Como sabréis, tras la última reforma del Código Penal introducida por la Ley Orgánica 1/2015, de 30 de marzo, se establece la posibilidad de que las personas jurídicas sean sujetos susceptibles de cometer delitos, y de ser por ello sancionadas con auténticas penas.
¿Quiénes pueden ser sujetos responsables?
Según esta reforma, cualquier persona jurídica puede ser sujeto responsable, a excepción de determinados casos excluidos[1].
¿Qué delitos pueden afectar más habitualmente al ámbito empresarial?
Brevemente, os indicamos un elenco de delitos que una persona jurídica puede llegar a cometer. Entre otros, se citan como los más habituales:
- Delitos contra la intimidad y allanamiento informático.
- Delitos de descubrimiento y revelación de secretos de empresa.
- Daños informáticos y hacking.
- Delitos contra la propiedad industrial e intelectual.
- Delitos de blanqueo de capitales.
- Delitos de corrupción.
- Delitos de estafa.
¿En qué circunstancias la persona jurídica resulta penalmente responsable?
El código penal establece que las personas jurídicas serán penalmente responsables cuando:
- Los delitos sean cometidos por los representantes legales o aquellos que actúen en nombre de la persona jurídica y ostenten cargos de organización y control en la misma.
- Los delitos sean cometidos por los empleados de la compañía, en el ejercicio de sus funciones y por cuenta y provecho de la misma, y hayan podido realizar los hechos por haberse incumplido gravemente el deber de supervisión, vigilancia y control de la actividad por parte de la persona jurídica responsable.
Esto supone que, para que pueda aplicarse la exención de responsabilidad de las personas jurídicas, éstas habrán debido de adoptar con eficacia mecanismos de control y medidas de vigilancia para prevenir la comisión de delitos o al menos reducirlos de forma significativa. En este sentido, como ya os contábamos en nuestro blog, el pasado enero la Fiscalía General del Estado publicaba la Circular (1/2016) en la que establecía de manera más concreta los criterios para interpretar esta nueva regulación, y cómo debería configurarse un “Programa de Prevención penal”.
Uno de los mecanismos cuya implantación resulta ya habitual entre las empresas es el mecanismo de denuncia interna o “Whistleblowing”.
Dado que la finalidad de estas herramientas es proveer de un sistema entre los empleados para que puedan denunciar de manera interna hechos de los que tengan conocimiento, y puedan constituir un delito, peligro o fraude dentro de la compañía, estas herramientas pueden llegar a convertirse en un verdadero cajón de sastre, y recogerse cualquier tipo de datos.
Es por ello que la instalación de este tipo de herramientas, cuando se recogen datos relativos a la comisión de infracciones administrativas o penales, supone cumplir con al menos el nivel medio de seguridad:
Nombrar a un responsable de seguridad, y someterse a auditorías bienales.
- Llevar un registro de entradas y salidas de soportes.
- Limitar los intentos reiterados de acceso no autorizado.
- Controlar el acceso físico a los servidores que den soporte a los sistemas de información.
- Solicitar autorización al responsable en caso de necesitar la ejecución de procedimientos de recuperación de datos.
Como se indicaba anteriormente, resulta habitual que no sólo se reciba información acerca de la comisión de infracciones administrativas o penales, si no que también puedan indicarse, a través de estos mecanismos de denuncia, aspectos más sensibles de la persona que pueden suponer un tratamiento de datos especialmente protegidos:
Si se prevé la recepción de datos relacionados con la salud, vida sexual, violencia de género, ideología política, afiliación sindical, origen racial o étnico, o religión/creencias, deberán además implantarse las medidas de seguridad correspondientes al nivel alto.
No obstante, para que el sistema de denuncias se muestre acorde con el principio de calidad y proporcionalidad, éste debe limitarse a aquellas denuncias relacionadas con hechos o actuaciones que tengan una efectiva implicación en la relación laboral. Se recomienda por tanto que, en la medida de lo posible, se implanten en las herramientas de denuncia campos tipificados que limiten la información recogida.
En resumen, implantar un sistema de Whistleblowing o cualquier otro de similares características, debe realizarse previo análisis de riesgos, y adoptando las medidas que permitan dar cumplimiento a la normativa aplicable.
Para mayor información, podéis consultar este artículo que publicamos hace algunos años para conocer todas las obligaciones derivadas de los sistemas de denuncia interna.
Loreto Jiménez Muñoz
Consultora Legal
[1] El Estado, las Administraciones públicas territoriales e institucionales, los Organismos Reguladores, las Agencias y Entidades públicas Empresariales, las organizaciones internacionales de derecho público, ni aquellas otras que ejerzan potestades públicas de soberanía o administrativas.