2023
92
18032023
15062023
Universidad de Valladolid, España
Resumen: El artículo analiza, desde una perspectiva comparada, lo que se consideran las mejores prácticas en la recepción de denuncias internas, por parte de las corporaciones, y el conjunto de actuaciones que desde ese momento tienen que adoptar las empresas para proteger al denunciante, desarrollar con éxito la investigación y, una vez finalizada, tomar las medidas necesarias para que los fallos del sistema no se repitan en el futuro.
Palabras-clave: Cumplimiento normativo, denunciante, canales de denuncias, investigaciones internas.
Abstract: The article analyzes, from a comparative perspective, what are considered the best practices in reporting channels by corporations, and the set of actions that companies have to adopt from that moment on to protect the complainant, develop with successful internal investigation and, once completed, take the necessary measures so that system failures do not recur in the future.
Keywords: Compliance, whistleblower, reporting channels, internal investigations.
DOSSIÊ: PROCESSO PENAL DA PESSOA JURÍDICA E INVESTIGAÇÕES EMPRESARIAIS INTERNAS
Mejores prácticas en los canales de denuncias
Best practices in reporting channels
Received: 18 March 2023
Revised document received: 30 March April April April May June 2023
Accepted: 15 June 2023
Contenido: Introducción; 1. Objetivos del canal de denuncias; 2. La gestión del canal de denuncias: interno o externo; 3. El origen de la investigación interna. 3.1. Formulación de una denuncia. 3.2. Auditorías internas; 4. Investigación interna; 4.1. Derechos del denunciado; 4.2. Duración de la investigación; 4.3. Fases de la investigación; 5. Plan de acción para la reparación de las causas subyacentes; Conclusiones; Bibliografía.
La importancia de los canales de denuncia y las investigaciones internas en entornos empresariales no arroja dudas2 desde un punto de vista estadístico: según el estudio elaborado por la Association of Certified Fraud Examiners, Global Fraud Study, analizando 2.400 casos en 114 países, un 40% de todos los delitos de fraude fue puesto de manifiesto mediante la denuncia de un whistleblower3. Como muestra de la eficacia de los canales de denuncias como medio para la detección de ilícitos, en la UE se ha promulgado la conocida como Directiva Whistleblower4, recientemente transpuesta5 al ordenamiento español mediante la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción6.
Las investigaciones internas, desde una perspectiva ad intra, tienen además la relevancia de que, como señala NIETO MARTÍN7, permiten a la persona jurídica construir su mejor versión de los hechos ocurridos en su seno. Son, por lo tanto, parte del derecho de defensa (defensa material) del ente.
Tomando como principal hilo conductor la ya referida Directiva Whistleblower (y, con retazos, la norma española de transposición), se analizará en este trabajo, con referencia a diferentes textos internacionales, los principales hitos procedimentales que se deben cumplir – desde la recepción de la delación hasta la conclusión de la investigación – para maximizar la efectividad de los canales de denuncias.
Aunque los fines del canal de denuncias8 podrían subdividirse en multitud de aspectos9, en la práctica, todos culminan en los tres que a continuación se señalan:
Cauce para poner de manifiesto los riesgos e incumplimientos penales detectados.
Medio adecuado para apreciar las debilidades y fallas del modelo de prevención penal10.
Instrumento para la generación de un repositorio documental íntegro y ordenado empleable en los procesos penales incoados frente a los sujetos colectivos como acreditación de la eficacia del sistema preventivo11. Esto es, deberá facilitar probar que en anteriores ocasiones, y mediante los propios medios y controles instaurados por la corporación, se ha detectado y reaccionado ante conductas poco éticas o directamente criminales.
La primera cuestión por esclarecer en la implantación del canal de denuncias es si la gestión le será encomendada a un órgano de la propia persona jurídica o, por el contrario, se externalizará la función.
De hecho, atendiendo a que algunos textos12 parecen establecer que el destinatario directo de la información sobre los incumplimientos será el organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención (el compliance officer), cabe preguntarse si es posible la externalización.
La Circular 1/2016 de la Fiscalía General del Estado de España habilita e, incluso, recomienda la contratación de profesionales ajenos a la propia estructura del ente. Apunta el Ministerio Fiscal español13 que la centralización de las funciones de cumplimiento en el órgano creado al efecto no supone que todas las atribuciones deban ser realizadas por el órgano de compliance y, concretamente respecto al canal de denuncias, señala que su diligenciamiento por personas ajenas a la empresa asegura mayor independencia y confidencialidad. Por su parte, la Directiva Whistleblower estipula en el artículo 8.5 que los canales de denuncia podrán gestionarse internamente por una persona o departamento designados al efecto o externamente por un tercero14. En el mismo sentido, la NORMA UNE 1960115 contempla expresamente la posibilidad de externalizar la gestión (Nota 2 del aptdo. 8.7) si bien establece (punto 4º del aptdo. 8.8) que se debe mantener al órgano de cumplimiento oportunamente informado del estado y resultados de cada investigación.
En efecto, la independencia, confidencialidad (incluso, anonimato) y – añado – la objetividad o imparcialidad16 en la tramitación de las denuncias, son algunos de los argumentos que justifican su atribución a profesionales ajenos a la entidad. En todo caso, el mayor motivo para externalizar es, en opinión del que suscribe, la correcta protección del resultado de las indagaciones internas.
A resultas de la conocida como sentencia Azko17, se ha consolidado como criterio en la UE que el principio de confidencialidad no se extiende a los soportes y a las comunicaciones mantenidas por los abogados internos (in house) con personal de la propia empresa, por lo que son susceptibles de ser utilizadas en un proceso judicial si llegan a manos de las autoridades por cualquier medio o, incluso, si directamente se compele su aportación a la corporación en el marco de un proceso18.
Lógicamente, ese riesgo no late con los profesionales externos, respecto a los que no cabe duda de que sí gozan del privilegio de la confidencialidad que preside la relación cliente – abogado, así como por el deber de secreto a cargo de este último. Sobre la base de lo anterior, afirma NIETO MARTÍN que la contratación de letrados ajenos a la organización para la administración del canal puede facilitar “que la empresa se asegure el dominio sobre los hechos que averigua en el transcurso de la investigación y pueda salvaguardar la documentación que la investigación ha generado”19 lo cual, como apunta el autor, resulta esencial para el correcto desenvolvimiento del derecho de defensa. Esto es más importante, si cabe, atendiendo a que, como se consignará posteriormente, la obligación de contar con un registro de denuncias, preceptuada por la Directiva Whistleblower, provoca que las denuncias, y las investigaciones internas realizadas pueden no estar protegidas por el derecho a no incriminarse de la entidad.
En un sentido similar se pronuncia NEIRA PENA20, quién destaca además la formación específica de los abogados como otra ventaja de la externalización.
No obstante, en línea con lo indicado por PRIETO GONZÁLEZ21, la salvaguarda del producto de la investigación bajo el paraguas del secreto profesional y la confidencialidad abogado – cliente, requiere observar una serie de pautas de comportamiento en la gestión de las denuncias, entre las que destaca la autora la inclusión del abogado en todos los correos electrónicos que se intercambien sobre el transcurso de la indagación interna y, además, evitar que el fruto de las pesquisas caiga en manos de terceros que no se encuentren amparados por el secreto profesional. GOENA VIVES, señala como cautelas para su protección el “el uso restringido de documentación escrita, el establecimiento de pautas para la redacción de correos electrónicos en los que haya múltiples destinatarios o la previsión de cláusulas de confidencialidad que no sean genéricas”22.
El origen más frecuente de los procedimientos de investigación en los entornos empresariales será la recepción de una denuncia interpuesta por un directivo, subordinado, o por alguien cercano al sujeto colectivo (proveedores y clientes, principalmente).
Al objeto de dotar de validez y eficacia al canal de denuncias, es imprescindible que los miembros de la corporación y terceros sean informados acerca de su existencia23 y del proceso que se incoará tras la recepción de la notitia criminis.
Con la transposición de la Directiva Whistleblower, en España la existencia del canal será no sólo un requisito para lograr la exoneración de la responsabilidad penal de las personas jurídicas sino, en muchas ocasiones24, una obligación legal, con consecuencias sancionadoras en caso de incumplimiento, por lo que la advertencia sobre la existencia del canal irá destinada también a la acreditación del cumplimiento de una norma de carácter imperativo.
La relevancia de informar sobre la existencia del canal, como requisito para su efectividad, es destacada igualmente por el Decreto Nº 11.129, de 11 de julio de 2022 de Brasil (apartado X del artículo 57), la Ley 27.401 de Argentina (artículo 23. III), o la Guidance on the Evaluation of Corporate Compliance Programs (aptdo. I, letra D).
Parece ya superado el debate de si cabe que las denuncias se formulen anónimamente [asumen esa posibilidad, entre otras, la Directiva Whistleblower (artículo 6.2); la Ley 2/2023 de España (artículo 7.3); el Reglamento N° 30424 de Perú (artículo 39.2.c); el Decreto Ejecutivo 42399 de Costa Rica (el artículo 13.a); el capítulo 8 de la FCPA, o la Guidance on the Evaluation of Corporate Compliance Programs (aptdo. I.D)]. No obstante, la entidad debe decidir si acepta este tipo de denuncias.
La Sentencia del Tribunal Supremo español núm. 35/2020 de 6 de febrero25 ha destacado la relevancia en la prevención de ilícitos del canal de denuncias, y la necesaria tolerancia hacia su articulación de forma anónima26. En todo caso, como pone de relieve el Alto Tribunal español, la principal razón por la que personas que tienen conocimiento de prácticas delictivas en su empresa no denuncian es, fundamentalmente, porque no se sienten suficientemente protegidas contra posibles represalias.
Aunque la permisividad ante denuncias anónimas puede ser el caldo de cultivo perfecto para un empleo espurio del canal27, no puede obviarse que las posibilidades de recabar información relevante sobre el funcionamiento del sistema de compliance aumentan exponencialmente si se elimina o minora la contingencia de que el denunciante sufra represalias. Por lo tanto, exigir la identificación del denunciante, aunque luego se le “asegure”28 confidencialidad, supone auto-mutilar la utilidad del canal de denuncias y, con ello, aumentar la posibilidad de que se cometan delitos bajo la cobertura de la entidad.
