Características y requisitos de los canales éticos o de denuncias

Características y requisitos de los canales de denuncias

Adelantándonos al análisis de los procedimientos de denuncia interna y su seguimiento, los canales de denuncia «válidos» deberán cumplir una serie de requisitos más allá de los encaminados a la presentación de una denuncia ligados, en muchos casos, a los códigos de conducta o protocolos existentes en la organización:

• Accesibilidad: debe ser un mecanismo claro, rápido de usar, y, fácilmente accesible para la plantilla. Las personas que tengan intención de denunciar infracciones deben poder tomar una decisión fundada sobre la conveniencia, y sobre cuándo y cómo hacerlo. Por consiguiente, debe facilitarse información clara y de fácil acceso sobre los canales de denuncia disponibles, sobre los procedimientos aplicables y sobre el personal responsable de tratar denuncias. Toda la información referente a las denuncias debe ser transparente, fácilmente comprensible y fiable con objeto de promover las denuncias y no de obstaculizarlas.
• Confidencialidad y anonimato: es imprescindible adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad. Nuestro canal de denuncias ha de prestar especial atención a evitar el acceso al mismo por terceros no autorizados, salvaguardando así la identidad de los denunciantes.
• Información y formación previa a la plantilla sobre sus derechos y procedimientos para efectuar las denuncias: tan importante como contar con un canal ético es que la plantilla conozca como presentar una denuncia, los plazos, los órganos de investigación, las posibles resoluciones a los distintos procedimientos posibles, repercusiones asociadas a denuncias falsas, sus derechos, etc.
• Debe formarse al personal responsable de tratar denuncias, principalmente sobre las normas aplicables en materia de protección de datos. Esto garantizará el trato correcto de las denuncias y la comunicación con los denunciantes, así como su seguimiento.
• Proporcionar un «acuse de recibo de la denuncia» al denunciante (el art. 9 de la Ley 2/2023, de 20 de febrero establece un plazo de siete días a partir de la recepción).
• Plazo de respuesta razonable: será necesario facilitar información a los denunciantes sobre las medidas previstas o adoptadas para seguir su denuncia y sobre los motivos de tal seguimiento. El plazo no será superior a tres meses a partir del acuse de recibo o, si no se remitió un acuse de recibo al denunciante, a tres meses a partir del vencimiento del plazo de siete días después de hacerse la denuncia.
• Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional
• Seguimiento del sistema y revisión en caso de detectar desviaciones:  el seguimiento se entiende como toda «(...) acción emprendida por el destinatario de una denuncia o cualquier autoridad competente a fin de valorar la exactitud de las alegaciones hechas en la denuncia y, en su caso, de resolver la infracción denunciada, incluso a través de medidas como investigaciones internas, investigaciones, acciones judiciales, acciones de recuperación de fondos o el archivo del procedimiento». Aunque la normativa no lo especifique, como todo proceso del que pueda derivarse responsabilidad para la empresa, será recomendable fijar un procedimiento de seguimiento, no sólo para las denuncias canalizadas, sino también de las distintas fases de aplicación de las medidas relacionadas con la denuncia presentada, pudiendo recurrirse a una auditoría externa para detectar y subsanar cualquier error o dilatación innecesaria en el proceso. 
• Participación de la RLT: tanto por parte del art. 64.5 del ET, como del art. 48 de la Ley de Igualdad, se infiere la necesidad de negociar con la representación legal de las personas trabajadoras la implantación de cualquier medida relacionada con la denuncia interna de comportamientos indeseados. No debemos olvidar la obligación legal de la RLT de «contribuir a prevenir el acoso sexual y el acoso por razón de sexo en el trabajo mediante la sensibilización de los trabajadores y trabajadoras frente al mismo y la información a la dirección de la empresa de las conductas o comportamientos de que tuvieran conocimiento y que pudieran propiciarlo». El art. 5 de la Ley 2/2023, de 20 de febrero también hace referencia a la «previa consulta con la representación legal de las personas trabajadoras).
• Procedimiento para la eliminación o supresión del sistema de los datos una vez tramitadas las denuncias siguiendo los plazos establecidos.
• Régimen disciplinario ante incumplimientos. En clara relación con el código ético o protocolo antiacoso existente en la empresa han de fijarse claramente el régimen disciplinario asociado a los incumplimientos detectados. 
• Evitar represalias: ha de asegurarse al denunciante la inexistencia de cualquier acción u omisión, directa o indirecta, que tenga lugar en un contexto laboral, motivada por la presentación de una denuncia interna o externa. En particular, en el ámbito de la salud y la seguridad en el trabajo, el artículo 11 de la Directiva 89/391/CEE del Consejo ya obliga a los Estados miembros a velar por que los trabajadores o los representantes de los trabajadores no sufran perjuicios a causa de sus peticiones o propuestas a los empresarios para que tomen medidas adecuadas para paliar cualquier riesgo para los trabajadores o eliminar las fuentes de riesgo. Los trabajadores y sus representantes tienen derecho en virtud de esa Directiva a plantear cuestiones ante la autoridad competente si consideran que las medidas adoptadas y los medios utilizados por el empresario no son suficientes para garantizar la seguridad y la salud en el trabajo (arts. 35-41 de la Ley 2/2023, de 20 de febrero).

