LA NECESIDAD DE CREACIÓN E IMPLEMENTACIÓN DE LOS SISTEMAS

INTERNOS DE DENUNCIA EN LAS EMPRESAS Y EL ACTUAL ESTADO DE LA

LEGISLACIÓN ESPAÑOLA
1
Diego Gomes Castilho

RESUMEN. En este breve artículo, analizamos la responsabilidad penal de las personas

jurídicas en el ordenamiento jurídico español y la importancia de la existencia de
programas de compliance, que necesariamente deberán incluir sistemas internos de
denuncia efectivos, como condición para la obtención de posible exención o atenuación
de pena de la persona jurídica en caso de eventual condenación penal.

Palabras Clave: Whistleblowing – Compliance - Empresas

ABSTRACT: In this brief article, we analyze the criminal liability of legal entity in the
Spanish legal system and the matter of the existence of compliance programs, which must
necessarily include effective internal complaint systems, as a condition for obtaining a
possible immunity or mitigation of penalty of the legal entity in case of a possible criminal
conviction.

Key Words: Whistleblowing – Compliance – Company

SUMARIO: I - El incremento de los riesgos a los directivos y a las personas jurídicas –

Expansión del Derecho Penal; II – La responsabilidad penal de la persona jurídica y sus
mecanismos legales de exención o atenuación de la pena; III – Una primera aproximación
a los canales de denuncia; IV – La ley de protección de datos y sus reflejos en la creación
de los canales de denuncia; V – Las Principales Características de los Sistemas Internos
de Denuncia; 5.1 Posibles destinatarios y extensión de las materias susceptibles de
denuncia; 5.2 – Descripción de los canales de comunicación de las denuncias y su órgano
receptor; 5.3 – La necesidad de adopción de medidas de protección a los denunciantes;
VI – Reflexiones Finales.

I - El incremento de los riesgos a los directivos y a las personas jurídicas – Expansión

del Derecho Penal

El vertiginoso crecimiento tecnológico y científico, añadido a la

globalización de los países y a las nuevas formas de consumo, generaron un fuerte y veloz
desarrollo de las técnicas empresariales y de los medios de consumo, exigiendo, a su vez,

1
Fiscal en el Ministerio Público brasileño. Doctorando en Estado de Derecho y Governanza Global por la
Universidad de Salamanca. Master en Corrupción y Estado de Derecho por la Universidad de Salamanca.
la evolución del derecho como un todo, para que este pudiera ser apto para enfrentar sus
nuevos desafíos.
La complejidad de las empresas y de sus actividades sigue evolucionando
diariamente, pareciéndonos indudable que las innovaciones tecnológicas, la progresión
industrial a gran escala, la despersonalización de las comunicaciones, los nuevos juegos
de entretenimiento (bungee jump, montaña rusa, entre otros), el agigantado tráfico aéreo,
naviero y terrestre, las sofisticadas maquinarias de construcción, los innumerables objetos
de consumo industrializados (medicinas, alimentos, bebidas, entre otros), los nuevos y
cada vez más veloces y poderosos coches, solamente por citar algunos ejemplos al azar,
han incrementado notablemente los riesgos sociales derivados de la eventual imprudencia
humana, transformando las empresas en una actividad de riesgos.2
En este sentido, la producción equivocada de una determinada medicina, la
manutención mal hecha de un avión, la falta de cuidados ambientales de una empresa de
minerales, entre tantas otras hipótesis, pueden conducir a un desastre de proporciones
globales, con condenas penales y multas extremamente severas, que fácilmente podrán
llevar a la bancarrota grandes potencias industriales.
Ante esta nueva realidad, en las últimas décadas el derecho penal ha
experimentado una significativa expansión sobre áreas de la vida social antes ajenas a él,
invadiendo materias que hasta entonces eran axiológicamente neutras, trayendo una
nueva dimensión y finalidad para el sistema punitivo.
Por cierto, el derecho penal se ha extendido sobre la actividad económica y
empresarial de las personas, ocupándose cada vez más y con mayor frecuencia de los
comportamientos económicos de los ciudadanos, de actividades dirigidas únicamente a
la circulación y utilización de las riquezas. Con esto se pone de manifiesto que el auge
económico de una sociedad y el desarrollo de su actividad empresarial no pasan
desapercibidos para el actual sistema punitivo.3
En este orden de ideas, es indudable que estamos ante un considerable
incremento de los riesgos de la actividad empresarial, donde la posibilidad de quedarse

2
CUNEO LIBARONA, Rafael, Responsabilidad penal del empresario por delitos imprudentes de sus
dependientes, editora Astrea, Buenos Aires, 2011, p.08.
3
RODRÍGUEZ ESTÉVES, Juan María, Riesgo penal para directivos de empresa: atribución de
responsabilidad penal, editora B de F, Montevideo-Buenos Aires, 2016, p.27.
atrapado dentro del sistema punitivo se presenta tanto más elevada, cuanto más
significativo son los roles económicos y sociales desempeñados.
Es importante señalar que nuestra intención en este artículo no es profundizar
la presunta crisis del derecho penal o los motivos de su expansión, sino tan solamente
demostrar el actual escenario de las cosas, que nos ha conducido a una nueva realidad
empresarial, en que la decisión de tornarse empresario se presenta más compleja, con
costes financieros y emocionales cada vez más elevados, difusos e imprevisibles.
Justamente bajo esta nueva perspectiva del derecho penal, algunos antiguos
mantras del derecho empresarial fueron fulminados; en este sentido, merece especial
atención el consagrado brocardo “societas delinquere no potest”, que con la reforma del
Código Penal operada mediante la LO 5/2010, de 22 de junio, experimentó un cambio
estructural histórico, no estando demás decir “un giro de trescientos y sesenta grados”,
como que casi transmudándose el aforismo para “societas delinquere potest”, con la
amplia posibilidad de responsabilización penal de las personas jurídicas.
De lo que estamos tratando de verdad, y esto es imprescindible que se tenga
en mente, es que ahora las empresas, en cierto modo, asumirán una tarea pública,
expandido su rol de obligaciones, debiendo autorregularse con el fin de ponerse al lado
del Estado en la función de controlar nuevos riesgos, proteger accionistas o consumidores
o evitar hechos delictivos. La responsabilidad de las personas jurídicas se enmarca así
dentro de un nuevo pacto entre Estado y poder corporativo, donde a cambio de los
beneficios derivados de la responsabilidad limitada y de la cada vez mayor libertad
económica, estas se comprometen al cumplimiento de determinados fines públicos. Este
nuevo pacto debe ser contemplado desde una perspectiva mundial, como política de buen
gobierno global (global governance), pues desde el punto de vista empresarial, estas
nuevas responsabilidades públicas representan de algún modo el colofón de la
denominada responsabilidad social.4
No estamos diciendo que el legislador solamente ahora se haya dado cuenta
de la importancia de las organizaciones en las sociedades modernas, sino más bien de un
cambio de mentalidad con respecto al papel y a la responsabilidad que a las personas
jurídicas les corresponde con relación a sus externalidades para la sociedad. Hoy existe

4
MARTÍN, Adán Níeto, “La responsabilidad penal de las personas jurídicas: un modelo de
responsabilidad”, in Cuestiones actuales de Derecho penal económico, Madrid, 2008, p.126-127.
claramente la percepción de que las empresas no son inocentes con respecto a lo que
sucede en su ambiente de trabajo y bajo su control, debiendo cumplir con sus obligaciones
éticas y morales, presentando cuenta de sus acciones a la sociedad. Sin embargo, con la
expansión del derecho penal la responsabilidad social de las empresas ha dejado de ser
una simple medida de marketing, tornándose una obligación legal y fundamental para el
buen desarrollo de la actividad empresarial.5
Hechas las consideraciones anteriores, se pone de manifiesto que la expansión
de la responsabilidad penal de las personas jurídicas está indisolublemente ligada a las
ideas de legalidad, responsabilidad social y de ética empresarial. El objetivo del
empresario moderno ha dejado de ser la maximización de sus beneficios a cualquier coste,
pues a día de hoy, el medio empresarial exige que el incremento de las ganancias ocurra
de forma sostenible y siempre en estricta sintonía con las reglas generales de
responsabilidad social corporativa y los códigos internos de buen gobierno.
II – La responsabilidad penal de la persona jurídica y sus mecanismos legales de
exención o atenuación de la pena
En las palabras de la exposición de motivos de la ley 5/2010, resta claro que
su objetivo ha sido regular de manera pormenorizada la responsabilidad penal de las
personas jurídicas, concretando un catálogo de penas imponibles a ellas, con
independencia de la responsabilidad de las personas físicas. Además, reguló
taxativamente los supuestos de atenuación de la responsabilidad de las personas jurídicas,
entre los que podemos destacar, la confesión de la infracción a las autoridades, la
reparación del daño y el establecimiento de medidas eficaces para prevenir y descubrir
los delitos.
De lo expuesto podemos extraer que la intención del legislador ha sido utilizar
el derecho penal como un medio de estímulo o coerción para la implantación de políticas
de cumplimiento de legalidad, forzando a las empresas a adecuarse a las nuevas
exigencias sociales existentes.
El artículo 31 bis del Código Penal, en virtud de la citada reforma, introdujo
en nuestro ordenamiento jurídico la posibilidad de que una persona jurídica fuera
penalmente responsable. No está demás recordar que hasta entonces eran los

5
FEIJOO SÁNCHEZ, Bernardo, El delito corporativo en el código penal español – cumplimiento
normativo y fundamento de la responsabilidad penal de las empresas, Thomson Reuters Civitas, Navarra,
2016, p.22-23.
administradores de las empresas los que respondían penalmente por aquellos hechos
cometidos individualmente, como consecuencia del ejercicio del cargo que ocupaban.
Además, el mismo artículo, en su apartado tres, contemplaba de forma
bastante superficial, que la persona jurídica sería penalmente responsable por los hechos
que “hubiesen ocurrido por no haber ejercido el debido control”.
La nueva legislación ha fallado en diversos aspectos, siendo que el más
significativo para el ámbito del presente trabajo, ha sido no contemplar cualquier tipo de
directrices o regulaciones sobre las medidas necesarias a ser adoptadas para el diseño de
un programa adecuado de “debido control”.
Pasados casi cinco años de los profundos cambios estructurales descritos, el
30 de marzo de 2015, ha sido promulgada la LO 1/2015, llevando a cabo una “mejora
técnica” en la regulación de la responsabilidad penal de las personas jurídicas, con la
finalidad de delimitar adecuadamente el contenido del “debido control”, cuyo
quebrantamiento permite fundamentar la responsabilidad penal. En otras palabras, ella ha
incrementado la seguridad jurídica, posibilitando a las empresas protegerse de las
ilegalidades practicadas por un empleado, directivo o ejecutivo, a través de la adopción
de ciertas precauciones y normas de conducta.
En términos generales, el citado nuevo artículo 31 bis6, introdujo que las
personas jurídicas serán penalmente responsables cuando: a) el delito se haya cometido
por los representantes legales o administradores de la compañía, actuando en su nombre
o por su cuenta; b) el delito se haya cometido por cuenta de la persona jurídica por
empleados ligados a la misma por una relación de subordinación, como consecuencia de
no haberse ejercido sobre ellos un control diligente7.

6
Artículo 31 bis.
1. En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:
a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto,
por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano
de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan
facultades de organización y control dentro de la misma.
b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o
indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas
en el párrafo anterior, han podido realizar los hechos por haberse incumplido gravemente por aquellos los
deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
7
MARTÍNEZ PUERTAS, Leandro y PUJOL CAPILLA, Purificación, Guía para prevenir la
responsabilidad penal de la empresa, Thomson Reuters Civitas, Navarra, 2015, p.33.
 La redacción del segundo supuesto deja claro el cambio de exigencias del
entorno social hacia empresas, estipulando que estas podrán ser penalizadas penalmente,
siempre que no hayan ejercido efectivamente el debido control sobre sus empleados y
directivos, introduciendo, así, la noción de compliance y de disminución de riesgos.
El término compliance no tiene una definición concreta y consensuada en el
medio académico en general, tiene a las veces muchos significados, siendo utilizado de
diferentes formas, conforme el sector en que esté inserto, como “finance complaince”,
“corporate compliance”, entre otros. Mientras tanto, para atender a las necesidades del
presente trabajo, podemos definir compliance como el programa creado, en el seno de
una organización, empresa o entidad, que permita exigir y controlar el cumplimiento de
la legalidad, reglas éticas y de conducta, posibilitando prevenir, descubrir y sancionar
eventuales infracciones.
En otras palabras, bajo la denominación de compliance, no se encuentra otra
cosa que la implantación de políticas organizativas o empresariales para incentivar el
cumplimiento de la legalidad y, contrario sensu, desincentivar la obtención de ganancias
económicas mediante la utilización de medios antiéticos o delictivos.8
El nuevo artículo 31 bis, ha traído en sus apartados, las orientaciones
generales que deberán ser adoptadas para exención o diminución de pena, que pueden ser
dividas en dos hipótesis, de acuerdo con los presuntos responsables: a) representantes
legales y administradores de la compañía – siempre que antes de la comisión del delito,
hayan sido adoptados modelos de organización y gestión, confiados a un órgano de la
persona jurídica con poderes autónomos de iniciativa y control, que incluyen las medidas
de vigilancia y control idóneas para prevenir delitos o reducir los riesgos de su comisión
y que los hechos cometidos sean suficientes a fraudar los modelos existentes; b)
empleados y personas sometidas a la autoridad de las anteriores discriminadas – cuando
antes de la comisión del delito, la persona jurídica haya adoptado y ejecutado eficazmente
un modelo de organización y gestión que resulte adecuado para prevenir delitos o reducir
de forma significativa los riesgos de su comisión.
En este punto cabe una pequeña observación, por supuesto solamente
recibirán la exención de pena las empresas que cumplieren todos los requisitos previstos

8 FEIJOO SÁNCHEZ, Bernardo, El delito corporativo en el código penal español – cumplimiento

normativo y fundamento de la responsabilidad penal de las empresas, p.77.
en ley, siendo que en los casos en que las circunstancias puedan ser objeto de acreditación
parcial, estas se prestarán únicamente para atenuación de la pena.
Con un simple análisis del artículo 31 bis y sus apartados, se percibe
claramente que la ley se remite a los efectos y control del plan, pero en momento alguno
nos dice cómo ello ha de estar configurado, elaborado, cual su contenido material, cómo
ejecutarlo, lo que prácticamente imposibilita la adopción de procedimientos uniformes en
materia de compliance, revistiendo la cuestión de subjetivismos y de mucha
complejidad9.
No obstante, y al margen de estas generalizaciones, en la medida que los
programas de compliance corresponden a un proceso de tasación de riesgos específicos
de cada empresa, se configuran a tenor de esa concreta realidad, dependiendo en gran
medida del ramo de actuación de cada una. En este orden de ideas, para ilustrar las
alegaciones, los riesgos que debe afrontar una entidad financiera en su funcionamiento
diario, se parecen muy poco a los propios de una gran empresa de energía nuclear. Es este
precisamente uno de los argumentos legitimadores de la autorregulación, nadie mejor que
la propia empresa para determinar los riesgos de su actividad, proponiendo las
soluciones10.
Sin embargo, dentro del subjetivismo apuntado y de la autorregulación,
podemos destacar un punto en común de todo el sistema, consistente en la necesidad de
adopción de medidas de control idóneas para prevenir delitos o reducir los riesgos de su
comisión. Los elementos más habituales asociados a tal obligación, existentes en los
diversos planes de compliance, suelen ser: el análisis de riesgos penales, la previsión de
un código de conducta, un sistema de información para canalizar las denuncias recibidas,
la identificación de líneas de riesgos y responsabilidad y el seguimiento del programa con
obligatoriedad de revisión periódica.
Es indudable que el sistema de compliance posee una infinidad de medidas
legales que pueden ser adoptadas, conforme al caso concreto, para prevenir los delitos o
reducir los riesgos de su comisión, cuyo análisis detallado seguramente escaparía

9
PASCUAL CADENA, Antonio, El plan de prevención de riesgos penales y responsabilidad corporativa,
1ª edición, Wolters Kluwer, Barcelona, 2016, p.115.
10
COCA VILA, Ivo, “¿Programas de cumplimiento como forma de autorregulación regulada?” – SILVA
SÁNCHEZ, Jesus-Maria y MONTANER FERNÁNDEZ, Raquel, Criminalidad de empresa – prevención
y reacciones corporativas, Atelier Libros Jurídicos, Barcelona, 2013, p.61.
completamente del objetivo de este pequeño trabajo, razón por la cual, nos detendremos
en los canales internos existentes para el recibimiento de denuncias (hot lines), creados
para amparar a los whistleblowers.
Actualmente el sistema de recepción de las denuncias se traduce en una de
las medidas más eficaces en la prevención y descubrimiento de los delitos en el ámbito
empresarial, debiendo necesariamente estar incluido en los programas de cumplimiento
normativo, bajo pena de este no ser considerado eficaz y apto para recibir eventual
tratamiento punitivo más benigno del juzgador.
III – Una primera aproximación a los canales de denuncia
Conforme a lo dicho anteriormente, los canales de denuncias y las
investigaciones internas constituyen dos de los elementos esenciales de un programa de
cumplimiento para que la empresa pueda aprovechar los beneficios que ofrece la
legislación estatal. Estas herramientas les permiten, además, controlar la información
acerca de la comisión de los ilícitos que se han cometido en su interior, siendo el control,
la clave del éxito para una defensa penal eficaz. Nos parece obvio que cualquier
empresario inteligente desea conocer lo que ocurre en el interior de su empresa antes de
enterarse por la prensa o de recibir una citación judicial. Ello reporta indudables ventajas,
pues posibilita la preparación, con antelación de la defensa más adecuada, trayendo la
facultad de decidir, si conviene cooperar o, de lo contario, reservarse la información
existente.11
La experiencia en la utilización de estos sistemas es relativamente nueva, y
está relacionada con los escándalos financieros protagonizados por Enron, Tyco
Internacional y WorldCom. Estos grandes golpes generaron una fuerte ola de
desconfianza de la opinión pública en los sistemas de contabilidad y auditoría existentes
en el mercado de capitales de Estados Unidos, lo que ha llevado el 30 de julio de 2002,
por iniciativa del senador Paul Sarbanes, a la creación y aprobación de la Sarbane-Oxley
Act (SOX)12, que entre otros numerosos cambios, ha obligado a todas las empresas que

11 NIETO MARTÍN, Adán. “Investigaciones internas, whistleblowing y cooperación: La lucha por la

información en el proceso penal”. Diario La Ley, nº 8120, 2013. p.03.

12 Más informaciones disponibles en línea: https://portaldeauditoria.com.br/introducao-lei-sarbanes-oxley-

sox/ [fecha de consulta: 21 de enero de 2017].

operan en el mercado de activos estadunidense, a adoptar innúmeras políticas de buen
gobierno, entre las cuales, la creación e implementación de los canales de denuncia.
Por supuesto las novedades traídas por la legislación norteamericana
generaron cambios legislativos en diversos otros países, los cuales también se sentirán
“obligados” a implementar los sistemas internos de denuncia, básicamente por tres
razones: primero por la presión ejercida directamente por Estados Unidos sobre las
empresas multinacionales que cotizaban en bolsa en aquel país, en segundo lugar, en
razón de la fuerza e influencia de convenios internacionales13, por fin, en virtud de la
creciente concienciación en el ambiente empresarial de la necesidad de incorporación de
estándares de conducta de buen gobierno corporativo.
Bajo las razones expuestas, en España el tema fue trabajado por la primera
vez con la implantación del Código Unificado de Buen Gobierno de las Sociedades
Cotizadas de la Comisión Nacional de Valores en 200614, el cual reconoció la necesidad
de creación y seguimiento de mecanismos internos, para que los empleados pudieran
denunciar irregularidades sin, todavía, crear una obligatoriedad jurídica en este sentido.
Sim embargo, la discusión que antes estaba prácticamente restringida en
nuestro país a las empresas que cotizaban en el mercado de valores estadunidense y
aquellas espontáneamente interesadas en incorporar principios de buen gobierno
corporativo, con la implementación en nuestro ordenamiento jurídico de la
responsabilidad penal de la persona jurídica y los mecanismos existentes para su exención
o diminución, pasó casi automáticamente a formar parte del cotidiano de la vida
empresarial, ganando especial relevancia en el ambiente jurídico y corporativo.

13
Como ejemplos, los artículos 8.4 y 33 de la Convención de las Naciones Unidas Contra la corrupción de
2003, ratificado por España en 2006, en línea:
https://www.unodc.org/pdf/corruption/publications_unodc_convention-s.pdf y la redacción por parte de la
OCDE, a petición del G20, de una guía de principios para la protección de los whistleblowers, disponible
en línea: https://www.oecd.org/g20/topics/anti-corruption/48972967.pdf

14
“Como novedad procedente de la Recomendación de la Comisión Europea —inspirada, a su vez, en la
experiencia de Estados Unidos, Reino Unido y otros países cuyas compañías tienen establecidos cauces
internos para que sus empleados puedan denunciar irregularidades (whistleblowing)—, el Código
recomienda que las sociedades cotizadas encomienden al Comité de Auditoría el establecimiento y
seguimiento de mecanismos de esa naturaleza, que protejan la identidad del denunciante e incluso, si se
considera oportuno, permitan su anonimato. El Código parte de que tales mecanismos se destinarán
preferentemente a la denuncia de irregularidades financieras y contables y, sobre todo, que respetarán
escrupulosamente las limitaciones establecidas en la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal”. En línea:
http://objetivo15.net/doc/CNMV_CodigoBuenGobiernoDeLasSociedadesCotizadas.pdf
 A día de hoy en nuestro ordenamiento jurídico no existe una previsión legal
o reglamentaria de contar con los canales de denuncia15, mientras que el fenómeno ya es
una realidad en el ambiente empresarial. Presenciamos cada vez más su frecuente
implementación en las empresas, con diferentes diseños, circunstancias y
particularidades, lo que viene generando diversas dudas sobre como compatibilizarlo con
las demás normas legales, en especial, con la ley de protección de datos.
IV – La ley de protección de datos y sus reflejos en la creación de los canales de
denuncia
Con las nuevas disposiciones traídas por la SOX y su consecuente expansión
a todas las sociedades que cotizaban en el mercado de valores estadounidense, incluso las
multinacionales europeas, rápidamente tras las primeras aplicaciones de la ley, las
autoridades europeas de protección de datos fueron llamadas a manifestarse.
La primera en intervenir fue la Comisión Nationale de L`Informatique et
des Libertés (CNIL), que se manifestó en un primero momento en contra del
reconocimiento de estos sistemas de denuncias internos por las filiales de las empresas
estadounidense que operaban en Francia, rechazando en mayo de 2005, la autorización
presentada por McDonalds France para la implementación de un dispositivo de
“integridad profesional”.16 Después de mucha discusión y divergencia de interpretación,
a final de 2005, la CNIL encontró una solución intermedia, elaborando un documento de

15
La excepción estaría ligada a la ley 10/2010, de 28 de abril, que disciplina la prevención del blanqueo de
capitales y la financiación del terrorismo, que estableció en su artículo 26, apartado 2: “Los sujetos
obligados establecerán un órgano adecuado de control interno responsable de la aplicación de las políticas
y procedimientos a que se refiere el apartado 1. El órgano de control interno, que contará, en su caso, con
representación de las distintas áreas de negocio del sujeto obligado, se reunirá, levantando acta expresa de
los acuerdos adoptados, con la periodicidad que se determine en el procedimiento de control interno.
Reglamentariamente se podrán determinar las categorías de sujetos obligados para las que no resulte
preceptiva la constitución de un órgano de control interno, siendo las funciones de éste ejercidas en tales
supuestos por el representante ante el Servicio Ejecutivo de la Comisión.
Para el ejercicio de sus funciones el representante ante el Servicio Ejecutivo de la Comisión y el órgano de
control interno deberán contar con los recursos materiales, humanos y técnicos necesarios.
Reglamentariamente se determinará para determinadas categorías de sujetos obligados la exigencia de
constitución de unidades técnicas para el tratamiento y análisis de la información.
Los órganos de prevención del blanqueo de capitales y la financiación del terrorismo operarán, en todo
caso, con separación funcional del departamento o unidad de auditoría interna del sujeto obligado”.
16
GOÑI SEIN, José Luis. “Sistemas de Denuncias Internas de Irregularidades (“Whistleblowing”)”, en ID.
(dir), Ética empresarial y Códigos de Conducta, Madrid, 2012, p.332.
orientaciones, para la compatibilización de los sistemas de denuncia y la normativa de
protección de datos17.
La controversia acerca de la compatibilidad de los sistemas internos de
denuncia y la ley de protección de datos ha persistido en Europa, forzando al Grupo de
Trabajo del Art. 29 (GT29)18 a intervenir, emitiendo el 1 de febrero de 2006, el Dictamen
1/2006, identificado como documento WP11719, con la adopción de una posición más
moderada, indicando medidas concretas capaces de conciliar las presuntas
contradicciones. Cabe subrayar, que el informe se limita exclusivamente a los programas
en los que se denuncien irregularidades en las áreas de contabilidad, auditoría, lucha
contra el soborno y delitos bancarios y financieros.
Amparada en las referencias arriba expuestas, en respuesta a una consulta
planteada por una empresa multinacional del sector farmacéutico, la Agencia Española
de Protección de Datos, a través de su Gabinete Jurídico, elaboró el informe núm.
2007/012820, recogiendo premisas básicas para la adecuación de los programas internos
de denuncia con las directrices de la Ley Orgánica 15/1999 (ley de protección de datos).
Hechas las consideraciones anteriores, aunque el informe 2007/0128 no
tenga efectos vinculantes, por supuesto sus recomendaciones se traducen en referencia
sobre el tema y deben siempre ser tenidas en cuenta, repercutiendo directamente en la
implementación y diseño de los sistemas internos de denuncia.
Sin embargo, incluso contemplando importantes directrices que pueden y
deben ser utilizadas para la creación de los canales internos de denuncias, el informe
2007/0128, presenta muchas lagunas y contradicciones, no estando demás recordar que

17
Información disponible en línea:
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000264462 .

18 El Grupo de Trabajo del Artículo 29 (GT 29), ha sido creado por la Directiva 95/46/CE, es un órgano
consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados
miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea - que realiza funciones de
secretariado. Más informaciones disponibles en:
https://www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php
19
Disponible en línea: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-
recommendation/files/2006/wp117_en.pdf
20
Documento disponible en línea:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/otras_cuestiones/common/
pdfs/2007-0128_Creaci-oo-n-de-sistemas-de-denuncias-internas-en-las-empresas-mecanismos-de-
whistleblowing.pdf
está próximo a cumplir diez años de existencia, razón por la cual sus matices deben ser
reanalizados o reinterpretados, bajo una perspectiva más moderna del sistema.
La verdad es que la falta de legislación específica hace con que el sistema
siga siendo implementado casi empíricamente por las empresas, de forma bastante
heterogénea, sin la identificación clara de sus características principales, produciendo
gran inseguridad jurídica, pues en verdad el empresario nunca podrá estar completamente
seguro de que las medidas adoptadas serán consideradas suficientes para satisfacer “el
debido control” previsto en ley.
Con el objetivo de disminuir la inseguridad jurídica mientras seguimos sin
una legislación específica de compliance y especialmente sin reglas claras para la
creación de los sistemas internos de denuncias, basándonos en las legislaciones y
recomendaciones enunciadas arriba, pasaremos a apuntar brevemente, las características
principales de los sistemas internos de denuncias.
V – Las Principales Características de los Sistemas Internos de Denuncia
Los programas internos de denuncia están basados en las relaciones
jurídicas de carácter laboral, en que empresarios y trabajadores tienen concretos derechos
y deberes, razón por la cual nos parece indicado, siempre que sea posible, que ambos
participen conjuntamente de la creación del sistema, pues es innegable que un acuerdo
celebrado posee mayor fuerza de cumplimiento que una simple adhesión posterior.21
El primer punto fundamental en los sistemas internos de denuncia está
centrado en la existencia de reglas internas absolutamente claras sobre sus directrices,
que establezcan todos los mecanismos de activación de las investigaciones, como persona
u órganos habilitados para realizarlas, tipos de prueba admisibles, medidas de protección,
derechos y deberes del informante, entre tantas otras, y que estas reglas sean objeto de
constante divulgación en el ambiente laboral.
Es fundamental que se tenga en mente, que los programas internos de
denuncia no deben ser pensados y utilizados como un control de fachada, con la intención
de dar la falsa sensación de transparencia a potenciales consumidores e inversores,
tampoco con vistas exclusivamente a la obtención de una eventual rebaja de la sanción

21
MONTIEL, Juan Pablo. Autolimpieza empresarial: Compliance programs, investigaciones internas y
neutralización de riesgos penales. En Compliance y teoría del Derecho Penal. Marcial Pons, Madrid, 2013.
p. 227.
penal. No estamos ante un simple modismo del medio empresarial, pues actualmente el
objetivo principal del empresario debe ser la asunción de un verdadero compromiso con
la legalidad, a través de la adopción de una herramienta útil para auxiliar el efectivo
cumplimiento de los deberes éticos y sociales de las personas jurídicas, que una vez
satisfechos, podrán importar en la exención o atenuación de pena de la persona jurídica.
Bajo las premisas expuestas, en líneas generales, las principales
características de los sistemas internos de denuncia se acomodan a los siguientes puntos:
potenciales destinatarios y extensión de las materias susceptibles de denuncia;
descripción de los canales de comunicación y su órgano receptor; las medidas de
protección de los denunciantes.
5.1 Posibles destinatarios y extensión de las materias susceptibles de denuncia
En relación a las materias susceptibles de denuncia, el informe 2007/0128,
ha adoptado un entendimiento restrictivo, solamente permitiendo la realización de
denuncias de hechos cuyos incumplimientos tengan una consecuencia efectiva sobre el
buen mantenimiento de la relación contractual entre la empresa y el denunciado,
rechazando la hipótesis de creación de sistemas genéricos de recibimiento.
Sim embargo, las restricciones constantes del informe no se muestran en
conformidad con la finalidad del sistema, pues la intención de los canales de denuncia es
estimular el recibimiento de informaciones relacionadas a hechos ilícitos ocurridos en el
ambiente corporativo, cuyas dimensiones muchas veces pueden extrapolar los intereses
exclusivamente laborales, razón por la cual, nos parece más adecuado sostener que su
alcance debe ser lo más amplio posible, siempre respetando criterios mínimos de
razonabilidad. Con esto, quiero decir que serían considerados legítimos, relatos de delitos,
prácticas antiéticas, conductas corruptivas, entre otros, tal como lo previsto en la carta de
principios elaborada en el año de 2009, por la Transparencia Internacional,
“Recommended draft principles for whistleblowing legislation”.22
Hay que mencionar, además, que la amplitud de las denuncias se refiere no
solamente a los hechos, sino también a las personas legitimadas a usar el procedimiento,
que deberá estar abierto a los empleados y a todo el público interesado, como clientes,
accionistas, etc. Con la misma razón no debe haber restricciones a las personas que

22
Información disponible en línea:
http://www.right2info.org/resources/publications/publications/09_12_02%20tidraft%20principles%20W
B%20legislation.pdf [fecha de consulta: 23 de enero de 2017].
puedan ser afectadas por las denuncias, es decir, cualquier individuo relacionado con la
empresa o ente público, sea ella un director, gerente, ejecutivo o un simple operario, podrá
figurar como investigado.
No ignoramos las críticas existentes a la mayor amplitud del sistema de
denuncias, que podría ocasionar inconvenientes, como un exagerado número de
manifestaciones, muchas de ellas infundadas y sin interés práctico de investigación, con
posibles prejuicios a las personas indebidamente mencionadas.
Sin embargo, los posibles problemas se muestran pequeños ante los
beneficios del sistema y pueden ser fácilmente combatidos. Para evitar un gran número
de denuncias infundadas, cuyo contenido no sea razonable, debemos conjugar,
primeramente, la creación de una detallada y periódica política interna de divulgación de
las características del programa whistleblowing, con un diseño adecuado de la rutina de
tratamiento a ser dispensado a toda la información recibida, la cual necesariamente deberá
pasar por filtros y controles previos de verificación, que con la máxima discreción, sean
capaces de rápidamente identificar y rechazar todo aquello que no esté de acuerdo con el
sistema, disminuyendo considerablemente la posibilidad de generar perjuicios a terceras
personas.
Para concluir, nos parece interesante aclarar, que todas las denuncias
realizadas de mala fe, que sean conocidamente falsas o que tengan la intención de
perjudicar a terceros, deberán ser objeto de sanciones de naturaleza civil, penal y
administrativa, sirviendo como un mecanismo más de disuasión para la mala utilización
del sistema.
5.2 – Descripción de los canales de comunicación de las denuncias y su órgano
receptor
El primer paso rumbo al éxito de los programas internos de denuncia es la
adopción por las empresas de fuertes políticas internas de divulgación del sistema, con la
realización periódica de cursos presenciales, cartillas, juegos, en resumen, todo aquello
que pueda familiarizar al empleado con la herramienta, ampliando su credibilidad.
Avanzando en nuestro razonamiento, es fundamental que el informante
tenga a su alcance, diferentes medios para realizar las denuncias. Dicho de otra manera,
los entes responsables deben facilitar la realización de las denuncias a través de links por
su página web, formularios estandarizados, teléfono, correo electrónico, carta,
personalmente; en resumen, por medio de mecanismos que garanticen al informante la
mayor tranquilidad y seguridad para reportar las informaciones.
Partiendo de la idea de amplitud de los sistemas de denuncia como una
obligatoriedad del sistema, las empresas siempre que fuera posible, deberán contar con
mecanismos abiertos de seguimiento, que permitan el intercambio de informaciones entre
las partes, posibilitando que el informante reciba con relativa frecuencia informes sobre
las providencias que están siendo adoptadas en el caso concreto y pueda contestar a
eventuales dudas que surjan en la investigación de los hechos.
El órgano receptor de las denuncias posee la necesidad fundamental de ser
independiente23, o sea, gozar de poderes capaces de garantizar la real investigación de los
hechos relatados. Sim embargo, una vez respetada la premisa establecida, no hay
imposición a las empresas de un destinatario específico de las denuncias, la concreción
del departamento o sujeto receptor queda a criterio del empresario, pudiendo ser ejercida
por un sector de auditoría interna, alguien nombrado con anterioridad para la función, a
un ombudsman de la compañía, siendo bastante común en empresas de medio y gran
porte, la contratación de un proveedor externo que se encarga de toda la administración
del servicio.
Finalmente, es aconsejable que el reglamento normativo de la empresa
prevea expresamente vías alternativas de actuación para los casos en que el sistema
interno de denuncias no funcione adecuadamente, sea por desidia, falta de interés legítimo
o cualquier otra dificultad de orden técnico. Cabe añadir, por supuesto, la necesidad de
mecanismos diferenciados para los casos en que el sujeto implicado con los hechos
ilícitos sea también el responsable del recibimiento de las denuncias.
5.3 – La necesidad de adopción de medidas de protección a los
denunciantes
Es indudable que uno de los principales obstáculos para que el individuo
denuncie las actividades ilícitas de que tiene conocimiento es el recelo de sufrir
represalias laborales, sociales y físicas por su conducta.

23
Código Penal, Artículo 31 bis. 2, 2ª - la supervisión del funcionamiento y del cumplimiento del modelo
de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de
iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los
controles internos de la persona jurídica
 Las formas utilizadas por los denunciados o eventuales perjudicados para
intimidar y punir al informante son de lo más diversas y van desde las más visibles y
violentas, como atentados físicos contra la salud del colaborador y de su familia, pasando
por otras más sutiles, como el rechazo a una posible promoción profesional, el traslado o
rebajamiento de la función laboral, pudiendo llegar hasta el despido. Es bastante común,
también, que el individuo sufra un alejamiento social con la denuncia, pues infelizmente
en diversas culturas, el colaborador suele ser visto como un traidor, “chivato”, “soplón”,
recibiendo los más diversos apelativos, siempre con matiz peyorativo.
Lamentablemente las represalias sufridas por los informantes son una
práctica bastante común. En interesante estudio realizado en los Estados Unidos con 84
informantes, el 82% sufrió algún tipo de represalia laboral, 60% fue despedido, 17%
perdieron sus casas y 10% admitieron tentativa de suicidio.24
Los datos y las experiencias prácticas demuestran que es absolutamente
imprescindible la creación de herramientas internas que sean efectivamente capaces de
proteger ampliamente a los denunciantes, traduciéndose estas en una especie de pilar de
sustentación de los sistemas internos de denuncia.
Dicho de otra manera, el informante es un individuo racional, el cual antes
de decidirse sobre hacer o no la denuncia, realiza un análisis de los costes y beneficios de
su acción, siendo indudable que, sin la existencia de medidas eficaces de protección, nadie
va a arriesgarse a soportar consecuencias tan serias y pesadas. Es decir, los sistemas de
protección incorporan un equilibrio mínimo a la relación costo/beneficio del acto de
informar, haciendo menos difícil la decisión de convertirse en denunciante.

24
CULP, D. (1995): Whistleblowers: Corporate anarchists or heroes? towards a judicial perspective.
Hofstra La & Emp. Law Journal. v.13. [109-138]. En línea:
http://heinonline.org/HOL/LandingPage?handle=hein.journals/hlelj13&div=8&id=&page[fecha de
consulta: 22 de enero de 2017].
 En este orden de ideas, la creación e implementación de los sistemas de
protección a los denunciantes está prevista en diversos instrumentos internacionales25,
siendo parte integrante del ordenamiento jurídico interno de algunos países26.
Sin embargo, en muchos países, incluso en España, no existe un estatuto o
legislación centrada en la protección de los denunciantes, haciendo que, en la gran
mayoría de las veces, los propios sistemas internos de las empresas tengan que contemplar
un rol de medidas o herramientas con el objetivo de proteger al informante frente a las
posibles represalias.
Este tipo de protección está lejos del ideal, pues representa la expresión del
poder unilateral del empresario, cuyo valor normativo es relativo, no traduciéndose en
una garantía real de que los denunciantes no sufrirán represalias laborales. En otras
palabras, es una condición más beneficiosa incorporada al contrato de trabajo y pese a
que el denunciante quede aparentemente protegido por estas disposiciones y pueda
plantearlas ante los tribunales, siempre habrá la posibilitad de un despido libre
indemnizado (art.56.1 ET27), como forma de burlar las reglas existentes.28
Otra herramienta que suele ser manejada para garantizar la seguridad de los
informantes, incluso expresamente incentivada por la Convención de las Naciones Unidas
Contra la Corrupción29, es la utilización de denuncias anónimas y confidenciales.

25
Como ejemplo, el artículo 33 de la Convención de las Naciones Unidas Contra la Corrupción – “Cada
Estado Parte considerará la posibilidad de incorporar en su ordenamiento jurídico interno medidas
apropiadas para proporcionar protección contra todo trato injustificado a las personas que denuncien ante
las autoridades competentes, de buena fe y con motivos razonables, cualesquiera hechos relacionados con
delitos tipificados con arreglo a la presente Convención”. Disponible en línea:
https://www.unodc.org/pdf/corruption/publications_unodc_convention-s.pdf .[fecha consulta: 30 de enero
2017].
26
Podemos destacar, entre otros, Japón (Whistleblower Protection Act – WPA, 2004), África del Sur
(Protected Disclousures Act – PDA, 2000) y Reino Unido (Public Interest Disclosure Act – PIDA, 1998)

27
Art.56.1 - Cuando el despido sea declarado improcedente, el empresario, en el plazo de cinco días desde
la notificación de la sentencia, podrá optar entre la readmisión del trabajador o el abono de una
indemnización equivalente a treinta y tres días de salario por año de servicio, prorrateándose por meses los
periodos de tiempo inferiores a un año, hasta un máximo de veinticuatro mensualidades. La opción por la
indemnización determinará la extinción del contrato de trabajo, que se entenderá producida en la fecha del
cese efectivo en el trabajo.

28GOÑI SEIN, José Luis. “Sistemas de Denuncias Internas de Irregularidades (“Whistleblowing”)”, en

ID. (dir), Ética empresarial y Códigos de Conducta, Madrid, 2012, p.353.
 La posibilidad de utilización de las denuncias anónimas es un tema bastante
controvertido y que está lejos de estar pacificado en la doctrina y jurisprudencia de
diversos países. De forma general, podemos apuntar como ventajas de su adopción, la
disminución del miedo de los denunciantes a sufrir represalias, lo que llevaría al
incremento de las denuncias, proporcionando mayores informaciones a las
organizaciones. En contrapartida, el anonimato podría estimular la impunidad,
fomentando la realización de denuncias precipitadas, infundadas o falsas.
La utilización de las denuncias anónimas actualmente son una realidad
dentro de la sociedad en que vivimos, especialmente para naciones que conviven con alto
grado de violencia, siendo muchas veces el único camino disponible para que el
denunciante pueda colaborar con la justicia, sin poner en riesgo su integridad física o la
de su familia.
Con respecto a la posibilidad de utilización de las denuncias anónimas, el
informe 2007/0128 del Gabinete Jurídico de la Agencia Española de Protección de datos,
ha rechazado la posibilitad de su utilización, sugiriendo partir de procedimientos que
garanticen la confidencialidad de las denuncias presentadas, como forma de asegurar la
mayor integridad de las informaciones contenidas en los sistemas. Además, para
garantizar mayor seguridad en las denuncias confidenciales, sostiene que la persona
denunciada no podrá acceder a los datos del informante, con fundamento en el artículo
15.130, de la Ley Orgánica 15/1999, pues los datos involucrados son de tercera persona y
no de carácter personal.
Con las máximas venias, la confidencialidad de las informaciones no es
absoluta, puede crear conflicto con el derecho a amplia defensa del acusado, siendo
inoponible, por ejemplo, a una orden judicial, estando lejos de presentar las mismas

29
El artículo 13.2 de la Convención de Las Naciones Unidas Contra la Corrupción fomenta la utilización
de denuncias anónimas: “ Cada Estado Parte adoptará medidas apropiadas para garantizar que el público
tenga conocimiento de los órganos pertinentes de lucha contra la corrupción mencionados en la presente
Convención y facilitará el acceso a dichos órganos, cuando proceda, para la denuncia, incluso anónima, de
cualesquiera incidentes que puedan considerarse constitutivos de un delito tipificado con arreglo a la
presente Convención”. Información disponible en línea:
https://www.unodc.org/pdf/corruption/publications_unodc_convention-s.pdf. [fecha consulta: 28 de enero
2017].
30
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter
personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que
se prevén hacer de los mismos.
garantías a los informantes que las denuncias anónimas. El rechazo completo a la
utilización de las denuncias anónimas no pensamos que sea la decisión más acertada, una
vez que cierra las puertas de la justicia a la llegada de informaciones que muchas veces
no serán aportadas sin esta preciosa garantía.
Avanzando en nuestro razonamiento, nos parece más sensata la posición
intermedia adoptada por el Grupo de Trabajo G29, que en el documento WP117,
consideró que las denuncias anónimas son una excepción del sistema, razón por la cual
no deben ser incentivadas. Sin embargo, reconoció, también, que ellas son una realidad
en las sociedades, incluso y especialmente ante la ausencia de sistemas de denuncias de
irregularidades y confidencialidades organizados, siendo una herramienta útil a los
informantes que muchas veces ante el caso concreto, no tienen otra alternativa plausible
en sus manos para realizar las denuncias.31 Por supuesto las denuncias anónimas deberán
ser objeto de especial cautela, recibidas y tratadas con la máxima discreción y urgencia,
exigiendo que el destinatario examine con mucho más cuidado su admisión y la
pertinencia de su circulación.
Como resultado de los planteamientos realizados, nos parece más adecuada
bajo la perspectiva de protección del informante y eficacia del sistema interno de
denuncias, la posición adoptada por el Grupo de Trabajo G29, con la utilización de las
denuncias confidenciales como regla, dejando excepcionalmente abierta las puertas para
las denuncias anónimas, siempre que esta vía se muestre necesaria, bajo las cautelas de
estilo.
VI – Reflexiones Finales
La implementación de los canales internos de denuncias ha ganado mucha
fuerza en la última década, impulsada por las exigencias de las Sarbane-Oxley Act (SOX),
corroborada por la nueva concepción de entorno social en que están insertas las empresas,
que voluntariamente pasaron a elaborar y cumplir normas de conducta de carácter ético,
que externamente incrementan la confianza y simpatía de los inversores y de los

31
Documento WP117, íten 2 - iii) “Promotion of identified and confidential reports as against anonymous
reports”. Disponible en línea: http://ec.europa.eu/justice/data-protection/article-
29/documentation/opinion-recommendation/files/2006/wp117_en.pdf [consulta hecha: 30 de enero de
2017].
consumidores en general, mientras que internamente contribuyen efectivamente a la
prevención y represión de prácticas abusivas en el ambiente empresarial.
Sin embargo, a día de hoy, España sigue sin tener una legislación específica
sobre los canales internos de denuncia, aunque la Ley Orgánica 10/2010 de 28 de abril, y
muy especialmente la Ley Orgánica 1/2015 de 30 de marzo, hayan añadido al terreno de
juego la responsabilidad penal de la persona jurídica, previendo, también, su posibilidad
de exención o atenuación mediante el cumplimiento de ciertos requisitos, los cuales
pueden ser resumidos en un programa de compliance efectivo, lo que ha contribuido a la
fuerte expansión de los más diversos tipos de programas de buen gobierno corporativo en
nuestro país.
Conviene subrayar, que el hueco legislativo existente sobre los programas
de compliance y los sistemas internos de denuncia, fomenta la inseguridad jurídica en el
medio corporativo, pues las personas jurídicas invierten capital humano y financiero en
la creación de sistemas de cumplimiento, sin la garantía de que ellos serán considerados
eficaces para los fines previstos en ley.
La experiencia práctica nos ha permitido establecer que entre las más
diversas herramientas y formas de diseñar un sistema de compliance, la existencia de los
sistemas internos de denuncia, se sobresale en comparación con las demás y puede ser
traducida en uno de los puntos de consenso para la creación de un sistema eficaz. En otras
palabras, los sistemas internos de denuncia se constituyen en parte fundamental de
cualquier política interna de buen gobierno.
A lo largo del presente estudio mostramos las características fundamentales
de los sistemas internos de denuncia que deberán ser exploradas con mayor o menor
intensidad, conforme a las características del ambiente empresarial en que estén insertas,
no estando demás recordar que tales sistemas son una parte de los programas de buen
gobierno, cuya eficacia será analizada globalmente para fines de posible exención o
atenuación de la pena de la persona jurídica.
A manera de conclusión, pensamos que es necesario un nuevo cambio
legislativo para aclarar lo que definitivamente espera el legislador de los programas
corporativos de buen gobierno, siendo cierto que, caso la laguna legislativa subsista, cabrá
al Poder Judicial crear la jurisprudencia sobre el tema, contribuyendo a la disminución de
la inseguridad jurídica que, a día de hoy, infelizmente prevalece.