El pasado día 23 de septiembre se publicó en el Boletín Oficial del Congreso de las Cortes Generales, el Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. El texto tiene por objeto otorgar una protección adecuada frente a las represalias a las personas físicas que informen sobre alguna de las acciones u omisiones a que se refiere la propia ley. Como es sabido, de este modo se viene a incorporar al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, la cual venía a establecer unas normas mínimas comunes para proporcionar un elevado nivel de protección a las personas que informen sobre infracciones del Derecho de la Unión.
El proyecto de ley, siguiendo las pautas de la Directiva, contiene una serie de previsiones muy concretas en relación diversos aspectos, siendo una de las más importantes la obligación que se impone a todas las entidades y organizaciones, tanto públicas, como privadas, de establecer internamente sistemas que permitan que, quienes mantienen una relación laboral o profesional con las mismas, puedan informar o alertar de las irregularidades de que hayan tenido conocimiento en el contexto de dicha relación, y todo ello con plenas garantías de que no van a ser objeto de represalias por tal motivo [1].
Sin perjuicio del considerable retraso que acumulamos en la transposición (debería haber estado finalizada en el mes de diciembre de 2021), lo cierto es que todo apunta a que en pocos meses la norma pueda estar aprobada, tras lo cual los distintos organismos y entidades deberán tener plenamente implantados y operativos estos sistemas en un plazo máximo de tres meses [2].
En el ámbito del sector público, que es el que aquí nos ocupa, el cumplimiento de esas previsiones exige ir ganando tiempo en su planificación, para poder hacer frente a las mismas con un mínimo de rigor y solvencia. Recordemos, en primer lugar, que, la Directiva imponía esta exigencia con carácter general a todas las entidades del sector público, previsión que se incorpora en el proyecto de ley con gran amplitud, de modo que prácticamente ningún organismo o entidad puede eximirse de esta obligación [3] .
Siendo así me atrevería a decir que, salvo en el ámbito de las sociedades mercantiles públicas, que ya avanzaron de forma notable en esta materia como consecuencia de la extensión a las mismas del régimen de responsabilidad penal de las personas jurídicas (artículo 31 quinquies del Código Penal tras la reforma operada por la Ley Orgánica 1/2015, de 30 de marzo), no son muchas las entidades del sector público que disponen actualmente de estos sistemas, de modo que, a esta fecha, el mayor reto lo tienen aquellas que tienen que empezar desde cero.
Sea como fuere, debemos partir del hecho de que, tal y como viene reclamando desde hace años la OCDE, para que estas herramientas tengan unan funcionalidad real deberían estar sólidamente asentadas dentro de un sistema de integridad de la organización, el cual a su vez debería descansar en una cultura ética, algo que debería abordarse en una primera etapa de forma imprescindible. Por ahí se debería empezar, por tanto.
Sería necesario, igualmente, avanzar en planificación del diseño de los elementos esenciales de estos sistemas y su encaje dentro de las estructuras organizativas de cada organismo o entidad. Es necesario tener muy claro que el proyecto de ley no se limita a exigir que se cuente con un canal para que internamente se pueda informar de las irregularidades, sino que impone que el mismo se integre dentro de un sistema, con un responsable al frente nombrado por el órgano de administración o de gobierno de la entidad, quien deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de organización de la entidad u organismo. Ello hace que sea imprescindible empezar a pensar cuando antes por el modelo a seguir.
En muchas administraciones públicas ya están residenciadas algunas funciones de este tipo en las inspecciones de servicios, mientras que otras cuentan con canales de denuncias en el seno de oficinas u organismos en materia de corrupción situados fuera de la estructura administrativa para dotarlos así una mayor autonomía e independencia. Del mismo modo, tampoco es posible desconocer que en el marco de los Planes Antifraude a que se refiere la Orden HFP 1030/2021, por la que se configura el sistema de gestión del Plan de Recuperación, Transformación y Resiliencia, se recomienda a las entidades decisoras o ejecutoras o que participen en la ejecución de las medidas del PRTR, la creación de un Comité antifraude y de una unidad de control interno [4] , unidades que, de existir, no deberían quedar al margen del sistema de integridad ni desvinculadas del responsable del sistema al que se refiere la Directiva y el proyecto de ley.
Ciertamente no todas las entidades tienen las mismas características, de modo que también resultará necesario hacer, cuando menos, una primera valoración de la situación de cada cual, sus posibilidades y sus necesidades en orden a plantearse el compartir el Sistema y los recursos con otras entidades (art. 8.9 de la Directiva y 14 del proyecto de Ley) o, en su caso, de acudir a la gestión a través de un tercero externo (art. 15 del proyecto de Ley). En este ámbito, las Comunidades Autónomas y, sobre todo, las Diputaciones provinciales, deberían también ir diseñando las actuaciones posibles para ayudar a su puesta en marcha, a través de subvenciones o de asistencia, prestando especial atención a los municipios más pequeños.
