Novedades en ‘compliance’: situación actual de los canales de denuncia y nuevos delitos a raíz de la reforma penal europea.

La cultura de cumplimiento normativo evoluciona impulsada por nuevas obligaciones legales y por la consolidación de mecanismos de control más estrictos. Las novedades en torno a los sistemas internos de información y los nuevos tipos penales vinculados a medidas restrictivas de la UE exigen una actualización de los modelos de ‘compliance’.

Que las empresas no pueden desplegar su actividad al margen de estándares éticos y de cumplimiento evidenciables es una realidad a la que ya ninguna organización resulta ajena.

Más para que la cultura de cumplimiento, una vez implantada, se consolide, evolucione y sea sostenible en el tiempo, es preciso atender las continuas novedades que van surgiendo en el ámbito del compliance, que determinan la necesidad de revisar y, en su caso, adaptar los distintos elementos que conforman los sistemas corporativos de cumplimiento.

He aquí algunas novedades recientes a tener en cuenta:

Avances en relación con los canales de denuncia

La regulación de los canales de denuncia se intensificó de forma notable desde la entrada en vigor de la conocida como Directiva europea Whistleblowing, y, particularmente en España, desde su trasposición a derecho español mediante la Ley 2/2023 de protección del informante.

Desde su publicación, dicha ley ha sido objeto de múltiples artículos y foros en los que se han ido planteando las dudas interpretativas que surgen a la hora de implantar en la práctica los sistemas internos de información (SII), fundamentalmente en las empresas del sector privado. Dudas de distinto calado acerca, por ejemplo, de la composición del órgano responsable del SII cuando se opta por la fórmula colegiada, de las posibilidades de externalización más allá de la recepción de las comunicaciones, de la interacción entre el procedimiento para la gestión de las informaciones recibidas a través del SII y los protocolos internos exigidos por la normativa laboral, del modo de proceder tratándose de grupos empresariales de carácter multinacional, de cómo garantizar el anonimato cuando se comunica a través de medios informáticos, o las suscitadas en torno a la obligación de remitir inmediatamente a la Fiscalía la información recibida en caso de que tuviera por objeto hechos indiciariamente constitutivos de delito.

Algunas cuestiones, como la atribución de la condición de responsable del tratamiento de los datos personales al órgano de administración de las entidades, ya fueron objeto de consulta y respuesta por parte de la Agencia Española de Protección de Datos (Informe jurídico 0054/2023, de junio de 2023), ­­­si bien el tenor literal de la ley mantiene su redacción inicial. Pero, para despejar el resto de las dudas, habrá que esperar a que la función consultiva que, entre otras competencias, atribuye a la Autoridad Independiente de Protección del Informante, A.A.I. (AINPI) el Estatuto que regula su funcionamiento, comience a desarrollarse a través de las circulares y recomendaciones, así como mediante los trámites de consulta, audiencia e información pública previstos en el mencionado Estatuto.

En la actualidad la situación es la que sigue. El pasado 1 de septiembre de 2025 entró oficialmente en funcionamiento la AINPI, de acuerdo con la Orden PJC/908/2025, de 8 de agosto. El primer deber que para los sujetos obligados se deriva de la puesta en marcha de la autoridad estatal es el de notificar el nombramiento del responsable del SII, como el de los integrantes del órgano, si fuera colegiado. Pues bien, conjugando lo establecido en el artículo 8.3 de la Ley 2/2023, con lo dispuesto en el punto 4 de la Disposición Transitoria Única del referido Estatuto, el plazo para efectuar dicha notificación es de dos meses que, a la fecha de redacción de este artículo, ya se habrían cumplido.

La inicial confusión sobre dónde y cómo proceder a dar cumplimiento a dicha obligación de notificar, no aclarada en virtud de la primera nota informativa publicada por la AINPI con fecha 1 de septiembre de 2025, ha quedado definitivamente despejada en la segunda nota informativa publicada por la autoridad estatal el 8 de octubre de 2025.

Así, si bien la primera nota aludía a los trabajos que se estaban llevando a cabo para el desarrollo de la web y sede electrónica “con el objetivo de ofrecer una plataforma funcional que contemple las adecuadas medias de seguridad y confidencialidad requeridas legalmente”, lo cierto es que en ella se ofrecían una serie de direcciones de correo electrónico para contactar con la AINPI, distinguiéndose entre las habilitadas para “asuntos generales o informativos” y las previstas para asuntos específicos entre los que se señalaban expresamente los “asuntos relacionados con la comunicación del Responsable del Sistema de Información”.

Una consulta directamente dirigida a la autoridad estatal -atendida, por cierto, con toda agilidad-, así como la segunda nota informativa de la autoridad estatal, resolvieron las dudas confirmando que el “plazo de dos meses comenzará a computar desde la fecha en que esté accesible a través del portal web de la Autoridad Independiente de Protección del Informante el formulario específico de notificación del responsable del canal interno de información”. Resuelto pues: todavía no ha comenzado a contar el plazo de dos meses para efectuar la notificación del responsable del SII a la AINPI y, cuando proceda, las entidades dispondrán de un formulario específico para materializarla.

Entretanto, la página web de la AINPI se va enriqueciendo con información y contenidos que permiten contextualizar las funciones de esta novedosa autoridad administrativa independiente y pretenden servir de guía, tanto para los sujetos obligados a la implantación de los sistemas internos de información, como para los eventuales usuarios -informantes- de dichos sistemas.

Por su parte, la obligación de notificar a las autoridades autonómicas en funcionamiento resulta ya exigible (aunque en algunos casos solo para las entidades del sector público). Sin embargo en este caso las dudas se plantean en relación con los criterios, nada homogéneos, seguidos por las distintas comunidades autónomas, a saber: los que definen las casuísticas de las empresas que generan la obligación de notificar (en función de la ubicación de sede social y/o delos establecimientos, fábricas u oficinas, en función de dónde se desarrolla la actividad, etc.), así como los que concretan la información o documentación que se precisa para llevar a cabo la notificación (acta del nombramiento, poder de representación, certificado electrónico, datos identificativos, etc.).

En todo caso conviene advertir que, con independencia de que proceda o no la notificación a la autoridad autonómica correspondiente, la AINPI plantea que, al menos durante un periodo inicial, todos los sujetos obligados remitan la información a la autoridad estatal. 

Reforma penal para sancionar la vulneración de medidas restrictivas de la UE

En otro orden de cosas, el 31 de octubre de 2025 se ha publicado el Proyecto de Ley Orgánica mediante la que se modificará el Código Penal español para introducir los delitos que sancionan la vulneración de las medidas restrictivas de la Unión Europea.

La reforma atiende la trasposición de una Directiva europea (ver aquí) dictada en un contexto en el que los acontecimientos bélicos han puesto de manifiesto la importancia de que la UE cuente con un marco penal eficaz y homogéneo que castigue penalmente la elusión de las sanciones internacionales.

La regulación de los nuevos delitos prevé la responsabilidad penal de las personas jurídicas por su comisión, lo que determinará la necesidad de actualizar los análisis de riesgos de las organizaciones. El riesgo inherente derivado de los delitos en cuestión dependerá de la actividad de las empresas, que, en caso de concurrir, tendrán que reforzar sus normativas internas para minimizar el riesgo residual.

La función de cumplimiento se enfrentará en este punto a una tarea no exenta de complejidad toda vez que nos encontramos ante normas penales en blanco. Es decir, que la definición de las conductas delictivas recogidas en los nuevos tipos penales deberá completarse necesariamente a la luz de normas extrapenales, en este caso, de los reglamentos europeos y las decisiones de política exterior de seguridad del Consejo de Europa que imponen las medidas restrictivas exigidas por la Unión Europea, así como de las normas nacionales que las implementan. De modo que, según dispone la Exposición de Motivos del proyecto de ley orgánica cuando “no podrá considerarse penalmente ilícito lo que no lo sea conforme a dichos Reglamentos europeos”.

Así las cosas, el reto en materia de compliance consistirá, fundamentalmente, en identificar el amplio y variado marco normativo que resulte de aplicación y analizarlo en profundidad. Todo ello al objeto de adquirir el conocimiento suficiente que permita extraer y acercar los concretos riesgos a los que se enfrenta cada empresa por razón de su actividad, e impulsar el diseño y la implantación eficaz de aquellas medidas que contribuyan a prevenir su materialización. 

Fuente.- Garrigues