Análisis y características de la ley
El 13 de septiembre de 2022, el Consejo de Ministros ha aprobado el Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción con el objetivo de poder contribuir a la lucha contra la corrupción transponiendo así la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión Europea (UE) (en lo sucesivo, Directiva Whistleblowing).
El mencionado Proyecto de Ley traspone a la legislación nacional la Directiva Whistleblowing que se estructura en sesenta y ocho (68) artículos, en tres (3) disposiciones adicionales, en tres (3) disposiciones transitorias y, en diez disposiciones finales. Para su aprobación final será sometido a la tramitación parlamentaria antes de su aprobación final y posterior publicación en el BOE. Como consecuencia de lo expuesto, el texto podría sufrir modificaciones relevantes antes de su aprobación definitiva.
Entrará en vigor a los 20 días de su publicación y, en las empresas de de 250 empleados o más, se establece un plazo de 3 meses para poder implantar un canal de denuncias, este plazo se dilata hasta el 1 de diciembre de 2023 en las organizaciones de menos de 249 trabajadores.
Desde el equipo de GlobalSuite Solutions hemos analizado en profundidad el texto para responder a los aspectos esenciales y más importantes de cara a una mejor comprensión de sus apartados.
Las claves de la trasposición de la directiva «Whistleblowing»
La ley tiene como objetivo la protección adecuada frente a las represalias que pueden sufrir las personas que informen sobre determinadas infracciones dentro de su ámbito laboral a través de los procedimientos de comunicación que están previstos en en el anteproyecto de ley.
La ley protege a las personas físicas que informen de las acciones u omisiones qué pueden ser infracciones del derecho de la Unión Europea, o bien de acciones u omisiones que puedan ser constitutivas de una infracción penal o administrativa grave o muy grave, así como cualquier vulneración del resto del ordenamiento jurídico siempre que se afecte o menoscabe directamente el interés general (*).
Se excluye del ámbito de aplicación de la ley las informaciones que afecten a información clasificada o las que resulten del deber de confidencialidad de médicos, abogados y fuerzas y cuerpos de seguridad del estado, así como del secreto de las deliberaciones judiciales.
La ley protege a los informantes tanto del sector privado como público que hayan obtenido información sobre infracciones en un contexto laboral o profesional.
Se incluyen:
- Empleados públicos.
- Trabajadores por cuenta ajena (en sentido amplio, incluyendo aquellos cuya relación laboral se hubiera extinguido o no hubiera comenzado -proceso selección o negociación precontractual-, el personal voluntario, personal becario, trabajadores en periodos de formación con independencia que perciban o no una remuneración);
los trabajadores autónomos, los ccionistas, partícipes, administradores y directivos incluidos los miembros no ejecutivos. - Trabajadores de contratistas, subcontratistas y proveedores.
- Las personas físicas o jurídicas relacionadas con el informante -compañeros de trabajo o familiares, representantes legales de las personas trabajadoras.
- Personas físicas que presten servicios en la organización.
- Personas jurídicas, para las que trabaje o con las que mantenga otro tipo de relación laboral o en las que ostente una participación significativa.
Es la herramienta para informar sobre las infracciones de la norma
y fijar los requisitos que deben cumplir esos sistemas, tanto en el ámbito público como privado. Además, deberán estar diseñados para garantizar la confidencialidad de la identidad del informante y de las personas mencionadas en la comunicación, permitir la presentación de comunicaciones por escrito o verbalmente o de las dos maneras, integrando los distintos canales internos de comunicación que hubiese en la empresa (Por ejemplo un canal telefónico que luego se lleve la gestión en un software de canal de denuncias), contando con un responsable del sistema y con una política que debe ser publicada en el seno de la empresa así como un procedimiento de gestión de las comunicaciones recibidas y garantizar la protección de los informantes, además quienes realicen la comunicación a través de canales internos, se les informará, de forma clara y accesible, sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos dela Unión Europea.
Sí, podría hacerlo. La gestión de los sistemas internos se puede llevar dentro de la propia entidad o acudiendo a un tercero externo, entendiendo gestión del sistema, la recepción de informaciones.
Respecto a los datos personales, la ley indica expresamente que el tercero externo que gestiona el canal será encargado de tratamiento a los efectos de cumplir con la normativa de protección de datos.
