El sistema de control interno ante la reforma del código penal: La denuncia interna o whiste blowing

El 23 de diciembre próximo entra en vigor la reforma del Código Penal, que establece un nuevo marco de la responsabilidad penal de las personas jurídicas y que puede derivar en responsabilidades personales del equipo directivo en el hecho delictivo.

En este sentido, el artículo 31 del Código Penal queda como sigue:

«1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables de los delitos cometidos en nombre o por cuenta de las mismas, y en su provecho, por sus representantes legales y administradores de hecho o de derecho.

En los mismos supuestos, las personas jurídicas serán también penalmente responsables de los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en provecho de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior, han podido realizar los hechos por no haberse ejercido sobre ellos el debido control atendidas las concretas circunstancias del caso.

2. La responsabilidad penal de las personas jurídicas será exigible siempre que se constate la comisión de un delito que haya tenido que cometerse por quien ostente los cargos o funciones aludidas en el apartado anterior, aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella. Cuando como consecuencia de los mismos hechos se impusiere a ambas la pena de multa, los jueces o tribunales modularán las respectivas cuantías, de modo que la suma resultante no sea desproporcionada en relación con la gravedad de aquéllos.

En este ámbito se concreta un catálogo de penas imponibles a las personas jurídicas, añadiéndose –respecto a las hasta ahora denominadas consecuencias accesorias (disolución, suspensión de actividades, clausura de establecimientos...), la multa por cuotas y proporcional y la inhabilitación para obtener subvenciones y ayudas públicas, para contratar con las Administraciones Públicas y para gozar de beneficios e incentivos fiscales o de la seguridad social.

http://www.boe.es/boe/dias/2010/06/23/pdfs/BOE-A-2010-9953.pdf

Las principales conclusiones –de modo sucinto y para lo que aquí interesa – son:

    Que los representantes y administradores de hecho o de derecho pueden ser imputados por responsabilidad penal     de la empresa.

    Que la empresa puede ser responsable penalmente por falta de control interno por el órgano directivo.

    Que es necesario que se lidere por parte de los representantes y administradores un sistema de CONTROL interno       de la empresa a fin de evitar conductas delictivas en el seno de la organización.

En cuanto a mecanismos de control interno podríamos entender:

            Planificación y ejecución de AUDITORIAS ÍNTERNAS periódicas

            Contratación de AUDITORIAS EXTERNAS

            Implantación de CÓDIGOS DE CONDUCTA internos de la organización o suscripción a los ya existentes                         en el sector.

            Desarrollo de documento interno de buenas prácticas y suscipción por los empleados.

Está claro que estas medidas de control interno tienen su sentido y eficacia en el marco de las grandes corporaciones, en las que es necesaria. Debe liderarse este proceso por parte de Dirección corporativa de la organización.

Ahora bien, la gran cuestión es, una vez establecidos los mecanismos de control, ¿cómo denunciar aquellos comportamientos que pueden suponer una responsabilidad de la empresa y afectar al equipo directivo?

Pensemos en la delicadeza del tema tanto a nivel del denunciante como del denunciado, así como la prueba de la conducta diligente de la persona que ha tenido conocimiento de la conducta reprobable. 

El mecanismo interno de control normalmente se establece por vías de comunicación telefónica o presencial y –en general - de forma anónima, pero está claro que la existencia de esta información revelada genera información personal tanto del denunciante como del denunciado y, en su caso, el órgano interno que tiene que determinar las responsabilidades internas.

En este sentido, debemos tener presentes los siguientes dos documentos:

1.- Consulta emitida a la AEPD en 2007

Se consultaba la regularidad de un sistema de Whistle blowing en un grupo empresarial farmacéutico. En esta consulta se hace referencia constante a la opinión 1/2006 y se pueden extraer varias conclusiones:

El sistema de control aunque genere un expediente en papel debe estar sujeto a la normativa en protección de datos.

En la Ley de Mercado de valores hay la previsión de control que afecta a las empresas sujetas a este mercado.

Debe informarse de todo el sistema de implementación a los trabajadores.

La denuncia no puede ser anónima.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/pdfs/2007-0128_Creaci-oo-n-de-sistemas-de-denuncias-internas-en-las-empresas-mecanismos-de-whistleblowing.pdf

2.- Opinión 1/2006 sobre la aplicación de las normas de protección de Datos de la Unión Europea a los mecanismos internos de “Whistleblowing” en el ámbito de la contabilidad y los controles internos de auditoría, la lucha contra la estafa y los delitos bancarios y financieros.

De este texto cabe señalar aspectos de mucho interés:

1º. Este dictamen no se refiere a un ámbito distinto de lo señalado por lo que otros delitos en que pueden incurrir las personas jurídicas no están contemplados.

En nuestra opinión podría quizás establecerse una cierta analogía para otro tipo de delitos.

2º. Estos códigos de conducta a raíz de la normativa Ley Sarbanes Oxley de 2002, americana, son obligatorios para las sociedades que cotizan en bolsa y sus filiales en Europa.

3º. La implementación no debe hacerse de forma sustitutiva de los mecanismos de la organización, sino de forma complementaria.

4º. Los datos del denunciante serán tratados de forma confidencial a todos los efectos, excepto respecto los que deben estudiar el caso.

5º. Los datos deben ser adecuados, pertinentes y proporcionados al fin que se lleva a cabo.

6º. Plazo de dos meses, salvo excepciones, de conservación de los datos en el programa.

7º. Al denunciado deberá informársele, teniendo en cuenta ciertas cautelas en cuanto al plazo de información por el peligro de la destrucción de pruebas y evidencias. Tiene los derechos ARCO limitados, no puede conocer la identidad del denunciante.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/docu_grupo_trabajo/wp29/2006/common/pdfs/WP-117-sarbanes-ES.pdf

Este es un tema muy interesante, el propio director de la Agencia solicitó la regulación de la denuncia Interna en nota de prensa de 2.009, aplicable a todas las empresas españolas.

En definitiva, es conveniente atender al siguiente esquema:

  Valoración sistema de control Interno Prevención conducta delictiva tanto del equipo de dirección como del Staff          bajo dirección. Las consecuencias pueden ser tanto del equipo directivo de hecho o de derecho como de la                  empresa por falta de control.

  Decisión de adoptar un sistema de control interno: Elección del proceso Interno o externo (Auditoría – Código de          Conducta)

 El código Interno debe tener implementado un sistema de denuncia Interna: El llamado whiste blowing. Este                sistema puede ser Interno o externo a la compañía.