 |
| Fuente de la imagen: Negocio editorial al otro lado del Charco (Velasco, 2018) |
El canal de denuncias como eje estratégico de la integridad corporativa: un análisis de la doctrina de Velasco-Carretero y su impacto en el cumplimiento normativo - The Whistleblower Channel as a strategic axis of corporate integrity: an analysis of the Velasco-Carretero doctrine and its impact on regulatory Compliance
Resumen: Se analiza la configuración y trascendencia del Sistema Interno de Información, comúnmente denominado canal de denuncias, como contrafuerte de los modelos de prevención de delitos. Partiendo de la premisa de que el cumplimiento normativo debe alejarse de modelos genéricos o "pret-à-porter" para consolidarse como un "traje a medida" de cada organización, se explora la doctrina de Manuel Velasco-Carretero y su recepción en la investigación académica de Vidales Vilca Zela. El estudio aborda la evolución desde la reticencia inicial hacia las denuncias anónimas hasta su plena legalización en el marco jurídico español (Ley 2/2023). Se examina la arquitectura procesal del canal, la gestión de riesgos, la protección del informante frente a represalias y la relevancia del canal como medio de prueba para acreditar una cultura de respeto al Derecho. Se concluye que un canal de denuncias óptimo es una obligación legal y una herramienta estratégica que fortalece la reputación institucional, protege el interés público y fomenta la moral de los trabajadores.
Palabras clave: Compliance, Canal de Denuncias, Código de Conducta, Ley 2/2023, Integridad Corporativa, Protección del Informante, Riesgo Reputacional.
Abstract: This article analyzes the configuration and significance of the Internal Information System, commonly known as the whistleblowing channel, as a cornerstone of crime prevention models. Starting from the premise that regulatory compliance should move away from generic or "off-the-shelf" models and become a "tailor-made" solution for each organization, the study explores the doctrine of Manuel Velasco-Carretero and its reception in the academic research of Vidales Vilca Zela. The study addresses the evolution from initial reluctance towards anonymous reporting to its full legalization within the Spanish legal framework (Law 2/2023). It examines the procedural architecture of the channel, risk management, protection of whistleblowers from retaliation, and the channel's relevance as evidence for demonstrating a culture of respect for the law. The article concludes that an optimal whistleblowing channel is not only a legal obligation but also a strategic tool that strengthens institutional reputation, protects the public interest, and fosters employee morale.
Keywords: Compliance, Whistleblowing Channel, Code of Conduct, Law 2/2023, Corporate Integrity, Whistleblower Protection, Reputational Risk.
1. Introducción: El fin de la era del cumplimiento pret-à-porter
Durante años, la implementación de programas de cumplimiento normativo o compliance en el ámbito empresarial se vio empañada por la proliferación de soluciones estandarizadas. Este fenómeno, denominado por Velasco-Carretero (2018) como cumplimiento "pret-à-porter", consistía en la mera adopción formal de manuales y códigos de conducta desconectados de la realidad operativa de la empresa. Pero la jurisprudencia y la evolución normativa han dejado claro que tales sistemas resultan ineficaces ante un tribunal. La verdadera eficacia del cumplimiento reside en el "traje a medida", es decir, en un sistema diseñado tras un análisis exhaustivo de los riesgos específicos de la entidad.
En este contexto, el canal de denuncias emerge como el componente más crítico del modelo de prevención. Como bien señala la investigación dirigida por Bramont-Arias y realizada por Vidales Vilca Zela (2025), el código de conducta debe señalar expresamente los canales a los que el trabajador puede recurrir para informar sobre conductas riesgosas. No es simplemente de un buzón de sugerencias, se trata de un mecanismo de "alerta temprana" que permite a la organización detectar infracciones antes de que causen un daño irreparable a su patrimonio o reputación. La doctrina de Velasco-Carretero (2018) subraya que este canal es el instrumento que permite materializar el compromiso con el "buen gobierno", consolidando la confianza de los inversores y reforzando el compromiso ético de la plantilla.
2. La evolución del anonimato: de la sospecha a la legalidad
Uno de los debates más intensos en la doctrina del compliance ha sido la procedencia de las denuncias anónimas. Históricamente, tanto la Agencia Española de Protección de Datos (AEPD) como diversos dictámenes de la Unión Europea se mostraron reacios a aceptar informaciones que no identificaran al denunciante, bajo la premisa de que los datos personales debían recopilarse de manera leal. Pero Velasco-Carretero (2015) mantuvo desde 2015, con la última reforma importante del Código Penal español en materia de responsabilidad penal de las personas jurídicas, una posición a contracorriente de esta tendencia mayoritaria, defendiendo la necesidad de aceptar el anonimato para derribar la barrera del miedo a las represalias.
El cambio de paradigma se consolidó en España con la Ley Orgánica 3/2018 (LOPDGDD), cuyo artículo 24 estableció la licitud de los sistemas de información internos que permitan comunicaciones incluso anónimas. Esta tendencia se ha visto reforzada con la Ley 2/2023, que traspone la Directiva (UE) 2019/1937, situando al informante en el centro de la protección legal. La realidad operativa demuestra que un canal que garantiza el anonimato técnico —mediante plataformas digitales que ocultan la dirección IP y eliminan metadatos de los archivos adjuntos— es significativamente más eficaz para detectar fraudes y casos de corrupción que aquellos que exigen la identificación obligatoria.
3. El Código de Conducta como cimiento del sistema
Para que un canal de denuncias sea funcional, debe existir un marco de referencia que defina qué es "denunciable". Aquí es donde el código de conducta adquiere su rol como "vértice" o "cimiento" del modelo de prevención. No basta con una declaración genérica de principios éticos; el código debe detallar los comportamientos específicos que la empresa considera intolerables.
Desde la perspectiva de la teoría del delito aplicada a las personas jurídicas, el código de conducta tiene una repercusión directa en la tipicidad y la culpabilidad. Un defecto de organización penalmente relevante se manifiesta cuando una empresa carece de normas internas que controlen los riesgos derivados de su actividad. Por el contrario, la existencia de un código de conducta robusto, que incluya protocolos anticorrupción o contra el blanqueo de capitales, constituye un indicio fuerte de que la organización se comporta como un "buen ciudadano corporativo" fiel al Derecho. Por ejemplo, en el caso de una empresa dedicada a la contratación pública, el código debe prohibir explícitamente la emisión de cotizaciones sin registro o el uso de correos personales para negociaciones oficiales, ya que estas son conductas que, aunque no sean delitos en sí mismas, facilitan la concertación ilegal o colusión.
4. Arquitectura técnica y operativa del canal
La implementación efectiva del canal de denuncias requiere un diseño multimodal que garantice la accesibilidad. Velasco-Carretero (2023) sostiene que la ley exige ofrecer tanto medios escritos como orales. Esto incluye desde la plataforma digital —que actúa como canal primario por su capacidad de cifrado de extremo a extremo— hasta la mensajería de voz, el correo electrónico específico e incluso la reunión presencial a solicitud del informante.
La tecnología más que un mero accesorio, es la "columna vertebral" que asegura la trazabilidad inalterable de cada comunicación. Cada entrada debe generar un acuse de recibo en un plazo máximo de siete días y ser resuelta en un máximo de tres meses. Además, para garantizar la soberanía del dato y el cumplimiento estricto del Reglamento General de Protección de Datos (RGPD), es imperativo que los servidores que alojan esta información se encuentren ubicados dentro de la Unión Europea.
Un aspecto de esta arquitectura es la asignación de recursos. El canal de denuncias es un sistema de gestión permanente que requiere presupuesto para licencias de software, formación continua y, sobre todo, un equipo humano capacitado. El Responsable del Sistema Interno de Información (RSII) debe gozar de plena independencia y autonomía, teniendo acceso directo al órgano de administración de la entidad para elevar los hallazgos sin interferencias de mandos intermedios.
5. La monitorización activa frente a la gestión de represalias
La efectividad de un Sistema Interno de Información (SII) depende críticamente de la confianza. Velasco-Carretero (2023) argumenta que la mera existencia de una política de "no represalias" es insuficiente si no se acompaña de una monitorización activa. Esto implica que el RSII o el Compliance Officer deben vigilar el entorno laboral del informante mediante indicadores de riesgo (IR), evaluando cambios inusuales en sus condiciones de trabajo, evaluaciones de desempeño negativas injustificadas o situaciones de aislamiento social.
La ley establece una garantía procesal robusta: la inversión de la carga de la prueba. Esto significa que, si un informante sufre un perjuicio tras haber realizado una comunicación, se presume que dicho acto es una represalia, obligando a la empresa a demostrar que su decisión se basó en motivos legítimos y ajenos a la denuncia. Para dotar de credibilidad al sistema, la organización debe comprometerse a aplicar sanciones internas inmediatas y ejemplarizantes a quienes infrinjan esta prohibición, tratando la represalia como una infracción muy grave que puede derivar en el despido disciplinario.
6. El Libro-Registro y la gestión de la privacidad
La conservación de los registros es un requisito de accountability o rendición de cuentas. El RSII tiene la obligación legal de mantener un Libro-Registro de Informaciones donde se documente cada etapa: desde la recepción y la admisión a trámite hasta la investigación y la resolución final. Este registro debe estar bajo el principio de "necesidad de conocer" (need-to-know), limitando el acceso exclusivamente al responsable y su equipo directo para preservar la confidencialidad absoluta.
En cuanto a la privacidad, los plazos de retención de datos son estrictos. Como norma general, los datos personales no deben conservarse en el sistema de denuncias más de tres meses si no se ha iniciado una investigación. Transcurrido este tiempo, la información puede permanecer anonimizada para fines de estadística y mejora continua, pero nunca de forma que permita identificar a las personas afectadas, a menos que exista un proceso judicial o administrativo en curso.
7. Comunicación y formación: catalizadores de la cultura ética
Un canal de denuncias que nadie conoce o en el que nadie confía es una estructura inerte. Por ello, la Fase de Lanzamiento del sistema debe incluir una publicidad exhaustiva. El acceso al canal debe ser fácil e intuitivo, situando enlaces visibles en el pie de página de la web corporativa y mediante cartelería con códigos QR en lugares estratégicos de los centros de trabajo.
La formación es el engranaje que transforma el conocimiento pasivo en una comprensión activa. Debe ser universal, dirigida a toda la plantilla, pero especializada para los mandos intermedios y el equipo gestor. Un personal bien formado entiende que informar es un acto de lealtad hacia la organización que protege el interés general. Como ejemplo de buenas prácticas, las empresas deben realizar "empujones éticos" (nudges), solicitando a los trabajadores que confirmen su conocimiento del código de conducta antes de iniciar operaciones comerciales sensibles, en lugar de hacerlo solamente al final del proceso.
8. El valor probatorio en sede judicial
La jurisprudencia española ha subrayado que el canal de denuncias es un medio de prueba idóneo para que la persona jurídica acredite su eximente de responsabilidad penal. En el caso emblemático de BANKIA y DELOITTE, el tribunal valoró positivamente la aportación de códigos éticos, manuales de cumplimiento y registros de comunicaciones internas para concluir que la entidad poseía una sólida cultura de cumplimiento y controles adecuados para prevenir delitos.
Por el contrario, el caso chileno de CORPESCA S.A. sirve como recordatorio de que tener un modelo de prevención "en el papel" no es suficiente. En este caso, la empresa fue sancionada porque, aunque había diseñado un programa, este no estaba efectivamente implementado ni difundido entre los trabajadores en el momento de los hechos delictivos. El reproche penal, por tanto, se hace por el incumplimiento de los deberes reales de dirección y supervisión.
9. Conclusiones
La doctrina de Velasco-Carretero, citada e integrada en la investigación de Vidales Vilca Zela, posiciona al canal de denuncias como una ventaja estratégica. Un sistema óptimo permite desalentar las malas prácticas, reducir pérdidas económicas y proteger la reputación de la entidad en un mercado que exige cada vez más transparencia.
La clave del éxito reside en la transición del cumplimiento cosmético al cumplimiento real. Esto implica dotar al RSII de recursos y autoridad, garantizar el anonimato mediante tecnología avanzada, monitorizar activamente el riesgo de represalias y, sobre todo, integrar el canal en una cultura de integridad que nazca desde la alta dirección (Tone at the Top).
Como concluye la propuesta legislativa de Bramont-Arias y Vilca Zela, es imperativo que el código de conducta y el canal de denuncias sean regulados como requisitos mínimos e innegociables en cualquier modelo de prevención, pues son los que otorgan seguridad jurídica tanto a la empresa como a la sociedad en su conjunto.
10. Recursos Generativos utilizados en la redacción de este artículo
Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de esta redacción a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (7% de coincidencias) y de lenguaje IAG (11% de coincidencias), considerando ambos ratios razonables y asumibles.
____________
11. Referencias Bibliográficas
Agencia Española de Protección de Datos (AEPD). (2019). Guía sobre el tratamiento de denuncias y la gestión de investigaciones internas.
Alguacil Césari, J., et al. (2019). Responsabilidad penal de las personas jurídicas. Programas de integridad (compliance). Ley 27.401 comentada. Hammurabi.
Arocena, G. A., & Césano, J. D. (2019). Responsabilidad penal empresaria y “criminal compliance”. Ley 27.401. Hammurabi.
Bramont-Arias Torres, L. F., & Vilca Zela, J. V. (2025). La implementación de un código de conducta como uno de los elementos mínimos del modelo de prevención de las personas jurídicas. Pontificia Universidad Católica del Perú.
Campomanes Camino, M. (2019). La norma ISO 19600 como guía de referencia internacionalmente aceptada. En Defensa corporativa y compliance. Editorial Aranzadi.
España. (2023). Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado.
España. (2018). Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Parlamento Europeo y del Consejo. (2019). Directiva (UE) 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
Sala de lo Penal, Audiencia Nacional. (2020). Resolución del caso N.º 2347/2020 (Caso Bankia).
Sala del Tercer Tribunal Oral en lo Penal de Santiago. (2021). Rol Interno Tribunal N.° 309-2018 (Caso Corpesca).
Tejada Plana, D. (2021). Behavioral compliance: reforzando el compliance a través de la ética conductual. Editorial Aranzadi.
Velasco Carretero, M. (2018). Compliance penal. Menos prêt-à-porter y más traje a medida. Editorial ICB.
Velasco Carretero, M. (2023). Análisis de Riesgos en el Canal de Denuncias. Sitio Compliance - Cumplimiento Normativo.
Velasco Carretero, M. (2023). Habilitación Multimodal de los Canales de Denuncia. Sitio Compliance - Cumplimiento Normativo.