.

III.3. Primera vía: los canales internos de denuncia

La Directiva obliga a las entidades de los sectores público y privado a establecer un canal de denuncias revestido de determinados requisitos y garantías, si bien esto parece contradictorio con la previsión del artículo 7.1. Al leer conjuntamente los tres artículos, más que una cuestión facultativa, parecería que el legislador está pensando en supuestos donde el denunciante prevé un riesgo auténtico para sí mismo si utiliza el canal interno de denuncias, habilitándolo para acudir directamente al canal externo sin tener que acudir al interno.

Nótese en este punto la diferencia entre lo potestativo del artículo 31 bis del Código Penal español (que prevé los sistemas de cumplimiento normativo y el canal de denuncias como elementos atenuadores o extintivos de la responsabilidad criminal) y la imperatividad de esta nueva medida, a pesar de lo dispuesto en el artículo 7.1. No existe, en realidad, una contradicción: tanto la Directiva como el Código Penal español establecen una auténtica obligación de establecer un canal de denuncias, pues las contrapartidas resultan inasumibles (y cada vez se exige con mayor frecuencia en procesos de contratación pública, operaciones intersocietarias y procedimientos de due diligence que las empresas cuenten con un programa de prevención de delitos).

En el sector público se prevé la exención de esta obligación a los municipios de menos de 10 000 habitantes y a las entidades con menos de cincuenta empleados (art. 8, in fine), mientras que en el sector privado se excepciona a aquellas entidades privadas que tengan cincuenta empleados o más (art. 8.3), sin perjuicio de las empresas que ya vienen obligadas a ello en el ámbito de aplicación de los actos de la Unión Europea a los que se refieren las partes I.B y II del anexo (art. 8.4); esto es, servicios financieros o sector vulnerable al blanqueo de capitales o financiación del terrorismo. Pero incluso para las entidades que puedan acogerse a esta exención, la Directiva incluye la posibilidad de que los Estados propicien que también se implementen canales de denuncia en las empresas de menos de cincuenta trabajadores, permitiendo flexibilizar los requisitos de los mismos para facilitarles esta labor32.

Así es como, a diferencia del artículo 31 bis del Código Penal español, donde la previsión del canal de denuncias es interna, la Directiva ofrece al whistleblower una multiplicidad medios para informar de la existencia de irregularidades detectadas en el seno de la organización. Ya no contará solamente con el canal interno, sino que también podrá valerse de canales externos o, subsidiariamente, de una revelación pública33. Esto supone un gran cambio respecto a las "personas jurídicas de pequeñas dimensiones" (Código Penal, art. 31 bis, apartado 3)34, que hasta ahora podían, en caso de quererlo, adjudicar al propio órgano de administración las labores de control de cumplimiento interno.

En ese sentido, la Directiva ofrece una serie de recomendaciones sobre las características que debe reunir el órgano encargado de recibir y seguir las denuncias en las entidades de menor tamaño, indicando que esta función se podrá asignar a "otro órgano ya existente de la sociedad, siempre que este pueda comunicarse directamente con la dirección de la organización". A tal efecto, se especifica que puede ser un responsable de recursos humanos o de asuntos jurídicos, un responsable financiero, un responsable de auditoría o incluso un miembro del consejo de administración.

El art. 9.1 establece los requisitos que deberán seguir los procedimientos de denuncia interna, en concreto:

  1. Diseño seguro de los canales para garantizar la confidencialidad tanto de los denunciantes como de los terceros mencionados en la denuncia.

  2. Acuse de recibo de la denuncia en un plazo de siete días a partir de la recepción.

  3. Designación de una persona o servicio imparcial competente para tramitar la denuncia. Esta misma persona puede ser quien reciba la denuncia y puede encargarse de la comunicación con el denunciante.

  4. Seguimiento diligente de las denuncias.

  5. Tramitación diligente de las denuncias anónimas35.

  6. Plazo de tramitación no superior a tres meses a contar desde el acuse de recibo o, de no haberlo, desde el vencimiento del plazo de siete días desde la presentación.

  7. Información clara y accesible sobre las condiciones y procedimientos de denuncia externa ante las autoridades competentes.

III.4. Segunda vía: los canales externos de denuncia

El artículo 11.2.a) establece que los Estados miembros deberán establecer canales de denuncias que sean "independientes y autónomos", comunicando al denunciante su resultado final. Sin embargo, resulta sorprendente que el artículo 11.3 establezca una suerte de principio de oportunidad36 para los Estados miembros, pudiendo estos deslindar entre aquellas infracciones que merecen seguimiento y aquellas que no.

La Directiva establece qué características debe tener el canal externo de denuncias para reunir las notas de independencia y autonomía. Así, el artículo 12.1 consagra un triple criterio de exhaustividad, integridad y confidencialidad informativa a salvo del acceso no autorizado que, a su vez, pueda ser utilizado para nuevas investigaciones.

III.5. Tercera vía: la revelación pública y su subsidiariedad respecto de los canales interno y externo

La revelación pública constituye la tercera vía para la formulación de denuncias y quizás sea la que mayor polémica puede generar, por cuanto ejerce las funciones de un cajón de sastre y deja a criterio del whistleblower definir cuándo los canales internos y externos no han funcionado.

En esa línea, el artículo 15.1 de la Directiva arbitra mecanismos de protección para aquel que haga una revelación pública, si bien los somete a distintos requisitos como la previa denuncia por canales internos y/o externos (en este último caso, si se hace de forma directa, siempre que se haya constatado el incumplimiento de los plazos previstos en el artículo 9, apartado 1, letra f); o en el artículo 11, apartado 2, letra d)).

Parecería que cuando no se recibe el feedback correspondiente en los plazos legales estipulados, existirían buenas razones para entender que concurre una "falta de medidas apropiadas". Sin embargo, el artículo ensancha el abanico de posibilidades, permitiendo reputar también como "falta de medidas apropiadas" una respuesta que, a juicio del denunciante, resulta insuficiente, sin que tampoco se establezca un parámetro de corrección en la respuesta, lo que genera una gran inseguridad jurídica para todos los actores.

Los criterios de reasonable ground apuntan a la concurrencia de un peligro inminente o manifiesto para el interés público (razones de flagrancia delictiva), de represalias hacia él o su círculo de personas, o a la inutilidad de los canales internos en orden al tratamiento efectivo a la infracción.

Por último, y en cuanto a las revelaciones de signo periodístico (art. 15.2), la Directiva prevé una exclusión de las medidas de protección, siempre que se haga con arreglo a disposiciones nacionales específicas por las que se establezca un sistema de protección relativo a la libertad de expresión e información.

III.6. La confidencialidad: ¿pedirle peras al olmo?

Decíamos que el debate en torno a la confidencialidad y el anonimato resultará de gran interés desde una vertiente procesal, especialmente porque la Directiva regula los deberes de confidencialidad (art. 16), pero deja a la discreción de los Estados miembros la aceptación de denuncias anónimas (art. 6.2). Nos encontramos de nuevo ante un ejercicio de equilibrismo entre los incentivos que podemos ofrecer al denunciante para motivarle y el legítimo derecho que tiene el denunciado a obtener un conocimiento cabal de los hechos37.

