Canal de denuncia en planes de prevención de delitos

El artículo 31 bis.5 de dicho Código, concreta los contenidos que se deben plasmar en tal Modelo. Nos centraremos aquí en la "obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención"; una exigencia que se ha materializado en la creación de canales de denuncia a disposición de los trabajadores para poner en conocimiento de la empresa cualesquiera conductas potencialmente ilícitas.

En España, hasta la fecha, la adopción de este tipo de canales de denuncia ha venido, en gran medida, propiciada por la recomendación de la Comisión del Mercado de Valores introducida en 2006 para las empresas cotizadas a través del Código Unificado de Buen Gobierno de las Sociedades Cotizadas, conocido como Código Conthe.

Uno de los aspectos más polémicos de este tipo de instrumentos hace referencia al alto riesgo de estigmatización de la persona denunciada dentro de la organización a la que pertenece. Por este motivo, es imprescindible garantizar sus derechos a través de -entre otras medidas- una correcta aplicación de las normas sobre protección de datos, que haga compatible los canales de denuncias con los derechos del denunciado.

Esta problemática fue tratada en profundidad tanto por el Grupo de Trabajo del artículo 29 (órgano consultivo de la UE que se ocupa de la vigilancia de la aplicación de la Directiva 95/46/CE, sobre protección de datos), como por la propia Agencia Española de Protección de Datos (informe jurídico 128/2007). Ambas entidades definen los requisitos básicos del procedimiento de denuncia y delimitan el marco de actuación en esta materia: la información al denunciante; la confidencialidad sobre su identidad; el secreto profesional de quienes manejen los ficheros en los que figuren tales datos, o las medidas técnicas y organizativas precisas para la protección de los datos personales que se recaben.

Cuestión polémica es si en determinadas circunstancias, ante la necesidad instructora de la empresa, puede obviarse el derecho del denunciado a ser informado de su situación, lo que, a priori, es un trámite obligado. Así, el responsable del sistema podría retener la correspondiente notificación al denunciado, siempre y cuando exista un riesgo considerable de que aquella comprometa la investigación que se esté llevando a cabo. En todo caso, la demora en la notificación al denunciado es limitada, y no debería sobrepasar los tres meses previstos en artículo 5.4 de la. Ley Orgánica de Protección de Datos (LOPD).

En la otra cara de la moneda está el denunciante, quien también puede sufrir las consecuencias de un sistema que facilite su identificación, de ahí que sea necesario garantizarle su confidencialidad. Y ello debe ser así pues la decisión de un trabajador de presentar una denuncia depende de que se le aseguren tanto la imparcialidad y la independencia, como, sobre todo, la confidencialidad más absoluta respecto de su identidad.

Del mismo modo, el sistema también debe ofrecer verdaderas garantías al denunciante de que no sufrirá represalias como consecuencia de su decisión. Si la organización no es capaz de ofrecer este tipo de respaldo o el mismo es inconsistente, nadie se atreverá a hacer uso del canal de denuncias, lo pondrá en entredicho el propio Modelo de Prevención de Riesgos Penales a cuyo servicio se creó.

Para lograr los objetivos aludidos, la organización debe crear un órgano interno de gestión de denuncias autónomo, compuesto por personas con elevada formación específica en la materia; que esté separado de otros departamentos de la empresa, en especial del de recursos humanos; y que garantice que la información que se le confiere se transmita, exclusivamente, a las personas responsables de adoptar las medidas necesarias para atajar las irregularidades detectadas.

Como alternativa a la creación de un órgano propio ad hoc, está la externalización del sistema. Así algunas compañías acuden a prestadores de servicios para que gestionen la totalidad o parte del mismo. En cualquier caso, resulta obligatorio formalizar un contrato por el que el prestador de este servicio se comprometa a respetar los principios previstos en la LOPD y a cumplir las obligaciones de confidencialidad y demás impuestas por la legislación vigente.

En todo caso, sea cual fuere el sistema elegido, los trabajadores deberán tener la absoluta seguridad de que las denuncias van a ser tratadas por un órgano totalmente independiente, y que la información que maneje será confidencial.