Lo antedicho no es incompatible con que la empresa debe tener la capacidad de fomentar el empleo del canal mediante denuncias confidenciales, asegurando que el denunciante no sufra represalias. Ello redunda en beneficio de la prosperabilidad de la investigación, ya que la información a obtener de un denunciante identificado, al que además se podrá interrogar durante la investigación y pedir aclaraciones o ampliaciones de su denuncia, es mayor que la extraíble de una denuncia anónima.
En todo caso, las brechas en la gestión del canal que pongan en riesgo la salvaguarda de la identidad del denunciante que ha pedido confidencialidad, no son el único peligro que sobrevuela en la pretendida confidencialidad. Como indican BACHMAIER WINTER y MARTÍNEZ SANTOS29, concurre la ventura de que, si tras la denuncia interna se pone el asunto en conocimiento de las autoridades, incoándose el correspondiente proceso penal, los investigadores públicos pidan se identifique al denunciante para que preste declaración como testigo. En esta casuística, la persona jurídica se vería compelida a identificarle. La Directiva Whistleblower asume30 (artículo 16.2) que puede ser preciso que la entidad receptora de la denuncia identifique al delator cuando ello sea necesario para salvaguardar el derecho de defensa de los denunciados. Por transparencia, sería recomendable que, cuando se informe de la existencia del canal de denuncias, y los medios para la formulación de delaciones, se advierta de esta posibilidad que, desde luego, haría decaer la confidencialidad.
Sentada la obligación de denunciar – así lo deberá recoger en el programa de cumplimiento normativo implantado – surge la cuestión de si resulta exigible que el denunciante emplee los cauces internos de la corporación, o puede directamente acudir a las autoridades.
La Directiva Whistleblower establece en el considerando 33 que la tendencia de los denunciantes es el uso de canales internos, sin perjuicio de lo cual se debe permitir que utilicen el medio que consideren más adecuado. En consonancia, aunque sin llegar a obligar al empleo de los canales propios de la entidad, el artículo 7.1 de la Directiva les otorga preferencia31.
El modelo de prevención penal debe establecer el medio habitual para la formulación de denuncias – normalmente será el correo electrónico – aunque dejando abierta la posibilidad de hacerla llegar a la empresa de la forma que el denunciante considere. La Directiva Whistleblower apunta al respecto (artículo 9.2) que la denuncia se podrá formular “por escrito o verbalmente, o de ambos modos. La denuncia verbal será posible por vía telefónica o a través de otros sistemas de mensajería de voz y, previa solicitud del denunciante, por medio de una reunión presencial dentro de un plazo razonable”. El Reglamento N° 30424 de Perú (artículo 39.2.c) señala que los canales que pueden consistir en líneas telefónicas, buzones de correo electrónico exclusivos, sistemas de denuncia en línea, reportes presenciales u otros que la organización considere idóneos.
Cuando el whistleblower no haya empleado un medio anónimo, se le deberá acusar recibo32 como respuesta a la denuncia, exigencia contemplada por la Directiva Whistleblower33 tanto para las denuncias internas (artículo 9.1.b) como para las externas (artículo 11.2.b) estableciéndose, en ambos supuestos, el plazo de siete días34 desde la recepción.
Necesario inicio de una investigación interna, o justificación suficiente en caso contrario.
La primera consecuencia ineludible de la recepción de una denuncia es la iniciación del procedimiento de investigación previsto en las normas internas de la persona jurídica. Ello no quiere decir que todas las denuncias recibidas tengan que provocar una profusa indagación pues, con carácter previo, se tendrá que efectuar un examen sobre la verosimilitud de los hechos35. Como pautas de admisión, puede seguirse lo preceptuado por el artículo 269 de la Ley de Enjuiciamiento Criminal de España, es decir, se inadmitirán a trámite las denuncias que resulten manifiestamente falsas o aquellas que, aun de ser ciertas, no constituirían un incumplimiento. En ambos supuestos, será necesario que se motiven exhaustivamente las causas de la inadmisión para así poder justificar ex post por qué no se inició la investigación.
La especial justificación si se rechaza y, además, cierta tendencia a que ante la mínima duda se inicie la averiguación interna, derivan de que como establece la NORMA UNE 19601, es imperativo36 que se investiguen todas las comunicaciones recibidas a lo que se une que, si llega a oídos del juzgado que la empresa no investigó denuncias por hechos similares a los que son objeto del proceso, el programa de cumplimiento normativo penal será automáticamente calificado como ineficaz.
Protección al denunciante.
La segunda obligación que surge de forma inmediata con la denuncia es la de proteger al denunciante, particularmente cuando la delación se haya realizado de forma confidencial. Se trata de una exigencia señalada como imprescindible por las principales normas y recomendaciones: punto 4 del aptdo. 8.7 de la NORMA UNE 19601; Convención de las Naciones Unidas contra la Corrupción (artículo 33); Reglas para Combatir la Corrupción de la Comisión de Responsabilidad Corporativa de la Cámara de Comercio Internacional (artículo 8); o el Decreto Nº 11.129, de 11 de julio de 2022 de Brasil (artículo 42, apartado X), entre otras.
