Cargando. Por favor, espere

La nueva Ley del informante: cuando las buenas intenciones se pueden convertir en un problema

Guillermo García-Panasco Morales

Fiscal. Doctor en Derecho

Letrado del Tribunal Constitucional

Diario LA LEY, Nº 10264, Sección Tribuna, 11 de Abril de 2023, LA LEY

LA LEY 2581/2023

Comentarios
Resumen

Los loables objetivos que, sin duda, la nueva Ley 2/2023 pretende promover pueden encontrarse con no pocas dificultades prácticas, sobre todo cuando se confronta con el régimen jurídico de la responsabilidad penal de las personas jurídicas. La difusa situación en la que queda el Compliance Officer, el riesgo de infracción del proscrito principio non bis in ídem, o la clamorosa insuficiencia de la regulación sobre la propia investigación de las denuncias son solo algunos de los aspectos que se abordan en esta primera aproximación sobre la nueva norma, en la que se ofrecen propuestas de solución que permitan superar las cuestiones más problemáticas para la vida diaria de las empresas.

Portada

El pasado 13 de marzo de 2023 entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LA LEY 1840/2023) (1) (en adelante, Ley 2/2023 (LA LEY 1840/2023) o Ley del informante) por la que se traspone a nuestro ordenamiento jurídico la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (LA LEY 17913/2019) (2) (en adelante, Directiva 2019/1937 (LA LEY 17913/2019) o la Directiva). Sin duda, la nueva norma provocará numerosos comentarios doctrinales y pronunciamientos jurisprudenciales (3) . De hecho, una mera lectura de su texto genera una verdadera catarata de interrogantes. No obstante, el objeto de este trabajo se centrará en las implicaciones que la nueva regulación provocará, a mi juicio, en la elaboración y aplicación de los programas de compliance, y su influencia en la determinación de la responsabilidad penal de las personas jurídicas.

I. Las buenas intenciones

La finalidad de la ley aparece descrita en su art. 1, y consiste en «otorgar una protección adecuada frente a las represalias que puedan sufrir» los informantes y, al mismo tiempo, fortalecer la «cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público».

Lo primero que sorprende es que la finalidad de una norma venga contemplada en su propio articulado, y no en la exposición de motivos, en la que encuentra su encaje con mayor naturalidad. Quizá se pretendan superar así los problemas derivados de la doctrina constitucional que no atribuye valor normativo al contenido de las exposiciones de motivos (ver, entre las más recientes, las SSTC 131/2020, de 22 de septiembre (LA LEY 130358/2020), FJ 6; y 37/2021, de 18 de febrero (LA LEY 6925/2021), FJ 2). Pero, solo desde una concepción excesivamente voluntarista del Derecho se puede pretender que la finalidad de la norma se convierta en un mandato de obligado cumplimiento, por su mera incorporación a su articulado. También la tipificación de los delitos de homicidio y asesinato pretende evitar cualquier muerte injustificada, pero ya sabemos que la realidad es mucho más compleja…

En segundo lugar, la protección del denunciante y el fomento de los canales de información o comunicación de infracciones solo pueden entenderse como una de las vertientes de la cuestión de fondo que debería merecer especial atención, y sobre la que poco se dice en el texto de la norma, que es el impulso de la cultura del cumplimiento normativo (4) . Quizá lastrada por la finalidad estricta de la Directiva (5) , creo que se ha perdido una buena oportunidad para reforzar esa idea central que, a mi juicio, debería presidir este tipo de normas, dentro de un objetivo general más amplio en el que se contemplara un verdadero plan estratégico de lucha contra la corrupción, que solo aparece tímidamente apuntado en la disposición adicional quinta (6) .

En cualquier caso, la proyección de la nueva norma en el panorama legislativo vigente permite confrontar, de entrada, la novedosa regulación del informante con una figura ya asentada en el ámbito punitivo, como es la responsabilidad penal de las personas jurídicas. El análisis conjunto de ambos regímenes jurídicos pone de manifiesto algunos desajustes que podrían generar no pocos problemas. Una vez más, las buenas intenciones se toparán, me temo, con la cruda realidad.

II. Los posibles problemas

Como ya se anticipó, de entre las varias cuestiones que pudieran suscitarse, me centraré en aquellas que puedan afectar a la aplicación práctica del régimen punitivo de las personas jurídicas. Y, dentro de este ámbito, a las que tienen que ver con dos pilares del sistema: los programas de compliance y el régimen de derechos y garantías que debe presidir todo el ejercicio del ius puniendi del Estado.