La diferencia entre una y otra es crucial: el anonimato impide toda posibilidad de llegar a conocer quién está detrás de la denuncia, incluso para el propio órgano encargado de la tramitación de las denuncias. Se evita así cualquier riesgo de filtración por medio de la eliminación de esta posibilidad38, pero con ello se compromete también el derecho de defensa de la persona afectada por la denuncia y el conocimiento sobre el origen de la misma, que constituye un elemento de fiabilidad, especialmente cuando no viene acompañado de acervo probatorio suficiente ab initio. La propia Recomendación de 30 de abril de 2014 reconoce esta dificultad en su párrafo 71.

A pesar de ser uno de los pilares de la Directiva, no queda otro remedio que exceptuar la confidencialidad cuando exista una obligación legal en el contexto de una investigación o en el marco de un proceso judicial39. Sin embargo, la entrada en vigor de la Directiva ya ha tenido impacto en la jurisprudencia de la Sala Penal del Tribunal Supremo.

Así, la única sentencia publicada a la fecha de cierre del presente trabajo con mención expresa a la Directiva es la STS N° 25/2020 de 6 de febrero (Ponente: Magro Servet)40, que ratifica la validez de una denuncia anónima que originó la investigación interna en una empresa para destapar un fraude. El Tribunal Supremo destaca la importancia de este tipo de denuncias, en las que el autor opta por el anonimato, como notitia criminis41, reconociendo que deben reforzarse la protección del denunciante y sus derechos a la libertad de expresión e información. Las denuncias anónimas pueden detonar una investigación policial y el descubrimiento de los hechos, y quienes forman parte de la empresa donde se ha implementado un canal de denuncia conocerán este dato.

Cierto es que (al menos en el ordenamiento jurídico español), salvo que se adopten las medidas oportunas de protección de testigos previstas en la Ley Orgánica 19/1994 de 23 de diciembre -cuya aplicación es muy restrictiva por cuanto exige la concurrencia de "un peligro grave para la persona, libertad o bienes de quienes pretendan ampararse en ella"-, lo que permitiría una ratificación en sede judicial que constituyera un auténtica fuente probatoria preservando la identidad del denunciante, una denuncia anónima sin posterior ratificación judicial (que de ordinario exige un afloramiento de la identidad) no tiene capacidad para enervar la presunción de inocencia.

En consecuencia, la transposición de la Directiva al ordenamiento jurídico nacional quizás se vea en la obligación de alterar estas reglas para reforzar las garantías de confidencialidad, teniendo en cuenta que no debería hacerlo a costa de las garantías procesales del denunciado.

Cosa distinta será la fuerza indiciaria que una denuncia anónima pueda tener a efectos de incoar un procedimiento penal y acordar determinadas diligencias de investigación reservadas a la autoridad judicial (solicitar información bancaria, acordar entradas y registros domiciliarios, etc.) de cuya práctica afloren nuevas fuentes de prueba, pero esto dependerá no solo de la denuncia (cuya identidad es un indudable elemento de fiabilidad), sino de las fuentes de prueba que con ella se aporten, algo que deberá valorarse caso por caso.

III.7. Las medidas de protección y la prohibición de represalias

Las medidas de protección de los artículos 19 y 20 de la Directiva solo se aplicarán si concurren las condiciones del artículo 5.1; esto es, que el denunciante crea en la veracidad de los hechos que denuncia (lo que ya hemos expuesto ut supra como un criterio demasiado subjetivo que deberá contar con criterios de verificación intersubjetivos).

Estas medidas de protección son fundamentalmente laborales42, requiriendo que se adopten los medios oportunos para evitar situaciones tales como la suspensión o despido del trabajador, la degradación, la imposición de medidas sancionatorias, la reducción salarial, daños reputacionales o la terminación anticipada de determinados servicios. Así, en caso de llegarse a producir alguna de las situaciones mencionadas, deberá ofrecerse asistencia jurídica y medidas de apoyo en los procedimientos judiciales correspondientes, invirtiendo la carga de la prueba para el empleador.

Por último, como avanzábamos ut supra, entendemos que la Directiva abre las puertas a una cláusula de irresponsabilidad penal para el whistleblower en relación con determinados delitos cometidos en orden a poder denunciar la irregularidad en cuestión.

Asimismo, es preciso señalar que la previsión contenida en el artículo 21 es algo equívoca y convendrá esclarecer este punto.

  1. Por una parte, el artículo 21.7 de la Directiva establece la falta de responsabilidad "de ningún tipo" (esto es importante) en los procesos seguidos por "difamación, violación de derechos de autor, vulneración de secreto, infracción de las normas de protección de datos, revelación de secretos comerciales, o a solicitudes de indemnización basadas en el Derecho laboral privado, público o colectivo, las personas a que se refiere el artículo 4". Estas personas tendrán derecho a alegar en su descargo el haber denunciado o haber hecho una revelación pública, cuando tengan "motivos razonables para pensar que la denuncia o revelación pública era necesaria para poner de manifiesto una infracción en virtud de la Directiva".

  2. Esta cláusula de exoneración debe compatibilizarse con lo dispuesto en el artículo 21.3, que deslinda estas conductas de las que, por sí mismas, constituyan un ilícito penal, en cuyo caso operará lo previsto en el derecho del Estado miembro.

Tomando en cuenta el contenido del artículo 21.3 de la Directiva, parecería que esta distingue entre la información confidencial obtenida por razón de las propias funciones laborales (y luego difundida), que estaría exenta de responsabilidad penal, de aquellos accesos ilícitos en origen a información confidencial con la finalidad de denunciar la comisión de alguna infracción, cuya responsabilidad penal seguiría rigiéndose por el derecho penal nacional.

Para coadyuvar el contenido de este precepto con el del artículo 21.3 puede optarse por distintas soluciones dogmáticas que pasan por predicar la atipicidad de la conducta, la justificación (y, dentro de ella, la concurrencia de un estado de necesidad o el ejercicio de un derecho, por cuanto la Directiva remita de forma directa al artículo 10 CEDH) o la exculpación. Todas estas vías son incompatibles con el reproche penal, si bien la asunción del whistleblower como alguien que ejercita un derecho y no que cumple con un deber abre una nueva ventana en torno al debate sobre qué figura es la más adecuada para encauzar estos supuestos43.

IV. ENCAJAR LAS PIEZAS DEL PUZLE: RETOS Y PROPUESTAS A FUTURO

Las anteriores líneas han tratado de diagnosticar, desde un plano general, los antecedentes legislativos y las características de la Directiva que el legislador español habrá de tener en cuenta para afrontar su transposición dentro de un plazo que oscilará entre los dos y los cuatro años desde su publicación (17 de diciembre de 2019) en función del tamaño de la persona jurídica.

En este último apartado, y puesto que aún no contamos con documentos que nos indiquen cómo se abordará su implementación, presentaremos dos retos que el legislador español deberá afrontar44 y esbozaremos posibles soluciones.