La Directiva Whistleblower establece cuatro grandes grupos de medidas de protección:
En el artículo 1937, denominado “prohibición de represalias”, se recoge un largo catálogo de actos proscritos, siendo los más destacados la suspensión o despido; degradaciones profesionales; actos discriminatorios o desfavorables; y daños reputacionales.
El artículo 2038 compila lo que llama “medidas de apoyo”, concretadas en el asesoramiento a los denunciantes; asistencia efectiva de las autoridades; asistencia jurídica gratuita de conformidad con la Directiva (UE) 2016/1919 y la Directiva 2008/52/CE del Parlamento Europeo y del Consejo; asistencia financiera; y asistencia psicológica.
El artículo 2139 detalla las “medidas de protección frente a represalias”, que suponen que el denunciante no incurrirá en vulneración de secretos con la formulación de la denuncia o las revelaciones públicas; no tendrá responsabilidad respecto el acceso a la información, siempre que dicha adquisición o acceso no constituya de por sí un delito; dispondrá de la presunción en los procedimiento seguidos por el denunciante contra su empresa de que las medidas negativas sufridas son una represalia por la denuncia; tendrá acceso a medidas correctoras frente a represalias; en los procesos judiciales relativos a difamación, violación de derechos de autor, vulneración de secreto, infracción de las normas de protección de datos, revelación de secretos comerciales, o a solicitudes de indemnización basadas en el Derecho laboral, los denunciantes no incurrirán en responsabilidad de ningún tipo como consecuencia de denuncias o de revelaciones públicas en virtud de la presente Directiva; y se les conferirá a los delatores vías para reclamar los daños y perjuicios sufridos como consecuencia de las represalias.
El artículo 2240 recoge lo que califica de “medidas para la protección de las personas afectadas”, con un conjunto de derechos de carácter procesal, como la tutela judicial efectiva y a un juez imparcial, a la presunción de inocencia y al derecho de defensa, incluido el derecho a ser oídos y el derecho a acceder al expediente.
Obligaciones del denunciante.
La posición del alertador no está exenta de obligaciones y, por qué no decirlo, de peligros intrínsecos a esa condición.
La interposición de una denuncia, por muchas medidas de protección que se tomen, genera la posibilidad de represalias, aspecto que inevitablemente afectará al ánimo del denunciante antes de realizar la comunicación.
Además, el delator está obligado a formular denuncias de buena fe41, por lo que es relevante consignar en el modelo de prevención penal que queda prohibido emplear el canal con conocimiento de la falsedad de los hechos imputados o temerario desprecio hacia la verdad. De hecho, según se desprende del considerando 32 de la Directiva Whistleblower, la protección que brinda el texto comunitario se extiende a los denunciantes que tengan “motivos razonables42para creer, a la luz de las circunstancias y de la información de que dispongan en el momento de la denuncia, que los hechos que denuncian son ciertos.”. La norma establece incluso consecuencias sancionadoras (artículo 23.2), para los alertadores que revelen información falsa a sabiendas. En esta línea, el Decreto Nº 11.129, de 11 de julio de 2022 de Brasil (apartado X del artículo 57), refiere que la protección de los denunciantes se extiende a los que lo sean de buena fe. Por su parte, el Decreto Ejecutivo 42399 de Costa Rica (artículo 10, letra d) exige, entre las herramientas que deben componer la política de prevención, el compromiso de que el contenido de la denuncia se reporta con la creencia de probabilidades de certeza, incluyendo las consecuencias de incumplir dicho compromiso. El Reglamento N° 30424 de Perú (artículo 39.2.c) alude igualmente a que la protección se extiende a los denunciantes de buena fe.
Cabe recordar que, desde la perspectiva del denunciante, la formulación de la denuncia, fuera de los cauces internos de la corporación, puede suponer la infracción de un deber de secreto o confidencialidad que tenga asumido legal o contractualmente. En ese supuesto, podría incluso contraer responsabilidades penales por la denuncia, si bien podríamos encontrarnos una situación de estado de necesidad43 (artículo 20.5 del Código Penal español) que justificaría su denuncia o incluso una actuación en cumplimiento de un deber44 (artículo 20.7 del Código Penal español). En este sentido, la Directiva Whistleblower (considerando 91) descarta que el denunciante pueda sufrir represalias, en forma de acciones civiles, penales, administrativas o laborales cuando infrinja un deber de confidencialidad o secreto. De hecho, el considerando 93, en relación con el artículo 21.7 de la Directiva, preceptúa que cuando el delator cometa un delito para la formulación de la denuncia, o en el acopio de documentos necesarios para su sustento (véase, acceso a correos electrónicos de compañeros) no incurrirán en responsabilidad de ningún tipo como consecuencia de denuncias o de revelaciones públicas, incluso cuando la denuncia incluya secretos comerciales.
Registro de denuncias.
Cada corporación debe tener instaurado un registro detallado de las denuncias recibidas, y de la consiguiente reacción corporativa ante las mismas, que permita acreditar la eficacia del canal implantado.
Se trata de un requisito imperativo de la Directiva45 (artículo 8), siendo el fin de ese repositorio (considerando 86) que “puedan ser consultadas y que la información facilitada en ellas pueda utilizarse como prueba si se procede a medidas de ejecución”. En un sentido similar, la NORMA UNE 19601 incluye el canal de denuncias entre los elementos del sistema de gestión de compliance que debe constar como información documentada46.
