Dentro del catálogo de servicios que ofrecemos en PROTECCIÓN DATA hemos incluido la gestión por cuenta nuestros clientes de sus sistemas internos de información o canales de denuncias, de acuerdo al protocolo que hemos previsto al efecto y que encontrarán en nuestra sección de servicios.
Transposición de la Directiva Whistleblowing
El día 21 de febrero de 2023 se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que entró en vigor el día 13 de marzo de 2023. La ley consta de 68 artículos estructurados en nueve títulos, seis disposiciones adicionales, tres disposiciones transitorias y doce disposiciones finales.
Esta ley traspone al ordenamiento interno la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 o «Directiva Whistleblowing» de la que les hablé aquí.
La transposición se ha realizado fuera de plazo, lo que implicará, previsiblemente, una cuantiosa multa al Estado español por la Comisión Europea, y no es la primera que nos imponen por no hacer los deberes en su debido tiempo (la última multa fue de 15 millones de euros).
Dada la extensión de la ley, a fin de analizarla con detalle, he dividido el tema en los siguientes puntos:
- Finalidad de la norma.
- A quién protege la norma.
- Medidas de protección al informante y su círculo cercano.
- Sistema interno de información y canal de denuncias.
- Responsables de la implantación y gestión del sistema.
- Requisitos del sistema interno de información.
- Publicidad y Registro de informaciones.
- Autoridad Independiente de Protección del Informante, A.A.I.
- Régimen sancionador.
Advierto que este artículo será largo, pero si sigue aquí es porque le interesa, así que, empezamos:
Finalidad de la norma
La ley tiene por finalidad proteger adecuadamente frente a posibles represalias a aquellas personas que, en un contexto laboral o profesional dentro del sector público o privado, informen sobre acciones u omisiones que puedan constituir una infracción del derecho de la Unión Europea cuando afecten a alguna de las materias señaladas en el Anexo I de la Directiva Whistleblowing, a intereses financieros de la Unión o incidan en el mercado interior, o se refieran a infracciones penales o administrativas graves o muy graves calificadas como tal por el derecho interno.
Para ello, la norma obliga a determinados sujetos a contar con un sistema interno de información, que integrará lo que se conoce como «canal de denuncias» o «canal ético» junto con un sistema de gestión y protección de los informantes.
A quién protege la norma
La ley protege a todos los informantes, con las excepciones que se verán. A modo de ejemplo, incluye un listado no exhaustivo:
- Empleados públicos.
- Trabajadores por cuenta ajena.
- Autónomos.
- Accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos.
- Cualquiera que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
Las denuncias pueden referirse a hechos conocidos en el ámbito de una relación laboral, profesional o estatutaria en vigor, ya finalizada o nunca iniciada, incluyendo a voluntarios, becarios y trabajadores en formación.
Medidas de protección al informante y su círculo cercano
Las medidas de protección se prevén en el título VII de la ley y se aplicarán frente a las posibles represalias durante los dos años siguientes a ultimar las investigaciones.
Como «represalias» se entiende, a titulo enunciativo, las siguientes:
- Suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria, incluyendo la no renovación o la terminación anticipada de un contrato de trabajo temporal una vez superado el período de prueba, o terminación anticipada o anulación de contratos de bienes o servicios, imposición de cualquier medida disciplinaria, degradación o denegación de ascensos y cualquier otra modificación sustancial de las condiciones de trabajo y la no conversión de un contrato de trabajo temporal en indefinido, si el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido.
- Daños, incluidos los de carácter reputacional, pérdidas económicas, coacciones, intimidaciones, acoso u ostracismo.
- Evaluación o referencias negativas respecto al desempeño laboral o profesional.
- Inclusión en listas negras o difusión de información en un determinado ámbito sectorial, que dificulten o impidan el acceso al empleo o la contratación de obras o servicios.
- Denegación o anulación de una licencia o permiso.
- Denegación de formación.
- Discriminación o trato desfavorable o injusto.
Se protegerá tanto al informante como a las personas relacionadas directamente con él como familiares, compañeros de trabajo, personas jurídicas para las que trabaje o de las que sea titular, etc.
Asimismo, se extenderán a toda persona física que haya asistido al informante y, específicamente, a los representantes legales de los trabajadores en el ejercicio de sus funciones de asesoramiento y apoyo al informante.
También gozarán de protección aquellos que hayan revelado públicamente la supuesta infracción ante un peligro inminente y/o manifiesto para el interés público, en particular cuando se dé una situación de emergencia, existe un riesgo de daños irreversibles, incluido un peligro para la integridad física de una persona, exista riesgo de represalias o haya pocas probabilidades de que se dé un tratamiento efectivo a la información debido a las circunstancias particulares del caso, tales como la ocultación o destrucción de pruebas, la connivencia de una autoridad con el autor de la infracción, o que ésta esté implicada en la infracción.
No se protegerán a aquellas personas que comuniquen informaciones contenidas en comunicaciones que hayan sido inadmitidas, previamente, por algún canal interno de información, o por alguna de las causas previstas en el artículo 18.2.a) de la ley que nos ocupa.
No se protegerá a quienes comuniquen informaciones vinculadas a reclamaciones sobre conflictos interpersonales o que afecten sólo al informante y a las personas a las que se refiera la comunicación o revelación.
Igualmente, no serán objeto de protección aquellos informadores que revelen informaciones que ya estén disponibles para el público o constituyan meros rumores.
Las personas denunciadas o afectadas por la comunicación también contarán con cierta protección, en particular, para preservar su identidad mientras dure la instrucción, para garantizar que gocen, plenamente, de su derecho a la tutela judicial efectiva y a un juez imparcial, así como a la presunción de inocencia y al derecho de defensa.
Sistema interno de información y canal de denuncias
En el sector público están obligados a disponer de un sistema interno de información:
- Todas las Administraciones públicas estatales, autonómicas y locales, así como los organismos y entidades vinculadas.
- Autoridades administrativas independientes, el Banco de España y las entidades gestoras y los servicios comunes de la Seguridad Social.
- Universidades públicas.
- Corporaciones de Derecho Público.
- Fundaciones del sector público.
- Sociedades mercantiles participadas mayoritariamente por alguna de las entidades enumeradas anteriormente.
- Órganos constitucionales, de relevancia constitucional o análogos autonómicos.
Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el sistema interno de información. Lo mismo podrán hacer las entidades vinculadas o dependientes de órganos de las Administraciones territoriales que cuenten con menos de 50 trabajadores con la Administración a la cual estén vinculadas.
En el sector privado están obligadas a disponer del referido sistema interno de información:
- Personas físicas o jurídicas que tengan contratados a 50 o más trabajadores.
- Personas jurídicas que entren en el ámbito de aplicación del Derecho comunitario en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte o protección del medio ambiente.
- Partidos políticos, sindicatos, así como las organizaciones empresariales y fundaciones creadas por ellos que reciban fondos públicos.
Si las entidades obligadas forman parte de un grupo de empresas y tienen entre 50 y 249 trabajadores podrán compartir entre sí el sistema interno de información y los recursos destinados a la tramitación de las comunicaciones, respetando en todo caso las garantías previstas en la ley.
El plazo máximo de implementación de los sistemas internos de información es de 3 meses a partir de la entrada en vigor de la ley, de forma que el plazo vence el 13 de junio de 2023. Excepcionalmente, las entidades con menos de 250 empleados tendrán hasta el 1 de diciembre de 2023.
Responsables de la implantación y gestión del sistema
El órgano de administración o de gobierno de cada entidad será el responsable de designar a aquella persona física responsable del sistema interno de información. Si se optase por que el «responsable del sistema» fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión del sistema y de tramitación de expedientes de investigación. Se impone la obligación de realizar una consulta previa con los sindicatos y representación legal de los trabajadores (empleados públicos), a quienes se les reserva un papel relevante en la configuración del sistema.
En el sector privado deberá ser un directivo de la entidad que asumirá exclusivamente esas funciones, si bien podrá coincidir en la persona responsable de la función de cumplimiento normativo.
El nombramiento o el cese de la persona física individualmente designada, así como de los integrantes del órgano colegiado, deberán ser notificados en el plazo de diez días a la Autoridad Independiente de Protección del Informante, A.A.I.
El responsable del sistema desarrollará sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.
El sistema de información contará con un canal de denuncias para la gestión de las comunicaciones, con la posibilidad de externalizarlo a través de un tercero, que ofrecerá garantías de independencia, confidencialidad, protección de datos y secreto de las comunicaciones. Este tendrá la consideración de encargado del tratamiento.
Requisitos del sistema interno de información
El procedimiento que seguirán las comunicaciones o denuncias establecerá las previsiones necesarias para que el sistema de información y los canales de denuncias cumplan con los requisitos establecidos en esta ley. En particular, el procedimiento responderá al contenido mínimo previsto en el artículo 9 de la ley.
El sistema de información permitirá al informante comunicar la información que conozca, por escrito o verbalmente, o de ambos modos, y garantizará:
- La confidencialidad de la identidad del informante y cualesquiera que sean mencionados en la comunicación.
- La adopción de las medidas de protección previstas en la ley frente a represalias.
- La independencia, la imparcialidad y la ausencia de conflictos de intereses.
- El principio de presunción de inocencia y el derecho de defensa de los afectados.
El canal de denuncias permitirá la presentación de denuncias anónimas, cuestión que la Directiva Whistleblowing había dejado a criterio de los Estados miembros de la Unión.
Publicidad y Registro de informaciones
Los sujetos comprendidos dentro del ámbito de aplicación de la ley proporcionarán, de forma clara y fácilmente accesible, información sobre el sistema implantado y el procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
De igual manera, los sujetos obligados deberán disponer de un libro-registro de las comunicaciones recibidas y las de investigaciones realizadas. Este registro no será público y únicamente, a petición razonada de la autoridad judicial competente, en el marco de un procedimiento judicial y bajo la tutela de aquella, podrá accederse total o parcialmente a su contenido.
Los datos personales relacionados con las comunicaciones e investigaciones se conservarán durante el período que fuese necesario que, en ningún caso, podrá superar los diez años.
Autoridad Independiente de Protección del Informante, A.A.I.
La ley prevé la creación de la Autoridad Independiente de Protección del Informante, A.A.I. que se configura como «un ente de derecho público de ámbito estatal con personalidad jurídica propia y plena capacidad pública y privada, que actuará en el desarrollo de su actividad y para el cumplimiento de sus fines con plena autonomía e independencia orgánica y funcional respecto del Gobierno, de las entidades integrantes del sector público y de los poderes públicos en el ejercicio de sus funciones»
Para el cumplimiento de sus fines, la Autoridad Independiente de Protección del Informante, A.A.I. tendrá las siguientes funciones:
- Gestión del canal externo de comunicaciones regulado en el título III.
- Adopción de las medidas de protección al informante previstas en su ámbito de competencias, de acuerdo con lo dispuesto en el artículo 41.
- Informar preceptivamente los anteproyectos y proyectos de disposiciones generales que afecten a su ámbito de competencias y a las funciones que desarrolla.
- Tramitación de los procedimientos sancionadores en su ámbito de competencias.
- Fomento y promoción de la cultura de la información.
Régimen sancionador
La ley dedica el título IX al régimen sancionador para el caso de incumplimientos de los preceptos de la propia ley, encargando el ejercicio de dicha potestad a la Autoridad Independiente de Protección del Informante, A.A.I.
Las infracciones se recogen en el artículo 63, al cual me remito para evitar extenderme más. Las calificadas como muy graves prescribirán a los tres años, la graves a los dos años y las leves a los seis meses.
En cuanto a las sanciones se prevén las siguientes:
- Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
- Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.
Adicionalmente, en el caso de infracciones muy graves, la Autoridad Independiente de Protección del Informante, A.A.I., podrá acordar:
- La amonestación pública.
- La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.
- La prohibición de contratar con el sector público durante un plazo máximo de tres años.
Y puesto que se prevén reglas específicas en materia de protección de datos personales (arts. 29 a 34), el incumplimiento de éstas podría dar lugar a sanciones administrativas por parte de la Agencia Española de Protección de Datos.
Conclusión
Estamos ante una ley ambiciosa, que se aprueba por mandato de la Unión Europea, no por iniciativa de nuestro legislador ni del Gobierno, cuyo papel puede ser relevante si se dota de medios y garantías, principalmente, en el sector público, expuesto al fraude en la contratación pública y en la concesión de ayudas y subvenciones, casos que todos tenemos en mente.
En el sector privado, su aplicación me parece especialmente interesante para mantener estándares de excelencia, ayudando a evitar situaciones indeseadas que pudieran poner en tela de juicio la imagen reputacional de la organización.