Junto al obligado cumplimiento de la Directiva (UE) 2019/1937,  LOPDGDD y Ley 2/2023, de 20 de febrero, cualquier canal de denuncias debe garantizar que el/la denunciante (en general, las personas trabajadoras de la empresa) encuentre protección frente a represalias, para lo que será efectivo, confidencial y seguro. Es recomendable proporcionar a la plantilla un código ético, completado con un protocolo donde se fijen las distintas fases posteriores a la denuncia.

RESOLUCIÓN RELEVANTE

STSJ de Cataluña n.º 4439/2023, de 10 de julio, ECLI:ES:TSJCAT:2023:7848

Se ratifica el despido disciplinario de una persona trabajadora, aun siendo víctima de una estafa orquestada por terceros —el denominado «fraude del falso CEO»— al infringir el Código Ético de la compañía. No obstante, se estima el derecho del trabajador a percibir la parte proporcional del bonus devengado en el año anterior.

CUESTIÓN

¿Cómo se informará a las personas trabajadoras de la existencia de un canal de denuncias y sus garantías?

Según la Guía La protección de datos en las relaciones laborales de la AEPD (mayo 2021) establece que tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia, por alguno de los siguientes cauces:

«Directamente en el contrato de trabajo.

Individual o colectivamente al implementar o modificar el sistema.

Mediante circulares informativas al personal y a su representación informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias».

1. Canales anónimos y no anónimos: la figura del compliance officer

El acceso a los datos de las denuncias —como trataremos— se encuentra limitado exclusivamente a quienes, desarrollen las funciones de control o se les encomiende el tratamiento de los datos necesarios para garantizar la canalización adecuada de la información.

En el caso de que la denuncia no sea anónima se puede canalizar esta herramienta de denuncias a través del compliance officer (oficial de cumplimiento, en castellano), de modo que solo este profesional sea el que conozca la identidad del denunciante y el hecho o conducta denunciados. De este modo, la investigación es más sencilla, pues será posible establecer una entrevista privada con esta persona para comenzar con la fase de instrucción.

En el supuesto de que optemos por un sistema de denuncias anónimas la alternativa a esta manera de configurar el canal de denuncias pasa por anonimizar la identidad de los denunciantes, de modo que el compliance officer no sepa quien ha sido el que ha alertado el hecho, sino tan solo el contenido del hecho irregular. En este caso, no es posible determinar de modo inmediato a quién le podemos pedir más detalles o formular cuestiones concretas sobre el contenido de su aviso. En el caso de que se opte por esta alternativa y proliferen las falsas denuncias, se debe poner en marcha un protocolo de inhibición del impacto en el propio canal, como la incorporación de medidas disciplinarias correctoras o la investigación de indicios de falsedad.