IV.1. El encaje de la exención responsabilidad criminal del whistleblower en el ordenamiento jurídico español

Decíamos previamente que los artículos 21.3 y 21.7 de la Directiva pueden ser interpretados en clave de exoneración de la responsabilidad criminal respecto de algunas conductas delictivas realizadas por el whistleblower para revelar una infracción por medio de alguno de los canales habilitados. El buen fin de la medida acarrea, sin embargo, algunos problemas sustantivos que deberán ser resueltos, especialmente cuando se produzcan vía canal externo y/o revelación pública45.

El estado de esta cuestión hasta la fecha (Ragués i Vallès, 2006) partía de que en estos supuestos el informante se encuentra ante un auténtico conflicto de deberes, a saber, un deber de buena fe contractual con su empleador que confronta con un deber genérico de denunciar o incluso de evitar delitos y que, en el caso de tratarse de funcionarios públicos, cobra una intensidad aún mayor46.

En efecto, la construcción dogmática y jurisprudencial del estado de necesidad exige contraponer la infracción de un deber penalmente garantizado (que los ejemplos más canónicos suelen presentar con bienes jurídicos de carácter personal, pero en lo que aquí interesa guardaría relación, más bien, con bienes vinculados al secreto empresarial y al patrimonio) y el cumplimiento de una obligación que viene dada ex lege47.

La delimitación de esta "ponderación de males" era abordada desde una interpretación restrictiva de los tipos penales basada en la infracción de deberes de confidencialidad, a partir de lo cual los deberes del empleado hacia su empresa o del funcionario hacia la administración no alcanzarían a considerarse actuaciones delictivas cometidas dentro de sus respectivas organizaciones, bajo riesgo de incurrir en el absurdo de que el derecho penal proteja el supuesto derecho de quien habría delinquido a que su conducta no trascendiera (Bajo Fernández, M., & Bacigalupo Saggesse, 2001, pp. 482-485; Martínez-Buján Pérez, 2005, pp. 214-216). En consecuencia, "en el caso de los informantes internos no llegaría a existir colisión alguna de deberes, por cuanto, ya de entrada, los tipos pensados para la protección de los datos confidenciales de las empresas nunca serían aplicables cuando la información revelada consistiera en una actuación delictiva".

Pero los sólidos cimientos de esta conclusión pueden verse sacudidos si la denuncia efectuada por el whistleblower deja de ser un deber del ciudadano-corporativo y se convierte en el ejercicio de un derecho fundamental con anclaje en los artículos 10 y 11 del CEDH. Así, el estado de necesidad basado en la colisión de deberes se vería seriamente comprometido y convendría pensar en otras fórmulas de encaje a las que acudir.

El propio Ragués i Vallès llega a la acertada conclusión de que existen límites a la revelación pública de un hecho ilícito sin mediar un previo intento de denuncia ante el órgano competente. Esta solo estaría justificada en aquellos casos en los que no existe una expectativa legítima de reserva y en los que la publicación no tiene relevancia penal, como señala Martínez-Buján Pérez (2016, pp. 455 y ss.) refiriéndose a Ragués i Vallès (2013).

Sin embargo, esto nos sigue dejando algunas cuestiones por resolver: a) la infracción de un deber de confidencialidad jurídico penalmente protegido cuando exista un riesgo de agresión ilegítima a bienes jurídicos propios o de terceros48; y b) el amplio margen de discrecionalidad que la Directiva deja para acudir directamente a la revelación pública cuando la persona denunciante opera bajo los criterios de reasonable grounds antes expuestos.

En cualquier caso, la confrontación surgida de la denuncia, entendida como ejercicio de un derecho fundamental, y la previsión de la exclusión de la responsabilidad criminal por delitos de revelación de secretos, altera y desplaza los fundamentos del estado de necesidad hacia otras posibles soluciones. En lo que sigue, sugerimos tres:

1. Una solución quirúrgica de corte legislativo, atendiendo al alcance tan concreto previsto en la Directiva, pasaría por incluir la exoneración de responsabilidad en la parte especial del Código Penal como disposición común de aquellos delitos sobre los que quiera proyectar efectos (Dannecker, 1999, p. 25), recogiendo los requisitos que el legislador juzgue oportunos para su aplicabilidad.

Esta práctica no es ajena a la política criminal española y su deliberado sesgo utilitarista ha sido objeto de severas críticas. A modo de ejemplo, para facilitar el afloramiento de prácticas corruptas, el artículo 426 del Código Penal prevé una "excusa absolutoria" en el delito de cohecho al particular que denuncie la solicitud de una dádiva por parte de un funcionario o autoridad cuando lo haga dos meses antes de la fecha de los hechos. Y, en idéntico sentido, aunque con distinto fundamento (mantener la paz familiar), el artículo 268 exime de responsabilidad a los parientes por los delitos patrimoniales cometidos entre ellos. Por su parte, el artículo 305.4, con clara vocación recaudatoria, establece una cláusula de "atipicidad" en los delitos contra la Hacienda pública cuando el obligado tributario regularice su situación antes de que se le notifique el inicio de actuaciones contra él por parte de la Administración49.

Nótese que el primer modelo mantiene la vigencia del delito, excluyendo únicamente su punibilidad (lo que permite penar al partícipe e incluso enjuiciar al autor a los efectos de fijar la responsabilidad civil ex delicto), mientras que el segundo modelo consagra la atipicidad de la conducta. Teniendo en cuenta que la Directiva alude al término "responsabilidad de ningún tipo", nos decantaríamos por la introducción de una cláusula de atipicidad para el whistleblower.

2. Una segunda solución, de corte interpretativo en sede de antijuridicidad de la conducta, consistiría en sostener la justificación afirmando la prevalencia del ejercicio del derecho a la libertad de expresión del whistleblower (Convenio Europeo de Derechos Humanos, art. 10). En este sentido, ya no estamos en un "conflicto de deberes" y el perjudicado no podría alegar la existencia de una "expectativa legítima de reserva" de una información íntimamente vinculada a la infracción objeto de denuncia, máxime cuando semejante expectativa pasa por limitar el efectivo despliegue de un derecho fundamental. Ello no resulta así cuando el whistleblower ultrapasara los lindes del ejercicio de este derecho fundamental, caso en el que no existiría un deber de tolerancia por parte del tercero50.

3. Por último, una tercera vía (de alcance más global y con ánimo de compatibilizar las previsiones de los artículos 21.3 y 21.7 de la Directiva para aquellas conductas que pudieran llegar a exceder los límites ut supra expuestos) pasaría por huir de la "justificación" y centrarnos en la posible "inexigibilidad" como categoría de la culpabilidad con anclaje constitucional (Aguado Correa, 2004, pp. 33-44) concretado en un estado de necesidad exculpante. Y ello por cuanto entendemos que la denuncia posterior no puede hacer desaparecer el injusto previo, sino únicamente sus efectos, lo que en último término permite mantener la coherencia del modelo sin castigar (al menos no de forma material) al whistleblower en supuestos límite.