1. El sistema de información y el programa de compliance

La atribución de la responsabilidad penal a una persona jurídica está basada en la realización de una conducta por parte de una persona física, en determinadas circunstancias

Como es conocido, la atribución de la responsabilidad penal a una persona jurídica está basada, en nuestro Derecho, en la realización de una conducta por parte de una persona física, en determinadas circunstancias. Así se expone, literalmente, en el art. 31 bis.1 CP (LA LEY 3996/1995) (7) . La jurisprudencia del Tribunal Supremo ha considerado que el fundamento de esta responsabilidad, sobre la que pivota la imputabilidad de la empresa, está basado en la auto responsabilidad motivada por un defecto de organización, como expresión de un obrar corporativo que se coloca al margen del cumplimiento del Derecho. Para la Sala Segunda, no basta con acreditar el delito cometido por la persona física, ya que no existe en esos casos la presunción iuris tantum de que ha concurrido un defecto organizativo. Habrá de probarse que ese delito ha sido una realidad por la concurrencia de un defecto estructural de los mecanismos de supervisión, vigilancia y control exigibles a toda persona jurídica (8) . De forma más matizada, la STS 123/2019, de 8 de marzo (LA LEY 18550/2019) (FJ 4) señaló que «la mera inexistencia de formas concretas de vigilancia y control del comportamiento de representantes, directivos y subordinados, tendentes a la evitación de la comisión de delitos imputables a la persona jurídica, no constituye, por sí misma, un comportamiento delictivo. La persona jurídica no es condenada por un (hoy inexistente) delito de omisión de programas de cumplimiento normativo o por la inexistencia de una cultura de respeto al Derecho. (…) Por lo tanto, a la persona jurídica no se le imputa un delito especial integrado por un comportamiento de tipo omisivo, sino el mismo delito que se imputa a la persona física, en el cual, generalmente, participará a través de una omisión de las cautelas obligadas por su posición de garante legalmente establecida, tendentes a evitar la comisión de determinados delitos». En definitiva, no basta la mera comisión de un delito por una persona física para que, de forma automática, se transfiera la responsabilidad penal a la persona jurídica por cuya cuenta y en su beneficio actúa. De la misma forma, la mera omisión de un programa de compliance no supone (ni presupone) la comisión de un delito, de igual modo que su mera existencia tampoco garantiza la impunidad de la estructura societaria (9) . De la doctrina jurisprudencial se deduce que la responsabilidad penal de la persona jurídica está conformada por un presupuesto objetivo, que es la comisión de un hecho delictivo por parte de una persona física, y un presupuesto que pudiéramos considerar como subjetivo, consistente en la deliberada ausencia de un sistema de control (programa de compliance o instrumento equivalente) que haya posibilitado o no haya impedido de forma razonablemente previsible la comisión de ese hecho delictivo.

La reforma del Código Penal llevada a cabo por la Ley Orgánica 1/2015, de 30 de marzo (LA LEY 4993/2015), introdujo una sustancial modificación de la relevancia de estos programas. Así, antes de la regulación actualmente vigente, los programas de compliance venían configurados, esencialmente, como una circunstancia atenuante, cuya relevancia parecía surtir efectos con carácter post-delictual, y respecto de las conductas cometidas por los empleados [art. 31 bis.4, d) CP (LA LEY 3996/1995) (10) ]. Este régimen se mantiene tras la reforma del año 2015 pero, además, en determinadas circunstancias, estos programas pueden surtir efectos también como eximente, si se implantan con carácter previo a la comisión del delito, y respecto de cualquier persona física cuya actuación determine la atribución de responsabilidad penal a la persona jurídica, es decir, tanto del empleador como del empleado (art. 31 bis, apartados 2, 3, 4 y 5 CP (LA LEY 3996/1995)).

La nueva naturaleza de los programas de compliance, así como la relevancia que la jurisprudencia ha concedido a este tipo de instrumentos para la propia imputabilidad de la empresa, ha motivado que, en la práctica, el objeto del proceso penal se extienda, de manera esencial, a valorar la idoneidad de estos «modelos de organización y control» —como se les denomina en el art. 31 bis CP (LA LEY 3996/1995)—, a fin de determinar la concurrencia o no de una circunstancia eximente de la responsabilidad penal de la entidad. Desde esta perspectiva, resulta palmaria la trascendencia de la nueva norma que ahora se analiza, porque los sistemas de información han de formar parte de un programa de compliance, en los términos establecidos en el art. 31 bis (LA LEY 3996/1995).5-4º CP.

