Área de Derecho Penal de DOMINGO MONFORTE Abogados Asociados.

Colaboración: Mónica Hernández Latorre

La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se incorpora al Derecho español la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, responde, como determina su artículo primero, a una doble finalidad: por un lado, a asegurar una protección adecuada frente a las posibles represalias de las que pudieran ser objeto las personas físicas informantes a las que se refiere la Ley y, por otro, al fortalecimiento y fomento de la cultura de la información y de las infraestructuras de integridad de las organizaciones, amparando, como dice la Exposición de Motivos de la norma, a aquellas personas que mantienen una actitud cívica y de respeto democrático al alertar sobre infracciones graves que dañan el interés general.

Tras estas loables manifestaciones del legislador, subyace un creciente interés del Estado por propiciar el papel de la persona jurídica como colaboradora del poder público, obedeciendo a claras razones estratégicas, ante la insuficiencia de medios y recursos para controlar la cada vez más diversa y compleja actividad empresarial.

Para ello, la referida ley prescinde de la carga peyorativa que en nuestra cultura tradicionalmente se ha revestido a la figura del delator o "chivato"; antes bien, ensalza en la Exposición de Motivos de la Ley “a aquellas personas que mantienen una actitud cívica y de respeto democrático al alertar sobre infracciones graves que dañan el interés general” entendiendo que "resulta indispensable que el ordenamiento jurídico proteja a la ciudadanía cuando muestra una conducta valiente de clara utilidad pública. Además, resulta importante asentar en la sociedad la conciencia de que debe perseguirse a quienes quebrantan la ley y que no deben consentirse ni silenciarse los incumplimientos". Todo ello, en consonancia con la tendencia de la actual política criminal de persecución del fraude y la corrupción y de fomento de la autorregulación en las corporaciones, y la cada vez mayor influencia del sistema anglosajón de compliance de prevención de incumplimientos en el seno de las organizaciones.

Es por ello que, a partir de la entrada en vigor de esta norma, es muy previsible que exista un aumento considerable en la afloración y consiguiente persecución de los delitos en los que se vea involucrada la persona jurídica.

Debemos partir de un breve recordatorio de que, en nuestra legislación, se estableció por primera vez la responsabilidad penal de las personas jurídicas con la reforma del Código Penal del año 2010. Dicha regulación sufrió una importante modificación por la Ley Orgánica 1/2015, de 30 de marzo, que introdujo los denominados modelos de organización y gestión como forma de exoneración de su responsabilidad cuando se cumplen determinados requisitos enumerados por el artículo 31bis del Código Penal e interpretados por la jurisprudencia.

Tras el abandono en nuestro sistema jurídico del principio societas delinquere non potest han corrido ríos de tinta respecto a la naturaleza de la responsabilidad penal de la persona jurídica y, así, se ha discutido si se trata de una responsabilidad por hecho propio o autorresponsabilidad o, por el contrario, acoge nuestro Derecho el sistema vicarial de la heterorresponsabilidad o transferencia de responsabilidad por hecho ajeno, con las diferentes implicaciones que conlleva, sobre todo en cuanto a la carga probatoria de la existencia y eficacia del sistema de prevención de delitos al que nos hemos referido en el párrafo anterior.

El análisis doctrinal no ha sido pacífico y está en constante desarrollo jurisprudencial, como reconocen las últimas sentencias dictadas que abordan la materia. Las cuestiones más polémicas se han centrado, asimismo, en la determinación de los posibles sujetos que pueden ser nombrados representantes de la persona jurídica en el proceso y respecto al alcance del nemo tenetur del que gozan en su condición de representantes de la misma; también han surgido controversias acerca del deber de confidencialidad de los asesores legales de la persona jurídica, siendo necesario diferenciar, entre los abogados in house y los abogados externos cuando actúan amparados por el derecho de defensa.

Podemos decir que todas estas cuestiones y otras muchas que inciden directamente en el ejercicio del derecho de defensa por parte de la persona jurídica han ido resolviéndose por nuestra jurisprudencia con mayor o menor acierto y excede a la pretensión de este artículo detenerse en su análisis. Pero resulta interesante, no obstante, llamar la atención sobre algún aspecto novedoso de esta Ley que afectará también de manera sustancial al referido derecho.

En primer lugar, es importante advertir que, para una gran cantidad de organizaciones, el establecimiento de un sistema interno de información o canal de denuncias, como se ha denominado tradicionalmente, deviene ya, a partir de la entrada en vigor de esta ley y según los plazos que la misma determina en función del tamaño de la organización, en una obligación legal.

Ello repercute en múltiples aspectos que afectan a la persona jurídica, desde su propio diseño institucional, pasando por la gestión de sus riesgos, hasta implicaciones en el tratamiento de las comunicaciones recibidas a través de este canal o incluso en la defensa jurídica de la organización, si se produjera un ilícito penal o administrativo grave en su seno.

 

Entre las previsibles repercusiones de la nueva norma, me gustaría llamar la atención de su posible colisión con el derecho a la no autoincriminación, del que también goza la persona jurídica en nuestro sistema legal y del que son expresión, concretamente, el derecho a guardar silencio, derecho a no declarar contra uno mismo y el derecho a no confesarse culpable.

Debemos traer aquí a colación el Auto de la Sala Penal de la Audiencia Nacional, Sección 4ª, Auto nº 391/2021, de 1 de julio, por el que se revoca la petición del juez instructor de los documentos que conforman el sistema de compliance de la empresa enjuiciada, así como las evidencias obtenidas a través del canal de denuncias de la organización. En dicha resolución, apoyándose en la jurisprudencia del Tribunal Europeo de Derechos Humanos, así como en la de nuestro Tribunal Constitucional, se realiza una interesante distinción, entre los requerimientos de aportación de documentos a la persona jurídica investigada que pueden transgredir su derecho a la no autoincriminación y aquellos otros que no violarían tal garantía regulada en los artículos 409 bis y 786 bis de la Ley de Enjuiciamiento Criminal.

Y niega, en este caso, que pueda requerirse la aportación de documentos cuya existencia dependa únicamente de la voluntad del investigado; no así los que deriven de una previa obligación legal.

Establece ahora la Ley 2/2023 de 20 de febrero que estamos analizando, en su artículo 26, la obligación de llevanza de un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, estableciendo la posibilidad de acceso al mismo por la Autoridad Judicial en el marco del proceso. Por lo que parece que podemos entender que la documentación que se derive de esta obligación legal ya no quedaría amparada por el nemo tenetur se ipsum accusare de la persona jurídica.

Será necesario, por tanto, ser muy cautelosos con la aprobación de políticas y procedimientos a seguir en la gestión del sistema interno de información, así como cumplir plenamente los principios de confidencialidad, protección de datos y secreto, y los mecanismos de blindaje del informante que exige la norma para no incurrir en ninguna infracción que pudiera generar sanciones administrativas o incluso ilícitos penales, cumpliendo, asimismo, escrupulosamente, las condiciones que permitieran su eventual aportación con plenas garantías al proceso en el caso de que a la persona jurídica así le interesara o fuera requerida para ello.

Otro aspecto a resaltar es la necesidad de nombrar en el seno de la propia organización a un responsable del sistema interno de información que deberá ser una persona física y, en el caso de tratarse de un órgano colegiado, éste deberá delegar en uno de sus miembros las facultades de gestión del sistema. Dicho responsable, cuyo nombramiento será comunicado a la Autoridad independiente de Protección del Informante, deberá ser un directivo de la entidad de que se trate y ejercerá sus funciones con autonomía e independencia del órgano de administración.

Mediante esta previsión, el legislador ha tratado de evitar las estrategias corporativas que buscan eludir la responsabilidad de la organización mediante la externalización de funciones cuando éstas puedan, llegado el caso, resultar amparadas por el legal privilege del abogado defensor.

Por todo ello, resulta apremiante, máxime teniendo en cuenta la envergadura de las sanciones que la Ley prevé que pueda imponer la nueva figura de la Autoridad independiente de Protección del Informante y, que pueden llegar, tratándose de infracciones muy graves, hasta la cuantía de 1 millón de euros, así como a la prohibición de obtener subvenciones o beneficios fiscales o a contratar con el sector público, que la persona jurídica reciba un adecuado asesoramiento especializado que le permita dar cumplimiento a sus obligaciones salvaguardando sus intereses y que le posibilite ejercer plenamente sus derechos y garantías procesales.