Esta última solución parte de una triple convicción sobre el principio de inexigibilidad, a saber: a) que está dotado de contenido material normativo51 -del mismo modo que lo están otros principios con un alto componente de indeterminación- y no puede ser degradado a mero principio regulatorio, b) que su existencia implica que las exigencias impuestas en la ley no pueden tener nunca un contenido ilimitado, y c) que su operatividad fluye de la vinculación entre un deber de comportamiento objetivamente descrito en el tipo penal (no revelar un secreto) y una exigibilidad dinámica en función de criterios del nombre medio en la posición del sujeto.

En definitiva, su fundamento reside en la doble reducción de la culpabilidad en el whistleblower que comete una revelación de secretos (yendo más allá de lo indispensable) para denunciar una infracción con potencialidad lesiva a otros bienes jurídicos. En el caso de que se consiga salvaguardar bienes jurídicos (ponderación de intereses), el desvalor en la conducta excesiva sería menor; mientras que si pudieran acreditarse las circunstancias de presión y riesgo52 bajo las que tuvo que actuar, podría sostenerse que el sujeto obró con una disminución de la capacidad para adecuar su comportamiento y no sobrepasar los límites que su derecho fundamental a la libertad de expresión le permitía ejercer. Y precisamente por esta razón, la inexigibilidad partirá de la constatación de los medios que el whistleblower tenía a su disposición antes de realizar la conducta, lo que pone de nuevo en el centro del tablero la necesidad de contar con un canal de denuncias interno independiente y garantista.

La utilización de estos criterios de exigibilidad no es desconocida en la doctrina y ha servido, entre otras cosas, para disponer de una herramienta de contextualización del uso de medios legítimos e, incluso, ilegítimos (los menos lesivos), útil para la evitación de un mal mayor o de igual naturaleza, que modulara la rigurosidad de los criterios jurisprudenciales utilizados para estimar la concurrencia del estado de necesidad.

IV.2. Las personas físicas y/o jurídicas denunciadas: ejercicio del derecho de defensa y régimen de obtención de pruebas incriminatorias

La otra cara de la moneda son los hipotéticos denunciados y, en especial, las garantías en el ejercicio de su defensa y el régimen legal de obtención de pruebas incriminatorias.

Ya hemos dicho que la utilización de los canales de denuncia, junto con las garantías al whistleblower, tiene como finalidad hacer aflorar conductas irregulares de las que resultaría responsable la persona jurídica (cuando se cometan en su beneficio y estén dentro del catálogo de delitos que puede cometer), pero también personas físicas internas o ajenas a la organización. Y no solo eso: las conductas irregulares podrían estar perpetrándose en el momento de ser denunciadas o haber sido ya consumadas.

La denuncia a través del canal interno (cuya particular problemática excede el alcance de este trabajo) y su correcta atención suele ser un inequívoco signo de buen funcionamiento del programa de prevención de delitos, requisito esencial para exonerarla de responsabilidad si llegara a iniciarse un procedimiento en su contra. Pero esto no es siempre así. No resulta infrecuente encontrar procedimientos penales derivados de la utilización de los sistemas de whistleblowing donde las corporaciones se ven en la tesitura de tener que facilitar al Juzgado de Instrucción el material acopiado durante una investigación interna, cuya fiscalización, obviamente, ha sido ajena a cualquier autoridad judicial.

La necesaria fiscalización judicial en el seno de una investigación permite depurar eventuales vulneraciones de derechos a los investigados por parte de otros funcionarios públicos; no obstante, debemos prever que las empresas, cuyo ámbito de especialización no es investigar delitos ni evitar su comisión, pueden carecer de los mecanismos adecuados para instruir una denuncia e incurrir en vulneración de garantías. El traslado de la investigación interna dirigida bajo estos parámetros a un procedimiento penal que sí está revestido de las debidas garantías podría convertir en inaprovechable lo obtenido en muchos casos.

Tomando la postura de Nieto Martín (2015, p. 7), una posible solución a esta disfuncionalidad pasa por que las empresas se provean de un código de investigación que aborde el método y el alcance, examinando la legitimidad y proporcionalidad de sus medios y la forma de desarrollarlas, lo que a la postre, una vez judicializada la investigación, permitirá también fiscalizar los parámetros que rigieron la obtención de pruebas. Es en este documento donde la empresa encontrará sus límites y los investigados sus derechos. Esta solución, además, es coherente con el estado de la cuestión que planteábamos ut supra: el desbordamiento de los mecanismos de indagación estatales y la autorregulación como base organizativa del sistema de prevención de delitos a través de programas empresariales de cumplimiento.

A mayor abundamiento, frente a lo que pueda pensarse, no estamos ante compartimentos estancos. Las propias corporaciones cuentan con criterios de homologación ofrecidos por la jurisprudencia a los que deben adecuar estos reglamentos. Por ejemplo, en lo relativo a la revisión de correos electrónicos, la Sentencia de la Gran Sala del TEDH de 5 de setiembre de 2017 en el caso Barbulescu II estableció los siguientes criterios para que el acceso sea lícito:

  1. Conocimiento previo por parte del trabajador de la advertencia expresa de que el uso del ordenador ha de limitarse a tareas profesionales y de una cláusula conocida por ambas partes que autoriza a la empresa a llevar a cabo el control de medios informáticos, o el consentimiento de quien usaba ese ordenador.

  2. La empresa sí tiene facultades de fiscalización, pero estas tiene que estar sujetas al principio de proporcionalidad (la medida tiene que ser necesaria, adecuada y la menos invasiva entre todas aquellas que sean posibles).

  3. Existencia de un indicio que justifique la sospecha de la empresa de que ha tenido lugar una conducta ilícita.

En el caso español, además, donde el tejido industrial es dominado por pymes que se verán afectadas por la Directiva, la independencia y exhaustividad de estas investigaciones pasaría por externalizarlas y, en cualquier caso, el denunciado debería tener derecho a conocer que se sigue una investigación contra él y a ser tratado con respeto a su honor, intimidad y el resto de sus derechos fundamentales. No en vano el artículo 11.1 de la Ley Orgánica del Poder Judicial señala que "en todo tipo de procedimiento se respetarán las reglas de la buena fe. No surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales".

Lo anterior obliga a yuxtaponer los supuestos donde una prueba ilícita es introducida en el procedimiento por funcionarios públicos y los supuestos donde son los investigadores internos (o externos) quienes lo hacen. A nuestro entender, y en coherencia con el punto anterior, ambos casos deben tener idéntico destino: la rotunda expulsión de la prueba y del resto de medios derivados de ella.

