Superado el vértigo que supone aceptar la (irrechazable) oferta de colaborar con esta publicación, afronto el presente artículo desde la barrera, adelantando que no tengo soluciones a los problemas de indefensión que la citada Ley plantea para las personas jurídicas en los contextos que se analizan en este artículo de opinión.

Sobre la vulneración del derecho de la persona jurídica a no autoincriminarse ya se han pronunciado voces más autorizadas cuyos argumentos utilizaré existiendo, qué duda cabe, criterios con más peso que ya han ollado este camino. En mi haber sí puedo indicar que he tenido la habilidad (suerte) de estar en el foro adecuado y en el transcurso de discusiones del más alto nivel¹ donde he podido escuchar y tomar algunas de las notas que aquí se plasman. No es poco.

Muchas de las reflexiones que se contienen son fruto del eco que me hago de aquello que, en boca o pluma de terceros, cuestionan la constitucionalidad de algunas de las obligaciones que la Ley de protección del informante impone a las personas jurídicas. Dadas las constantes alusiones a la Ley 2/2023 Reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción me referiré a ella en muchas ocasiones simplemente como la Ley.

Una Ley que nació con mucha fuerza y una ambición encomiable, diría que hasta necesaria para seguir impulsando la cultura de cumplimiento en empresas y organizaciones.

Una Ley que nació con certezas e incertidumbres que no han sido todavía despejadas. Entre estas últimas cuándo comparecerá uno de los actores más importantes en este escenario: La Autoridad Independiente de Protección del Informante (A.A.I). En el momento de escribir estas líneas me hago eco de un borrador del Estatuto de la Autoridad Independiente de Protección del Informante fechado el 24 de abril².

No estará de más que cuando se siente a la mesa como último y retrasado comensal, utilice la prerrogativa que la Ley le otorga para elevar cuestiones controvertidas a fin de poder modular, aclarar e incluso instar la modificación de  preceptos como los que afectan al derecho de defensa de los sujetos obligados por la ley (Personas Jurídicas).

Un año y medio después de la entrada en vigor de la Ley, con todos los sistemas de compliance adecuando sus canales de denuncias a los nuevos requisitos, uno de los temas que más tinta ha ocupado son las consecuencias prácticas de la aplicación del artículo 9.2j, regulador del procedimiento de gestión de las informaciones:

j) Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea

Si los hechos son constitutivos de una infracción administrativa (art. 2.3b Ley 2/2023) no se plantea debate alguno como tampoco cuando afecte a intereses de la Unión Europea en materias que no revistan una dimensión penal.

Pero si la comunicación apunta a la comisión de un delito en el seno de la empresa y se dan a priori las circunstancias legales para incriminar a ésta (al menos el beneficio directo o indirecto) la proactividad y obediencia debida pueden verse seriamente comprometidas.

Si añadimos el carácter inmediato con el que la ley conmina a comunicar y la naturaleza indiciaria de estar ante la presencia de un delito, la obligación legal se sitúa en el estado primigenio de recibir la comunicación y, tras el triaje oportuno (materia objeto de comunicación, naturaleza de los hechos…) revelar el asunto y todos sus pormenores al Ministerio Fiscal.

 Más allá del deber legal ¿conviene hacerlo a sabiendas de las consecuencias penales para la entidad? ¿Se auto inculpa la persona jurídica?.

 No existe una obligación legal de conocer de inicio cuándo los hechos pueden o no ser constitutivos de un delito o si indiciariamente nos encontramos ante una actividad delictiva. De hecho no son pocas las situaciones en las que, en el transcurso de una investigación interna, se llega a esta conclusión tras semanas de pesquisas, interrogatorios y diligencias internas. Por ello no vulnera la Ley el hecho de que no reportar inmediatamente una comunicación sino en el transcurso o al final de la gestión de la misma y dentro del plazo legal de tres meses conferidos por la propia ley. O seis meses si la investigación se complica.

Aquí parece salvada la obligación de urgencia con la que la Ley conmina a poner en conocimiento de la Fiscalía los hechos delictivos, dando una suerte de árnica que permite a la persona jurídica investigar primero a nivel interno qué, quién y cómo en relación con los hechos denunciados.

El escollo a este escenario es el artículo 26 de la Ley que impone la obligación de…contar con un libro-registro de las informaciones recibidas y de las investigaciones internas que hayan dado lugar, garantizando en todo caso, los requisitos de confidencialidad previstos en esta ley.

Este registro no será público y únicamente a petición razonada de la Autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquella, podrá accederse total o parcialmente al contenido del referido registro.

Esos requisitos de confidencialidad se refieren a datos e identidad de los implicados en la comunicación y su posterior gestión (investigación) pero nada encuentro en relación con el contenido de la investigación que incluiría hechos, circunstancias u otros hallazgos que impactan en la propia organización y su eventual estatus de potencial investigado. Existe además la obligación de colaborar con la Autoridad Independente de Protección del denunciante (art. 19) cuyos miembros tienen la condición de funcionarios públicos con las consecuencias que puede tener la renuencia a cumplir con sus requerimientos.

Antes de la entrada en vigor de la Ley 2/2023 existe un antecedente judicial que procede traer a colación en relación con la colaboración “auto inculpatoria” y su elusión por parte de una persona jurídica.

En el contexto de la instrucción llevada a cabo por el Juzgado Central de Instrucción nº 2 de la Audiencia Nacional, Diligencias Previas 10/2016 (Caso Abengoa), se resolvió un recurso de apelación por parte de la Sala Penal Sección 4ª en relación a la solicitud de aportación a la causa del programa de cumplimiento normativo (compliance) y de la totalidad de las denuncias internas recibidas entre los años 2013 a 2016 con el contenido de las investigaciones llevadas a cabo en relación con las mismas³.

Mediante auto de fecha uno de julio de 2021, la citada sección resuelve el recurso estimando el mismo de forma parcial y dejando sin efecto el requerimiento judicial únicamente respecto de los citados documentos.

El argumento esgrimido por los magistrados que resuelven el recurso, haciéndose eco de la jurisprudencia del TEDH, descansa sobre la base de que el derecho a no auto inculparse alcanza la negativa a aportar datos y documentos de creación voluntaria y respecto de los cuales la persona jurídica tiene plena disposición y dispensa de no aportarlos si de su contenido puede desprenderse su responsabilidad penal en los hechos investigados.

Distinta suerte corre la documentación de obligada tenencia, existencia o llevanza por parte de una persona jurídica. Aquellos documentos que ex lege debe tener la organización y que no están amparados por esa “dispensa” de exhibición y entrega. En el caso concreto que resuelve la Audiencia Nacional se refiere a las actas de auditoría interna o las Cuentas Anuales consolidadas.

Conviene recordar que este criterio es anterior a la entrada en vigor de la Ley 2/2023 de protección del informante de cuyo articulado (especial atención al art. 26) se desprende la obligación legal de tener y mantener un registro de informaciones. Las denuncias/comunicaciones y la gestión de las mismas (investigaciones) ya no son un acto/documento de creación voluntaria sino obligatoria, lo que les equipara a los documentos no amparados por la voluntariedad en su aportación bajo el derecho a la no autoinculpación.

Esta doble obligación que impone la Ley 2/2023, la de comunicar de forma inmediata a la Fiscalía la comisión de un ilícito penal en la empresa y la de facilitar documentación que antes era de creación voluntaria, impacta de lleno en el derecho de defensa de las personas jurídica  y su estrategia.

Una de las soluciones que se plantea en relación con este dilema es la dudosa constitucionalidad de los artículo 9.2j, el 26 párrafo 2º y quizás el apartado 5º del artículo 19:

5.Todas las personas naturales o jurídicas, privadas o públicas, deberán colaborar con las autoridades competentes y estarán obligadas a atender los requerimientos que se les dirijan para aportar documentación, datos o cualquier información relacionada con los procedimientos que se estén tramitando, incluso los datos personales que les fueran requeridos.

Los funcionarios de la Autoridad Independiente de Protección de Informante tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones. No planteo un escenario de comisión de delito de desobediencia contra un agente de la autoridad pero tal condición refuerza el carácter coercitivo de esta obligación de colaborar, exhibir, franquear el paso y  entregar. A ello debo añadir que “cualquier información” es toda la que exista, se documente y forme parte de los procedimientos que se estén tramitando (investigando). Incluso los datos personales que les fueran requeridos.

Tiene fundamento sostener que si la aplicación práctica y literal de los anteriores preceptos vulneran derechos contenidos en leyes de mayor rango como son la propia constitución (art.24.2) o la Ley de Enjuiciamiento Criminal (arts.409 bis, 786 bis), no pueden ejercitarse y quedarán sin efecto práctico.

En este sentido ya tuvieron ocasión de pronunciarse en este mismo medio en diciembre de 2023 Fernando Lacasa y Alfonso Bravo⁴. En concreto y respecto a la obligación de acudir a la Fiscalía aún a expensas de auto inculparse, los citados autores apuntaban que nos encontrábamos con uno de los aspectos más preocupantes de la Ley 2/2023. Me permito reproducir las palabras que en tal sentido ponían en boca del Profesor Lascuráin⁵:

 “el brete inconstitucional, es el siguiente: si mi sistema de cumplimiento es probablemente defectuoso, si denuncio, me denuncio, y si no lo hago, pues también. La salida es esa: la inconstitucionalidad. O la forzada interpretación de que ese deber de denuncia se refiere sólo a los supuestos en los que la entidad no tiene posibilidades de responsabilidad penal, bien sea porque por su índole esté excluida (art. 31 quinquies 1 CP), bien porque se trate de un delito que no genera responsabilidad penal de las personas jurídicas”

Los citado autores sostienen que una solución para no limitar el derecho de defensa de las personas jurídicas en relación a la obligación legal de denunciar hechos que les puedan comprometer penalmente, es restringir dicha obligación a las comunicaciones que no versen sobre actividades delictivas que presenten rasgos “típicos” del delito corporativo que le sería imputable a la persona jurídica.

Al parecer otros países miembros como Portugal, Bélgica o Suecia han contenido esta restricción en la transposición a su ordenamiento jurídico interno de la Directiva 2019/1937.

A mi juicio esta posibilidad sería conciliable con la Ley siempre y cuando no tenga que considerarse en fase de investigación otros criterios de imputación como el déficit de organización, la inexistencia de una fraudulenta elusión de los controles por parte de los autores físicos….amén que, determinar el beneficio directo o indirecto, no siempre está inicialmente tan claro.  Basta con revisar el debate que en este sentido presentan los “nuevos” delitos relativos al acoso laboral, sexual o por razón del sexo.

Siguiendo la línea de esta primera alternativa, basada en la dudosa constitucionalidad de los preceptos legales apuntados,  reiterar que sólo se plantea en la comunicación de hechos que sean delictivos, y dentro  del númerus clausus de aquellos que aparejan la responsabilidad penal de la organización.

Por ello quizás se está haciendo demasiado ruido con la obligación de acudir de forma inmediata a la Fiscalía cuando en la práctica, sólo afectarán al derecho de defensa de la persona jurídica en un número limitado de las comunicaciones que se reciban. Si además se preconiza la existencia de una cultura de cumplimiento que en sus más altos estándares debe exigir que las empresas vayan con todo y hasta el final en el esclarecimiento de hechos y caiga quien caiga…¿Qué problema plantea no denunciar en cualquier caso?. Si apostamos por los sistemas de compliance donde el riesgo cero no existe y podemos optar a la absolución, la atenuación o el archivo a pesar de que se cometa el delito corporativo…¡caminemos todos y la empresa la primera por la senda del compliance¡

Lo anterior es cierto y supone uno de los argumentos que mejor resume el parecer de la Fiscalía en relación con esta materia. La colaboración no debería ser una opción voluntaria de la persona jurídica sino una consecuencia honesta e irrefutable de su compromiso con el cumplimiento normativo. No se les puede llenar la boca a las organizaciones en torno a la robustez de sus sistema si luego se torna en ocultación, reticencias y medias verdades cuando se trata de esclarecer y revelar lo ocurrido.

Mi postura es la de defender la posibilidad de que la persona jurídica juegue con las mismas armas, prerrogativas y oportunidades que las personas físicas en sede penal. En mi trabajo de documentación tenido la suerte de topar con un estudio elaborado por Beatriz Goena Vives que aboga por el “nemo tenetur corporativo” a pesar de  no ser posible equipararlo en toda su dimensión a los derechos de no declarar contra sí mismo ni auto inculparse que se atribuye a las personas físicas⁶.

Goena Vives sostiene que la posibilidad de proteger a la persona jurídica y garantizar su derecho de defensa, debe conciliarse con la realidad que subyace en una corporación, conformada por personas físicas cuyos intereses son en muchas ocasiones contrapuestos y que, en sede judicial, es difícil poder garantizar que la persona jurídica vea amparado su derecho a no auto incriminarse dado que sólo cuando sea contra sí misma y no frente a terceros verá amparado este derecho, siendo lo cierto que hay muchos “terceros” que no están amparados por esta prerrogativa y, teniendo obligación de decir verdad y colaborar con la instrucción, pueden colmar el acervo probatorio de una acusación. 

Para terminar de enturbiar la situación diré que la absoluta transparencia y abnegada colaboración que se exige a la persona jurídica no se cohonesta con el incentivo que debe suponer tener y mantener un sistema de compliance penal, unos canales de comunicación internos y las bondades de investigar de su peculio cualquier irregularidad acaecida en su seno.

Llegados a la situación en la que las exigencias legales compelen a las organizaciones a una suerte de “apertura en canal” exenta de (alguna) garantías, ya hay voces que sostienen que quizás lo menos perjudicial sea no investigar ni producir trabajo que pueda ser utilizado en contra de la organización. Nada hago, nada tengo, nada entrego.  A mi juicio no debe ser el mensaje ni la opción.

Siguiendo el hilo de los posibles escenarios de la “inmediata” puesta en conocimiento de la comisión de un delito, surge la opción de facilitar toda la información al Ministerio Fiscal y permitir que inicie éste una investigación en sede judicial. Puedo colaborar pero nada tengo en mi libro-registro que pueda ofrecer dado que he actuado con la celeridad e “inmediatez” que me exige la ley. Puedo por el contrario y como diligente empresario, indagar de forma paralela y gestionar esta comunicación iniciando una investigación interna. La Ley 2/2023 no lo impide y creo que muchas organizaciones querrían saber de primera mano qué, quiénes y cómo en relación con los hechos. Habría por tanto dos investigaciones simultáneas en curso: la propia e interna de la organización y la impulsada por el Ministerio Fiscal.

Este escenario cumple escrupulosamente con las obligaciones legales contenidas en la Ley 2/2023 y si la empresa es requerida de forma inmediata para aportar documentación y exhibir su libro-registro, al menos sobre denuncias e investigaciones internas poco o nada puede aportar en primera instancia.

Pero la práctica no concibe que con este escenario de la doble investigación pueda la organización eludir la fiscalización de su trabajo interno. Desde el momento en que la organización gestione de forma interna la comunicación recibida y puesta en conocimiento de la Fiscalía, tiene la obligación ex. artículo 26 de registrar todo lo que a nivel interno haga en relación con ella por lo que en cualquier momento puede ser requerido por la Autoridad Independiente y/o el órgano judicial para exhibir, aportar o compartir sus conclusiones y pesquisas.

Queda al margen de mis consideraciones la invocación al secreto profesional y la posibilidad de hurtar de la acción fiscalizadora el “producto del trabajo” en manos o ejecutado por abogados amparados por ese secreto profesional. Sí, es una derivada al tema del presente artículo y otra alternativa para la protección de la persona jurídica, pero creo que entrar en este tema sería desviarme de mis reflexiones y hay mucha y extraordinaria literatura al respecto. Por todas ellas señalar el artículo inédito que ha tenido a bien compartir conmigo su autor, Daniel Tejada Plana⁷.

 Además y en relación con los documentos que conforman el programa de compliance de una organización, no pocos son elaborados por asesores, consultores externos, abogados de la empresa o incluso peritos informáticos a los que no alcanza  o es poco probable que sea extensible la dispensa del secreto profesional⁸.

¿Qué ocurre si la persona jurídica hace caso omiso a los requerimientos de información cursados en virtud de la Ley 2/2023?. Depende de quién lo pida y en qué contexto.

El artículo 26 al que ya se ha aludido anteriormente obliga a los sujetos llamados a establecer un sistema interno de comunicación a tener y mantener un registro de informaciones:

A tenor del párrafo segundo del epígrafe 1 sólo a petición razonada de la Autoridad Judicial competente y mediante auto, puede accederse a su contenido que, como se indica en el mismo precepto, comprenderá las informaciones recibidas y las investigaciones internas a que hayan dado lugar. Precisamente los documentos clave que contienen material sensible a los efectos de la incriminación.

A tenor de la dicción literal del artículo 26 la Autoridad Independiente de Protección del informante no tiene acceso a este libro registro, vedado únicamente a una autoridad judicial y en el marco de un procedimiento. Tranquiliza por tanto pensar que el auto por el cual se accede a la información del libro registro, además de motivado, proporcionado, adecuado y pertinente, huirá de investigaciones prospectivas lo que permite a la entidad requerida acotar el contenido objeto de exhibición o entrega.

Pero que la Autoridad Independiente no tenga acceso a este libro registro me plantea bastantes dudas al amparo de la obligación legal de colaborar con la Autoridad, lo que incluye desde luego “cualquier” información contenida en el libro registro.

No puedo/debo negarme a colaborar con un Juzgado de Instrucción ante el requerimiento de información al margen de las consideraciones que ya han sido comentadas anteriormente. Plantea más problemas si ese requerimiento judicial se hace a la empresa en calidad de testigo o sin la condición de investigada, pero al menos y hasta que cobre forma alguna de las soluciones apuntadas, la organización podrá cribar el contenido de lo que se aporta obteniendo algo más de margen de cara a la defensa de sus intereses penales.

Plantea más dudas y me preocupan los efectos y alcance de requerimientos que provengan de la Autoridad Independiente de Defensa del Informante.  

El título III de la Ley 2/2023 recoge la recepción y gestión de comunicaciones por parte de la A.A.I. De su lectura puede concluirse que en la instrucción de una comunicación por parte de la Autoridad, la persona jurídica puede ser requerida para exhibir o aportar información sobre su canal de denuncias o las investigaciones en curso. La Autoridad no está investigando unos hechos concretos sino el correcto funcionamiento del sistema interno de comunicación de la entidad.

Ello podría implicar el acceso a información-cualquiera-en aras a verificar qué se denunció, quién y cómo se ha tramitado la comunicación, incluyendo desde los plazos de investigación pasando por las garantías del informante y las personas afectadas, la ausencia de represalias, el respeto a los plazos de acuse de recibo y de resolución de todos los hitos que conforman la gestión…en definitiva mucha información que se incluye en un investigación interna.

En aras a verificar el correcto funcionamiento de un sistema interno, la A.A.I podría llegar a acceder a toda la información de nuestras comunicaciones e investigaciones amparada por el legítimo interés en conocer el grado de cumplimiento de las garantías legales de la Ley.

Esto puede ser una suerte de investigación prospectiva llevada a cabo por un órgano no judicial pero sí competente para acceder al libro-registro. ¿Qué ocurre si descubren los funcionarios de la Autoridad un delito? O ¿si creen estar ante una actividad delictiva?. A tenor del artículo 18.c de la Ley, lo pondrán en conocimiento de la Fiscalía en un primer momento, sin instruir. También puede la Autoridad iniciar sus diligencias de investigación y en un momento posterior, concluir que los hechos deben comunicarse al Ministerio Fiscal al ser indiciariamente de naturaleza delictiva.

El borrador del Estatuto que se encuentra actualmente en trámite de redacción y aprobación es consonante con el espíritu de la Ley pero no despeja las dudas que aquí se plantean:

Queda claro que el papel de la A.A.I no es la de investigar los hechos comunicados sino garantizar que los sistemas internos de comunicación cumplen con los requisitos mínimos exigidos por la Ley y en consonancia con la Directiva Europea.

Son dos objetivos muy distintos y no deberían ser vasos comunicantes. Pero lo son. O lo pueden ser, dado que con la redacción de la Ley y la potestad que confiere el artículo 19 a la A.A.I, su intervención se puede convertir en aquello que el citado auto de la Audiencia Nacional pretendía evitar: Las diligencias de prospección.

Deberá por tanto aclarar la A.A.I qué tipo de información es la que recabará en aras a verificar el correcto funcionamiento de los sistemas sin que ello vulnere ni el derecho de defensa de una persona jurídica ni la confidencialidad de la información o traspasar la restricción legal que el artículo 26 impone  a su acceso a los libros-registro (reservado para  la autoridad judicial).

¿Debe la persona jurídica consignar en el libro-registro las investigaciones internas que tengan su origen en otra fuente que no sea la comunicación a través de su sistema?.

No. El libro-registro como obligación es una novedad de la Ley 2/2023 y se circunscribe a las comunicaciones que se reciban a través de los canales que la propia organización debe habilitar. Ello supone que si la “notitia criminis” tiene su origen en una auditoría interna u otro hallazgo casual no se impone el cauce de la Ley. Distinto es que en consonancia con la cultura de cumplimiento, la unificación de procesos y la proclamada transparencia de los sistemas de prevención de delitos corporativos, se aconseje dejar constancia de todo cuanto se gestione por los mismos cauces, esto es el sistema interno de información de la empresa y su posterior registro en el libro.

 El libro registro como viene configurado en la Ley 2/2023 es un elemento de nueva creación ¿qué debe incluir?  En principio y a tenor del artículo 26 las comunicaciones recibidas y su gestión (investigación o tratamiento). Nada especifica en relación con su contenido con lo que bien puede tratarse de una reseña sobre la comunicación y datos concretos de la misma que preserven la identidad del comunicante y de otros datos confidenciales. Si el cometido de la Autoridad es conocer el correcto funcionamiento del sistema, será información suficiente para dar cumplimiento a los requerimientos que la A.A.I tiene derecho a efectuarnos. Insisto, la Autoridad no está investigando los hechos en sí sino velando por el correcto funcionamiento del sistema y las garantías de ausencia de represalias y confidencialidad de la información.

También debe incluir el libro-registro las investigaciones llevadas a cabo, pero este contenido forma parte de la información a la que sólo tiene acceso la autoridad judicial en virtud del apartado 2º del citado artículo. Por lo tanto y en mi opinión, el registro de comunicaciones y la reseña suficiente sobre su gestión (investigación, cierre, remisión a otras autoridades) es lo máximo y único que debe interesar a la Autoridad. Es lo máximo a lo que la organización dará acceso.

En este punto y dado que la anterior conclusión no deja de ser una reflexión personal, cabe plantearse la posibilidad de desobedecer los requerimientos de la A.A.I que se efectúen al amparo de la obligación de colaborar con ella contenida en el artículo 19.5 de la Ley.

En la ponderación de intereses en juego estaría el pago de una multa por infracción leve ex art.63 de la Ley 2/2023 frente al riesgo de auto incriminarse por los contenidos e información que se aporta a la  Autoridad. Así, el citado artículo determina en su apartado 3 que:

Estas infracciones prescriben a los seis meses y prevén multas de entre 1001 y 10.000.-€ si se trata de un infractor persona física y hasta 100.000.-€ para las personas jurídicas (art.65). Esta infracción incluye también la negativa a remitir con carácter inmediato la comunicación a la Fiscalía toda vez que se trata de un acto no precedido de ningún requerimiento ni se produce en el seno de unas diligencias penales en curso.

De nuevo nos encontramos ante el dilema de incumplir para garantizar derechos constitucionales. La resolución de este dilema debe ponderar la posibilidad de que los órganos judiciales accedan a esta información por otros medios legalmente admitidos como son la entrada y registro o la solicitud de dicha información a terceros no amparados por el secreto profesional. Terceros cuyas declaraciones no suponen una declaración de autoinculpación para ellos mismos.

Si antes de la entrada en vigor de la Ley 2/2023 la voluntariedad de los documentos “comprometedores” garantizaba la negativa a su aportación con efectos incriminatorios, la obligación de denunciar y de dar acceso al sistema de comunicación y las investigaciones compromete mucho la posición de defensa-legítima-que ampara a la persona jurídica en sede penal.  De nuevo surge el debate sobre la creación de un estatuto propio que regule la situación procesal penal de la persona jurídica.  Se aboga por el establecimiento de garantías de no utilización de documentos facilitados extramuros de la jurisdicción penal para inculpar a ésta en sede penal. Vuelve a suscitarse la necesidad de dar presencia al papel de  la Fiscalía en la fase de instrucción de una causa penal que ofrezca garantías a cambio de la colaboración espontánea, honesta y voluntaria de la empresa; colaboración que  por mor de la Ley 2/2023 deja de ser tan voluntaria.

Otro aspecto de la Ley que incide en la desprotección de la persona jurídica tiene que ver con hecho de acompañar las comunicaciones de buena fe con documentos y pruebas cuya obtención por parte del informante vulneren la obligación de éste con la persona jurídica y  el principio de lealtad que les vincula y que forma parte de la relación laboral “sinalagmática” entre empresa y trabajador.

El numerando 91 de la Directiva 2019/1937 cita textualmente:

Es decir, el derecho a protección frente a represalias estaría por encima del compromiso de confidencialidad y la lealtad laboral que pudiera suponerse a un trabajador conforme al estatuto de los Trabajadores. ¿Y si para aportar datos a su comunicación cometiese el informante un posible delito? Por ejemplo acceder de forma inconsentida al ordenador de un compañero de trabajo o un área o directorio restringido para él.

La Directiva diferencia entre las acciones que incluyendo el apoderamiento de información de la empresa no supongan un delito y aquellas acciones que impliquen quebranto legal y actividades delictivas. Se pone también el acento en el tipo de información con la connotación de la buena fe y la existencia de indicios racionales y suficientes de que se está comunicando una infracción de carácter penal o administrativo grave o muy grave. Se sigue dando prioridad a la revelación de información sobre la vulneración de otros bienes jurídicos en juego pero se deja a criterio de cada Estado miembro regular esta circunstancia:

Nuestro legislador ha transpuesto este apartado de la directiva en el artículo 38 de la Ley que regula las medidas de protección frente a represalias:

Es (parece) claro que la Ley ampara frente a represalias a quienes de “buena fe” comuniquen y aporten documentos a la comunicación que no deberían estar en su poder. Documentos que han sido sustraídos a la organización sin su consentimiento y conocimiento, violando la obligación de confidencialidad que les vincula y en relación-a menudo-con secretos de empresa o información cuyo apoderamiento castigan los artículos 278 y siguientes del Código Penal.

Se puede tratar en ocasiones de secretos de empresa sobre los que existe obligación de guardar silencio, no apoderarse, divulgar o ser cedida a terceros. Hablo de una lista de iniciados en el sector financiero, información de I+D+i, proyectos con un alto valor económico por la ventaja competitiva que entrañan…

Queda a salvo para la persona jurídica que esta medida de protección no ampara la comisión de delitos o la responsabilidad penal en la que puedan incurrir los informantes. Insisto que la base de esta protección reside en la buena fe, concepto subjetivo cuya ausencia existe en no pocas ocasiones, tardando años en aflorar. Los “motivos razonables” tampoco aportan mucha seguridad jurídica a una persona jurídica inicialmente expoliada.

Pero en lo que a mi juicio es un confusa y torpe redacción de la ley, el apartado 5 del mismo artículo establece:

Desaparece cualquier alusión a la responsabilidad penal al tratarse de los procedimientos judiciales-todos-y por si hubiese alguna duda: a los relativos a la revelación de secretos.

Esto es sostener una cosa y la contraria y creo que el legislador se ha excedido en el empoderamiento de la figura del informante poniendo a la persona jurídica en un brete y desde luego al pie de los caballos.

Supongamos que un informante “de buena fe”, traicionando su deber de fidelidad y confidencialidad con la empresa (contractualmente garantizado en no pocas ocasiones) aporta datos, documentos y otros soportes relevantes que contienen información de alto valor para la empresa. Supongamos que el informante lo hace en su creencia (de buena fe) de estar ante hechos irregulares que no tienen por qué ser constitutivos de un delito. El informante sostiene que es su creencia razonable la que le ha conducido a incautarse de forma inconsentida de documentación propiedad de la empresa. La persona jurídica afectada no puede emprender acciones penales contra él al estar amparado por la protección contra represalias aunque se trate de un delito de revelación de secretos.  Esto es lo que parece desprenderse de la redacción del artículo 38 de la Ley.

Supongamos que se trata de una comunicación pública en la que no sólo se revela el contenido de la comunicación sino que se aportan documentos relevantes al objeto de que se investigue y se depuren responsabilidades. Los documentos confidenciales de la persona jurídica son expuestos públicamente.

Hervé Falciani sustrajo información que finalmente terminó en los Tribunales de un tercer país (España) y que motivó un condena ratificada por la Sala 2ª del Tribunal Supremo sobre la licitud de prueba documental ilícitamente objetiva en su inicio pero desconectada de su destino final que no fue otro que fundamentar la condena de algunos de los integrantes de la lista. En palabras del Alto Tribunal que “coloquializo” en estas líneas, ni el ciudadano Falciani estaba preconstituyendo pruebas para un procedimiento penal ni actuaba como brazo ejecutor del Estado en aras obtener pruebas que sirvieran para encausar penalmente y sostener una acusación.

En aplicación del espíritu de la Ley, el informante que se incaute de forma indebida de documentos lo hace para que se investiguen los hechos y se depuren responsabilidades (incluida la penal). No le mueve en su “buena fe” otro motivo. Conoce el destino final y el efecto que producen los documentos de los que se apodera y revela.

Esto no es nada nuevo y en la ponderación de bienes y derechos en juego primaría la persecución y esclarecimiento de un delito sobre la confidencialidad de documentos que prueben una actividad delictiva.

Pero la redacción de la Ley y especialmente la protección frente a acciones penales como revelación de secretos me parece cuanto menos desacertada o confusa. En primer lugar porque los hechos que pueda haberse cometido tendrán o no la consideración de delitos cuando los mismos se hayan sometido a un juicio contradictorio con oralidad, inmediación  y muchos meses o años de desconexión con la revelación inicial.

Mientras tanto y en aras a la protección del informante de “buena fe”, el perjuicio para la persona jurídica cuyos valiosos datos han sido deslealmente hurtados puede ser irreparable.

No discuto la pertinencia de aportar documentos confidenciales que revelan una actividad delictiva cierta. Pero ocurrirá en ocasiones que la aportación de los mismos, entre los que puede haber algunos de gran valor para su propietario y sin relación alguna con los hechos, sean revelados a terceros y sólo después de meses o años, resulte que su aportación no estaba revestida de buena fe o de la existencia de un delito (archivo de la causa penal, inexistencia de delito, absolución…) o que su contenido amen de irrelevante fue indebidamente sustraído de su legítimo titular.

En este supuesto no será ningún consuelo para la persona jurídica que se permita el inicio de acciones contra el informante cuando el daño puede haber sido irreparable. Nada nuevo, cierto, pero tenía la necesidad de apuntar a la confusa redacción que la Ley 2/2023 ha dado a la transposición de la Directiva en este punto.

En un futuro que vaticino próximo se aclararan los puntos que se exponen en el representa artículo. Confío en el papel de la Autoridad Independiente y la asunción de su papel como garante de los principios de la Ley entre los que no se encuentran ahondar en el fondo de los asuntos que se gestionen a través del sistema interno de comunicación.

Espero y confío en que los Órganos Judiciales serán respetuosos con el derecho de defensa de las organizaciones y tratarán de conciliarlo en la medida de lo posible con el resto de derechos en juego y el principio de igualdad de armas.

Y finalmente siempre nos quedará la sala 2ª del Tribunal Supremo que tanto y tan bien está haciendo para la consolidación de la responsabilidad penal de las Personas Jurídicas.