La modificación de Código Penal, introduciendo el artículo 31 bis sobre la responsabilidad penal de las personas jurídicas (sociedades mercantiles, fundaciones, etc.), ha supuesto un paso más en el objetivo de luchar contra la corrupción y lograr el respeto a la legalidad, a la ética empresarial y, en definitiva, la limpieza en los negocios. Como es sabido, no es obligatorio que las personas jurídicas adopten modelos de organización y gestión para evitar que, en su seno, se cometan delitos que las puedan beneficiar, directa o indirectamente, y pueden ser perpetrados por sus directivos o empleados cuando, en este caso, no se hayan adoptado las medidas de prevención y vigilancia necesarias para evitarlos. Pero si no es obligatorio adoptar esos Planes de Prevención Penal, o denominados Planes de Compliance, sí es muy conveniente, y hasta necesario, si se quiere evitar que la empresa, como persona jurídica, sea imputada por delitos con graves consecuencias para su viabilidad. Tal como señala el citado artículo la empresa puede quedar exenta de responsabilidad penal, o, en su caso, vería atenuada la pena, si de forma previa a la comisión del delito, adoptó las medidas de prevención y gestión necesaria para prevenirlos y, en su caso, evitarlos. En los requisitos que debe tener ese Plan de Prevención, según el apartado 5º de la citada norma penal, se encuentra el de establecer la obligación de informar de posibles riesgose incumplimientos al organismo de encargado de vigilar el funcionamiento y observancia del modelo de prevención. Es decir, de informar al Oficial de Cumplimiento (Compliance Officer) designado por la dirección de la empresa, o, si es un órgano colegido, al Comité de Prevención o Comité de Ética y Prevención.
Desde luego ese modelo de prevención no sólo debe tratar de evitar que se cometan delitos en el seno de la empresa, sino también debe tratar de que no se produzcan dentro de la empresa otro tipo de infracciones a normativas sectoriales, pero de gran trascendencia para la empresa, por las consecuencias sancionadoras que pueda reportarle en su perjuicio, y también para la seguridad de los propios trabajadores (por ej. la normativa de riesgos laborales) e incluso cualquier incumplimiento de las reglas de la ética en los negocios por las consecuencias negativas que su incumplimiento puede producir para la reputación de la empresa ante sus clientes, proveedores y ciudadanos en general. En ocasiones el perjuicio reputacional puede ser desastroso para la credibilidad y el futuro de la empresa.
La vía a través de la cual va a tener conocimiento el órgano de control de las presuntas irregularidades legales o incumplimientos éticos de los empleados o directivos de la empresa es a través del denominado canal de denuncias.
El canal de denuncias – que puede ser instaurado a través de la página WEB corporativa, por correo electrónico, telefónico, postal, etc., o una combinación de todas ellas- puede ser gestionado a nivel interno o por un tercero contratado al efecto. La opción más neutral y que demuestra una voluntad de cumplimiento por parte de la empresa es encargar la gestión del canal y la investigación de los hechos a un profesional externo, sobre todo aquellos profesionales que están sujetos al secreto profesional por imposición de la ley, ya que la principal característica de esta herramienta es la autonomía frente a posibles interferencias interesadas y la confidencialidad.
Pero el canal de denuncias no sólo constituye un instrumento necesario en los programas de Compliance corporativos, sino que va a constituir una obligación para todas las empresas y organismos públicos que cumplan determinados requisitos. En efecto, la Directiva 2019/1937, de protección del alertador o denunciante (que debe ser transpuesta al derecho interno antes del 17 de diciembre de 2021), establece que todas las empresas que superen los 50 trabajadores deben contar con un canal de denuncias (para las empresas de entre 50 y 249 trabajadores será obligatorio a partid del 17 de diciembre de 2023), y también las entidades y organismos públicos, incluidos los municipales. Actualmente se tramita un proyecto de ley en el Congreso de los Diputados (122/000116), para incorporar al derecho interno las disposiciones de la norma europea.
Los sistemas de información de denuncias internas, como los denomina la Ley Orgánica 3/2018, de protección de datos de carácter personal y derechos digitales, permite en su artículo 24 que tales denuncias puedan ser anónimas, y que la existencia de dichos canales debe ser conocido por los empleados y terceros.
Como una consecuencia del principio de confidencialidad que rige estos sistemas, especialmente para proteger la identidad del denunciante para evitar posibles represalias, el tratamiento de los datos e información contenidos en las denuncias sólo puede ser tratado por quienes desarrollen labores de control interno y de cumplimiento, internos o externos, y por los encargados del tratamiento que puedan designarse al efecto. La información puede ser comunicada a otras personas cuando sea necesario para adoptar medidas disciplinarias o para tramitar procedimientos judiciales (por ej. cursar una denuncia por presuntos hechos delictivos).
La información recibida debe conservarse solamente el tiempo imprescindible para tomar la decisión de proceder, o no, de iniciar la investigación correspondiente. En todo caso, en el plazo máximo de tres meses debe procederse a suprimir los datos del sistema, salvo que se “anonimicen”, es decir, cuando ya no se puedan atribuir a una persona física determinada; y, desde luego pueden seguir siendo tratados si se abre una investigación por el órgano encargado.
Es evidente que el sistema además de preservar los derechos del denunciante o alertador, como le denomina la citada Directiva, especialmente su derecho a la protección de datos que exige la máxima confidencialidad y secreto sobre su identidad, también se deben respetar los derechos constitucionales del denunciado, al que lógicamente se debe informar, en el plazo más breve posible, de la existencia de un procedimiento de investigación contra él para que pueda ejercer sus derechos de defensa con todas las garantías constitucionales ( presunción de inocencia, derecho de asistencia letrada, derecho a proponer pruebas, acceso a las actuaciones, etc.).
Puesto que el objeto de este artículo va referido a la investigación de los hechos denunciados a través de los canales de denuncia, me centraré ahora en esta importante fase del procedimiento que debe estar perfectamente diseñado y establecido para no conculcar precisamente los derechos de las personas implicadas, ya sea del denunciante o del propio denunciado o investigado.
La primera cuestión que debe quedar clara es que el órgano encargado de la gestión, interno o externo, al recibir la denuncia debe primera, si se quiere, realizar unas comprobaciones previas sobre el origen de la denuncia,- especialmente si es anónima- su motivación, la persona del denunciante, manteniendo, si se estima conveniente, una entrevista con él, personal, telefónica o por medios electrónicos para contrastar los datos facilitados y cerciorarse de la veracidad y realidad y alcance de los hechos que ha comunicado y de las posibles pruebas que pueda aportar. Sería lo que en el procedimiento penal son las diligencias previas o las actuaciones previas en el procedimiento administrativo para poder decidir si procede, o no, la apertura formal del procedimiento.
Es evidente que, si existe una sospecha racional de que los hechos comunicados a través del canal establecido puedan ser legalmente constitutivos de infracción o de ilegalidad, especialmente de carácter penal, si se quiere que el sistema sea creíble y que la empresa sufra cualquier consecuencia negativa por falta de diligencia, los hechos deben ser investigados para que la Dirección corporativa pueda tomar la decisión de iniciar, o no, formalmente el inicio del procedimiento legalmente previsto.
Pero ¿quién debe realizar esa investigación? Como se ha expresado el órgano de control y la gestión del canal de denuncias puede ser interno o externo. Si el órgano previsto es interno la posible investigación interna la podrá realizar la persona a la que se le haya atribuido esa función con carácter previo que suele ser el Oficial de Cumplimiento o el Comité de Cumplimiento Normativo.
No existe impedimento legal, y está amparado por el artículo 7 de la Ley 5/2014, de Seguridad privada, en virtud del derecho de autoprotección, que la empresa o entidad de que se trate pueda designar a la persona más idónea para realizar esa labor de investigación interna, incluso accediendo a fuentes externas abiertas (registros públicos, redes sociales, etc.). Pero en este punto quiero hacer especial referencia a la posibilidad que tienen las corporaciones y entidades públicas y privadas que cuenten, o que deben disponer de un Departamento de Seguridad conforme a lo establecido en la legislación de seguridad privada, de contar con un profesional capacidad y habilitado legalmente para realizar las comprobaciones internas que sea precisas especialmente sobre aquellas personas que acceden o deban acceder a informaciones o áreas para garantizar la seguridad efectiva de su empresa o grupo empresarial. Me refiero a la figura del director de Seguridad al que la Ley de Seguridad Privada, en su artículo 36, faculta para realizar dichas comprobaciones. En este sentido, el futuro Reglamento de Seguridad Privada, en el Borrador conocido, establece que dicha facultad va dirigida a acreditar la solvencia técnica y la honorabilidad de las personas que puedan tener acceso a áreas sensibles de la empresa, y que esa investigación la pueden realizar ellos mismos o mediante la contratación de un servicio de investigación externo, es decir, a través de un Despacho o agencia de investigación de detectives privados.
Es decir, que parece atribuir al director de Seguridad la facultad de comprobar la honorabilidad o capacidad técnica de personas que la empresa vaya a contratar o que la empresa pretenda utilizar dentro de su plantilla, y que deben acceder a áreas sensibles de la propia empresa (sistemas informáticos, contables, bases de datos, etc.). Pero no a las investigaciones sobre hechos ilegales que presuntamente se hayan perpetrado por empleados o directivos, dentro o fuera de la empresa, pero que puedan implicar en los términos antes señalados a la propia persona jurídica. En mi opinión, ello no impide que la dirección de la empresa decida que sea él encargado de las mismas, o que colabore con el órgano designado, como podrá otra parte sería necesario. En definitiva, el Director de Seguridad allí donde preste servicios, dadas las funciones que le atribuye la Ley, y teniendo en cuenta que es un profesional que forma parte de la categoría de personal de seguridad sujeto a los principios de actuación que señala el artículo 30 de la Ley, entre ellos el de reserva y secreto profesional y el de colaboración con las Fuerzas y Cuerpos de Seguridad con las que es el interlocutor natural entre estas y la empresa, debería tener una participación directa en los programas de cumplimiento normativo y en la gestión de los canales de denuncia para realizar determinadas comprobaciones o verificaciones internas sobre personas de la empresa sobre las que existan sospechas de que con su conducta pueda haber, o estar perjudicando, a la empresa comprometiendo su seguridad jurídica y/o su prestigio o reputación frente a terceros.
En esa investigación preliminar, la persona u órgano designado podrá realizar las comprobaciones que se considere oportunas tales como análisis documentales o contables, contando si es preciso con el asesoramiento de los técnicos adecuados, entrevistas o declaraciones de empleados, comprobación de correos corporativos, sistemas de comunicación o localización ( siempre que se cumplan los requisitos que establece la Ley Orgánica 3/2018, de protección de datos y derechos digitales), comprobando fuentes de acceso público o abierto ( como por ej. las redes sociales), pero siempre, como es lógico, respetando las garantías constitucionales para no incurrir en una infracción, penal o administrativa, y, al propio tiempo, anular el procedimiento o las posibles pruebas obtenidas, si existe una violación de un derecho fundamental.
Como se ha señalado, el órgano designado por la dirección de la empresa para realizar dichas comprobaciones internas puede contar con otro tipo de profesionales o técnicos para realizar determinadas actuaciones de comprobación (técnicos informáticos, contables, etc.), pero si de una investigación externa se trata porque sea necesario hacer un seguimiento de una determinada persona, obtener información personal o familiar, obtener documentos gráficos de su persona, etc. es obvio que únicamente cabría hacer tales investigaciones contratando al único profesional que está autorizado legalmente para realizarlas. Esto es, a un Detective Privado con despacho profesional inscrito en el Registro del Ministerio del Interior.
En efecto, la Ley de Seguridad Privada, reserva a los Detectives Privados habilitados por el Ministerio del Interior con Despacho Profesional inscrito en el Registro Nacional de Seguridad Privada (actualmente Segurpriv) la función de investigación privada. Dicha ley, en su artículo 48, dispone que es el único profesional que puede realizar averiguaciones para obtener información o pruebas sobre personas por encargo de persona legitimada, pudiendo abarcar dicha investigación cualquier aspecto personal, familiar, social, económico, laboral, etc. de la persona, salvo aquella actividad que se desarrolle en ámbitos de privacidad (domicilio y otros ámbitos protegidos por la intimidad).
También pueden investigar delitos. Sin ninguna duda por perseguibles a instancia de parte (delitos privados o semipúblicos), pero también, según una interpretación jurisprudencial ( STS 908/2016 y ATS 1395/2017), los delitos públicos o perseguibles de oficio – el artículo 10.2 de la Ley les prohíbe celebrar contratos que tengan por objeto la investigación de delitos perseguibles de oficio ni investigar delitos de ésta naturaleza, debiendo poner en conocimiento de las FCS la existencia de un delito de este tipo además de las pruebas que haya podido obtener sobre los mismos- . En efecto, según esta interpretación, que comparto, nada impide que el Detective Privado pueda investigar determinados hechos sobre los que existe una sospecha de que puede ser un delito público. Otra cosa es que se tengan evidencias o pruebas iniciales de que se trata de un delito público. En el primer caso, podría aceptar el encargo (pensemos en una “pérdida desconocida” de efectivo dentro de la empresa que puede ser debida a un error contable o a la sustracción dolosa), y una vez tenga pruebas de que se trata de un delito público, debería informar de ello a las FCS en los términos señalados. Otra cuestión diferente es que desde el principio se tengan pruebas de que se trata de un delito de esta naturaleza. En ese caso, sin perjuicio de poder investigar otros aspectos relacionados con la comisión delictiva, por ej, a efectos de responsabilidad civil, debería abstenerse para no incurrir en una infracción a la propia Ley de Seguridad Privada.
En consecuencia, las empresas tienen a su disposición un profesional de la investigación, que forma parte, como el director de Seguridad, del personal de seguridad privada sometido, por tanto, a los principios éticos y de actuación establecidos en la Ley, entre ellos el deber de secreto profesional más reforzado, si cabe, que otros profesionales en los términos que recoge el artículo 50 de la propia Ley de Seguridad Privada. Y no sólo para realizar investigaciones puntuales, con carácter previo, o durante la tramitación del procedimiento para obtener pruebas que puedan aportarse a las Autoridades Policiales o Judiciales con todas las garantías de hacer respetado los derechos y garantías constitucionales de las personas investigadas, sino también como profesionales externos que se encarguen de la gestión integral del canal de denuncias. El Despacho de investigación debería asumir la denuncia recibida como un asunto o encargo profesional, cumplir todos los requisitos formales que exige la Ley de Seguridad Privada, garantizando la estricta confidencialidad de la información y datos recibida, incluso para el propio investigado ( Las resoluciones de la Agencia Española de Protección de Datos, 128/2004 y 778/2005, dictaminaron que el Detective Privado no tiene que informar ni notificar al investigado la apertura de una investigación que le afecte), sin perjuicio de que iniciado formalmente el procedimiento se deba notificar al investigado la apertura del mismo para que pueda ejercer su derecho de defensa en los términos antes señalados.
Señalar, que la propia Unidad Central de Seguridad Privada del Ministerio del Interior en su Informe 2015/32, mantiene esta misma opinión respecto a la intervención de estos profesionales de seguridad privada en la ejecución de los Programas de Compliance.
En este punto se debe señalar que si existe una investigación respetuosa con los derechos de las personas – a parte la que realicen las fuerzas policiales en sus labores de policía judicial- esa es la que realiza el Detective Privado. De hecho, la propia Ley (Art. 48) les atribuye la condición de garantes de los derechos de las personas, no sólo los de sus clientes sino también los de los investigados; y si es cierto, como es obvio, que con sus investigaciones afectan derechos fundamentales de las personas ( esencialmente los garantizados por el artículo 18 de la CE), también lo es que la ley les impone ,como no podría ser de otra manera, que sus investigaciones deben basarse en los principios de razonabilidad necesidad, idoneidad y proporcionalidad.
Cualquier actuación de investigación que vulnera derechos fundamentales o la obtención de una prueba que viole, directa o indirectamente, un derecho fundamental, no sólo invalida la misma sino que podría implicar para el profesional responsabilidad, penal y/o civil por la intrusión o intromisión cometida, sino también administrativa con arreglo al régimen sancionador de la propia Ley de Seguridad Privada que puede consistir, en los casos graves, de la posible pérdida de la acreditación profesional. Ello, es evidente que constituye una garantía más para las personas en relación a la profesionalidad del Detective Privado.
Por último, señalar que contratar estos profesionales, especialmente en el caso del Detective Privado no sólo es una garantía de profesionalidad y de éxito en las investigaciones, especialmente si las pruebas que se obtengan se deben, o se quieren utilizar, en algún tipo de procedimiento judicial, administrativo o disciplinario – los informes del detective privado constituyen pruebas testificales, documentales y periciales de valor probatorio ante los tribunales de justicia, precisamente por tratarse de profesionales habilitados por la ley para realizar sus actuaciones y que están sujetos a los principios antes señalados- . Pero, además, constituirán una muestra más de la voluntad de la empresa de cumplir con la ley y llevar hasta las últimas consecuencias las irregularidades que se puedan detectar o cometer en el seno de la empresa nada más y nada menos, en las ocasiones más graves, de evitar la muerte civil y mercantil de la empresa por las graves consecuencias que prevé la ley penal.