La importancia del repositorio de denuncias, en palabras de NIETO MARTÍN, reside en que “será uno de los indicadores que habrá de examinarse en el proceso penal como prueba de la eficacia de la actividad preventiva de la empresa”47. Las United States Federal Sentencing Guidelines (Sección 8A1.2) señalan entre los factores para la determinación de la culpabilidad del ente la historia anterior de la organización en cuanto a infracciones similares. Igualmente, la Guía Práctica Buenas Prácticas de Investigación Responsabilidad Penal de las Personas Jurídicas, elaborada por la fiscalía de Chile en diciembre de 2014, enumera dentro de las medidas reactivas de la empresa a considerar para la determinación de la eficacia del programa de cumplimiento implantado (aptdo. 6.3.6) los registros de las investigaciones que se hayan llevado a cabo en el pasado, y sus resultados.
Dada la especial sensibilidad de la información compilada, además de los necesarios principios de confidencialidad y secreto48, deben atenderse las exigencias de la normativa de protección de datos. De este modo, solo podrán acceder a las denuncias recibidas las personas que desarrollen funciones de control interno y de cumplimiento; los encargados del tratamiento que eventualmente se designen a tal efecto o; excepcionalmente, y cuando sea necesario para la ejecución de las medidas disciplinarias, se podrán comunicar a terceros o a la autoridad judicial49.
La regulación del canal de denuncias debe tener preestablecido el tratamiento de los datos recabados, en particular, cuanto tiempo pueden ser conservados. Transcurridos tres meses50, solo podrán ser conservados a los efectos de acreditar el correcto funcionamiento del modelo de prevención penal (artículo 32.4 Ley 2/2023 de España); sin embargo, las denuncias a las que no se haya dado curso tienen que mantenerse de forma anonimizada.
En el mismo sentido, los Lineamientos de la Superintendencia del Mercado de Valores de Perú (aptdo. 5.3), destacan la importancia de mantener un registro de las investigaciones internas realizadas y de las medidas disciplinarias y/o correctivas adoptadas a la luz de los hallazgos detectados.
No obstante, no se puede dejar pasar la oportunidad de poner de manifiesto, como en anteriores ocasiones51, que la obligación de contar con un registro de denuncias internas y, más particularmente, su accesibilidad a los tribunales puede afectar gravemente el derecho a no incriminarse de las personas jurídicas. Según la jurisprudencia del Tribunal Europeo de Derechos Humanos (por todas, Sentencia de 17 de diciembre de 1996, Saunders c. Reino Unido52), el derecho a la no colaboración activa no se extiende a la utilización en los procesos penales de material que pueda obtenerse del acusado mediante el uso de poderes obligatorios, pero que tenga una existencia independiente de la voluntad del sospechoso, como, entre otros, documentos adquiridos en virtud de una orden judicial.
De este modo, el investigado estaría obligado a entregar aquellos documentos que vengan exigidos por un mandato legal, lo que afecta, por ejemplo, a la contabilidad o, en relación concreta al tema aquí tratado, provocará la obligación de facilitar la información compilada en el registro de comunicaciones. Partiendo de lo antedicho, y desde el punto de vista de la eficacia del modelo de prevención penal de las personas jurídicas, tanto el contenido de las denuncias recibidas, como el producto de las investigaciones internas resulta esencial para la acreditación de la eficacia del compliance program. De esta forma, si se atestigua que el canal de denuncias ha posibilitado la reacción corporativa frente a incumplimientos detectados, en el concreto delito investigado o en situaciones anteriores, la entidad dispondrá de un indicio palpable de la cultura de cumplimiento53 instaurada en su seno. Por el contrario, si con ocasión de un proceso penal se pone de manifiesto que la corporación no ha respondido ante denuncias por ilícitos de naturaleza similar a los que son objeto del procedimiento, en la práctica, se imposibilitará la exoneración de responsabilidad de la persona jurídica. En resumen, la accesibilidad a las autoridades del registro de comunicaciones de la entidad puede terminar siendo la mejor evidencia para acreditar la vulnerabilidad del modelo de prevención penal instaurado, de ahí el grave peligro que puede generar, desde la perspectiva de la defensa corporativa, la obligación derivada de la Directiva Whistleblower.
El segundo medio habitual que provocará la iniciación de los procedimientos internos de investigación será la detección de incumplimientos por la propia persona jurídica, en el marco de los procesos de verificación periódica que tenga preestablecidos. Siguiendo la NORMA UNE 1960154, las auditorias tendrán como objetivo detectar (i) la materialización de riesgos penales; (ii) incumplimientos de la política de compliance; (iii) fallos en el cumplimiento que puedan desembocar en riesgos penales y; (iv) las posibilidades de mejora del sistema instaurado.
Por lo tanto, si en el marco de una auditoria se descubre un incumplimiento deberá incoarse la correspondiente indagación55.
El aseguramiento de los derechos del denunciado56 es un objetivo en sí mismo de la investigación. Así lo establecen, por ejemplo, la Ley 27.401 de Argentina (artículo 23. V), la NORMA UNE-ISO 37002 (aptdo. 7.3.3 m), o los Lineamientos de la Superintendencia del Mercado de Valores de Perú (aptdo. 5.3).
Cualquier vulneración de carácter grave podría invalidar el resultado averiguado, y con ello, provocar la ineficacia misma del canal. Para NIETO MARTÍN57, y se suscribe su opinión, la doctrina de la prueba prohibida se debe extender a las investigaciones internas, al suponer estas, según el autor, la “privatización del proceso penal”, de tal forma que la transgresión de los derechos fundamentales de los investigados deberá causar la calificación de la prueba como contraria al ordenamiento, y con ello carente de virtualidad procesal. Aunque por limitaciones espacio – temporales no tiene sitio en este trabajo el análisis de los posibles derechos más afectados, sí que se debe dejar apuntado que la investigación interna debe, en todo caso, respetar el derecho al secreto de las comunicaciones del denunciado (artículo 18.3 de la Constitución Española); el derecho a la intimidad (artículo 18.1 de la Constitución Española); y el derecho al entorno digital (artículo 18.4 de la Constitución Española)58. Es imperativo observar igualmente los denominados derechos fundamentales procesales: presunción de inocencia, y derecho de defensa59. En relación con el derecho de defensa y la presunción de inocencia del sujeto pasivo del proceso, llama la atención que tanto la Directiva Whistleblower, como la norma de transposición española, se refieren a ambos de forma muy tangencial, sin el menor desarrollo, convirtiendo, parece, en “secundarios” dos derechos que deben ser básicos en las investigaciones privadas.
La proscripción de dilaciones indebidas es extensible a las averiguaciones internas.
Según el artículo 9 de la Directiva Whistleblower60, el plazo máximo no puede superar los tres meses, pudiendo extenderse a seis en casos justificados. En esta línea, el Decreto Ejecutivo 42399 de Costa Rica (artículo 13, letra g) habla de seis meses de duración máxima de la investigación.
Decisión sobre la admisión a trámite de la investigación.
Se enmarcaría en este primer momento la admisión o no a trámite de la denuncia, y el acuse de recibo al denunciante cuando no haya utilizado el anonimato62.
El Decreto Ejecutivo 42399 de Costa Rica (artículo 13) establece que al recibir la denuncia debe procederse a su valoración, considerando aspectos como prioridad, exhaustividad y relevancia de la información. También, señala el meritado precepto del Reglamento de Costa Rica, es en este momento cuando debe determinarse la protección requerida por el denunciante.
Medidas para evitar represalias al denunciante.
Se deben establecer las medidas que resulten necesarias para la salvaguarda del alertador. Aunque se haya efectuado confidencialmente, como se ha indicado, en determinadas ocasiones, atendiendo los hechos que le han sido puestos de manifiesto al sujeto colectivo, es posible que el denunciado pueda intuir qué persona ha formulado la delación, por lo que se tendrán que tomar en este momento inicial las cautelas pertinentes para evitar represalias.
Constitución del equipo encargado de la investigación.
Se deberá formar el equipo encargado de la investigación. Aunque en los supuestos menos graves la encomienda se efectuará únicamente a las personas a las que se haya asignado la gestión del canal, en aquellos casos en que la investigación tenga cierta complejidad, puede ser necesario la utilización de otros recursos, como, por ejemplo, personal informático que pueda facilitar la recopilación y organización de los vestigios extraídos de dispositivos electrónicos. La exigencia de un equipo investigador establecido al efecto, además de una exigencia doctrinal63, es destacada también por diversos textos. La Directiva Whistleblower señala en el artículo 9.1.a)64 que no puede acceder a la denuncia el personal no autorizado. Abundando en esto, el artículo 9.1.c) determina, entre los elementos del canal de denuncias, la designación de una persona o departamento imparcial que sea competente para seguir las denuncias, que podrá ser la misma persona o departamento que recibe las denuncias, y que mantendrá la comunicación con el denunciante. Por su parte, el artículo 5.3 de los Lineamientos de la Superintendencia del Mercado de Valores de Perú, preceptúa que se debe designar a la persona o equipo de personas encargadas de la realización de investigaciones internas, pudiendo tercerizarse la administración e investigación de las denuncias.
La correcta capacitación de las personas encargadas de las investigaciones es destacada también por las principales normas. Los Lineamientos de la Superintendencia del Mercado de Valores de Perú instan (aptdo. 5.2) que su revisión sea encargada a personas que posean conocimientos jurídicos suficientes para discriminar aquellas informaciones que pudieran ser relevantes desde la perspectiva jurídico-penal, de aquellas carentes de interés legal, debiendo además poseer capacidad suficiente para instar el inicio de una investigación interna, en tanto la denuncia recibida lo amerite, por lo que se recomienda que se trate de personas con acceso directo a los órganos de control y de gobierno de la sociedad. Las normas peruanas destacan también la debida imparcialidad de los sujetos encargados de la indagación. Al respecto, la Guidance on the Evaluation of Corporate Compliance Programs recoge, en la letra D del apartado I, como elemento a considerar para determinar la efectividad del compliance program instaurado, si las investigaciones son independientes y objetivas.
Fijación de la estrategia y planning de la investigación.
El equipo investigador debe preestablecer la estrategia más adecuada para determinar el alcance del posible incumplimiento objeto de la indagación, fijando la planificación que resulte más eficaz para su comprobación.