En efecto, el sistema de información contemplado en la nueva ley no debe asimilarse totalmente con un programa de compliance, tal y como este viene regulado en el art. 31 bis.5 CP. (LA LEY 3996/1995) El sistema, definido en el art. 4 Ley 2/2023 (LA LEY 1840/2023) como «el cauce preferente para informar sobre las acciones u omisiones» que constituyen su ámbito material de aplicación (art. 2), y que ha de estar conformado por el canal o los canales internos de información (art. 7.1 y 2), puede formar parte, sin duda, del contenido mínimo del programa de compliance, que recoge como uno de sus requisitos la «obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención» (art. 31 bis (LA LEY 3996/1995).5-4º CP). Sin embargo, el programa es mucho más que un sistema de información. El Código Penal exige un contenido mínimo integrado por los siguientes elementos: un «mapa de riesgos» (art. 31 bis (LA LEY 3996/1995).5-1º CP); el establecimiento de los procesos de toma de decisiones (art. 31 bis (LA LEY 3996/1995).5-2º CP); un adecuado sistema de financiación (art. 31 bis (LA LEY 3996/1995).5-3º CP); un régimen sancionador (art. 31 bis (LA LEY 3996/1995).5-5º CP); y una actualización periódica (art. 31 bis (LA LEY 3996/1995).5-6º CP). En todo caso, la trascendencia del cumplimiento de estos requisitos mínimos del programa de compliance está ligada a la apreciación como circunstancia eximente de responsabilidad penal para la persona jurídica, pero su real efectividad a tal fin exige, además, su adopción y ejecución eficaz, con carácter previo a la comisión del hecho delictivo, así como su idoneidad para prevenir y perseguir conductas delictivas (art. 31 bis.2 y 4 CP (LA LEY 3996/1995)).

Como se puede observar, la nueva norma genera una cierta paradoja. Por un lado, se impone a determinadas entidades (descritas en los arts. 10 (LA LEY 1840/2023) y 13 de la Ley 2/2023 (LA LEY 1840/2023)) el establecimiento de un sistema de información, que es uno de los elementos esenciales de un programa de compliance, reforzando así este tipo de herramientas como una pieza clave de la integridad societaria. Pero, por otro, el programa sigue siendo potestativo para las empresas (11) . En cualquier caso, conviene dejar sentado que el sistema de información previsto en la Ley 2/2023 (LA LEY 1840/2023) puede ser condición necesaria, pero no suficiente, para que una empresa pueda quedar exenta de responsabilidad penal por los hechos cometidos por sus responsables o empleados. Dicho de otra forma, el cumplimiento de las previsiones legales sobre el sistema de información podría no exonerar, por sí solo, a una empresa de su responsabilidad penal, porque para ello sería necesario cumplir con las condiciones y requisitos establecidos en el art. 31 bis CP. (LA LEY 3996/1995) Este peculiar régimen jurídico queda puesto en evidencia en dos aspectos muy concretos. Nos referimos a los responsables del sistema y al régimen sancionador.

A) El responsable del sistema de información y la figura del Compliance Officer

La Ley del informante establece una clara distinción entre las figuras del «responsable del sistema» de información (art. 8.1) y el «responsable (…) de cumplimiento normativo o de [las] políticas de integridad» (art. 8.6), también conocido como Compliance Officer. Se trata, a mi juicio, de una distinción más aparente que real, porque ambas figuras aparecen definidas con un estatus similar dentro de cada entidad. Así, el responsable del sistema es designado por el órgano de administración o de gobierno (art. 8.1 Ley 2/2023 (LA LEY 1840/2023)), y otro tanto sucede con el Compliance Officer (art. 31 bis (LA LEY 3996/1995).2-1ª y 2ª CP) (12) . Además, en ambos casos habrán de estar rodeados de las debidas garantías de independencia y autonomía en el ejercicio de sus funciones (art. 8.4 Ley 2/2023 (LA LEY 1840/2023) y 31 bis.2-2ª CP), así como contar con los medios personales y materiales suficientes para su desempeño (art. 8.4 Ley 2/2023 (LA LEY 1840/2023) y 31 bis.5-3º CP).

Sin embargo, la Ley del informante ha querido dejar claro que el responsable del sistema, a su vez, puede ser el responsable del cumplimiento normativo, o no (art. 8.6). Esta cautela puede ser debida, por un lado, al hecho cierto de que no todas las entidades disponen de un programa de compliance que, insistimos, no es obligatorio; o, por otro, a que se haya querido distinguir entre ambas funciones. En este último caso, se hará necesario establecer protocolos muy claros sobre sus respectivas funciones y los sistemas de comunicación entre ambas figuras, para evitar solapamientos competenciales y, sobre todo, para garantizar el correcto funcionamiento del modelo de cumplimiento normativo que, en su caso, se haya implantado en la empresa.

El sistema de información es solo una parte del programa de compliance

En efecto, como ya se ha expuesto, el sistema de información es solo una parte del programa de compliance. Por tanto, las funciones del responsable del sistema y del Compliance Officer pueden ser parcialmente coincidentes y, en consecuencia, entrar en colisión. El problema no es tanto la supervisión del sistema de cumplimiento normativo (función propia del Compliance Officer, exart. 31 bis (LA LEY 3996/1995).2-2ª CP, pero no del responsable del sistema), o recibir denuncias de infracciones (función que, según el art. 31 bis (LA LEY 3996/1995).5-4º CP debería ser asumida por el Compliance Officer pero que, con la nueva norma, parece residenciarse en el responsable del sistema, como responsable de su «gestión», ex art. 8.1, sin perjuicio, en ambos casos, de su delegación) (13) . La cuestión clave, a mi juicio, es la atribución de la facultad de investigación de esas denuncias.