La ley dice que todos los canales internos de información que haya en una entidad deben estar integrados dentro del sistema interno de información que gestione el externo.
Los canales internos deben permitir realizar comunicaciones por escrito o verbalmente o de las dos formas. Si es por escrito puede ser a través de correo postal o de cualquier otro medio electrónico habilitado. También verbalmente, por vía telefónica o a través de un sistema de mensajería de voz.
También se permite una reunión presencial. Y en estos últimos casos se puede advertir al informante que la comunicación será grabada y se le informará de tratamiento de sus datos.
Las comunicaciones verbales incluidas las realizadas a través de reunión presencial, telefónicamente o por sistema de voz deberán documentarse por una grabación de la conversación en un formato seguro duradero y accesible o; a través de una transcripción completa de la conversación ofreciendo la oportunidad al informante le comprobar y rectificar esa transcripción y ser firmada. Para el caso que previa petición del informante se realice una reunión presencial, éste se convocará en el plazo máximo de siete (7) días.
El informante podrá indicar un domicilio, correo electrónico o lugar que considere seguro acorde a su criterio con el fin de recibir las notificaciones.
Muy importante: los canales internos deberán permitir la presentación y tramitación de comunicaciones anónimas. La ruptura del anonimato, aunque no se llegue a revelar la información puede resultar una infracción muy grave.
La ley establece que debe haber un procedimiento de gestión de comunicaciones que será aprobado por el responsable del sistema.
Será el órgano de gobierno de cada organización el obligado de aprobar el procedimiento de gestión de informaciones y, el responsable del Sistema responderá de su tramitación diligente.
El procedimiento responderá al siguiente contenido mínimo y principios:
- Identificación del canal o canales internos a los que se asocian;
- Establecimiento de la necesidad de enviar acuse de recibo de la comunicación al informante, en el caso de que este se identifique, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación;
- Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional;
- Establecimiento del derecho del informante a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oído en cualquier momento. Dicha comunicación tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación;
- Exigencia del respeto a la presunción de inocencia, el derecho a ser oído y el honor de las personas investigadas;
- Determinación de la duración máxima de las actuaciones de investigación, que no podrá ser superior a tres (3) meses a contar desde la recepción de la comunicación. Si no se envió el acuse de recibo al informante, a tres (3) meses a partir del vencimiento del plazo de siete (7) días después de efectuarse la comunicación.
- Inclusión de información clara y fácilmente accesible sobre los canales externos de comunicación ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea;
- Garantía de la confidencialidad cuando la comunicación sea remitida a personal no competente al que se le habrá formado en esta materia y advertido de la calificación como infracción muy grave si incumpliera este extremo y, en estos supuestos, el establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al Responsable del Sistema.
- Respeto de las disposiciones sobre protección de datos personales.
- Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser a priori constitutivos de un delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.
La ley dice que el órgano de administración u órgano de gobierno de cada entidad u organismo tendrá que designar la persona física responsable de la gestión del sistema: esa es quién se llama responsable del sistema. También tendrán que ser responsables de su destitución o cese.
Si en vez de una persona física y responsable del sistema fuera un órgano colegiado, este órgano siempre deberá delegar en uno de sus miembros las facultades de gestión del sistema interno de información y la tramitación de expedientes de investigación.
Tanto el nombramiento como el cese tendrán que ser notificados a la Autoridad Independiente de Protección del Informante en el plazo de diez días hábiles. Para el cese habrá que informar de las razones que han justificado el mismo.
El responsable del sistema tendrá que desarrollar sus funciones de forma independiente y autónoma respecto el resto de los órganos de la organización.
La ley dice que para el sector privado debe ser un alto directivo de la entidad qué ejerza su cargo con independencia del órgano de administración o de gobierno de esta.
También dice la ley que cuando la dimensión de las actividades de la entidad no permita la existencia de un directivo responsable del sistema, será posible el desempeño ordinario de las funciones del puesto, pero siempre habrá que tratar de evitar las situaciones de conflicto de interés.
Y dice la ley que en las entidades donde ya existe un responsable de la función de cumplimiento normativo, podrá ser este la persona designada como responsable del sistema si cumple con el resto de las condiciones de la ley.
Para crear un símil de un órgano similar, sería como la Agencia Española de Protección de Datos, pero en materia de canal de denuncias…
En el anteproyecto de Ley hay varios artículos en los que se regula su composición, sus funciones, sus potestades (sancionadora, por ejemplo), así como su financiación (se llevará un porcentaje de las sanciones que ponga, así como una dotación contra presupuestos Generales del estado).
Para más información, se puede consultar el título VIII del anteproyecto.
- Personas físicas o jurídicas que tengan 50 trabajadores o más.
- Personas jurídicas del sector privado que entren en el ámbito de aplicación de actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales y financiación del terrorismo, seguridad del transporte y protección del medio ambiente, sin tener en cuenta el número de trabajadores con que cuenten. Se incluyen las personas jurídicas que, aunque no tengan domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente. En estos supuestos, la ley será de aplicación en lo no regulado por su normativa específica.
- Partidos políticos, sindicatos, patronales, organizaciones empresariales y fundaciones siempre que reciban o gestionen fondos públicos.
La Proyecto de ley permite que las personas jurídicas del sector privado que no estén obligadas por la ley tengan también su propio sistema de información interno. Tendrá que se acorde a lo regulado por esta normativa.
La ley establece que, si se trata de un grupo de empresas conforme al artículo 42 del código de Comercio, la sociedad dominante podría aprobar una política general relativa al sistema interno de información y aplicaría a todas las entidades que integran el grupo.
El responsable del sistema podría ser uno para todo el grupo o uno para cada sociedad integrante del mismo. Por su parte, el sistema interno de información podrá ser único para todo el grupo. Todo ello se reflejaría en la política.
Además, la ley prevé que se puede intercambiar información entre los diferentes responsables del sistema del grupo si los hay con motivo de una mejor coordinación y desempeño de funciones.
Sí, así lo prevé la ley. El texto expone que las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que lo acuerden podrán compartir entre si el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones. Aunque tendrán que respetarse todas las garantías de la ley.
A los efectos de esta ley se entienden comprendidos en el sector público:
- La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
- Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
- Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
- Las Universidades públicas.
- Las Corporaciones de Derecho público.
- Las fundaciones del sector público.
- Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades de las mencionadas en las letras a), b), c), d) y g) del presente apartado sea superior al 50 por 100, o en los casos en que, sin superar ese porcentaje, se encuentre respecto de las referidas entidades en el supuesto previsto en el artículo 5 del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
También deberán dotarse de un sistema interno de información, en los mismos términos requeridos para las entidades del sector público enunciados en el apartado anterior, los órganos constitucionales los de relevancia constitucional e instituciones autonómicas análogas a los anteriores.
En el artículo 14 de la ley permite que se compartan medios en el sector público en lo que se refiere a los sistemas internos de información y los recursos destinados a las investigaciones y tramitaciones para municipios de menos de 10.000 habitantes. También para entidades del sector público vinculadas o dependientes de órganos de las administraciones territoriales que cuenten con menos de 50 trabajadores.
El texto del anteproyecto de ley indica que solo en aquellos casos en que se acredite una insuficiencia de medios propios y solo para la recepción de las informaciones sobre infracciones.
Es el canal de la Autoridad Independiente de Protección del Informante, que está a disposición de toda persona física y que podrá hacerlo directamente o previa comunicación a través de los correspondientes canales internos.
En los artículos 17 y siguientes se encuentra detallado cuál es el procedimiento de recepción de comunicaciones, trámite de admisión, instrucción y terminación de actuaciones para este canal.
Además del de esta entidad, puede haber otros canales externos de AAPP competentes.
GlobalSuite® Canal de denuncias
Descubre todas las claves para la implementación y cumplimiento.
Las entidades tendrán que informar de forma clara y accesible sobre el uso de los canales internos de información implantados, así como de los principios del procedimiento de gestión. Si se tiene página web, la información deberá constar en la página de inicio en una sección separada y fácilmente identificable.
La ley dice que todos los sujetos del sector público y del sector privado deberán contar con un libro registro de las comunicaciones recibidas y de las investigaciones internas garantizando la confidencialidad.
Este registro no es público y solo podrá accederse total o parcialmente a su contenido con una petición de una autoridad judicial competente mediante auto y en el marco de un procedimiento judicial. Existen requisitos establecidos para la conservación de esta información (i) podrá conservarse en el sistema solo durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación; (ii) las comunicaciones que no se hubieran cursado podrán constar de forma anonimizada sin que sea de aplicación la obligación de bloqueo; (iii) para el caso que se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en el que se tenga constancia; (iv) transcurridos tres (3) meses desde la recepción de la comunicación sin que se hubiese iniciado una investigación, deberá procederse a la supresión salvo que la finalidad de la conservación fuera dejar evidencia del funcionamiento del sistema; (v) con carácter general no podrá superar el plazo de diez (10) años.
En realidad, lo que viene a decir la ley es que el tratamiento de datos será lícito en base a la normativa vigente cuando el sistema de información sea obligatorio.
En los casos en los que no lo sea (obligatorio) el tratamiento se entiende amparado por el art 6.1e) RGPD (misión de interés público). También ampara en este artículo el tratamiento de datos de los canales externos, así como el tratamiento de datos derivado de una revelación pública.
El tratamiento de categorías especiales de datos personales por razones de interés público esencia podrá realizarse según lo previsto en el artículo 9.2.g) del RGPD.
En ningún caso serán objeto de tratamiento de datos personales aquellos que no sean necesarios para el conocimiento e investigación de las acciones u omisiones a las que se refiere el artículo 2 del texto legal. En este supuesto, deberá procederse a su inmediata supresión junto con todos los datos de carácter personal que se puedan haber comunicado y que se refieran a conductas que no estén incluidas en el ámbito de aplicación de la ley. Si la información recibida contuviera datos personales incluidos dentro de las categorías especiales de datos, se procederá a su inmediata supresión, sin que se proceda al registro y tratamiento de los mismos.
Hay que informar a todos los afectados del tratamiento de sus datos. Además, hay que informar de la existencia de canales externos de información ante las autoridades competentes incluso ante organismos de la Unión Europea. De sus derechos de protección de datos, no permitiendo con carácter general el derecho de oposición.
La persona a la que se refieren los hechos relatados no será en ningún caso informada de la identidad del informante y tampoco se facilitarán datos que permitan la identificación del informante. Esta obligación se hace extensible a las personas afectadas y a cualquier tercero que se mencione en la información suministrada.
La identidad del informante solo podrá ser comunicada a la Autoridad judicial, Ministerio Fiscal o a la Autoridad Administrativa competente en el marco de una investigación, las revelaciones realizadas a las Autoridades mencionadas están sujetas a las salvaguardas establecidas en la normativa. En concreto, se dará traslado al informante antes de revelar su identidad, con la excepción que dicha información pudiera comprometer la investigación o procedimiento judicial. Cuando la Autoridad competente lo comunique al informante, le remitirá un escrito explicando los motivos de la revelación de los datos confidenciales en cuestión.
No se recopilarán datos personales cuya pertinencia no resulte necesaria o, si se recopilan por accidente se deberán eliminar sin dilación indebida.
Solo podrán acceder a los datos contenidos en los sistemas internos de información el responsable del sistema y quién lo gestiona directamente, el responsable de recursos humanos solo cuando pudiera proceder la adopción de medidas disciplinarias, el responsable de los servicios jurídicos, los eventuales encargados de tratamiento y el DPD.
En cuanto a la conservación de los datos nos remitimos a lo especificado en el punto 17 párrafo segundo.
En cuanto al deber de información a los informantes y a aquellos que realizan una revelación pública se les informará, de forma expresa, de que su identidad será en cualquier caso reservada, que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros
Todas las entidades obligadas a disponer de un sistema interno de comunicaciones, así como los terceros externos que lo gestionen, deberán tener nombrado un DPD.
Se regulan dos condiciones para tener derecho a la protección:
- Tener motivos razonables para pensar que la información es veraz en el momento de la comunicación aun cuando no se aporten pruebas concluyentes.
- La comunicación se haya realizado conforme a los requerimientos de la ley.
Las causas de exclusión que regula el texto, se refieren a los supuestos en los que las informaciones:
- Que se contengan en comunicaciones hubieran sido inadmitidas por algún canal interno de información o causas previstas en el artículo 18.2.a) del texto legal -falta de verosimilitud de la información, no sean hechos constitutivos de infracción, carezca de fundamento o existan indicios racionales de haberse obtenido mediante la comisión de un delito, no contenga información nueva y significativa sobre infracciones respecto de una comunicación anterior-.
- Las vinculadas a reclamaciones sobre conflictos interpersonales o que afecten en exclusiva al informante y a las personas a las que se refiera la comunicación.
- Las que estén totalmente disponibles para el público, o que constituyan meros rumores.
- Las que se refieran a acciones u omisiones que no están comprendidas en el artículo 2 del texto legal.
Las medidas de protección se podrían resumir en:
- Prohibición de represalias regulado en el artículo 36 del texto legal, entendiéndose por tal como cualquier acto u omisión que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública.
- Establecimiento de medidas de apoyo reguladas en el artículo 37 del texto legal y que se refieren a (i) la información y asesoramiento completo e independiente, accesible al público y gratuito sobre los procedimientos, recursos y protección frente a represalias y derechos de la persona afectada; (ii) la asistencia efectiva por parte de las autoridades competentes y; (iii) el apoyo financiero y psicológico, si así lo decidiese la Autoridad Independiente de Protección del Informante tras la valoración de las circunstancias derivadas de la presentación de la comunicación.
- Establecimiento de medidas de protección frente a represalias reguladas en el artículo 38 del texto legal .
También hay medidas de protección para las personas investigadas y supuestos de exención y atenuación de la sanción para las personas que han participado en la comisión de la infracción, pero son las que informen de su existencia y colaboran en su investigación.
Es la Autoridad Independiente de Protección del Informante quién sancionará por las infracciones cometidas, tanto en el sector público como en el sector privado.
Pueden ser responsables de infracciones tanto las personas físicas como jurídicas que realicen con dolo las infracciones. También puede ser un órgano colegiado respondiendo de forma personal sus miembros. Quedarían exentos los miembros que no han asistido por causa justificada o que hayan votado en contra del acuerdo.
Las infracciones se dividen en muy graves, graves y leves. Se puede consultar en el artículo 63. Pero en resumen pueden ser: la limitación de los derechos de la ley, la toma de represalias, vulnerar las garantías de confidencialidad y anonimato, vulnerar el deber de secreto o comunicar o revelar públicamente información a sabiendas de su falsedad (ejemplos de las muy graves).
Las acciones son diferentes y son personas físicas o personas jurídicas.
- Si son personas físicas las sanciones oscilan por infracciones leves desde 1.001 € por infracciones leves, hasta 10.000€; por infracciones graves desde 10.001€ hasta 30.000€ y; por infracciones muy graves de 30.001 € hasta 300.000€.
- Si es persona jurídica las sanciones van hasta 100.000 € en caso de infracciones leves, hasta 600.000 € en caso de infracciones graves y hasta el millón de euros en caso de infracciones muy graves.
En las infracciones muy graves la Autoridad Independiente de Protección del Informante puede acordar:
- Amonestación pública,
- Prohibición de obtener subvenciones durante un plazo máximo de 4 años,
- Prohibición de contratar con el sector público durante el plazo máximo de 3 años
- Publicación en el BOE de las sanciones superiores a 600000 €.
También hay posibilidad de graduar la sanción teniendo en cuenta la reincidencia, la persistencia temporal del daño, la intencionalidad y culpabilidad del autor, el resultado del ejercicio anterior, la reparación de los daños causados, la colaboración con la autoridad independiente…
La prescripción de infracciones y sanciones se indica en los artículos 64 y 68.
¿Por dónde empezar?
La nueva ley va a implicar el establecimiento de dos sistemas de información que puedan garantizar la confidencialidad del informador o denunciante. Uno externo que estará gestionado por la Autoridad Independiente de Protección del Informante, y otro canal interno que esté instaurado dentro de las organizaciones. Un canal interno, implantado con un software de canal de denuncias como el que ofrece GlobalSuite Solutions, proporciona un proceso anónimo, 100% confidencial, sencillo de usar y con los estándares de seguridad necesarios. Además, permite escoger cómo gestionarlo, si es de forma interna dentro de tu organización o un servicio externo adaptado a tus necesidades. Una herramienta de estas características es la mejor manera de adecuar tu compañía al cumplimiento de la nueva ley y demostrar que tu empresa trabaja con total transparencia de cara a tus empleados, clientes y proveedores.