Sin perjuicio de otras cuestiones, se deben consignar necesariamente los siguientes aspectos:
Normativa de aplicación que pudiera haber resultado incumplida, y consecuencias hipotéticas para la empresa.
Documentación que pudiera resultar oportuno recabar, y cautelas a seguir en el caso de que pudiera estar almacenada en dispositivos electrónicos que tengan un usuario asignado.
Fijación de las personas de la organización cuyo testimonio pudiera resultar pertinente para aclarar lo ocurrido.
Medidas cautelares.
En ocasiones, con la finalidad de asegurar el buen fin de las pesquisas65 o evitar la reiteración en el incumplimiento, se pueden tomar medidas cautelares respecto al denunciado. Para que sean admisibles, es preciso que la denuncia recibida aporte el suficiente acervo probatorio como para que permita considerar la apariencia de veracidad de lo denunciado.
Las medidas, principalmente, serán el cambio de puesto de trabajo o de tareas asignadas al denunciado y, en los supuestos más graves, suspensión de empleo.
Es durante esta etapa cuando se efectúan verdaderamente las labores de indagación que podrían permitir determinar lo ocurrido. En el grueso de ocasiones, se realizarán tres diligencias, principalmente:
Entrevista al denunciado.
Aunque indudablemente se le debe dar oportunidad al denunciado para ser oído, la entrevista no necesariamente tiene que materializarse al inicio de la investigación, pudiendo posponerse hasta un momento ulterior para, entre tanto, lograr el aseguramiento de los medios de prueba que corran el riesgo de ser destruidos.
Con la debida antelación a la entrevista, se debe informar al denunciado de los derechos que le asisten – en particular, para que pueda acudir asistido de letrado –, exponiéndole los hechos que se le atribuyen, y facilitándole copia del expediente. Si la denuncia es confidencial se deben eliminar los datos identificativos del delator.
La entrevista podrá ser grabada en soporte digital o compilar las afirmaciones que realice en un acta, que deberá ser firmada por todos los presentes. La Directiva Whistleblower, aunque referida al testimonio del denunciante realizado mediante una entrevista, señala en el artículo 18.4 que se elaborará “un acta pormenorizada de la reunión preparada por el personal responsable de tratar la denuncia. Las entidades jurídicas de los sectores privado y público y las autoridades competentes ofrecerán al denunciante la oportunidad de comprobar, rectificar y aceptar mediante su firma el acta de la reunión”.
Entrevista a testigos.
Durante esta fase se recabará el testimonio de posibles testigos del incumplimiento. Aunque el método más eficaz es la realización de entrevistas personales, en aquellos supuestos en que sea necesario obtener la testifical de muchos sujetos diferentes una alternativa habitual será la realización de cuestionarios. La Directiva Whistleblower66, si bien en su articulado parece centrar solo su protección en los denunciantes, señala en el considerando 76 que “Los Estados miembros deben velar por que las autoridades competentes dispongan de procedimientos de protección adecuados para el tratamiento de las denuncias y para la protección de los datos personales de quienes sean mencionados en la denuncia. Dichos procedimientos deben garantizar la protección de la identidad de cada denunciante, cada persona afectada y cada tercero que se mencione en la denuncia, por ejemplo, testigos o compañeros de trabajo, en todas las fases del procedimiento”.
Recopilación de documentos y otros vestigios.
El grueso del material obtenido durante esta fase tendrá carácter documental. De hecho, el éxito de la investigación depende en buena medida de la correcta recopilación y organización de la documentación interna generada por la corporación.
Los Lineamientos de la Superintendencia del Mercado de Valores de Perú, destacan (aptdo. 5.3) la importancia de documentar debidamente las actuaciones que se lleven a cabo, preservando la integridad de la evidencia recolectada a través de procedimientos de cadena de custodia, a fin de que eventualmente pueda utilizarse en una investigación oficial conducida por las autoridades encargadas de la persecución penal.
Por este motivo, como señala NIETO MARTÍN67, pueden resultar muy útiles las empresas dedicadas al forensic68, que, entre otras cuestiones, emplean herramientas de software mediante los que analizar miles de documentos rastreándolos con métodos de búsqueda precisos.
La investigación concluirá con la elaboración de un informe por el equipo investigador que recoja con carácter exhaustivo las conclusiones alcanzadas, los medios de prueba que las sustentan, y la propuesta infractora que se realiza frente a los sujetos que se hayan determinado como incumplidores.
A resultas de la investigación, pueden alcanzarse dos grupos de conclusiones:
Archivo del procedimiento, si los hechos investigados no son constitutivos de delito; no se ha acreditado su comisión; o no puede detectarse qué concreta persona de la organización los ha cometido. En este último supuesto, será necesario tomar medidas internas destinadas a su futura evitación y a establecer los mecanismos necesarios para la identificación de los responsables si se dan nuevos incumplimientos.
En el caso de que se determine que se ha producido una infracción, el informe tendrá que recoger los sujetos que han intervenido; naturaleza de los hechos; fecha, lugar y las circunstancias en que sucedieron; normativa infringida y las posibles consecuencias del incumplimiento. El equipo investigador debe señalar las medidas a implantar para su evitación, detección o reacción temprana, y las sanciones propuestas para los autores.