Sin perjuicio de la posible existencia de un equipo encargado de realizar esta labor, la titularidad o control último de las investigaciones parece atribuirse al responsable del sistema de información, dado que la Ley 2/2023 (LA LEY 1840/2023) le confiere expresamente la función de velar por la «tramitación diligente» de las informaciones recibidas (art. 9.1), lo que no parece que pueda referirse exclusivamente a su mera remisión al órgano encargado de hacer la investigación, sino que exigirá, al menos, una función específica de supervisión, coordinación y control de esas tareas de investigación. Sin embargo, la mayor o menor eficacia en esta labor puede tener repercusiones en el ámbito de la responsabilidad penal de la persona jurídica, porque un funcionamiento deficiente del sistema de información puede poner en tela de juicio la eficacia del programa de compliance, como requisito determinante de la validez de este como eximente (exart. 31 bis (LA LEY 3996/1995).2-1ª CP), y cuya responsabilidad corresponde, a su vez, al Compliance Officer. De hecho, como ya se expuso, el art. 31 bis (LA LEY 3996/1995).5-4º CP establece como uno de los requisitos del programa de compliance la «obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención», que no es otro que el Compliance Officer (exart. 31 bis (LA LEY 3996/1995).2-1ª CP). No parece tener mucho sentido que la persona encargada de supervisar el funcionamiento del programa de compliance y a quien el Código Penal atribuye la función de recibir la información sobre posibles riesgos e incumplimientos no tenga una verdadera facultad de control sobre uno de sus elementos esenciales, como es el sistema interno de información y, con ello, de las propias investigaciones, si con ello puede derivarse la posible exigencia de responsabilidad penal para la empresa. A mi juicio, elementales razones de eficacia y eficiencia aconsejarían que, en aquellas empresas en las que exista la figura del Compliance Officer, esta asuma también las funciones de responsable del sistema (14) . O, en todo caso, que se establecieran con claridad las facultades de supervisión que el responsable del cumplimiento normativo tuviera, a su vez, respecto del responsable del sistema, con la expresa previsión de las situaciones de eventuales conflictos de interés en los casos de denuncias formuladas contra cualquiera de ellos a través del correspondiente canal anónimo, cautela que habrá de extenderse a la designación de la persona encargada de representar a la entidad en un eventual proceso penal (art. 119 LECrim (LA LEY 1/1882)) (15) . Lo que parece claro es que, en las condiciones establecidas por la Ley 2/2023 (LA LEY 1840/2023), los órganos de dirección de las empresas afectadas por su ámbito de aplicación habrán de establecer el correspondiente sistema de información (art. 5.1) y designar a su responsable, por lo que una mínima prudencia empresarial aconsejaría la implantación de un modelo integral de cumplimiento normativo, es decir, no solo de un sistema de información sino de un verdadero programa de compliance (16) .

B) El régimen sancionador: ¿existe riesgo de un bis in idem?

El art. 63.1.g) de la Ley del informante considera una infracción muy grave el «incumplimiento de la obligación de disponer de un sistema interno de información en los términos exigidos en esta Ley». Si, como hemos visto, la responsabilidad penal de las personas jurídicas está basada en un déficit organizativo por falta de un programa de cumplimiento normativo, rápidamente puede surgir la duda sobre una eventual incursión en el principio proscrito del bis in idem. La ausencia de un programa de compliance podría constituir, al mismo tiempo, una infracción penal y administrativa.

Como es conocido, el Tribunal Constitucional ha establecido una doctrina consolidada sobre este principio, que ha sido recientemente reiterada en la STC 2/2023, de 6 de febrero (LA LEY 19818/2023) (FJ 4), en la que, con cita de la STC 2/2003, de 16 de enero (LA LEY 962/2003), y en lo que ahora interesa, se señala que:

«c) La garantía del non bis in idem, en su vertiente material o sustantiva, prohíbe sancionar dos veces el mismo ilícito si se aprecia identidad de sujetos, hechos y fundamento. (…) Para comprobar si se ha vulnerado el non bis in idem cuando se imponen penas y sanciones administrativas, debe atenderse al núcleo esencial de esta garantía: impedir el exceso de punición. Por ello, "no cabe apreciar una reiteración punitiva constitucionalmente proscrita cuando, aun partiéndose de la existencia de la imposición de una doble sanción en supuestos de identidad de sujeto, hecho y fundamento, en la ulterior resolución sancionadora se procede a descontar y evitar todos los efectos negativos anudados a la previa resolución sancionadora, ya que, desde la estricta dimensión material, [el descuento] provoca que en el caso concreto no concurra una sanción desproporcionada (STC 334/2005, de 20 de diciembre (LA LEY 10574/2006), FJ 2)". (…)

d) La garantía del non bis in idem, en su vertiente procesal o procedimental, ubicada en el ámbito del derecho a la tutela judicial efectiva (art. 24.1 CE (LA LEY 2500/1978)), conlleva, ante todo, según nuestra doctrina, la interdicción de un doble proceso penal con el mismo objeto. (…)

El art. 14.7 del Pacto internacional de derechos civiles y políticos (LA LEY 129/1966) y el art. 4 del Protocolo 7 al Convenio europeo de derechos humanos (LA LEY 16/1950) "protegen al ciudadano no solo frente a la ulterior sanción —administrativa o penal—, sino frente a la nueva persecución punitiva por los mismos hechos una vez que ha recaído resolución firme en el primer procedimiento sancionador, con independencia del resultado —absolución o sanción— del mismo". Sin embargo, la prohibición constitucional del doble enjuiciamiento fuera del proceso penal solo procederá en aquellos casos en que el procedimiento administrativo sancionador le sea equiparable, "en atención a las características del procedimiento —su grado de complejidad— como a las de la sanción que sea posible imponer en él —su naturaleza y magnitud— […]". (…)

La doctrina del Tribunal Europeo de Derechos Humanos mantiene una posición semejante en la STEDH, Gran Sala, de 15 de noviembre de 2016, asunto A y B c. Noruega (…) [que] considera legítima una respuesta sancionadora penal y administrativa complementaria frente a ciertos comportamientos socialmente inaceptables (por ejemplo, el incumplimiento de las leyes de tráfico, el impago de impuestos o la evasión fiscal) (…) siempre que estos procedimientos se combinen de manera integrada y formen un todo coherente, lo que implica, por un lado, que los fines perseguidos y los medios utilizados para alcanzarlos sean, en esencia, complementarios y estén vinculados en el tiempo (lo que denomina "existencia de un vínculo material y temporal suficientemente estrecho") y, por otro, que las consecuencias de organizar así la respuesta sancionadora frente a aquella clase de infracciones sean previsibles y proporcionadas para la persona afectada (§ 121, 123 y 130) (…)

Entre los criterios citados por la sentencia A y B c. Noruega para decidir si existe un vínculo material suficientemente estrecho destaca, sobre todo, el de si la sanción impuesta en el procedimiento que finaliza en primer lugar se tiene en cuenta en el que finaliza en el último, para evitar que la persona afectada acabe soportando una carga excesiva, riesgo este último menos probable cuando existe un mecanismo de compensación que garantice que el quantum global de las sanciones impuestas sea proporcionado (§ 132)» (17) .

Sentado lo anterior, un análisis estricto de la cuestión permitiría avalar, aunque con ciertas cautelas, la tesis de la inexistencia de un bis in idem.

En primer lugar, es preciso recordar, como ya se expuso anteriormente, que el sistema de información no puede ser equiparado con el programa de compliance, sino, en su caso, con uno de los requisitos esenciales para que este pueda operar como eximente de la responsabilidad penal de la persona jurídica (exart. 31 bis (LA LEY 3996/1995).5-4º CP). Por lo tanto, la ausencia de un sistema de información no puede ser asimilada, sin más, con la falta de un programa de compliance, que es un instrumento mucho más amplio, por lo que podría entenderse que no concurre el requisito de la identidad del hecho determinante de la prohibición del bis in idem.

En segundo lugar, desde la perspectiva del fundamento de la sanción también podrían encontrarse diferencias sustanciales ya que, aunque es cierto que tanto la regulación de la responsabilidad penal de las personas jurídicas como la Ley del informante son herramientas de promoción de la cultura del cumplimiento normativo de las empresas, no puede ocultarse que la Ley 2/2023 (LA LEY 1840/2023) responde, como se recoge en su art. 1, a una concreta finalidad que es la protección de los denunciantes de infracciones. De esta forma, la sanción administrativa encuentra su fundamento en la necesidad de establecer un mecanismo seguro de comunicación de infracciones y de garantía de indemnidad del denunciante, mientras que el régimen jurídico previsto en el art. 31 bis y ss CP (LA LEY 3996/1995) entronca con los principios de prevención general y especial propios del Derecho Penal, puestos en relación con cada uno de los tipos delictivos que admiten esta figura, es decir, ofrece una respuesta punitiva ante un bien jurídico mucho más amplio que la mera protección de un denunciante.

Sin embargo, no es posible descartar algún caso hipotético en que el programa de compliance no haya podido surtir efecto como eximente para la empresa, precisamente por no contener un sistema interno de información. En tales casos, podría plantearse no solo una eventual coincidencia de hecho y de sujeto, sino una posible compatibilidad de las vías penal y administrativa, atendiendo a la complementariedad de la respuesta del estado frente a ciertos comportamientos socialmente inaceptables (en los términos expuestos por el TEDH). En este tipo de supuestos, la solución concreta no parece sencilla, porque habrá que atender a la conexión material y temporal de ambos procedimientos, así como a la naturaleza y gravedad de las sanciones, que pueden resultar sustancialmente coincidentes o no en el caso de las de carácter pecuniario, cuya previsibilidad puede resultar inicialmente indeterminada en función de los propios criterios establecidos en los arts. 33.7 CP (LA LEY 3996/1995) y 65.1.b) Ley 2/2023 (LA LEY 1840/2023) (18) . En cualquier caso, siempre quedará la posibilidad de aplicar la correspondiente compensación en el segundo procedimiento, de manera que, materialmente, solo se imponga una sanción, la primera, a fin de evitar el «exceso de punición» como núcleo esencial de la garantía del bis in idem.

2. Las implicaciones para el sistema de derechos y garantías

Si las cuestiones abordadas en los apartados anteriores pueden presentarse problemáticas, otro tanto sucede con la aplicación práctica del sistema de información, una vez se recibe la denuncia correspondiente, porque el procedimiento que se siga para la verificación y, en su caso, sanción de las infracciones cometidas, puede tener una seria repercusión en un eventual procedimiento penal posterior frente a la persona jurídica. En este punto, solo pretendemos hacer una primera aproximación, en el convencimiento de que el desarrollo práctico de la norma suscitará muchos más interrogantes.

Llama la atención el sorprendente silencio normativo sobre el contenido de la investigación a realizar en el marco del sistema de información diseñado por la Ley 2/2023

Así, dejando a un lado la eterna controversia sobre la figura del denunciante anónimo (19) , llama la atención el sorprendente silencio normativo sobre el contenido de la investigación a realizar en el marco del sistema de información diseñado por la Ley 2/2023 (LA LEY 1840/2023) (20) . El art. 19.1 simplemente establece que la «instrucción [término con una clara connotación penal] comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados», pero este precepto solo contempla las investigaciones realizadas por la Autoridad Independiente de Protección del Informante, A.A.I., no por las propias empresas. No es difícil advertir los problemas que puedan derivarse, por ejemplo, de un indebido examen de las dependencias, archivos o equipos informáticos de la persona «afectada» (en la terminología de la Ley), es decir, investigada, en el seno de su propia empresa. Sin embargo, lo que dice la norma es tanto o más relevante como lo que no dice.

Efectivamente, el art. 39 señala que las personas afectadas por el expediente «tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley». Sin embargo, en el caso concreto de las investigaciones llevadas a cabo por la Autoridad Independiente de Protección del Informante, A.A.I., estos derechos pueden resultar notablemente restringidos. El art. 19.2 permite que la persona investigada tenga noticia de la información o comunicación y de los hechos denunciados, así como del derecho a presentar alegaciones por escrito, en el trámite de audiencia, no antes, si «se considerara que su aportación con anterioridad pudiera facilitar la ocultación, destrucción o alteración de las pruebas», consagrando de esta forma una especie de «secreto de las actuaciones» de facto, cuyo presupuesto de hecho queda al ponderado criterio del instructor del expediente…

Por otro lado, el Libro-Registro de comunicaciones no será público, y solo se podrá acceder a su contenido mediante resolución judicial motivada, en el marco de un proceso judicial (art. 26.1). Esta regla pudiera resultar contradictoria con el hecho de que, de apreciarse el carácter delictivo de los hechos, el art. 9.2.j prevea la remisión «inmediata» al Ministerio Fiscal. Salvo que se quiera ocultar deliberadamente a la Fiscalía el elemento documental que sirve como presupuesto y/o soporte de la denuncia, o para adverar la existencia de denuncias o comunicaciones anteriores sobre los mismos hechos o contra las mismas personas.

Otra aparente disfunción podría derivarse de la aplicación en el ámbito empresarial de las causas de inadmisión de denuncias previstas en el art. 18.2.a) de la Ley (21) . Estas causas aparecen asociadas al funcionamiento de un organismo público como es la Autoridad Independiente de Protección del Informante, A.A.I., y encuentran ahí su sentido. Pero no pueden ser asumidas, sin más, por una entidad privada. Una empresa que rechace una comunicación por venir referida a un hecho anteriormente denunciado y archivado, o que realice una valoración precipitada sobre la verosimilitud de los hechos o el fundamento de la denuncia, pudiera poner en tela de juicio la verdadera eficacia real del sistema interno de información y, por extensión, del programa de compliance, con la consecuente repercusión negativa para su propia responsabilidad penal.

En definitiva, la nueva Ley 2/2023 (LA LEY 1840/2023) —cuya finalidad es, sin duda, loable—, no parece que vaya a despejar los problemas que, en la práctica, genera la investigación y, en su caso, la persecución de los hechos delictivos cometidos en el seno de las empresas. Una materia que, a buen seguro, continuará generando una inevitable controversia.

(1)

BOE núm. 44, de 21 de febrero de 2023. Según su Disposición Final Duodécima, su entrada en vigor se produce a los 20 días de su publicación en el BOE

Ver Texto
(2)

Cuyo texto puede consultarse en: https://www.boe.es/doue/2019/305/L00017-00056.pdf

Ver Texto
(3)

Que se sumarán a los ya generados, entre los que se encuentra la reciente STEDH de 14 de febrero de 2023 (asunto Halet c. Luxemburgo), sobre la eventual injerencia en el derecho a la libertad de expresión (art. 10 CEDH (LA LEY 16/1950)) de un empleado de una empresa consultora, luego despedido, que reveló a un periodista varias declaraciones fiscales de empresas multinacionales. Esos documentos fueron utilizados en un reportaje televisivo sobre los acuerdos fiscales ventajosos celebrados entre las autoridades luxemburguesas y las citadas empresas (asunto conocido como «Luxleaks»). Esta STEDH, sin duda, podrá servir como pauta interpretativa de los arts. 27 y ss de la Ley 2/2023 (LA LEY 1840/2023), sobre la revelación pública de infracciones y las garantías de protección del denunciante en esos casos.

Ver Texto
(4)

Que ahora parece denominarse «infraestructuras de integridad de las organizaciones»

Ver Texto
(5)

Su objetivo declarado en el art. 1 también es proporcionar «un elevado nivel de protección de las personas que informen sobre infracciones del Derecho de la Unión»

Ver Texto
(6)

«El Gobierno, en el plazo máximo de dieciocho meses a contar desde la entrada en vigor de la presente ley, y en colaboración con las Comunidades Autónomas, deberá aprobar una Estrategia contra la corrupción que al menos deberá incluir una evaluación del cumplimiento de los objetivos establecidos en la presente ley así como las medidas que se consideren necesarias para paliar las deficiencias que se hayan encontrado en ese período de tiempo».

Ver Texto
(7)

«(…) las personas jurídicas serán responsables: (…) De los delitos cometidos (…) por (…)»

Ver Texto
(8)

Ver, en tal sentido, desde la controvertida STS 154/2016, de 29 de febrero (LA LEY 6573/2016) (FJ 8), pasando por la STS 221/2016, de 16 de marzo (LA LEY 11281/2016) (FJ 5.B), que consolidó la posición inicial, que fue reiterada posteriormente en las SSTS 516/2016, de 13 de junio (LA LEY 61413/2016) (FJ 1); 583/17, de 19 de julio (LA LEY 119518/2017) (FJ 28) y 668/17, de 11 de octubre (LA LEY 142265/2017) (FJ 1) hasta llegar a las más recientes SSTS 534/2020, de 22 de octubre (LA LEY 142442/2020) (FJ 4) y 470/2021, de 2 de junio (LA LEY 67650/2021) (FJ 6). La inequívoca posición del Tribunal Supremo permite prescindir ahora del rico debate sobre si, en realidad, se trata de un sistema de responsabilidad por el hecho propio, basado en una deficiencia organizativa, o de una responsabilidad vicarial. Sobre esta cuestión puede verse mi trabajo: «El sistema vicarial y la carga de la prueba sobre los programas de compliance en la responsabilidad penal de las personas jurídicas: hacia la superación de un desencuentro». Diario La Ley. N.o 9221. Sección Documento on-line. 19 de junio de 2018. Ed. Wolters Kluwer.

Ver Texto
(9)

Ver, en tal sentido, mi trabajo sobre: «La responsabilidad penal de las personas jurídicas: algunas cuestiones sobre el compliance y la protección de datos». La Ley Mercantil. N.o 55. febrero de 2019. Ed. Wolters Kluwer.

Ver Texto
(10)

En la redacción dada por la Ley Orgánica 5/2010, de 22 de junio (LA LEY 13038/2010).

Ver Texto
(11)

Nos referimos, lógicamente, a la generalidad de las empresas. Cuestión distinta serían aquellas que tienen un régimen peculiar que les exige la implantación de un modelo de cumplimiento normativo. Puede ser útil consultar algunos instrumentos específicos y/o sectoriales existentes en esta materia. Entre otros, se pueden destacar los siguientes: Circulares de la CNMV 6/2009, de 9 de diciembre, «sobre control interno de las sociedades gestoras de instituciones de inversión colectiva y sociedades de inversión»; y 1/2014, de 26 de febrero, «sobre los requisitos de organización interna y de las funciones de control de las entidades que presentan servicios de inversión»; Código de Buen Gobierno de las Sociedades Cotizadas, publicado por la CNMV el 24 de febrero de 2015 (revisado en junio de 2020); o los arts. 26 y ss. de la Ley 10/2010, de 28 de abril (LA LEY 8368/2010), de prevención del blanqueo de capitales y de la financiación del terrorismo.

Ver Texto
(12)

Incluso, en las denominadas «personas jurídicas de pequeñas dimensiones», el órgano de administración puede asumir las funciones de responsable de cumplimiento (art. 31 bis.3 CP (LA LEY 3996/1995))

Ver Texto
(13)

Al margen del ambiguo papel que la Ley 2/2023 (LA LEY 1840/2023) otorga al Compliance Officer, como perteneciente al «órgano de (…) supervisión de una empresa» y que, al mismo tiempo, puede ser considerado como un informante [ex art. 3.1.c)].

Ver Texto
(14)

En mi trabajo sobre «La responsabilidad penal de las personas jurídicas: algunas cuestiones sobre el compliance y la protección de datos» (op. cit.) se defendía la tesis contraria, debido a las altas dosis de formación especializada que se exigen para cumplir cabalmente con las funciones de delegado de protección de datos, lo que aconseja que sea persona distinta al Compliance Officer, contribuyendo así a la solidez del modelo de cumplimiento normativo. Por la misma razón, se considera que las figuras del delegado de protección de datos y del responsable del sistema de información deben recaer en personas o entidades diferenciadas. Así parece deducirse también de la propia Ley 2/2023 (LA LEY 1840/2023) (arts. 29 y ss)

Ver Texto
(15)

Sobre esta cautela, puede verse la Circular n.o 1/2011 de la FGE que, en su apartado VI.2), instaba a los Fiscales para que cuidaran de que «no se utilice la designación del legal representante de la persona jurídica como un recurso para atribuir indebidamente un estatus similar al del imputado a aquellas personas que deban tener en el proceso una intervención diferente».

Ver Texto
(16)

Así parece sugerirse también por la Sala Segunda del Tribunal Supremo que, en su STS 316/2018, de 28 de junio (LA LEY 74057/2018), recordada por la STS 470/2021, de 2 de junio (LA LEY 67650/2021), ya distinguía entre el compliance ad intra y ad extra, es decir, en la conveniencia de contar —en todo tipo de empresas— con este tipo de programas no solo desde la perspectiva de la responsabilidad penal de las personas jurídicas sino como mecanismos de auto protección empresarial frente a conductas de terceros.

Ver Texto
(17)

De forma esencialmente compatible con esta doctrina del TEDH, asumida por el TC, se pronuncia el TJUE (GS) en su sentencia de 20 de marzo de 2018 (asunto Menci), citada en la STS 320/2022, de 30 de marzo (LA LEY 41215/2022), y en la que se hace referencia a los denominados «criterios Engel» (STEDH de 8 de junio de 1976), sobre la equiparación de las sanciones administrativas y penales, teniendo en cuenta su definición o calificación jurídica en el derecho del estado correspondiente, la naturaleza de la infracción y el grado de severidad de la sanción que puede sufrir el interesado (parágrafo 82).

Ver Texto
(18)

El art. 33.7.a) CP (LA LEY 3996/1995) prevé pena de multa «por cuotas o proporcional», a determinar en cada tipo delictivo; mientras que el art. 65.1.b) Ley 2/2023 (LA LEY 1840/2023) sanciona las infracciones muy graves con multas de entre 600.001 y 1.000.000 de euros, a modular conforme a los criterios previstos en el art. 66.

Ver Texto
(19)

En la reciente Circular 2/2022, de 20 de diciembre, de la Fiscalía General del Estado, sobre la actividad extraprocesal del Ministerio Fiscal en el ámbito de la investigación penal (apartado 4.2.3), puede consultarse el estado de la cuestión sobre esta figura.

Ver Texto
(20)

Los posibles efectos perniciosos del clamoroso silencio legal ya han sido advertidos por el Presidente de la Sala Segunda del Tribunal Supremo. Puede verse en el siguiente enlace: https://confilegal.com/20230310-marchena-desconfia-del-investigador-interno-de-empresa-contemplado-en-la-nueva-ley-de-alertadores-de-corrupcion/

Ver Texto
(21)

1.º Cuando los hechos relatados carezcan de toda verosimilitud.

2.º Cuando los hechos relatados no sean constitutivos de infracción del ordenamiento jurídico incluida en el ámbito de aplicación de esta ley.

3.º Cuando la comunicación carezca manifiestamente de fundamento o existan, a juicio de la Autoridad Independiente de Protección del Informante, A.A.I., indicios racionales de haberse obtenido mediante la comisión de un delito. En este último caso, además de la inadmisión, se remitirá al Ministerio Fiscal relación circunstanciada de los hechos que se estimen constitutivos de delito.

4.º Cuando la comunicación no contenga información nueva y significativa sobre infracciones en comparación con una comunicación anterior respecto de la cual han concluido los correspondientes procedimientos, a menos que se den nuevas circunstancias de hecho o de Derecho que justifiquen un seguimiento distinto. En estos casos, la Autoridad Independiente de Protección del Informante, A.A.I., notificará la resolución de manera motivada.

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll