Cumplimiento

20 puntos clave del Anteproyecto de Ley de Protección de Informantes

claves-canal-denuncias

Análisis y características de la ley

El 4 de marzo del 2022 el Consejo de Ministros aprobó la propuesta del Ministerio de Justicia del “Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión”, más conocida como Directiva Whistleblowing.

El plazo para llevar a cabo la trasposición acabó el pasado 17 de diciembre, y de los 27 países miembros solo Suecia, Malta y Portugal llegaron a tiempo. Por esa razón, la Comisión Europea abrió un procedimiento de infracción a España y el resto de 23 países.

La nueva ley (en puridad, el anteproyecto de ley), que traspone a la legislación nacional le directiva Whistleblowing, se estructura en 68 artículos, tres disposiciones adicionales, cuatro disposiciones transitorias y ocho disposiciones finales. Sin embargo, este anteproyecto todavía debe ser sometido a la tramitación parlamentaria antes de su aprobación final y posterior publicación en el BOE. El texto del Anteproyecto de Ley podría sufrir modificaciones relevantes, por lo que lo expuesto a continuación puede variaren aspectos relevantes una vez esté publicada la Ley definitiva.

Tras su publicación, aún tardará 20 días en entrar en vigor y las empresas de más de 250 empleados dispondrán de 3 meses para poder implantar un canal de denuncias y las compañías de menos de 249 trabajadores podrían trasladar ese plazo al 1 de enero de 2023.

Desde el equipo de GlobalSuite Solutions hemos analizado en profundidad el texto para responder a los aspectos esenciales y más importantes de cara a una mejor comprensión de sus apartados.

Las claves de la trasposición de la directiva «Whistleblowing»

La ley tiene como objetivo la protección adecuada frente a las represalias que pueden sufrir las personas que informen sobre determinadas infracciones dentro de su ámbito laboral a través de los procedimientos de comunicación que están previstos en en el anteproyecto de ley.

La ley protege a las personas físicas que informen de las acciones u omisiones qué pueden ser infracciones del derecho de la Unión Europea, o bien de acciones u omisiones que puedan ser constitutivas de una infracción penal o administrativa grave o muy grave, así como cualquier vulneración del resto del ordenamiento jurídico siempre que se afecte o menoscabe directamente el interés general (*).

Se excluye del ámbito de aplicación de la ley las informaciones que afecten a información clasificada o las que resulten del deber de confidencialidad de médicos, abogados y fuerzas y cuerpos de seguridad del estado. También aquellas informaciones cuyo secreto este establecido en leyes y reglamentos, el carácter reservado de la información con trascendencia tributaria y cualquier otra información cuando lo establezca la legislación que le competa.

La ley protege a los informantes tanto del sector privado como público que hayan obtenido información sobre infracciones en un contexto laboral o profesional.

Se incluyen:

  • los empleados públicos;
  • los trabajadores por cuenta ajena (en sentido amplio, incluyendo aquellos cuya relación laboral ya haya finalizado o aún no haya empezado, voluntarios, becarios, etc.);
  • los autónomos;
  • los accionistas, partícipes, administradores y directivos;
  • los trabajadores de contratistas, subcontratistas y proveedores; y
  • las personas físicas o jurídicas relacionadas con el informante.

Es la herramienta para informar sobre las infracciones de la norma

y fijar los requisitos que deben cumplir esos sistemas, tanto en el ámbito público como privado. Además, deberán estar diseñados para garantizar la confidencialidad de la identidad del informante y de las personas mencionadas en la comunicación, permitir la presentación de comunicaciones por escrito o verbalmente o de las dos maneras, integrando los distintos canales internos de comunicación que hubiese en la empresa (Por ejemplo un canal telefónico que luego se lleve la gestión en un software de canal de denuncias), contando con un responsable del sistema y con una política que debe ser publicada en el seno de la empresa así como un procedimiento de gestión de las comunicaciones recibidas y garantizar la protección de los informantes.

Sí, podría hacerlo. La gestión de los sistemas internos se puede llevar dentro de la propia entidad o acudiendo a un tercero externo, entendiendo gestión del sistema, la recepción de informaciones.

Respecto a los datos personales, la ley indica expresamente que el tercero externo que gestiona el canal será encargado de tratamiento a los efectos de cumplir con la normativa de protección de datos.

canal-denuncias-bannerweb

La ley dice que todos los canales internos de información que haya en una entidad deben estar integrados dentro del sistema interno de información que gestione el externo.

Los canales internos deben permitir realizar comunicaciones por escrito o verbalmente o de las dos formas. Si es por escrito puede ser a través de correo postal o de cualquier otro medio electrónico habilitado. También verbalmente, por vía telefónica o a través de un sistema de mensajería de voz.

También se permite una reunión presencial. Y en estos últimos casos se puede advertir al informante que la comunicación será grabada y se le informará de tratamiento de sus datos.

Las comunicaciones verbales deberán documentarse o bien por una grabación de la conversación en un formato seguro duradero y accesible, o bien a través de una transcripción completa de la conversación ofreciendo la oportunidad al informante le comprobar y rectificar esa transcripción y ser firmada.

Muy importante: los canales internos deberán permitir la presentación y tramitación de comunicaciones anónimas. La ruptura del anonimato puede resultar una infracción muy grave.

La ley establece que debe haber un procedimiento de gestión de comunicaciones que será aprobado por el responsable del sistema.

El procedimiento responderá al siguiente contenido mínimo y principios:

  1. Identificación del canal o canales internos a los que se asocian;
  2. Establecimiento de la necesidad de enviar acuse de recibo de la comunicación al informante, en el caso de que este se identifique, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación;
  3. Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional;
  4. Establecimiento del derecho del informante a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oído en cualquier momento. Dicha comunicación tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación;
  5. Exigencia del respeto a la presunción de inocencia, el derecho a ser oído y el honor de las personas investigadas;
  6. Determinación de la duración máxima de las actuaciones de investigación, que no podrá ser superior a tres meses a contar desde la recepción de la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales;
  7. Inclusión de información clara y fácilmente accesible sobre los canales externos de comunicación ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea;
  8. Garantía de la confidencialidad cuando la comunicación sea remitida a personal no competente y, en estos supuestos, establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al Responsable del Sistema;
  9. Respeto de las disposiciones sobre protección de datos personales

La ley dice que el órgano de administración u órgano de gobierno de cada entidad u organismo tendrá que designar la persona física responsable de la gestión del sistema: esa es quién se llama responsable del sistema. También tendrán que ser responsables de su destitución o cese.

Si en vez de una persona física y responsable del sistema fuera un órgano colegiado, este órgano siempre deberá delegar en uno de sus miembros las facultades de gestión del sistema interno de información y la tramitación de expedientes de investigación.

Tanto el nombramiento como el cese tendrán que ser notificados a la Autoridad Independiente de Protección del Informante en el plazo de diez días hábiles. Para el cese habrá que informar de las razones que han justificado el mismo.

El responsable del sistema tendrá que desarrollar sus funciones de forma independiente y autónoma respecto el resto de los órganos de la organización.

La ley dice que para el sector privado debe ser un alto directivo de la entidad qué ejerza su cargo con independencia del órgano de administración o de gobierno de esta.

También dice la ley que cuando la dimensión de las actividades de la entidad no permita la existencia de un directivo responsable del sistema, será posible el desempeño ordinario de las funciones del puesto, pero siempre habrá que tratar de evitar las situaciones de conflicto de interés.

Y dice la ley que en las entidades donde ya existe un responsable de la función de cumplimiento normativo, podrá ser este la persona designada como responsable del sistema si cumple con el resto de las condiciones de la ley.

Para crear un símil de un órgano similar, sería como la Agencia Española de Protección de Datos, pero en materia de canal de denuncias…

En el anteproyecto de Ley hay varios artículos en los que se regula su composición, sus funciones, sus potestades (sancionadora, por ejemplo), así como su financiación (se llevará un porcentaje de las sanciones que ponga, así como una dotación contra presupuestos Generales del estado).

Para más información, se puede consultar el título VIII del anteproyecto.

  • Personas físicas o jurídicas que tengan 50 trabajadores o más.
  • Personas jurídicas del sector privado que entren en el ámbito de aplicación de actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales y financiación del terrorismo, seguridad del transporte y protección del medio ambiente, sin tener en cuenta el número de trabajadores con que cuenten. Se incluyen las personas jurídicas que, aunque no tengan domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente
  • Partidos políticos, sindicatos, patronales y fundaciones siempre que reciban o gestionen fondos públicos.

La ley permite que las personas jurídicas del sector privado que no estén obligadas por la ley tengan también su propio sistema de información interno. Tendrá que se acorde a lo regulado por esta normativa.

canal-denuncias-externo-banner-web

La ley establece que, si se trata de un grupo de empresas conforme al artículo 42 del código de Comercio, la sociedad dominante podría aprobar una política general relativa al sistema interno de información y aplicaría a todas las entidades que integran el grupo.

El responsable del sistema y el sistema interno podría ser uno para todo el grupo o uno para cada sociedad integrante del mismo. Todo ello se reflejaría en la política.

Además, la ley prevé que se puede intercambiar información entre los diferentes responsables del sistema del grupo si los hay con motivo de una mejor coordinación y desempeño de funciones.

Sí, así lo prevé la ley. El texto expone que las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que lo acuerden podrán compartir entre si el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones. Aunque tendrán que respetarse todas las garantías de la ley.

A los efectos de esta ley se entienden comprendidos en el sector público:

  1. La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
  2. Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
  3. Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
  4. Las Universidades públicas.
  5. Las Corporaciones de Derecho público.
  6. Las fundaciones del sector público.
  7. Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades de las mencionadas en las letras a), b), c), d) y g) del presente apartado sea superior al 50 por 100, o en los casos en que, sin superar ese porcentaje, se encuentre respecto de las referidas entidades en el supuesto previsto en el artículo 5 del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.

También deberán dotarse de un sistema interno de información, en los mismos términos requeridos para las entidades del sector público enunciados en el apartado anterior, la Casa de Su Majestad el Rey, los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.

En el artículo 14 de la ley permite que se compartan medios en el sector público en lo que se refiere a los sistemas internos de información para municipios de menos de 10000 habitantes. También para entidades del sector público vinculadas o dependientes de órganos de las administraciones territoriales que cuenten con menos de 50 trabajadores.

El texto del anteproyecto de ley indica que solo en aquellos casos en que se acredite una insuficiencia de medios propios y solo para la recepción de las informaciones sobre infracciones.

Es el canal de la Autoridad Independiente de Protección del Informante, que está a disposición de toda persona física y que podrá hacerlo directamente o previa comunicación a través de los correspondientes canales internos.

En los artículos 17 y siguientes se encuentra detallado cuál es el procedimiento de recepción de comunicaciones, trámite de admisión, instrucción y terminación de actuaciones para este canal.

Además del de esta entidad, puede haber otros canales externos de AAPP competentes.

GlobalSuite® Canal de denuncias

Descubre todas las claves para la implementación y cumplimiento.

Las entidades tendrán que informar de forma clara y accesible sobre el uso de los canales internos de información implantados, así como de los principios del procedimiento de gestión. Si se tiene página web, la información deberá constar en la página de inicio en una sección separada y fácilmente identificable.

La ley dice que todos los sujetos del sector público y del sector privado deberán contar con un libro registro de las comunicaciones recibidas y de las investigaciones internas garantizando la confidencialidad.

Este registro no es público y solo podrá accederse total o parcialmente a su contenido con una petición de una autoridad judicial competente mediante auto y en el marco de un procedimiento judicial. Existen requisitos establecidos para la conservación de esta información, indicando al anteproyecto que la conservación de los datos no podrá ser superior a 10 años- Se tendrá que analizar como se hace compatible este requisito con los 3 meses que se establece para la conservación de las comunicaciones recibidas.

En realidad, lo que viene a decir la ley es que el tratamiento de datos será lícito en base a la normativa vigente cuando el sistema de información sea obligatorio.

En los casos en los que no lo sea (obligatorio) el tratamiento se entiende amparado por el art 6.1e) RGPD (misión de interés público). También ampara en este artículo el tratamiento de datos de los canales externos, así como el tratamiento de datos derivado de una revelación pública.

Hay que informar a todos los afectados del tratamiento de sus datos. Además, hay que informar de la existencia de canales externos de información ante las autoridades competentes incluso ante organismos de la Unión Europea. De sus derechos de protección de datos, no permitiendo con carácter general el derecho de oposición.

La persona a la que se refieren los hechos relatados no será en ningún caso informada de la identidad del informante.

Solo podrán acceder a los datos contenidos en los sistemas internos de información el responsable del sistema y quién lo gestiona directamente, el responsable de recursos humanos solo cuando pudiera proceder la adopción de medidas disciplinarias, el responsable de los servicios jurídicos, los eventuales encargados de tratamiento y el DPD.

En cuanto a la conservación de los datos, la información podrá conservarse en el sistema solo durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación. Pasados tres meses desde la recepción de la comunicación sin que, si hubiesen iniciado actuaciones de investigación, deberá procederse a la supresión, salvo que la finalidad de la conservación se ha dejado en evidencia del funcionamiento del sistema.

Las comunicaciones a las que no se haya dado curso, solamente podrán constar de forma anonimizada. No será de aplicación la obligación del bloqueo LOPD.

Todas las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que lo gestionen, deberán tener nombrado un DPD.

Hay dos condiciones para tener derecho a la protección:

Tener motivos razonables para pensar que la información es veraz en el momento de la comunicación aun cuando no se aporten pruebas concluyentes, y que la comunicación se haya realizado conforme a los requerimientos de la ley.

Hay causas de exclusión en el artículo 35.

Las medidas de protección se podrían resumir en:

  • Prohibición de represalias (art 36)
  • Establecimiento de medidas de apoyo (37)
  • Establecimiento de medidas de protección frente a represalias (38)

También hay medidas de protección para las personas investigadas y programas de clemencia para las personas que han participado en la comisión de la infracción, pero son las que informen de su existencia y colaboran en su investigación.

Es la Autoridad Independiente de Protección del Informante quién sancionará por las infracciones cometidas, tanto en el sector público como en el sector privado.

Pueden ser responsables de infracciones tanto las personas físicas como jurídicas que realicen con dolo las infracciones. También puede ser un órgano colegiado respondiendo de forma personal sus miembros. Quedarían exentos los miembros que no han asistido por causa justificada o que hayan votado en contra del acuerdo.

Las infracciones se dividen en muy graves, graves y leves. Se puede consultar en el artículo 63. Pero en resumen pueden ser: la limitación de los derechos de la ley, la toma de represalias, vulnerar las garantías de confidencialidad y anonimato, vulnerar el deber de secreto o comunicar o revelar públicamente información a sabiendas de su falsedad (ejemplos de las muy graves).

Las acciones son diferentes y son personas físicas o personas jurídicas.

  • Si son personas físicas van desde los 10000 € por infracciones leves, hasta 30000 € por infracciones graves y hasta 300000 € por infracciones muy graves.
  • Si es persona jurídica las sanciones van hasta 100000 € en caso de infracciones leves, hasta 600000 € en caso de infracciones graves y hasta el millón de euros en caso de infracciones muy graves.

En las infracciones muy graves la Autoridad Independiente de Protección del Informante puede acordar:

  • Amonestación pública,
  • Prohibición de obtener subvenciones durante un plazo máximo de 4 años,
  • Prohibición de contratar con el sector público durante el plazo máximo de 3 años
  • Publicación en el BOE de las sanciones superiores a 600000 €.

También hay posibilidad de graduar la sanción teniendo en cuenta la reincidencia, la persistencia temporal del daño, la intencionalidad y culpabilidad del autor, el resultado del ejercicio anterior, la reparación de los daños causados, la colaboración con la autoridad independiente…

La prescripción de infracciones y sanciones se indica en los artículos 64 y 68.

¿Por dónde empezar?

La nueva ley va a implicar el establecimiento de dos sistemas de información que puedan garantizar la confidencialidad del informador o denunciante. Uno externo que estará gestionado por la Autoridad Independiente de Protección del Informante, y otro canal interno que esté instaurado dentro de las organizaciones. Un canal interno, implantado con un software de canal de denuncias como el que ofrece GlobalSuite Solutions, proporciona un proceso anónimo, 100% confidencial, sencillo de usar y con los estándares de seguridad necesarios. Además, permite escoger cómo gestionarlo, si es de forma interna dentro de tu organización o un servicio externo adaptado a tus necesidades. Una herramienta de estas características es la mejor manera de adecuar tu compañía al cumplimiento de la nueva ley y demostrar que tu empresa trabaja con total transparencia de cara a tus empleados, clientes y proveedores.

Más artículos