El meollo de la Directiva de la UE sobre Denunciantes está en el Artículo 23. Los canales de denuncia, los plazos, el catálogo de denunciantes protegidos, todo depende en última instancia de si alguien realmente sufre daño por romper las reglas. La mayoría de la discusión pública sobre la Directiva 2019/1937 sigue enfocándose en las obligaciones operacionales e ignora el régimen de sanciones, que es la parte en la que los empleadores deberían enfocarse porque determina quién paga, cuánto paga, y si el gerente que toma represalias termina personalmente en la cuerda floja en lugar de la empresa.
Justitia en el ayuntamiento de Amberes
© belgianchocolate (CC BY 2.0)
Lo que el Artículo 23 realmente castiga
La directiva es inusualmente concreta sobre qué cuenta como un acto sancionable. Nombra cuatro categorías del lado del empleador y una del lado del denunciante. El texto es lo suficientemente breve para leer completo:
"Los Estados miembros establecerán sanciones efectivas, proporcionadas y disuasorias aplicables a personas físicas o jurídicas que: (a) obstaculicen o intenten obstaculizar la denuncia; (b) tomen represalias contra las personas mencionadas en el Artículo 4; (c) inicien procedimientos injustificados contra las personas mencionadas en el Artículo 4; (d) incumplan la obligación de mantener la confidencialidad de la identidad de los denunciantes, según se indica en el Artículo 16."
Artículo 23(1), Directiva (UE) 2019/1937
El párrafo 2 cierra el bucle en la otra dirección. Una persona que knowingly denuncia o divulga públicamente información falsa también tiene que enfrentar una sanción efectiva y disuasoria, más una vía para que la persona acusada falsamente recupere daños. Los cuatro elementos del párrafo 1 cubren la mayoría del riesgo cotidiano para un empleador. Obstaculizar es más amplio que bloquear directamente. Incluye presión, procedimientos manipulados, carga de trabajo fabricada, y cualquier cosa más que haga que presentar una denuncia sea sustancialmente más difícil. Represalias llega no solo al denunciante sino también a facilitadores, colegas y parientes. Procedimientos injustificados cubre demandas por difamación de estilo SLAPP y reclamos laborales acosadores dirigidos al denunciante. Incumplimiento de la confidencialidad se aplica incluso a una única divulgación descuidada de quién presentó la denuncia. El texto completo está en EUR-Lex.
La directiva también requiere que la carga de la prueba se invierta en casos de represalias. Una vez que el denunciante muestra un vínculo prima facie entre la denuncia y un perjuicio, el empleador tiene que probar que la acción habría sucedido de todas formas. Las implementaciones nacionales varían en los detalles procedimentales, pero el mecanismo subyacente es inequívoco y la Comisión ha perseguido el cumplimiento con firmeza en este punto específico. El efecto práctico es que un caso de juzgado laboral sobre un despido "basado en el desempeño" que llega dos meses después de una denuncia se convierte en el caso del empleador a perder, no el del denunciante a ganar.
"Efectiva, proporcionada y disuasoria" está haciendo un trabajo real
La fórmula de tres adjetivos en el Artículo 23 no es boilerplate. Cada palabra es una prueba de cumplimiento separada, y la Corte de Justicia ha rechazado implementaciones nacionales que fallan en cualquiera de ellas en otras directivas. Efectiva significa que la sanción tiene que ser realmente aplicada, no solo existir en el papel. Proporcionada significa que tiene que escalar con la gravedad de la conducta, por lo que una multa fija y simbólica para una campaña de represalias corporativas falla. Disuasoria significa que un empleador racional tiene que preferir el cumplimiento sobre el costo esperado de la sanción. La directiva es explícita sobre por qué esto importa:
"Cuando las represalias ocurren sin freno y sin castigo, tienen un efecto chilling en los denunciantes potenciales. Una prohibición legal clara de represalias tendría un importante efecto disuasorio, y se fortalecería aún más por disposiciones de responsabilidad personal y sanciones para los perpetradores de represalias."
Considerando 88, Directiva (UE) 2019/1937
El considerando es la razón por la que la mayoría de las transposiciones nacionales alcanzan responsabilidad personal para individuos, no solo multas administrativas en la empresa. Una empresa puede absorber una multa. Un gerente que toma represalias y termina siendo personalmente nombrado en un procedimiento penal enfrenta un cálculo muy diferente. ISO 37002:2021, el estándar de orientación internacional para sistemas de gestión de denuncias, se basa en la misma lógica. Sus tres principios de confianza, imparcialidad y protección solo funcionan si las consecuencias de romperlos son visibles dentro de la organización. La versión publicada está en el sitio web de ISO.
Los regímenes de sanciones de los Estados miembros son desiguales
La directiva establece el piso y permite que cada Estado miembro elija la arquitectura, lo que ha producido resultados muy desiguales. La HinSchG de Alemania, en vigor desde julio de 2023, limita las multas administrativas a EUR 50.000 para las peores categorías de conducta, no configurar un canal de denuncia, represalias e incumplimiento de la confidencialidad. La multa se asigna a entidades legales y a individuos responsables, no al denunciante.
Francia presionó más. Sapin II, según se enmendó después de la transposición de 2022, hace que obstruir una denuncia sea un delito penal punible con dos años de encarcelamiento y una multa de EUR 30.000. Divulgar la identidad de un denunciante sin consentimiento conlleva las mismas penas criminales. Una disposición separada crea una sentencia de un año y una multa de EUR 15.000 para cualquier persona que obstruya la transmisión de una alerta "de cualquier manera". En el lado corporativo, las empresas que se queden cortas en las obligaciones de cumplimiento de Sapin II pueden enfrentar multas de hasta EUR 10 millones.
Italia se sitúa en el medio. La banda de sanción administrativa por represalias, obstrucción, incumplimiento de la confidencialidad o falta de canales de denuncia es de EUR 10.000 a EUR 50.000, implementada por ANAC. El regulador italiano también coordinó sus directrices de denuncias de 2025 con la autoridad de protección de datos Garante, lo que significa que una única denuncia mal manejada puede desencadenar procedimientos paralelos en bases de denunciante y en bases de GDPR. Luxemburgo, en el extremo inferior, gestiona una banda de EUR 1.500 a EUR 25.000 para acciones represivas y procedimientos abusivos contra denunciantes. Un informe país por país de los regímenes de Estados miembros muestra cuán inconsistentes son realmente los pisos, y la brecha entre las jurisdicciones más baratas y más caras es lo suficientemente amplia como para que los empleadores multinacionales ahora traten la pregunta como una opción deliberada de costo operativo en lugar de una nota al pie procesal.
El veredicto de la Comisión en 2024: demasiado suave para disuadir
La Comisión Europea publicó su informe de conformidad sobre la directiva en julio de 2024. Los hallazgos sobre sanciones fueron tajantes:
"Varios Estados miembros: (i) definieron la conducta sancionada en términos vagos, por ejemplo, al penalizar incumplimientos o abusos de la ley nacional de transposición en general; o (ii) introdujeron sanciones que parecen demasiado bajas para considerarse disuasorias."
Informe de la Comisión al Parlamento Europeo y al Consejo, COM(2024) 269 final
El informe señaló tres modos de fallo específicos. Las sanciones por "intentos" de obstaculizar denuncias a veces faltaban o se limitaban por listas exhaustivas. Las sanciones por represalias a veces alcanzaban solo al denunciante y no a facilitadores o personas relacionadas. Y las sanciones por procedimientos injustificados a veces se dejaban sin una referencia cruzada específica a la legislación de cumplimiento. La Comisión se comprometió a seguir monitoreando e iniciar procedimientos de incumplimiento donde la transposición no se corrija.
Cuando los Estados miembros no transponen, la factura viene de Luxemburgo
Los Estados miembros que no transponen en absoluto pagan antes de que cualquiera de sus empleadores lo haga. El 6 de marzo de 2025, la Corte de Justicia multó a cinco estados por no implementar la directiva en la ley nacional a tiempo. Alemania fue golpeada con una suma forfaitaria de EUR 34 millones, la República Checa con EUR 2,3 millones, Hungría con EUR 1,75 millones, Luxemburgo con EUR 375.000, y Estonia con una suma forfaitaria de EUR 500.000 más una penalización diaria de EUR 1.500 por incumplimiento continuo.
Polonia ya había pasado por el mismo procedimiento el 25 de abril de 2024, ordenada a pagar una suma forfaitaria de EUR 7 millones más EUR 40.000 por día hasta la transposición. La corte rechazó el argumento de Polonia de que la disrupción por COVID-19 y la afluencia de refugiados de Ucrania justificaban el retraso. La regla es que las circunstancias políticas domésticas no pueden excusar una fecha límite de transposición incumplida. El resumen eucrim de los laudos de marzo de 2025 camina a través de cada caso.
La Corte Europea de Justicia en Luxemburgo
© Cédric Puisney (CC BY 2.0)
Lo que esto significa para un empleador en la práctica
Una auditoría de cumplimiento doméstico que solo verifica si la empresa "tiene un canal de denuncia" ya no es suficiente. La auditoría tiene que probar si el canal es imparcial, si la confidencialidad se mantiene en operación, y si el procedimiento sanciona a cualquiera de su propio personal que lo incumpla. Los hallazgos de la Comisión sobre transposición vaga significan que varias leyes nacionales se endurecerán en la próxima ronda, y la línea de base de auditoría se mueve con ellas.
La capa de responsabilidad personal también cambia quién realmente soporta el riesgo. Un gerente de línea que toma represalias contra un denunciante, un director de recursos humanos que comparte el nombre del denunciante con el sujeto nombrado, un miembro de la junta que bloquea una investigación, cada uno ahora está expuesto a una vía penal o administrativa nacional en su propio nombre. El seguro no cubre la responsabilidad penal, e la indemnización corporativa no se extiende a la conducta de mala fe. Lo que una organización hace con una denuncia es ahora una cuestión de riesgo personal para las personas involucradas.
El caso para entregar la recepción a un operador externo se fortalece cada vez que un Estado miembro sube su piso de sanciones. El Artículo 8 explícitamente permite el arreglo, ISO 37002 respalda investigadores externos en casos controvertidos, y la postura de auditoría es más limpia porque las obligaciones del operador están escritas en un contrato en lugar de inferidas de procedimiento interno. Hay varias razones para invertir en software de denunciantes dedicado, y el régimen de sanciones es una de ellas.
Mazo judicial de madera y actas de tribunal
© Jonathunder (CC BY-SA 4.0)
El régimen de sanciones más barato de operar es el que una empresa nunca desencadena. Whistleblowing System apoya a sus clientes en la implementación de la plataforma y en el manejo de reportes a través de la cooperación con especialistas de SPG Legal Sawicki i Wspólnicy sp.k.