El informe final con la propuesta se deberá trasladar al órgano de compliance penal.
El encargado del cumplimiento normativo de la empresa será quien, sobre la base del informe final, y manteniendo informado al órgano de gobierno de la empresa69, deberá establecer las sanciones a imponer al incumplidor, y las medidas que se deben adoptar. El compliance officer no está obligado a seguir las conclusiones alcanzadas por el equipo investigador, si bien deberá motivar las causas que le han llevado a separarse de la propuesta de resolución recibida.
Para asegurar la debida imparcialidad, es relevante que los sujetos que deban decidir sobre la sanción a imponer no hayan participado en la investigación.
La correcta protección del resultado de la investigación, excluyéndolo de miradas ajenas no toleradas expresamente por la persona jurídica, resulta vital para la defensa corporativa. En línea con lo indicado por NIETO MARTÍN70, el control de la información emanada del canal de denuncias reporta a la empresa principalmente tres ventajas: diseñar la estrategia defensiva más acorde a las concretas circunstancias; facilitar el fin de la indagación, evitando o reduciendo los costes reputaciones; e impedir algunas diligencias de investigación (como la entrada y registro), que podrían afectar al resultado de la investigación.
Por ello, afirma NIETO MARTÍN: “La importancia que en la prevención de la criminalidad económica tienen los canales de denuncia y, en general, los programas de cumplimiento hacen necesario que se establezca algún tipo de garantía que proteja la información que generan frente a jueces, fiscales y autoridades administrativas”71.
Señala el autor dos prerrogativas, de escaso arraigo en el derecho continental: el self auditing privilege, en virtud del cual resultarían inaccesibles a las autoridades los documentos generados con el objetivo de mejorar el modelo de prevención; y el ombudsman privilege, que dota de carácter confidencial a las comunicaciones recibidas por la persona de la empresa designada para la recepción de denuncias o prestar asesoramiento respecto a cuestiones legales72.
Dado que no existe expreso reconocimiento del work product privilege73, la única forma de proteger realmente ese material sensible es empleando letrados externos de inicio a fin de la investigación.
Resultando incontrovertido que el objetivo del modelo de prevención penal es prevenir, detectar y reaccionar ante los ilícitos, el establecimiento de un plan de acción para mitigar el riesgo de reiteración de las conductas criminales detectadas es por lo tanto un elemento ineludible de los compliance program.
Al respecto, la Guidance on the Evaluation of Corporate Compliance Programs señala entre los factores a considerar (letra D del apartado III) para la evaluación de la eficacia del sistema preventivo, si el ente ha realizado análisis detallados de las causas de fondo de las malas prácticas, y ha adoptado las medidas correctivas asumidas para que se reproduzcan en el futuro. Según la NORMA UNE – ISO 37002 (aptado. 8.5), cuando se detecten irregularidades, la organización, además de sancionar y remitir, en su caso, el asunto a las autoridades, debe tomar las medidas adecuadas para resolver las irregularidades y supervisar continuamente la eficacia de esas medidas implantadas.
Se trata, en definitiva, de acreditar lo que el Decreto Ejecutivo 42399 de Costa Rica (artículo 13) denomina aprendizaje organizacional.
1. Al objeto de asegurar la efectividad de las investigaciones internas, como método principal para descubrir ilícitos corporativos, es preciso que los sistemas internos de información instaurados por las entidades sigan un conjunto de hitos: faciliten la formulación de denuncias, incluso de forma anónima; justifiquen adecuadamente la toma de decisión de la corporación sobre si incoar, en virtud de las delaciones o de auditorías internas, la correspondiente indagación; seleccionen los sujetos encargados de la averiguación, determinando las diligencias a practicar que faciliten el esclarecimiento de los hechos; adopten, una vez finalizadas las comprobaciones, las decisiones oportunas respecto al sujeto denunciado, entre las que puede estar el despido del responsable del ilícito y; por último, en virtud de lo descubierto, acojan las medidas internas oportunas para prevenir y evitar conductas similares en el futuro.
2. Atendiendo a los intereses afectados por las investigaciones internas, son exigibles unos especiales deberes de cuidado a cargo de la entidad investigadora, debiendo asegurar escrupulosamente tanto los derechos del denunciante (principalmente, su protección frente a represalias) como los del denunciado. En particular, aunque la mayoría de los textos analizados parecen pasar de largo, las pesquisas privadas tienen que ser respetuosas con el derecho a la intimidad, el secreto de las comunicaciones y, en general, el derecho de defensa del investigado.
3. El producto de las investigaciones internas resulta esencial para la acreditación de la eficacia del programa de compliance implantado. Por ello, es imprescindible su correcta recopilación y salvaguarda frente a miradas de terceros (inclusive, autoridades) no autorizados por la corporación. De este modo, si atendiendo a lo averiguado mediante el canal de denuncias se pone de manifiesto un defecto organizativo, la entidad debe tener a su alcance las herramientas oportunas para evitar que, precisamente, esa indagación interna, contribuya a su propia incriminación en un hipotético procedimiento penal o administrativo – sancionador en que aparezca como sujeto pasivo.
Editor-in-chief: 1 (VGV)
Associated-editor: 1 (AMNP)
Reviewers: 3
oliver.pascual@uva.es