Por otra parte, cabe señalar que, Incluso en aquellos casos en que las entidades ya dispongan de canales internos que permitan alertar de irregularidades, resultaría necesario adaptarlos a las exigencias de la Directiva y de la norma de transposición, tal y como establece la Disposición transitoria primera del proyecto de Ley. Entre otras, habría que prestar especial atención a algunas cuestiones esenciales:
• En su diseño, es necesario que estos canales aparezcan diferenciados y sean independientes respecto de los canales o sistemas internos de información de otras entidades u organismos. Esta cuestión es importante tenerla en cuenta para determinados canales de denuncia que ya tienen establecidos algunas administraciones públicas, y que, a fecha actual, dan servicio a otros organismos o entidades de su propio ámbito.
• En cuanto a sus destinatarios, deberá garantizarse que puedan acudir a estos canales, al menos, las personas a las que se refiere el artículo 3 del proyecto de Ley, y que, a través de estos canales, éstos puedan alertar o informar sobre todo el catálogo de irregularidades previstas en la norma de transposición siempre que hayan tenido conocimiento en el contexto laboral o profesional.
• Internamente, deben establecerse, con carácter previo, estrictos protocolos de seguridad. La norma exige que los canales sean seguros, de modo que esos protocolos deben impedir el acceso a terceros no autorizados y garantizar la confidencialidad de los datos de quienes informan sobre las irregularidades, de las personas afectadas, o de cualquier tercero que se mencione en la información suministrada, incluso en aquellos supuestos en que la comunicación sea remitida a personal no competente.
• En el plano tecnológico, los canales no sólo deben permitir que las alertas sobre infracciones se presenten de forma anónima, sino que deben garantizar que ese anonimato se proteja. Como es sabido, el anonimato supone un paso más allá de la confidencialidad, de modo que, en estos casos, ni siquiera podría acceder a conocer la identidad del denunciante el encargado de la recibir las alertas o informaciones, ni el responsable de su tramitación, seguimiento e investigación. Ello, como es lógico, exige ir avanzando a la hora de implementar herramientas que permitan esas soluciones, de modo que en los entornos digitales la conexión pase por túneles cifrados que impida rastrear la fuente de la información.
• De forma paralela, estos sistemas deben ir asociados a una serie de garantías que brinden protección a los informantes para evitar cualquier tipo de represalia. Esto exige que esas garantías también estén perfectamente delimitadas y definidas, con carácter previo, en el ámbito de la propia entidad u organismo.
Convendría no dejar para el último momento estas cuestiones, máxime si tenemos en cuenta que muchas de ellas, por su naturaleza, exigen de la participación de los representantes de los trabajadores.
El reloj que cuenta los plazos para cumplir estas exigencias está más cerca de ponerse en marcha, y la propia norma pretende que su incumplimiento no le salga gratis a nadie, contemplando sanciones de hasta un millón de euros para las entidades que no implanten estos sistemas, con lo que será mejor no despistarse.
Si la reforma en materia de responsabilidad penal de las personas jurídicas supuso la generalización de los sistemas de compliance en el sector privado y en las sociedades mercantiles públicas, quizás esta norma pueda suponer un estímulo para que, el resto de entidades del sector público puedan avanzar en un ámbito tradicionalmente tan descuidado para ellas, como es el de la integridad y lucha contra la corrupción. Quizás también, ello nos pueda servir para evitar que la corrupción siga apareciendo como uno de los problemas más importantes para los españoles o para recuperar la confianza perdida en las instituciones, que buena falta nos hace. Nos sobran los motivos, y como dijera el Marqués de la Ensenada a Fernando VI allá por 1751 “Majestad, lo que no se empieza, no se acaba”.
Ignacio Sáez Hidalgo
Letrado y Exdirector de los Servicios Jurídicos de la Junta de Castilla y León
[1] No estarían sujetas a esta obligación las entidades jurídicas del sector privado que tengan menos de 50 trabajadores.
[2]El proyecto prevé en su disposición transitoria segunda que el plazo de que se dispone para la efectiva implantación de estos canales es de tres meses desde su entrada en vigor, con la única excepción en el sector público de los municipios de menos de 10.000 habitantes, y en el sector privado de las entidades jurídicas con menos de 249, para los que contempla una extensión del plazo hasta el 1 de diciembre de 2023.
[3]La Directiva permitía excluir a los municipios de menos de 10 000 habitantes o con menos de 50 trabajadores, u otras entidades con menos de 50 trabajadores, pero el proyecto aprobado por el Gobierno ha optado por que no opere excepción en este sentido, sin perjuicio de que puedan compartir medios.
[4] Orientaciones elaboradas por el Ministerio de Hacienda y Función Pública de fecha 24 de enero de 2022 https://www.fondoseuropeos.hacienda.gob.es/sitios/dgpmrr/es-es/Documents/Orientaciones plan antifraude PRTR_SGFE_MHFP_enero 2022.pdf