Entendemos que esta postura, además, apuntala las garantías del justiciable frente a algunos criterios establecidos por el Tribunal Supremo en su jurisprudencia, que llevados al extremo permitirían obtener ad intra lo que ad extra el ordenamiento jurídico proscribe. Nos referimos a) a la teoría de la desconexión de antijuridicidad, a cuyo albur -se entiende- pueden desconectarse el medio de prueba ilícito y su reflejo si el vínculo entre ellos no es lo suficientemente fuerte como para estimar que la ilicitud originaria de la primera trasciende a la segunda; y b) a la conocida como "doctrina Falciani" (STS 116/2017, 23 de febrero de 2017; STC 97/2019, 16 de julio de 2019), donde se aconsejaba "huir de interpretaciones rígidas" del artículo 11 de la Ley Orgánica del Poder Judicial, fijando umbrales de exigibilidad distintos para la validez de la prueba en función si provenía de un funcionario público o de un particular. Afirma la Sala que lo determinante no serán las razones que mueven al particular, sino que "haya actuado como una pieza camuflada del Estado al servicio de la investigación penal". La solución expuesta recoge el mensaje lanzado por el Tribunal Supremo a los particulares ("no podrá valerse de aquello que ha obtenido mediante la consciente y deliberada infracción de derechos fundamentales de un tercero") y resuelve la cuestión fundamental en tanto, como decíamos, la investigación interna constituye el preludio de una esperable judicialización y el ciudadano-corporativo debe conocer los criterios reglamentados de investigación, sus formas y límites.

En definitiva, la unión del olvido del denunciado en las investigaciones internas y una protección del denunciante prácticamente sin condiciones puede dar lugar a una intolerable minoración de garantías, reconfigurando el instituto de la nulidad, que el legislador y los tribunales están llamados a resolver.

REFERENCIAS

Aguado Correa, Teresa (2004). Inexigibilidad de otra conducta en derecho penal. Granada: Comares. [ Links ]

Bacigalupo Saggese, S. (1999). La crisis de la filosofía del sujeto individual y el problema del sujeto de Derecho Penal. Cuadernos de Política Criminal, (67), 11-36. [ Links ]

Bachmaier Winter, L. (2019a). El régimen jurídico-procesal del whistleblower. La influencia del Derecho europeo. En Tratado sobre Compliance Penal (pp. 503-550). Valencia: Tirant lo Blanch. [ Links ]

Bachmaier Winter, L. (2019b). Whistleblowing europeo y compliance: La Directiva EU de 2019 relativa a la protección de personas que reporten infracciones del Derecho de la Unión. Diario La Ley, (9539), Sección Tribuna, 18 de diciembre. [ Links ]

Bajo Fernández, M. (1998). Culpabilidad y persona jurídica. En I Congreso hispano-italiano de Derecho Penal Económico (pp. 13-25). La Coruña: Universidade da Coruña. Recuperado de https://ruc.udc.es/dspace/handle/2183/10720. [ Links ]

Bajo Fernández, M., & Bacigalupo Saggesse, S. (2010). Derecho penal económico. Madrid: Editorial Universitaria Ramón Areces. [ Links ]

Blanes Soliva, M. F., & Meco Tébar, F. (2019). La protección de datos de las personas denunciantes en casos de corrupción en el sistema español. Cuadernos de Política Criminal Número, 129(III), Época II, 153-185. [ Links ]

Dannecker, G. (1999). La configuración de las causas de justificación y exculpación en el Derecho Penal comunitario. Revista Penal, (3), 11-28. [ Links ]

Dopico Gómez-Aller, J. (2019). La superatenuación por "regularización tardía" y la compra de la impunidad. Motivos para una derogación. En Eduardo Demetrio Crespo y José Alberto Sanz Díaz-Palacios (dirs.), El delito fiscal. Aspectos penales y tributarios (pp. 43-64). Barcelona: Atelier Libros Jurídicos. [ Links ]

Dworkin, R. (1984). Taking Rights Seriously. Cambridge: Harvard University Press. [ Links ]

García Moreno, B. (2015). Whistleblowing y canales institucionales de denuncia. En A. Nieto-Martín (dir.), Manual de cumplimiento penal en la empresa. Valencia: Tirant lo Blanch . [ Links ]

Gómez Colomer, J. L. (coord.) (2019). Tratado sobre Compliance Penal . Valencia: Tirant lo Blanch . [ Links ]

Gómez-Jara Díez, V. (2017). Autorregulación y responsabilidad penal de las personas jurídicas. Santiago de Chile: Ediciones Jurídicas Olejnik. [ Links ]

Heredia Muñoz, A. (2017). ¿Inoperancia del delito de acusación y denuncia falsas? Estudio sobre la problemática en torno a la falsedad [Tesis doctoral, Universidad Autónoma de Madrid]. Recuperado de http://hdl.handle.net/10486/680540. [ Links ]

Lascuraín Sánchez, JA. (2017). ¿Puede tener responsabilidad penal el compliance officer? Almacén de derecho, 23 de mayo. Recuperado de https://almacendederecho.org/puede-responsabilidad-penal-compliance-officer/. [ Links ]

Luzón Peña, D. M. (2002). Aspectos esenciales de la legítima defensa (2da ed.). Montevideo: B de F. [ Links ]

Martínez-Buján Pérez, C. (2005). Manual de derecho penal económico y de la empresa. Parte especial. Valencia: Tirant lo Blanch. [ Links ]

Martínez-Buján Pérez, C. (2016). Manual de derecho penal económico y de la empresa . Parte General. Valencia: Tirant lo Blanch . [ Links ]

Martínez Patón, V. (2019). La doctrina societas delinquere non potest. Buenos Aires: B de F. [ Links ]

Montero, F. (2020). La regulación tributaria como equivalente funcional de la pena retributiva. InDret. Revista para el Análisis del Derecho, (2), 313 y ss. [ Links ]

Nieto-Martín, A. (2015). Investigaciones internas. En A. Nieto-Martín (dir.), Manual de cumplimiento penal en la empresa . Valencia: Tirant lo Blanch . [ Links ]

Ordóñez Solís, D. (2017). Citizens, Whistle-Blowers and Lenient Princes in a Democratic Society? Revista de Derecho UNED, (21), 41-71. [ Links ]

Ortiz, J. C. (2017). La delación premiada en España: instrumentos para el fomento de la colaboración con la justicia. Revista Brasileira de Direito Processual Penal, 3(1), 39-70. https://doi.org/10.22197/rbdpp.v3i1.38. [ Links ]

Proposal for a Directive of the European Parliament and of the Council on the protection of persons reporting on breaches of Union law (Comisión Europea, 23 de abril de 2018). Recuperado de https://ec.europa.eu/transparency/regdoc/rep/2/2018/EN/SEC-2018-198-3-EN-MAIN-PART-1.PDF. [ Links ]

Ragués i Vallès, R. (2006). ¿Héroes o traidores? La protección de los informantes internos (whistleblowers) como estrategia político-criminal. InDret. Revista para el Análisis del Derecho , (3). Recuperado de https://www.raco.cat/index.php/InDret/article/view/121389/167837. [ Links ]

Ragués i Vallès, R. (2013). Whistleblowing. Una aproximación desde el derecho penal. Madrid: Marcial Pons. [ Links ]

Silva Sánchez, J. M. (2013). Fundamentos del derecho penal y de la empresa. Madrid: Edisofer. [ Links ]

Varona Gómez, D. (2001). El miedo insuperable: ¿una eximente necesaria? una reconstrucción de la eximente desde una teoría de la justicia. Revista de derecho penal y criminología, (7), 139-176. [ Links ]

Jurisprudencia, normativa y otros documentos legales

Barbulescu II. Sentencia (Gran Sala del TEDH, 5 de setiembre de 2017). [ Links ]

Bucur y Toma vs. Romania. Sentencia (TEDH, 2013). [ Links ]

Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015. (FGE [España], 22 de enero de 2016). Recuperado de https://www.boe.es/buscar/doc.php?id=FIS-C-2016-00001. [ Links ]

Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, hecho en Roma el 4 de noviembre de 1950. Boletín Oficial del Estado, (243). Recuperado de https://www.boe.es/buscar/doc.php?id=BOE-A-1979-24010. [ Links ]

Directiva 1937/2019 (Parlamento y el Consejo de la Unión Europea, de 23 de octubre de 2019). Boletín Oficial del Estado . Recuperado de https://www.boe.es/doue/2019/305/L00017-00056.pdf. [ Links ]

Fuentes Bobo vs. España. Sentencia (TEDH , 29 de febrero de 2000). [ Links ]

Guja vs. Modalviak. Sentencia (TEDH 12 de febrero de 2008). [ Links ]

Heinisch vs. Alemania. Sentencia (TEDH , 21 de julio de 2011). [ Links ]

Instrumento de ratificación de la Convención de las Naciones Unidas contra la corrupción, hecha en Nueva York el 31 de octubre de 2003. Boletín Oficial del Estado , (171), 27132-27153. Recuperado de https://www.boe.es/diario_boe/txt.php?id=BOE-A-2006-13012. [ Links ]

Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones para dar curso a las informaciones que reciba la Administración Autonómica sobre hechos relacionados con delitos contra la Administración Pública y se establecen las garantías de los informantes (Cortes de Castilla y León [Comunidad de Castilla y León, España], 8 de diciembre de 2016). Boletín Oficial del Estado , (296), 85833-85839. Recuperado de https://www.boe.es/diario_boe/txt.php?id=BOE-A-2016-11673. [ Links ]

Ley 11/2016, de creación de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción de la Comunitat Valenciana (Comunitat Valenciana [España], 28 de noviembre de 2016). Boletín Oficial del Estado , (306). Recuperada de https://www.boe.es/buscar/pdf/2016/BOE-A-2016-12048-consolidado.pdf. [ Links ]

Ley 16/2016 de las Islas Baleares, de creación de la Oficina de Prevención y Lucha contra la Corrupción en las Illes Balears (Comunidad Autónoma de Illes Balears [España], 9 de diciembre de 2016). Boletín Oficial del Estado , (8). Recuperado de https://boe.es/buscar/pdf/2017/BOE-A-2017-267-consolidado.pdf. [ Links ]

Ley 5/2017, de Integridad y Ética Publicas (Comunidad Autónoma de Aragón [España], 1 de junio de 2017). Boletín Oficial del Estado , (114, 216), Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-2017-10292&p=20170616&tn=6. [ Links ]

Ley 8/2018, de Transparencia, Buen Gobierno y Grupos de Interés (Comunidad Autónoma del Principado de Asturias [España], 14 de setiembre de 2018). Boletín Oficial del Estado , (253), 101566-101601. Recuperado de https://www.boe.es/buscar/doc.php?id=BOE-A-2018-14293. [ Links ]

Ley Foral 7/2018, de creación de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (Comunidad Foral de Navarra [España], 17 de mayo de 2018). Boletín Oficial del Estado , (139). Recuperado de https://www.boe.es/buscar/pdf/2018/BOE-A-2018-7644-consolidado.pdf. [ Links ]

Ley Orgánica 6/1985, de 1 de julio (Poder Judicial [España], 1988). Boletín Oficial del Estado , (157). Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1985-12666. [ Links ]

Ley Orgánica 19/1994, de protección a testigos y peritos en causas criminales (Jefatura del Estado [España], de 23 de diciembre de 1994). Boletín Oficial del Estado , (307). Recuperado de https://www.boe.es/buscar/pdf/1994/BOE-A-1994-28510-consolidado.pdf. [ Links ]

Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial del Estado , (281). Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444. [ Links ]

Ley Orgánica 15/2003, de 25 de noviembre, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial del Estado , (283). Recuperado de https://www.boe.es/buscar/doc.php?id=BOE-A-2003-21538. [ Links ]

Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre del Código Penal. Boletín Oficial del Estado , (152). Recuperado de https://www.boe.es/buscar/doc.php?id=BOE-A-2010-9953. [ Links ]

Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial del Estado , (77). Recuperado de https://www.boe.es/diario_boe/txt.php?id=BOE-A-2015-3439. [ Links ]

Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (Jefatura del Estado [España], 5 de diciembre de 2018). Boletín Oficial del Estado , (294). Recuperado de https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf. [ Links ]

Matúz vs. Hungría. Sentencia (TEDH , 21 de octubre de 2015). [ Links ]

Proposición de Ley 122/000009, de medidas de lucha contra la corrupción (Congreso de los Diputados [España], 17 de enero de 2020). Boletín Oficial de las Cortes Generales, 35(1). Recuperado de http://www.congreso.es/public_oficiales/L14/CONG/BOCG/B/BOCG-14-B-35-1.PDF. [ Links ]

Proposición de Ley Integral 122/000022, de Lucha contra la Corrupción y Protección de los Denunciantes (Congreso de los Diputados [España], 20 de setiembre de 2016). Boletín Oficial de las Cortes Generales , 33(1). Recuperado de http://www.congreso.es/portal/page/portal/Congreso/PopUpCGI?CMD=VERLST&BASE=pu12&FMT=PUWTXDTS.fmt&DOCS=1-1&DOCORDER=LIFO&QUERY=%28BOCG-12-B-33-1.CODI.%29#(Página1). [ Links ]

Real Decreto de 14 de septiembre de 1882, por el que se aprueba la Ley de Enjuiciamiento Criminal. Boletín Oficial del Estado , (260). Recuperado de https://www.boe.es/buscar/act.php?id=BOE-A-1882-6036. [ Links ]

Recomendación 18, en relación con la responsabilidad de las personas jurídicas por las infracciones cometidas en el ejercicio de sus actividades (Comité de Ministros de los Estados Miembros, 1988). Recuperado de https://personasjuridicas.es/recomendacion-18-1988-sobre-responsabilidad-penal-de-las-personas-juridicas/. [ Links ]

Recommendation CM/REC(2014)7 (Consejo de Ministros del Consejo de Europa, 30 de abril de 2014). [ Links ]

Resolución 1729 (Consejo de Europa, 2010). [ Links ]

Segundo informe intermedio de cumplimiento de España aprobado por el GRECO en su 83ª sesión plenaria (Estrasburgo, 17-21 de junio de 2019). Recuperado de: https://rm.coe.int/cuarta-ronda-de-evaluacion-prevencion-de-la-corrupcion-respecto-de-mie/168098c68e. [ Links ]

Sentencia 116/2017 (Tribunal Supremo [España], 23 de febrero de 2017). [ Links ]

Sentencia 97/2019 (TC [España], 16 de julio de 2019). [ Links ]

Sentencia 25/2020 (Tribunal Supremo [España], de 6 de febrero de 2020). Ponente: Magro Servet, V. [ Links ]

1Abogado penalista en Martell Abogados, Barcelona, España; y profesor asociado en la Universitat Oberta de Catalunya. Licenciado en Derecho por la Universidad de Girona, máster en Derecho Penal y Ciencias Penales por la Universidad de Barcelona y la Universidad Pompeu Fabra, y experto en Compliance Penal por la Universidad de Barcelona. Código ORCID: 0000-0002-0199-3687. Correo electrónico: josepmaria@martellabogados.eu

2Abogada penalista en Roig, Bergés y Martínez Abogados, Barcelona, España. Licenciada en Derecho por la Universidad de La Rioja, máster en Derecho Penal y Ciencias Penales por la Universidad de Barcelona y la Universidad Pompeu Fabra, y experta en Compliance Penal por la Universidad de Barcelona. Código ORCID: 0000-0001-7657-9555. Correo electrónico: lperez@rbmpenalistas.com.

3Preámbulo de la Ley Orgánica 5/2010, de 22 de junio, que introdujo por primera vez la responsabilidad criminal de las personas jurídicas. Antes de la entrada en vigor de esta modificación del Código Penal y la plena instauración de la responsabilidad penal de las personas jurídicas, el legislador había acometido algunas reformas tímidas dirigidas a la creación de cierta responsabilidad, como la operada en la Ley Orgánica 15/2003, de 25 de noviembre, cuyo artículo 31.2 preveía la responsabilidad solidaria en el pago de la pena de multa impuesta al autor que actuara por cuenta del ente colectivo, o el aún vigente artículo 129 CP, que prevé la posibilidad de imponer "consecuencias accesorias" (distinguiéndolas de las penas a pesar de su evidente naturaleza retributiva, en clara alineación con la falta de capacidad de acción y responsabilidad proveniente de la tradición penal continental) en el caso de delitos cometidos en el seno, con colaboración, a través o por medio de entes colectivos.

4Modificado mediante Ley Orgánica 1/2015, de 30 de marzo.

5En Castilla y León fue aprobada la Ley 2/2016, de 11 de noviembre, por la que se regulan las actuaciones para dar curso a las informaciones que reciba la Administración autonómica sobre hechos relacionados con delitos contra la Administración pública y se establecen las garantías de los informantes.

6La Comunidad Valenciana aprobó la Ley 11/2016, de 28 de noviembre, de creación de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción de la Comunitat Valenciana.

7La Ley 16/2016 de las Islas Baleares, de 9 de diciembre, de creación de la Oficina de Prevención y Lucha contra la Corrupción en las Illes Balears.

8La Ley 5/2017 de la Comunidad Autónoma de Aragón, de 1 de junio, de Integridad y Ética Publicas.

9La Ley Foral 7/2018, de 17 de mayo, de creación de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra.

10La Ley del Principado de Asturias 8/2018, de 14 de setiembre, de Transparencia, Buen Gobierno y Grupos de Interés.

11Proposición de Ley 122/0000009 de 17 de enero de 2020, de medidas de lucha contra la corrupción.

12La Proposición de Ley Integral de Lucha contra la Corrupción y Protección de los Denunciantes.

13Concretamente, el GRECO concluye, entre otras cuestiones, que debe mejorarse el sistema de nombramientos del Consejo General del Poder Judicial y de los altos cargos del Poder Judicial en los que intervienen órganos políticos, así como la autonomía del Ministerio Fiscal. Para ampliar, ver el Segundo informe intermedio de cumplimiento de España aprobado por el GRECO (2019).

14Ley Orgánica 19/1994, de 23 de diciembre, de protección a testigos y peritos en causas criminales.

15Moneda de curso legal en España hasta el año 1999.

16Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

17En una de las primeras obras en español que abordaron este fenómeno, Ragués i Vallès (2013) ya abordaba el problema del traslado del concepto anglosajón a la lengua española en términos etimológicos. Por otro lado, en torno a la definición del "denunciante de corrupción" en el marco del ordenamiento jurídico español, ver Blanes Soliva y Meco Tébar (2019).

18Proposal for a Directive of the European Parliament and of the Council on the protection of persons reporting on breaches of Union law, de 23 de abril de 2018.

19La conciencia de una realidad plural, con actores de muy distintas condiciones sobrevuela tanto los documentos de trabajo como la propia Directiva. A tal efecto, véase que el artículo 8.1 de la Directiva apela a que los Estados "velarán por que las entidades jurídicas de los sectores privado y público establezcan canales y procedimientos de denuncia interna y de seguimiento, previa consulta a los interlocutores sociales [...]" (énfasis añadido por los autores).

20Estos artículos regulan el derecho fundamental a la libertad de expresión e información, que han sido interpretados de forma extensiva por el TEDH y cuentan con una profusa jurisprudencia.

21Considerando 36 de la Directiva.

22En este sentido, las sentencias del TEDH Guja vs. Modalviak, de 12 de febrero de 2008; Heinisch vs. Alemania, de 21 de julio de 2011; Bucur y Toma vs. Romania, de 8 de 2013; Matúz vs. Hungría, de 21 de octubre de 2015; y Fuentes Bobo vs. España, de 29 de febrero de 2000. Para un análisis más extenso de estas resoluciones, ver Ordóñez Solís (2017).

23En este sentido, véase el anexo a la Recomendación de 30 de abril de 2014 (Recommendation CM/REC(2014)7, § 53).

24Incide aquí el TEDH en el siguiente punto: "in a democratic system the acts or omissions of government must be subject to the scrutiny not only of the legislative and judicial authorities but also of the media and public opinion. The interest which the public may have in particular information can sometimes be so strong as to override even a legally imposed duty of confidence".

25Esta conexión entre el establecimiento de canales de reporte y la jurisprudencia del TEDH se traza de forma explícita en la Recomendación de 30 de abril de 2014, diciendo lo siguiente: "Principles 13 and 14 identify potential recipients of information on acts and omissions that represent a threat or harm to the public interest. They should be read in conjunction with Principle 8, and the explanation given thereto in paragraphs 51-53 above" (Recommendation CM/REC(2014)7, § 60).

26Ciertamente, sorprende la relajación de este criterio en la Directiva, máxime si se tiene en cuenta que en Guja vs. Moldavia el TEDH reiteró que la libertad de expresión conlleva deberes y responsabilidades, y que cualquier persona que elija revelar información debe verificar que sea precisa y confiable. Sin embargo, en Bucur y Toma vs. Romania, y atendiendo al contenido de la Resolución 1729 (2010) del Consejo de Europa, se tomó la decisión de dar amparo a los demandantes sobre la base de que tenían reasonable grounds (una creencia razonable) para estimar que la información divulgada era verdadera. Parece ser que este segundo criterio ha sido el que ha terminado imponiéndose.

27En este sentido, discrepamos de la postura mantenida por la Dra. Lorena Bachmaier Winter (2019) sobre la irrelevancia de la motivación del denunciante, si bien compartimos el trasfondo del argumento: la dificultad por deslindar las motivaciones lícitas de las espurias.

28Véase el Considerando 92 en relación con el artículo 21.7 de la Directiva.

29Este es uno de los principales retos que la Recomendación de 30 de abril de 2014 llamaba a abordar: "While many member States of the Council of Europe have rules covering, directly or indirectly, certain aspects of whistleblowing, most member States do not have a comprehensive national framework for the protection of whistleblowers. The key objective of the recommendation is to encourage member States to put in place such a framework" (Recommendation CM/REC(2014)7, § 28).

30"criminal law - in particular with respect to protection against criminal prosecution for defamation; prohibiting retaliation against any employee who reports a crime" (Recommendation CM/REC(2014)7, § 37).

31Decimos esto porque la propia Directiva señala que habrá de existir un riesgo de represalias para poder ser objeto de protección, señal inequívoca de que también se sitúan bajo un foco de peligro sujetos que no están en el organigrama empresarial.

32Considerando 49 de la Directiva.

33De hecho, nótese que el criterio de la exención utilizado por la Directiva y el criterio del Código Penal son distintos. El considerando 48 de la Directiva justifica la obligación de establecer canales de denuncia interna para las empresas de más de cincuenta trabajadores "sobre la base de su deber de recaudar IVA".

34El Código Penal español considera a estos efectos todas aquellas personas jurídicas que puedan presentar balance de cuentas y pérdidas abreviado conforme a las previsiones de la Ley de Sociedades de Capital; esto es, que cumplan al menos dos de las siguientes condiciones durante dos ejercicios consecutivos: "a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros"; "b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros"; y "c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta". En España, esto supone más del 94 % del tejido empresarial.

35Este será, sin duda, uno de los aspectos más controvertidos, por dos razones: a) el artículo 6.2 de la Directiva deja a la discrecionalidad de los Estados la aceptación o no de las denuncias anónimas, lo que ya supone una disfuncionalidad en un ámbito crucial para los denunciantes: la posibilidad de que su nombre sea revelado ("Sin perjuicio de la obligación vigente de disponer de mecanismos de denuncia anónima en virtud del Derecho de la Unión, la presente Directiva no afectará a la facultad de los Estados miembros de decidir si se exige o no a las entidades jurídicas de los sectores privado o público y a las autoridades competentes aceptar y seguir las denuncias anónimas de infracciones"); y b) la diferencia entre "confidencialidad" y "anonimato" puede resultar irrelevante en esta fase de la investigación, pero no ante la incoación de un procedimiento penal, donde el derecho de defensa del investigado es uno de los ejes centrales, máxime si no existe un acervo probatorio que permita sostener la prosecución del procedimiento sin hacerlo pivotar en exclusiva sobre ella.

36Esta es una facultad que se introdujo con la reforma de la LO 1/2015 en España, permitiendo al Ministerio Fiscal solicitar el archivo directo de conductas que, siendo típicas, tuvieran un contenido de antijuridicidad material muy poco relevante.

37El principio 10 de la Proposal for a Directive of the European Parliament and of the Council on the protection of persons reporting on breaches of Union law expone claramente la necesidad de mantener este equilibrio: "respect of the rights of defence of the reported person (including the right to access to the file, the presumption of innocence, the right to be heard and to seek effective remedy): this is crucial in order to avoid unfair treatment or reputational damages" (Comisión Europea, 2018, p. 33).

38Uno de los principales óbices a las denuncias es la falta de anonimato, la mera posibilidad de que pueda llegar a conocerse la identidad actúa como freno.

39Las limitaciones de una denuncia anónima han sido señaladas en la jurisprudencia del Tribunal Constitucional, especialmente cuando con ella se pretende la limitación de algún derecho fundamental (SSTC N° 299/200, 11 de diciembre, FJ 5; SSTC N° 138/2001, 18 de junio, FJ 4).

40Existe, al menos, otra, si bien no es del Tribunal Supremo: SAP Las Palmas de Gran Canaria N° 405/2019, 2 de diciembre.

41El artículo 308 de la Ley de Enjuiciamiento Criminal establece que los jueces de instrucción o de paz pondrán en conocimiento de la fiscalía la notitia criminis de la que tuvieran conocimiento, dando cuenta sucinta de lo que sepan sobre lo ocurrido, sus circunstancias o su autor.

42En este punto, la Directiva traslada las directrices recogidas en los principios 21 y 25 de la Recomendación de 30 de abril de 2014.

43Aventurando ya en el año 2006 los problemas dogmáticos que generarían las conductas de los whistleblowers, ver Ragués i Vallès (2006).

44Resultaría poco riguroso no admitir que estas fricciones parten de la propia introducción de las organizaciones empresariales en las categorías del derecho penal, la tendencia descrita no hace más que acentuarlas. En este sentido, ver Bacigalupo Saggese (1999).

45Las denuncias formuladas a través de un canal interno, por su propia naturaleza y salvo en casos de intimidad personal, presentarían mayores dificultades en la comisión de una revelación de secretos.

46Sobre este deber genérico, contenido en la Ley de Enjuiciamiento Criminal, y su irrelevancia ya nos hemos explayado en el primer apartado.

47Con todo, es discutible la realidad de esta "ponderación de males", teniendo en cuenta la entidad de la obligación de denunciar, como señalábamos ut supra, siguiendo a Nieto Martín (2015). El propio Ragués i Vallès (2013) lo reconoce en su artículo, donde señala que "a día de hoy, carece de trascendencia penal en el caso de particulares".

48Por ejemplo, la revelación de secreto empresarial en la denuncia que alerta de un posible delito de estafa. Es cierto que la limitación legal de la legítima defensa del artículo 20.4 del Código Penal español (sobre esto, ver Luzón [2002, pp. 533 y ss.]) hace difícil la aplicación de esta eximente en bienes de titularidad colectiva (piénsese en un delito medioambiental o financiero), pero, como sostiene Martínez-Buján Pérez (2016), puede cobrar plena operatividad allí donde los bienes jurídicos sean realmente de naturaleza individual, sobre todo teniendo en cuenta que pueden admitirse también sobre bienes patrimoniales. Incluso atendiendo a las limitaciones de la legítima defensa, podría acudirse a las mimbres del estado de necesidad defensivo.

49Sobre la regularización tributaria como causa de justificación sobrevenida, ver Montero (2020). Para un enfoque crítico con la regulación de este precepto, ver Dopico Gómez-Aller (2019).

50Sobre las situaciones de necesidad que no generan deberes de tolerancia, ver Silva Sánchez (1998).

51Aunque no en el sentido disyuntivo que tienen las reglas. Al respecto, ver Dworkin (1984) y Varona Gómez (2001).

52Ya hemos comentado los niveles de presión psicológica (revelación de su identidad, represalias de carácter laboral) a los que puede verse sometido quien toma la decisión de denunciar una infracción en supuestos como el que nos ocupan.

Recibido: 31 de Mayo de 2019; Aprobado: 24 de Agosto de 2019

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons