Los canales de denuncias y el fraude interno

Los canales de denuncias son herramientas que sirven también para detectar el fraude interno, pero para que funcionen han de estar ligados a la cultura corporativa de las empresas; tras la última reforma del Código Penal (Ley Orgánica 1/2015, de 30 de marzo, por la que se modificó la Ley Orgánica 10/1995, de 23 de Noviembre) estos canales están afianzándose en las empresas españolas, aunque con resultados aún insatisfactorios.

En la encuesta sobre fraude y delito económico 2016 de PricewaterhouseCoopers, los canales de denuncias, junto con las denuncias internas y externas que se hacen al margen de los mismos, contribuyeron a  detectar el 39% de los fraudes internos durante los dos años anteriores, según los datos aportados por los encuestados, pero  de este porcentaje sólo el 7% de los fraudes detectados correspondieron concretamente a los canales de denuncias.

Fue el mismo porcentaje de la encuesta global PWC  correspondiente a 2009, donde los canales de denuncias tan solo eran utilizados por el 36% de las empresas españolas encuestadas.

Los analistas de PWC ofrecieron en aquella encuesta los siguientes argumentos para justificar esta baja efectividad:

•  no tenían el necesario respaldo dentro de las organizaciones
•  no se publicitaban convenientemente
•  los usuarios estimaban que eran un procedimiento inútil, puesto que la alta dirección de las empresas no estaba involucrada con los mismos.
•  no se consideraban canales de comunicación confidenciales y seguros

Habría que añadir que el 64% de las empresas encuestadas no poseían esta herramienta.

Ya entonces, la conformación de estos canales de comunicación era muy variada, como por ejemplo:

• líneas telefónicas asistidas por personal especializado
• líneas telefónicas automatizadas que grababan  las denuncias
• aplicaciones que funcionaban a través de la Intranet de las empresas
• aplicaciones que funcionaban  a través de Internet
• Otras.

Cualquiera de  las formas señaladas estaban controladas por las propias empresas o por terceros de confianza, y algunos canales estaban abiertos también a clientes y proveedores.

La reforma del Código Penal por la Ley Orgánica1/2015, de 30 de marzo, consideró que los canales de denuncias eran herramientas a tener en cuenta en los modelos de prevención de los riesgos penales,  por lo que las empresas comenzaron a establecerlos de manera formal para poder justificarse mejor frente a sus posibles responsabilidades penales.

Si en estos momentos las empresas quieren evitar que los usuarios sigan considerando los canales de denuncias como herramientas inútiles y que por tanto tengan una mayor aceptación, los denunciantes tendrán que convencerse de:

• que los sistemas establecidos  gozan de integridad y confidencialidad sin represalias
• que tienen un acceso adecuado
• y sobre todo, que existe realmente la voluntad de hacer el seguimiento de todas las denuncias reportadas

En definitiva, han de ser percibidos dentro de las empresas  como herramientas  que permiten la comunicación directa entre los empleados y la alta dirección, y que por tanto sirven para generar un clima de transparencia y un ambiente de control.

Con este tipo de funcionamiento, estas herramientas servirán para reducir la sensación de impunidad dentro de las empresas,  que deriva de la imposibilidad de poner en evidencia y de forma segura, las conductas no éticas de alguno de sus miembros.

Pero para que los canales de denuncias logren este objetivo, ha de crearse previamente dentro de las empresas una cultura antifraude de tolerancia cero, en la que se reconozca el valor del comportamiento ético, y se dé respuesta decidida y apropiada a los actos ilícitos. Estos canales no funcionarán en empresas que no tengan la necesaria transparencia.

Los canales de denuncias, aparte de su función principal, tienen también un componente de rentabilidad para las empresas, como se desprende del informe del año 2008 de la “Association of Certified Fraud Examiners” donde se afirma que las empresas que poseen canales de denuncias adelantan en un 60% el tiempo medio de conocimiento del fraude. Esto quiere decir que si una empresa sin canal de denuncias tarda en detectar y corregir una acción ilícita 24 meses, otra con canal de denuncias podría hacerlo en 15 meses.

Si los canales de denuncias están bien implementados  a través de plataformas tecnológicas adecuadas, el tiempo de conocimiento y  corrección de los fraude internos se reduciría drásticamente, puesto que  el proceso de investigación podría comenzar en  las 24 horas siguientes a la denuncia; a partir de ese momento se pondrían en funcionamiento los mecanismos tendentes a comprobar la veracidad de la información, y su resolución sólo dependería de la complejidad del asunto y de los recursos a invertir en la verificación.

Atendiendo también a la rentabilidad,  estas herramientas beneficiarían a los departamentos de RRHH,  porque bien utilizadas dentro de las empresas   funcionarían  como termómetros del clima laboral.

oOo

Implantar dentro de las empresas canales de denuncias requiere de una buena planificación:

1. Se han de definir  unas políticas de prevención penal y contra el fraude, partiendo de las nuevas obligaciones de cumplimiento derivadas de la responsabilidad penal de las personas jurídicas.
2. Estas políticas han de tener como objetivo el establecimiento dentro de las empresas de una cultura de tolerancia cero contra el fraude interno, en el concepto amplio que estamos estudiando (Cumplimiento penal y Prevención del Fraude).
3.  Dentro de estas culturas de tolerancia cero, las administraciones han de anunciar los objetivos de los programas de los canales de denuncias y la razón para implementarlos.
4. Cada empleado ha de recibir una carta o comunicado anunciando el programa, junto con la información sobre su funcionamiento técnico y operativo.
5. Este programa debe darse a conocer a los empleados en reuniones, y aparecer en los tablones de avisos de todas las áreas de trabajo.
6. Este programa debe referenciarse en los contratos de trabajo de los nuevos empleados y formar parte de su formación continuada.   

Resulta necesario que en la formación de directivos y empleados sobre las políticas de prevención penal,  se expliquen adecuadamente los tipos de asuntos que pueden reportarse a las altas direcciones a través de estas herramientas, y el proceso que se generará tras la recepción. De esta manera aprenderán a utilizar estas herramientas de forma oportuna y racional, al mismo tiempo que se estará desarrollando, entre los miembros de las organizaciones, la sensibilidad necesaria para conocer en profundidad lo que significa el fraude interno, en su aspecto penal y empresarial.

Los canales de denuncias  comenzaron a generalizarse en las empresas de todo el mundo a partir de la entrada en vigor en EE.UU. de la Ley Sarbanes-Oxley, en la que se previó el establecimiento de determinados sistemas internos de alarma, gráficamente denominados como “whistleblowing procedures”, a fin de detectar posibles irregularidades financieras y contables en las empresas. Estos buzones son obligatorios, según esa Ley, para todas las empresas que cotizan en algún mercado de valores norteamericano.

Fuera de EE.UU. la exigencia de esta Ley puso en guardia a las distintas autoridades nacionales de protección de datos, puesto que estas líneas éticas o buzones de denuncias eran receptoras de datos de carácter personal muy sensibles, y  que, por tanto, exigían una especial protección.

En la Unión Europea se quiso dar una respuesta uniforme a la exigencia de esta Ley, puesto que afectaba a numerosas empresas europeas que ya cotizaban o deseaban cotizar en los Mercados de Valores de los Estados Unidos y, a este fin se reunieron en el año 2006 los máximos representantes de las Autoridades de Protección de Datos de la Unión, pertenecientes al grupo consultivo denominado “Grupo del Artículo 29”, quienes emitieron una Opinión sobre los requisitos legales que habilitarían el tratamiento de ficheros con denuncias confidenciales o anónimas en las empresas.

La Opinión de este Grupo estableció que pueden existir dos fundamentos legales para que la aplicación de los sistemas de denuncias se realice de acuerdo a la Directiva europea de protección de datos:

1.  la existencia de una ley o
2.  por un interés legítimo.

La Opinión del Grupo del Artículo 29 estableció también que estos sistemas debían limitarse a las actividades relacionadas con los sectores financieros y de contabilidad, sin extenderse a otros ámbitos. Y aunque no aconsejaba las denuncias anónimas,  las admitía siempre que el tratamiento de los ficheros con denuncias anónimas respetasen los principios de las leyes de protección de datos, como son los de calidad de los datos y de la información, así como los derechos de acceso, rectificación y cancelación.

La Agencia Española de Protección de Datos (AEPD), en relación con la Opinión del Grupo sobre este asunto, admitió que el tratamiento de datos de los canales de denuncias podría justificarse en el “interés legítimo”, por ser necesarios para el desarrollo de las relaciones contractuales entre los trabajadores y sus empresas financieras y de contabilidad, aunque restringió el criterio del Grupo del Art. 29, no admitiendo las denuncias anónimas. 

Existe en este sentido el informe jurídico128/2007, en el que se indica: “Por ello, a fin de garantizar el cumplimiento del mencionado principio [derecho de acceso] deberá exigirse que el sistema únicamente acepte la inclusión de denuncias en que aparezca identificado el denunciante, sin perjuicio de las salvaguardas que se han señalado para garantizar la confidencialidad de sus datos de carácter personal, no bastando el establecimiento de un primer filtro de confidencialidad y una posible alegación última del anonimato para el funcionamiento del sistema”.

Aunque este informe jurídico no aparece actualmente en la Web visitable de la Agencia, se puede acceder al mismo a través de Internet; el no acceso puede ser un indicio de que el actual criterio de la AEPD sea más cercano a la Opinión del Grupo del Art. 29,  que admite  en la práctica la posibilidad de las denuncias anónimas, porque no olvidemos que el no anonimato se expresaba en un informe jurídico que no era vinculante.

Para analizar el tema de los canales de denuncias desde la perspectiva de la protección de datos, hemos de tener en cuenta que la Opinión del Grupo del Art. 29 y por tanto también de la AEPD, estaban limitadas a los sectores financieros y de contabilidad, y que en este momento, tras la última modificación del Código Penal, los canales de denuncias se imponen en cualquier clase de empresas dentro de sus políticas de prevención de riesgos penales; nos encontramos por tanto en tierra de nadie por lo que en algún momento tendrá pronunciarse de nuevo la AEPD; su última orientación la dio en el año 2009, mediante la publicación de la “Guía de la protección de datos en las relaciones laborales” que aún continúa vigente en la Web de la Agencia.

Mientras tanto, las empresas han de ir conformando los canales de denuncias sabiendo que las partes más delicadas de los mismos, son la protección de los datos de carácter personal que se mueven a través de estos canales, y las relativas al anonimato o no de las denuncias. Es por ello por lo resulta interesante conocer la posición pública de la AEPD sobre el tema, lo que sin duda ayudará a dar seguridad jurídica a aquellas empresas que quieran impulsar esta herramienta para la prevención penal de los delitos y para la prevención del fraude.

Para ello, utilizaré la “Guía de la protección de datos en las relaciones laborales” donde se admite que el canal de denuncias puede ser creado por cualquier empresa  y no sólo por las financieras y contables; con todo, cada empresa deberá valorar la posibilidad de incluir o no la denuncia anónima dentro de su sistema, aún cuando en la Guía se siga afirmando su no admisión; mi criterio se acerca más a la Opinión del Grupo del Artículo 29.

La Agencia define los sistemas  de denuncias o “Whistleblowing”, como buzones internos a través de los cuales los empleados de las compañías, generalmente mediante procedimientos “online”, ponen de manifiesto la existencia de conductas contrarias a la Ley o a las normas internas de conducta de las empresas, llevadas a cabo por directivos y empleados.

Y admite que el establecimiento de estos sistemas podría ser conforme a las normas de protección de datos, siempre que se adecúen a los principios establecidos en la Guía.

Para ello establece los siguientes criterios:

Tanto los denunciantes como los potenciales denunciados deberán haber sido informados previamente de la existencia de estos sistemas, del tratamiento de los datos que conlleva la formulación de una denuncia y de las consecuencias que para el denunciado puede comportar este hecho.

Esta información previa se podrá implementar en el contrato de trabajo o cuando se contrate un servicio externalizado, como una auditoria, y quepa la denuncia respecto de los contratados.

Otra forma admitida de información previa puede hacerse a través de circulares informativas al personal y a su representación, informando de la existencia y finalidad de un tratamiento de datos relacionado con estos buzones o sistemas de denuncias.

Si los datos contenidos en los sistemas de denuncias fueran a ser transmitidos a una tercera compañía que investigue el hecho denunciado, se producirá una cesión de datos de la que los interesados, tanto el denunciante como el denunciado, deberán ser debidamente informados. Esta misma información deberá referirse, en su caso, a la posible transferencia internacional de datos a otras empresas del Grupo.

En todo caso, la existencia de estos buzones debería respetar el principio de proporcionalidad, de forma que las denuncias se refieran únicamente a supuestos en que los hechos o actuaciones tengan una efectiva implicación en la relación entre la empresa y el denunciado, concretando así qué acciones deberán ser objeto de denuncia y especificando las normas legales o contenidas en códigos internos de conducta a las que las denuncias podrán referirse.

Para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas. En todo caso, la confidencialidad de la información del denunciante debería quedar a salvo, no facilitándose, como regla general, su identificación al denunciado. (Este es el criterio que podría estar cambiando dentro de la Agencia hacia otro más cercano a la Opinión del Grupo del Art. 29).

Precisamente como consecuencia de lo anterior, será necesario que se extremen en relación con estos tratamientos las medidas que garanticen la adecuada seguridad y confidencialidad de la información, pudiendo establecerse medidas reforzadas de seguridad y extremando las cautelas que garanticen el cumplimiento del deber de secreto.

• limitando  el acceso al contenido de las denuncias a los usuarios que lleven a cabo la investigación y relacionarlos en el documento de seguridad
• estableciendo un sistema de registro de accesos, aun cuando no corresponda aplicar las medidas de nivel alto del RLOPD
• estableciendo la firma de compromisos reforzados de confidencialidad con los usuarios autorizados, con especiales medidas disuasorias para el caso de vulnerarse el deber de secreto.

La conservación del dato debería limitarse al tiempo necesario para la investigación de los hechos y sólo en caso de que de aquélla se desprenda la adopción de determinadas medidas contra el denunciado sería posible conservar los datos por un plazo superior, debiendo eliminarse en caso contrario.

Deberán garantizarse los derechos de acceso, rectificación, cancelación y oposición por parte del denunciado, sin que ello implique facilitar a aquél el dato del denunciante. En todo caso, el denunciado debería poder conocer en el menor tiempo posible el hecho denunciado a fin de poder defender debidamente sus intereses.

Los ficheros creados en el marco de estos sistemas deberán ser notificados al Registro General de Protección de Datos. Del mismo modo, deberán notificarse y/o autorizarse las transferencias internacionales de los datos que vayan a llevarse a cabo.

Los canales de denuncias ante las denuncias anónimas

La norma ISO 19600:2014, sobre Sistemas de Gestión de Compliance, en la cláusula 10.1.2 Escalado de información, dispone: “(…) Un sistema de gestión de Compliance eficaz debería incluir un mecanismo para que los empleados de la organización y/u otras personas informen sobre malas prácticas reales o sospechosas, o sobre violaciones de las obligaciones de Compliance de la organización, de forma confidencial y sin temor a represalias”.

Todos sabemos que en el mundo real el temor a las represalias tiene un serio fundamento, puesto que cualquier sistema de confidencialidad puede ser quebrado, por quien tenga el interés y la fuerza para obtener esa identificación. Es por ello que algunas personas poseedoras de buena información sobre corrupción y otros delitos graves no la darán nunca si tienen que ser identificadas y sus datos registrados, aunque sea con muchas medidas de seguridad.

La propia Unión Europea es consciente de este problema y, en su lucha contra los cárteles y otras prácticas anticompetitivas ha creado un canal de denuncias anónimo, mediante un sistema que ya se está utilizando en otros países europeos, donde un intermediario externo experimentado y especializado pone al servicio del canal de denuncias de la UE una herramienta de intermediación, entre el denunciante y la Comisión, que posee todas las garantías que permite la técnica de cada momento para proteger el anonimato de los denunciantes, cuando éstos no quieran ser identificados.

Esta herramienta permite la comunicación bidireccional mediante un código de acceso para el denunciante, con el fin de que éste pueda ver la respuesta de la Comisión o la solicitud de alguna aclaración. La herramienta sólo entrega los mensajes, no proporcionando a la Comisión ninguna información adicional, como la dirección IP o la contraseña que ha elegido el denunciante para recuperar los mensaje de la Comisión.

Aunque la AEPD no se ha pronunciado aún sobre la necesidad real de que estos canales puedan permitir las denuncias anónimas, por seguir entendiendo de forma utópica que la confidencialidad de la identidad del denunciante supone una garantía suficiente,  es previsible que la AEPD se vaya alejando de su planteamiento inicial y se acerque a la Opinión del Grupo del artículo 29, que determina que el sistema de denuncias deberá conformarse de manera que no se permita de forma general la presentación de las denuncias anónimas, para lo que informará a los denunciantes de que su identidad no será revelada y que por tanto no sufrirán represalias y que su información no será comunicada ni al propio denunciado ni a terceros. Pero si aún con esta información los denunciantes  persisten en no dejar constancia de su identidad, el sistema deberá permitir las denuncias. 

No olvidemos también que en el ámbito del Derecho Penal se admiten hoy las denuncias anónimas con ciertas cautelas, aunque como regla general se exige la identificación de los denunciantes.

La Sala de lo Social del Tribunal Superior de Justicia de Canarias en la sentencia nº 2117/2016, de 22 de junio, admite la investigación efectuada por una empresa española y que tuvo su origen en una denuncia anónima tramitada a través de su canal de denuncias.

El Tribunal Supremo en sentencia de 11 de abril de2013,  indica lo siguiente: “la cualidad de anónima de una denuncia no impide automática y radicalmente la investigación de los hechos de que en ella se da cuenta, por más que la denuncia anónima (técnicamente «delación», sinónimo de «acusar», que puede definirse como «el hecho de revelar a la autoridad judicial, o demás autoridades y funcionarios competentes la perpetración de un delito, designando al autor o culpable, pero sin identificarse el denunciador, cuya identidad se esconde en el anonimato») deba ser contemplada con recelo y desconfianza. Sin embargo, al no proscribirla expresamente la Ley de Enjuiciamiento Criminal, no puede decretarse a limine su rechazo por principio…. En tales casos, el Juez debe actuar con gran prudencia, y no puede ni debe actuar con ligereza en la admisión o en el rechazo de la denuncia anónima. Pero si ésta aparenta credibilidad y verosimilitud, debe inicialmente inquirir, con todos los medios a su alcance, en la comprobación, prima facie , de la exactitud de su contenido, y si ello fuera afirmativo, puede proceder desde luego por sí mismo, de oficio, si el delito fuere público, sin necesidad de la intervención del denunciante y sin ningún otro requisito”.

La Fiscalía General del Estado, en su Instrucción 3/1993, de 16 de marzo, estudia y admite la denuncia anónima en su virtualidad como “notitia criminis”, aunque recomendando prudencia ante la misma.

Existen por tanto numerosos argumentos, que podrían convencer a las empresas españolas de dotar sus canales de denuncias de herramientas seguras que permitan tambien las denuncias anónimas, siempre que respeten los restantes criterios dados a conocer por la Agencia Española de Protección de Datos.