La Ley 2/2023, de 20 de febrero, establece la posibilidad de informar de forma anónima establece esta posibilidad en varios artículos:

- Se establece un plazo máximo de tres meses desde la entrada en registro de la información para dar una respuesta al informante «(...)salvo que haya renunciado a ello o que la comunicación sea anónima» (art. 20.3 de la Ley 2/2023, de 20 de febrero).

- Entre los derechos y garantías del informante ante la A.A.I. se establece la posibilidad de «Decidir si desea formular la comunicación de forma anónima o no anónima; en este segundo caso se garantizará la reserva de identidad del informante, de modo que esta no sea revelada a terceras personas» (art. 21 de la Ley 2/2023, de 20 de febrero).

- Las personas que comuniquen o revelen infracciones de forma anónima pero que posteriormente hayan sido identificadas y cumplan las condiciones previstas en la ley, tendrán derecho a protección en los términos fijados por el art. 35 de la Ley 2/2023, de 20 de febrero.

- Tendrá la consideración de infracción grave o muy grave vulnerar las garantías de confidencialidad y anonimato, y de forma particular cualquier acción u omisión tendente a revelar la identidad del informante cuando este haya optado por el anonimato, aunque no se llegue a producir la efectiva revelación de la misma [art. 63.1.c) de la Ley 2/2023, de 20 de febrero].

CUESTIÓN

¿Será posible permitir las denuncias anónimas?

Como todo proceso de este tipo (y siendo una de las bases de los protocolos antiacoso) la denuncia escrita podría considerarse como el canal más adecuado para poner en conocimiento hechos, datos, posibles testigos, etc., no obstante, la Directiva (UE) 2019/1937 y la Ley 2/2023, de 20 de febrero, realizan múltiples consideraciones sobre denuncia verbales y su documentación. Podemos estandarizar que los canales previstos para este tipo de comunicaciones han de permitir denunciar por escrito, verbalmente, o de ambos modos, siempre que se cumplan los requisitos impuestos para el registro de las denuncias o trámites de admisión (art. 18 de la Directiva (UE) 2019/1937 y art. 18 de la Ley 2/2023, de 20 de febrero).

Caben diferentes métodos a elección de la empresa y sus necesidades. Así, será posible canalizar las denuncias a través de un correo electrónico concreto, a una extensión telefónica o una aplicación interna diseñada al efecto. Siguiendo las directrices aportadas en su momento por el Informe jurídico de la Agencia Española de Protección de Datos (AEPD) n.º 128/2007, los requisitos del whistleblowing o canal de denuncia interna han de ser:

CUESTIÓN

¿Quién será el encargado/a de gestionar las denuncias?

Ha de efectuarse una elección de las personas o departamentos de la entidad más adecuados para encomendarles la recepción y seguimiento de las denuncias en función de la estructura de la empresa, siempre garantizando la independencia y la ausencia de conflictos de intereses. En las entidades de menor tamaño, podría tratarse de una función dual a cargo de un ejecutivo de la sociedad bien situado para comunicarse directamente con la dirección de la entidad, por ejemplo, un responsable de cumplimiento normativo o de recursos humanos, un responsable de la integridad, un responsable de asuntos jurídicos o de la privacidad, un responsable financiero, un responsable de auditoría o un miembro del consejo de administración.

En las entidades de menor tamaño, la tendencia actual es la de contar con una figura responsable para la prevención de delitos o compliance officer, con la función específica (entre otras como proporcionar información y formación a plantilla, directivos o terceros) de gestionar el canal ético, las posibles denuncias o comunicaciones recibidas y comenzar el procedimiento de investigación.

Ni la Directiva whistleblowing, ni la LOPDGDD, definen la figura de compliance officer, surgiendo tras la reforma operada en el Código Penal en vigor el 1 de julio de 2015, una escueta regulación de las funciones de supervisión y vigilancia asociadas a esta figura en el a art. 31 bis del Código Penal.

El art. 8.5 de la Ley 2/2023, de 20 de febrero, se limita a concretar:

«En el caso del sector privado, el Responsable del Sistema persona física o la entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés».