Volver a página de inicio

El pasado 13 de marzo de 2023 entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LA LEY 1840/2023) (1) (en adelante, Ley 2/2023 (LA LEY 1840/2023) o Ley del informante) por la que se traspone a nuestro ordenamiento jurídico la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (LA LEY 17913/2019) (2) (en adelante, Directiva 2019/1937 (LA LEY 17913/2019) o la Directiva). Sin duda, la nueva norma provocará numerosos comentarios doctrinales y pronunciamientos jurisprudenciales (3) . De hecho, una mera lectura de su texto genera una verdadera catarata de interrogantes. No obstante, el objeto de este trabajo se centrará en las implicaciones que la nueva regulación provocará, a mi juicio, en la elaboración y aplicación de los programas de compliance, y su influencia en la determinación de la responsabilidad penal de las personas jurídicas.

I. Las buenas intenciones

La finalidad de la ley aparece descrita en su art. 1, y consiste en «otorgar una protección adecuada frente a las represalias que puedan sufrir» los informantes y, al mismo tiempo, fortalecer la «cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público».

Lo primero que sorprende es que la finalidad de una norma venga contemplada en su propio articulado, y no en la exposición de motivos, en la que encuentra su encaje con mayor naturalidad. Quizá se pretendan superar así los problemas derivados de la doctrina constitucional que no atribuye valor normativo al contenido de las exposiciones de motivos (ver, entre las más recientes, las SSTC 131/2020, de 22 de septiembre (LA LEY 130358/2020), FJ 6; y 37/2021, de 18 de febrero (LA LEY 6925/2021), FJ 2). Pero, solo desde una concepción excesivamente voluntarista del Derecho se puede pretender que la finalidad de la norma se convierta en un mandato de obligado cumplimiento, por su mera incorporación a su articulado. También la tipificación de los delitos de homicidio y asesinato pretende evitar cualquier muerte injustificada, pero ya sabemos que la realidad es mucho más compleja…

En segundo lugar, la protección del denunciante y el fomento de los canales de información o comunicación de infracciones solo pueden entenderse como una de las vertientes de la cuestión de fondo que debería merecer especial atención, y sobre la que poco se dice en el texto de la norma, que es el impulso de la cultura del cumplimiento normativo (4) . Quizá lastrada por la finalidad estricta de la Directiva (5) , creo que se ha perdido una buena oportunidad para reforzar esa idea central que, a mi juicio, debería presidir este tipo de normas, dentro de un objetivo general más amplio en el que se contemplara un verdadero plan estratégico de lucha contra la corrupción, que solo aparece tímidamente apuntado en la disposición adicional quinta (6) .

En cualquier caso, la proyección de la nueva norma en el panorama legislativo vigente permite confrontar, de entrada, la novedosa regulación del informante con una figura ya asentada en el ámbito punitivo, como es la responsabilidad penal de las personas jurídicas. El análisis conjunto de ambos regímenes jurídicos pone de manifiesto algunos desajustes que podrían generar no pocos problemas. Una vez más, las buenas intenciones se toparán, me temo, con la cruda realidad.

II. Los posibles problemas

Como ya se anticipó, de entre las varias cuestiones que pudieran suscitarse, me centraré en aquellas que puedan afectar a la aplicación práctica del régimen punitivo de las personas jurídicas. Y, dentro de este ámbito, a las que tienen que ver con dos pilares del sistema: los programas de compliance y el régimen de derechos y garantías que debe presidir todo el ejercicio del ius puniendi del Estado.

1. El sistema de información y el programa de compliance

Como es conocido, la atribución de la responsabilidad penal a una persona jurídica está basada, en nuestro Derecho, en la realización de una conducta por parte de una persona física, en determinadas circunstancias. Así se expone, literalmente, en el art. 31 bis.1 CP (LA LEY 3996/1995) (7) . La jurisprudencia del Tribunal Supremo ha considerado que el fundamento de esta responsabilidad, sobre la que pivota la imputabilidad de la empresa, está basado en la auto responsabilidad motivada por un defecto de organización, como expresión de un obrar corporativo que se coloca al margen del cumplimiento del Derecho. Para la Sala Segunda, no basta con acreditar el delito cometido por la persona física, ya que no existe en esos casos la presunción iuris tantum de que ha concurrido un defecto organizativo. Habrá de probarse que ese delito ha sido una realidad por la concurrencia de un defecto estructural de los mecanismos de supervisión, vigilancia y control exigibles a toda persona jurídica (8) . De forma más matizada, la STS 123/2019, de 8 de marzo (LA LEY 18550/2019) (FJ 4) señaló que «la mera inexistencia de formas concretas de vigilancia y control del comportamiento de representantes, directivos y subordinados, tendentes a la evitación de la comisión de delitos imputables a la persona jurídica, no constituye, por sí misma, un comportamiento delictivo. La persona jurídica no es condenada por un (hoy inexistente) delito de omisión de programas de cumplimiento normativo o por la inexistencia de una cultura de respeto al Derecho. (…) Por lo tanto, a la persona jurídica no se le imputa un delito especial integrado por un comportamiento de tipo omisivo, sino el mismo delito que se imputa a la persona física, en el cual, generalmente, participará a través de una omisión de las cautelas obligadas por su posición de garante legalmente establecida, tendentes a evitar la comisión de determinados delitos». En definitiva, no basta la mera comisión de un delito por una persona física para que, de forma automática, se transfiera la responsabilidad penal a la persona jurídica por cuya cuenta y en su beneficio actúa. De la misma forma, la mera omisión de un programa de compliance no supone (ni presupone) la comisión de un delito, de igual modo que su mera existencia tampoco garantiza la impunidad de la estructura societaria (9) . De la doctrina jurisprudencial se deduce que la responsabilidad penal de la persona jurídica está conformada por un presupuesto objetivo, que es la comisión de un hecho delictivo por parte de una persona física, y un presupuesto que pudiéramos considerar como subjetivo, consistente en la deliberada ausencia de un sistema de control (programa de compliance o instrumento equivalente) que haya posibilitado o no haya impedido de forma razonablemente previsible la comisión de ese hecho delictivo.

La reforma del Código Penal llevada a cabo por la Ley Orgánica 1/2015, de 30 de marzo (LA LEY 4993/2015), introdujo una sustancial modificación de la relevancia de estos programas. Así, antes de la regulación actualmente vigente, los programas de compliance venían configurados, esencialmente, como una circunstancia atenuante, cuya relevancia parecía surtir efectos con carácter post-delictual, y respecto de las conductas cometidas por los empleados [art. 31 bis.4, d) CP (LA LEY 3996/1995) (10) ]. Este régimen se mantiene tras la reforma del año 2015 pero, además, en determinadas circunstancias, estos programas pueden surtir efectos también como eximente, si se implantan con carácter previo a la comisión del delito, y respecto de cualquier persona física cuya actuación determine la atribución de responsabilidad penal a la persona jurídica, es decir, tanto del empleador como del empleado (art. 31 bis, apartados 2, 3, 4 y 5 CP (LA LEY 3996/1995)).

La nueva naturaleza de los programas de compliance, así como la relevancia que la jurisprudencia ha concedido a este tipo de instrumentos para la propia imputabilidad de la empresa, ha motivado que, en la práctica, el objeto del proceso penal se extienda, de manera esencial, a valorar la idoneidad de estos «modelos de organización y control» —como se les denomina en el art. 31 bis CP (LA LEY 3996/1995)—, a fin de determinar la concurrencia o no de una circunstancia eximente de la responsabilidad penal de la entidad. Desde esta perspectiva, resulta palmaria la trascendencia de la nueva norma que ahora se analiza, porque los sistemas de información han de formar parte de un programa de compliance, en los términos establecidos en el art. 31 bis (LA LEY 3996/1995).5-4º CP.

En efecto, el sistema de información contemplado en la nueva ley no debe asimilarse totalmente con un programa de compliance, tal y como este viene regulado en el art. 31 bis.5 CP. (LA LEY 3996/1995) El sistema, definido en el art. 4 Ley 2/2023 (LA LEY 1840/2023) como «el cauce preferente para informar sobre las acciones u omisiones» que constituyen su ámbito material de aplicación (art. 2), y que ha de estar conformado por el canal o los canales internos de información (art. 7.1 y 2), puede formar parte, sin duda, del contenido mínimo del programa de compliance, que recoge como uno de sus requisitos la «obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención» (art. 31 bis (LA LEY 3996/1995).5-4º CP). Sin embargo, el programa es mucho más que un sistema de información. El Código Penal exige un contenido mínimo integrado por los siguientes elementos: un «mapa de riesgos» (art. 31 bis (LA LEY 3996/1995).5-1º CP); el establecimiento de los procesos de toma de decisiones (art. 31 bis (LA LEY 3996/1995).5-2º CP); un adecuado sistema de financiación (art. 31 bis (LA LEY 3996/1995).5-3º CP); un régimen sancionador (art. 31 bis (LA LEY 3996/1995).5-5º CP); y una actualización periódica (art. 31 bis (LA LEY 3996/1995).5-6º CP). En todo caso, la trascendencia del cumplimiento de estos requisitos mínimos del programa de compliance está ligada a la apreciación como circunstancia eximente de responsabilidad penal para la persona jurídica, pero su real efectividad a tal fin exige, además, su adopción y ejecución eficaz, con carácter previo a la comisión del hecho delictivo, así como su idoneidad para prevenir y perseguir conductas delictivas (art. 31 bis.2 y 4 CP (LA LEY 3996/1995)).

Como se puede observar, la nueva norma genera una cierta paradoja. Por un lado, se impone a determinadas entidades (descritas en los arts. 10 (LA LEY 1840/2023) y 13 de la Ley 2/2023 (LA LEY 1840/2023)) el establecimiento de un sistema de información, que es uno de los elementos esenciales de un programa de compliance, reforzando así este tipo de herramientas como una pieza clave de la integridad societaria. Pero, por otro, el programa sigue siendo potestativo para las empresas (11) . En cualquier caso, conviene dejar sentado que el sistema de información previsto en la Ley 2/2023 (LA LEY 1840/2023) puede ser condición necesaria, pero no suficiente, para que una empresa pueda quedar exenta de responsabilidad penal por los hechos cometidos por sus responsables o empleados. Dicho de otra forma, el cumplimiento de las previsiones legales sobre el sistema de información podría no exonerar, por sí solo, a una empresa de su responsabilidad penal, porque para ello sería necesario cumplir con las condiciones y requisitos establecidos en el art. 31 bis CP. (LA LEY 3996/1995) Este peculiar régimen jurídico queda puesto en evidencia en dos aspectos muy concretos. Nos referimos a los responsables del sistema y al régimen sancionador.

A) El responsable del sistema de información y la figura del Compliance Officer

La Ley del informante establece una clara distinción entre las figuras del «responsable del sistema» de información (art. 8.1) y el «responsable (…) de cumplimiento normativo o de [las] políticas de integridad» (art. 8.6), también conocido como Compliance Officer. Se trata, a mi juicio, de una distinción más aparente que real, porque ambas figuras aparecen definidas con un estatus similar dentro de cada entidad. Así, el responsable del sistema es designado por el órgano de administración o de gobierno (art. 8.1 Ley 2/2023 (LA LEY 1840/2023)), y otro tanto sucede con el Compliance Officer (art. 31 bis (LA LEY 3996/1995).2-1ª y 2ª CP) (12) . Además, en ambos casos habrán de estar rodeados de las debidas garantías de independencia y autonomía en el ejercicio de sus funciones (art. 8.4 Ley 2/2023 (LA LEY 1840/2023) y 31 bis.2-2ª CP), así como contar con los medios personales y materiales suficientes para su desempeño (art. 8.4 Ley 2/2023 (LA LEY 1840/2023) y 31 bis.5-3º CP).

Sin embargo, la Ley del informante ha querido dejar claro que el responsable del sistema, a su vez, puede ser el responsable del cumplimiento normativo, o no (art. 8.6). Esta cautela puede ser debida, por un lado, al hecho cierto de que no todas las entidades disponen de un programa de compliance que, insistimos, no es obligatorio; o, por otro, a que se haya querido distinguir entre ambas funciones. En este último caso, se hará necesario establecer protocolos muy claros sobre sus respectivas funciones y los sistemas de comunicación entre ambas figuras, para evitar solapamientos competenciales y, sobre todo, para garantizar el correcto funcionamiento del modelo de cumplimiento normativo que, en su caso, se haya implantado en la empresa.

En efecto, como ya se ha expuesto, el sistema de información es solo una parte del programa de compliance. Por tanto, las funciones del responsable del sistema y del Compliance Officer pueden ser parcialmente coincidentes y, en consecuencia, entrar en colisión. El problema no es tanto la supervisión del sistema de cumplimiento normativo (función propia del Compliance Officer, exart. 31 bis (LA LEY 3996/1995).2-2ª CP, pero no del responsable del sistema), o recibir denuncias de infracciones (función que, según el art. 31 bis (LA LEY 3996/1995).5-4º CP debería ser asumida por el Compliance Officer pero que, con la nueva norma, parece residenciarse en el responsable del sistema, como responsable de su «gestión», ex art. 8.1, sin perjuicio, en ambos casos, de su delegación) (13) . La cuestión clave, a mi juicio, es la atribución de la facultad de investigación de esas denuncias.

Sin perjuicio de la posible existencia de un equipo encargado de realizar esta labor, la titularidad o control último de las investigaciones parece atribuirse al responsable del sistema de información, dado que la Ley 2/2023 (LA LEY 1840/2023) le confiere expresamente la función de velar por la «tramitación diligente» de las informaciones recibidas (art. 9.1), lo que no parece que pueda referirse exclusivamente a su mera remisión al órgano encargado de hacer la investigación, sino que exigirá, al menos, una función específica de supervisión, coordinación y control de esas tareas de investigación. Sin embargo, la mayor o menor eficacia en esta labor puede tener repercusiones en el ámbito de la responsabilidad penal de la persona jurídica, porque un funcionamiento deficiente del sistema de información puede poner en tela de juicio la eficacia del programa de compliance, como requisito determinante de la validez de este como eximente (exart. 31 bis (LA LEY 3996/1995).2-1ª CP), y cuya responsabilidad corresponde, a su vez, al Compliance Officer. De hecho, como ya se expuso, el art. 31 bis (LA LEY 3996/1995).5-4º CP establece como uno de los requisitos del programa de compliance la «obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención», que no es otro que el Compliance Officer (exart. 31 bis (LA LEY 3996/1995).2-1ª CP). No parece tener mucho sentido que la persona encargada de supervisar el funcionamiento del programa de compliance y a quien el Código Penal atribuye la función de recibir la información sobre posibles riesgos e incumplimientos no tenga una verdadera facultad de control sobre uno de sus elementos esenciales, como es el sistema interno de información y, con ello, de las propias investigaciones, si con ello puede derivarse la posible exigencia de responsabilidad penal para la empresa. A mi juicio, elementales razones de eficacia y eficiencia aconsejarían que, en aquellas empresas en las que exista la figura del Compliance Officer, esta asuma también las funciones de responsable del sistema (14) . O, en todo caso, que se establecieran con claridad las facultades de supervisión que el responsable del cumplimiento normativo tuviera, a su vez, respecto del responsable del sistema, con la expresa previsión de las situaciones de eventuales conflictos de interés en los casos de denuncias formuladas contra cualquiera de ellos a través del correspondiente canal anónimo, cautela que habrá de extenderse a la designación de la persona encargada de representar a la entidad en un eventual proceso penal (art. 119 LECrim (LA LEY 1/1882)) (15) . Lo que parece claro es que, en las condiciones establecidas por la Ley 2/2023 (LA LEY 1840/2023), los órganos de dirección de las empresas afectadas por su ámbito de aplicación habrán de establecer el correspondiente sistema de información (art. 5.1) y designar a su responsable, por lo que una mínima prudencia empresarial aconsejaría la implantación de un modelo integral de cumplimiento normativo, es decir, no solo de un sistema de información sino de un verdadero programa de compliance (16) .

B) El régimen sancionador: ¿existe riesgo de un bis in idem?

El art. 63.1.g) de la Ley del informante considera una infracción muy grave el «incumplimiento de la obligación de disponer de un sistema interno de información en los términos exigidos en esta Ley». Si, como hemos visto, la responsabilidad penal de las personas jurídicas está basada en un déficit organizativo por falta de un programa de cumplimiento normativo, rápidamente puede surgir la duda sobre una eventual incursión en el principio proscrito del bis in idem. La ausencia de un programa de compliance podría constituir, al mismo tiempo, una infracción penal y administrativa.

Como es conocido, el Tribunal Constitucional ha establecido una doctrina consolidada sobre este principio, que ha sido recientemente reiterada en la STC 2/2023, de 6 de febrero (LA LEY 19818/2023) (FJ 4), en la que, con cita de la STC 2/2003, de 16 de enero (LA LEY 962/2003), y en lo que ahora interesa, se señala que:

«c) La garantía del non bis in idem, en su vertiente material o sustantiva, prohíbe sancionar dos veces el mismo ilícito si se aprecia identidad de sujetos, hechos y fundamento. (…) Para comprobar si se ha vulnerado el non bis in idem cuando se imponen penas y sanciones administrativas, debe atenderse al núcleo esencial de esta garantía: impedir el exceso de punición. Por ello, "no cabe apreciar una reiteración punitiva constitucionalmente proscrita cuando, aun partiéndose de la existencia de la imposición de una doble sanción en supuestos de identidad de sujeto, hecho y fundamento, en la ulterior resolución sancionadora se procede a descontar y evitar todos los efectos negativos anudados a la previa resolución sancionadora, ya que, desde la estricta dimensión material, [el descuento] provoca que en el caso concreto no concurra una sanción desproporcionada (STC 334/2005, de 20 de diciembre (LA LEY 10574/2006), FJ 2)". (…)

d) La garantía del non bis in idem, en su vertiente procesal o procedimental, ubicada en el ámbito del derecho a la tutela judicial efectiva (art. 24.1 CE (LA LEY 2500/1978)), conlleva, ante todo, según nuestra doctrina, la interdicción de un doble proceso penal con el mismo objeto. (…)

El art. 14.7 del Pacto internacional de derechos civiles y políticos (LA LEY 129/1966) y el art. 4 del Protocolo 7 al Convenio europeo de derechos humanos (LA LEY 16/1950) "protegen al ciudadano no solo frente a la ulterior sanción —administrativa o penal—, sino frente a la nueva persecución punitiva por los mismos hechos una vez que ha recaído resolución firme en el primer procedimiento sancionador, con independencia del resultado —absolución o sanción— del mismo". Sin embargo, la prohibición constitucional del doble enjuiciamiento fuera del proceso penal solo procederá en aquellos casos en que el procedimiento administrativo sancionador le sea equiparable, "en atención a las características del procedimiento —su grado de complejidad— como a las de la sanción que sea posible imponer en él —su naturaleza y magnitud— […]". (…)

La doctrina del Tribunal Europeo de Derechos Humanos mantiene una posición semejante en la STEDH, Gran Sala, de 15 de noviembre de 2016, asunto A y B c. Noruega (…) [que] considera legítima una respuesta sancionadora penal y administrativa complementaria frente a ciertos comportamientos socialmente inaceptables (por ejemplo, el incumplimiento de las leyes de tráfico, el impago de impuestos o la evasión fiscal) (…) siempre que estos procedimientos se combinen de manera integrada y formen un todo coherente, lo que implica, por un lado, que los fines perseguidos y los medios utilizados para alcanzarlos sean, en esencia, complementarios y estén vinculados en el tiempo (lo que denomina "existencia de un vínculo material y temporal suficientemente estrecho") y, por otro, que las consecuencias de organizar así la respuesta sancionadora frente a aquella clase de infracciones sean previsibles y proporcionadas para la persona afectada (§ 121, 123 y 130) (…)

Entre los criterios citados por la sentencia A y B c. Noruega para decidir si existe un vínculo material suficientemente estrecho destaca, sobre todo, el de si la sanción impuesta en el procedimiento que finaliza en primer lugar se tiene en cuenta en el que finaliza en el último, para evitar que la persona afectada acabe soportando una carga excesiva, riesgo este último menos probable cuando existe un mecanismo de compensación que garantice que el quantum global de las sanciones impuestas sea proporcionado (§ 132)» (17) .

Sentado lo anterior, un análisis estricto de la cuestión permitiría avalar, aunque con ciertas cautelas, la tesis de la inexistencia de un bis in idem.

En primer lugar, es preciso recordar, como ya se expuso anteriormente, que el sistema de información no puede ser equiparado con el programa de compliance, sino, en su caso, con uno de los requisitos esenciales para que este pueda operar como eximente de la responsabilidad penal de la persona jurídica (exart. 31 bis (LA LEY 3996/1995).5-4º CP). Por lo tanto, la ausencia de un sistema de información no puede ser asimilada, sin más, con la falta de un programa de compliance, que es un instrumento mucho más amplio, por lo que podría entenderse que no concurre el requisito de la identidad del hecho determinante de la prohibición del bis in idem.

En segundo lugar, desde la perspectiva del fundamento de la sanción también podrían encontrarse diferencias sustanciales ya que, aunque es cierto que tanto la regulación de la responsabilidad penal de las personas jurídicas como la Ley del informante son herramientas de promoción de la cultura del cumplimiento normativo de las empresas, no puede ocultarse que la Ley 2/2023 (LA LEY 1840/2023) responde, como se recoge en su art. 1, a una concreta finalidad que es la protección de los denunciantes de infracciones. De esta forma, la sanción administrativa encuentra su fundamento en la necesidad de establecer un mecanismo seguro de comunicación de infracciones y de garantía de indemnidad del denunciante, mientras que el régimen jurídico previsto en el art. 31 bis y ss CP (LA LEY 3996/1995) entronca con los principios de prevención general y especial propios del Derecho Penal, puestos en relación con cada uno de los tipos delictivos que admiten esta figura, es decir, ofrece una respuesta punitiva ante un bien jurídico mucho más amplio que la mera protección de un denunciante.

Sin embargo, no es posible descartar algún caso hipotético en que el programa de compliance no haya podido surtir efecto como eximente para la empresa, precisamente por no contener un sistema interno de información. En tales casos, podría plantearse no solo una eventual coincidencia de hecho y de sujeto, sino una posible compatibilidad de las vías penal y administrativa, atendiendo a la complementariedad de la respuesta del estado frente a ciertos comportamientos socialmente inaceptables (en los términos expuestos por el TEDH). En este tipo de supuestos, la solución concreta no parece sencilla, porque habrá que atender a la conexión material y temporal de ambos procedimientos, así como a la naturaleza y gravedad de las sanciones, que pueden resultar sustancialmente coincidentes o no en el caso de las de carácter pecuniario, cuya previsibilidad puede resultar inicialmente indeterminada en función de los propios criterios establecidos en los arts. 33.7 CP (LA LEY 3996/1995) y 65.1.b) Ley 2/2023 (LA LEY 1840/2023) (18) . En cualquier caso, siempre quedará la posibilidad de aplicar la correspondiente compensación en el segundo procedimiento, de manera que, materialmente, solo se imponga una sanción, la primera, a fin de evitar el «exceso de punición» como núcleo esencial de la garantía del bis in idem.

2. Las implicaciones para el sistema de derechos y garantías

Si las cuestiones abordadas en los apartados anteriores pueden presentarse problemáticas, otro tanto sucede con la aplicación práctica del sistema de información, una vez se recibe la denuncia correspondiente, porque el procedimiento que se siga para la verificación y, en su caso, sanción de las infracciones cometidas, puede tener una seria repercusión en un eventual procedimiento penal posterior frente a la persona jurídica. En este punto, solo pretendemos hacer una primera aproximación, en el convencimiento de que el desarrollo práctico de la norma suscitará muchos más interrogantes.

Así, dejando a un lado la eterna controversia sobre la figura del denunciante anónimo (19) , llama la atención el sorprendente silencio normativo sobre el contenido de la investigación a realizar en el marco del sistema de información diseñado por la Ley 2/2023 (LA LEY 1840/2023) (20) . El art. 19.1 simplemente establece que la «instrucción [término con una clara connotación penal] comprenderá todas aquellas actuaciones encaminadas a comprobar la verosimilitud de los hechos relatados», pero este precepto solo contempla las investigaciones realizadas por la Autoridad Independiente de Protección del Informante, A.A.I., no por las propias empresas. No es difícil advertir los problemas que puedan derivarse, por ejemplo, de un indebido examen de las dependencias, archivos o equipos informáticos de la persona «afectada» (en la terminología de la Ley), es decir, investigada, en el seno de su propia empresa. Sin embargo, lo que dice la norma es tanto o más relevante como lo que no dice.

Efectivamente, el art. 39 señala que las personas afectadas por el expediente «tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley». Sin embargo, en el caso concreto de las investigaciones llevadas a cabo por la Autoridad Independiente de Protección del Informante, A.A.I., estos derechos pueden resultar notablemente restringidos. El art. 19.2 permite que la persona investigada tenga noticia de la información o comunicación y de los hechos denunciados, así como del derecho a presentar alegaciones por escrito, en el trámite de audiencia, no antes, si «se considerara que su aportación con anterioridad pudiera facilitar la ocultación, destrucción o alteración de las pruebas», consagrando de esta forma una especie de «secreto de las actuaciones» de facto, cuyo presupuesto de hecho queda al ponderado criterio del instructor del expediente…

Por otro lado, el Libro-Registro de comunicaciones no será público, y solo se podrá acceder a su contenido mediante resolución judicial motivada, en el marco de un proceso judicial (art. 26.1). Esta regla pudiera resultar contradictoria con el hecho de que, de apreciarse el carácter delictivo de los hechos, el art. 9.2.j prevea la remisión «inmediata» al Ministerio Fiscal. Salvo que se quiera ocultar deliberadamente a la Fiscalía el elemento documental que sirve como presupuesto y/o soporte de la denuncia, o para adverar la existencia de denuncias o comunicaciones anteriores sobre los mismos hechos o contra las mismas personas.

Otra aparente disfunción podría derivarse de la aplicación en el ámbito empresarial de las causas de inadmisión de denuncias previstas en el art. 18.2.a) de la Ley (21) . Estas causas aparecen asociadas al funcionamiento de un organismo público como es la Autoridad Independiente de Protección del Informante, A.A.I., y encuentran ahí su sentido. Pero no pueden ser asumidas, sin más, por una entidad privada. Una empresa que rechace una comunicación por venir referida a un hecho anteriormente denunciado y archivado, o que realice una valoración precipitada sobre la verosimilitud de los hechos o el fundamento de la denuncia, pudiera poner en tela de juicio la verdadera eficacia real del sistema interno de información y, por extensión, del programa de compliance, con la consecuente repercusión negativa para su propia responsabilidad penal.

En definitiva, la nueva Ley 2/2023 (LA LEY 1840/2023) —cuya finalidad es, sin duda, loable—, no parece que vaya a despejar los problemas que, en la práctica, genera la investigación y, en su caso, la persecución de los hechos delictivos cometidos en el seno de las empresas. Una materia que, a buen seguro, continuará generando una inevitable controversia.