Junto con la entrada en vigor de la Ley 2/23 hemos recibido y trabajado con nuestros clientes sobre las 13 preguntas recurrentes e inquietudes que surgen respecto a esta normativa, una normativa crucial para la transparencia y el cumplimiento en las empresas.
En este artículo, abordaremos de manera exhaustiva algunas de las preguntas más relevantes relacionadas con los canales de denuncia, políticas internas y protección del informante. Desde el equipo de GlobalSuite Solutions hemos analizado en profundidad esta normativa e implantado ya numerosos proyectos de diferentes industrias por lo que creemos que este artículo será de gran ayuda para develar ciertas dudas y ayudar a aquellos profesionales y organizaciones que buscan asegurar su adhesión a esta ley.
Preguntas frecuentes de nuestros clientes
El artículo 7.2 establece:
2. El canal interno deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas. La información se podrá realizar bien por escrito, a través de correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días
Una de las dudas fundamentales de los clientes es saber si las empresas obligadas tienen que implementar todas las formas de comunicación o pueden elegir entre una, o varias en su caso, o todas.
Este punto está siendo muy debatido en todos los eventos, foros, webinars y mesas redondas que se vienen produciendo desde la publicación de la ley en el BOE, en tanto en cuanto el texto es una traducción literal de la Directiva DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, y una interpretación garantista de la lectura de ambos textos, llevaría a posicionarse del lado del denunciante, teniendo que ofrecerle todos los medios indicados en el artículo mencionado.
Si bien, cabe la duda razonable de la obligación no extensiva de dos opciones: oral o escrita. Si la empresa decidiera implantar una forma de comunicación oral (de entre las varias que se indican en el artículo) y una forma de comunicación escrita (en el mismo sentido), ¿se podría dar cumplimiento efectivo y legítimo a la ley?
Querríamos pensar que sí, dado que, por otro lado, no se le estaría exigiendo a todo el tejido empresarial (del tamaño que fuera), poner a disposición de sus comunicantes todos y cada uno de los medios con los recursos que ello conlleva, pero será algo que se termine de definir con el tiempo y, sobre todo, con la ayuda para la interpretación de este precepto, de la AAI.
La Ley habla de canal interno de información. Pero no hay una obligación legal como tal para llamarlo de una forma concreta. De hecho hay múltipes ejemplos de su denominación entre las empresas que ya lo están implementando: canal de denuncias, de comunicaciones, confidencial, canal abierto, canal interno de información, tal y como la ley lo denomina, etc.
El artículo 5.2h) establece:
h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.
Desde nuestra experiencia, la política debe ser el documento de la empresa en el que se establezca una declaración responsable de intenciones en cuanto al sistema interno de información, el uso del canal interno, las normas que van a imperar en él con respecto a la protección de los denunciantes, el responsable de su gestión, etc. La política, como otras políticas de la entidad, debe ser informada internamente, publicada y estar a disposición de todos sus destinatarios en todo momento.
Desde nuestro punto de vista, la reunión presencial puede ser otro medio de comunicación, pero no necesariamente se tiene que publicitar de una forma especial y de forma más visible que otras. Lo que sí es necesario, es incluirla como una opción disponible dentro del procedimiento interno de uso del canal que la empresa (recordemos que nuestra interpretación de la ley es que la conjunción “o” no hace obligatoria todas las formas de comunicación).
Dado que la Directiva Europea tiene carácter vinculante para todos los países de la Unión, y siempre que ese país haya ya legislado en este sentido, esa empresa tendrá que cumplir con sus propios requisitos legales. Si en ese país aún no se ha legislado, y el sistema interno de información de la entidad radicada en España se va a extender a todas las empresas del grupo, el sistema de la entidad en el otro estado de la UE al menos gozará de la protección de la Ley 2/23, si se cumple con el artículo 11 de la Ley.
El ámbito personal de la ley dice claramente
(Art. 2): La presente ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional.
La descripción posterior del artículo incluye todo tipo de tipología de empleados públicos o trabajadores por cuenta ajena, autónomos, accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores, y dentro de la relación laboral no la limita, pues incluye las ya finalizadas, pero también a voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquellos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual. Se tiene en cuenta también a personas físicas que estén relacionadas con el informante y que puedan sufrir represalias, como compañeros de trabajo o familiares del informante.
Conforme a lo anterior, se podría plantear la duda razonable de qué ocurre con una persona física en un cliente o potencial cliente que comunique, por ejemplo, un intento de soborno, en el marco de un delito de corrupción entre particulares. ¿Se encuentran amparados por esta ley?
En puridad, se podría alegar que no, pero en nuestra opinión, deben establecerse las mismas garantías para todos los tipos de afectados, independientemente de su relación con la entidad.
Como tal esta garantía está solo prevista en la Ley 2/23 para el denunciante en el caso de que la comunicación se efectúe a través del canal de la Autoridad Independiente de Protección del Informante y para los canales públicos (artículos 13 y 21 de la Ley).
En cuanto a los canales privados, por analogía, y hasta que la autoridad de control pueda matizar el asunto, y también desde un punto de vista garantista, se opta por la recomendación de que, incluido en el procedimiento de la entidad, se pueda informar al comunicante de la finalización del expediente, y un resultado sucinto, que no comprometa la confidencialidad del expediente y salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.
En la línea de lo comentado en otros casos, el artículo 7.2 de la Ley utiliza la conjunción “o” para identificar la tipología de canales enunciado entre: correo postal o a través de cualquier medio electrónico habilitado al efecto, o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial dentro del plazo máximo de siete días.
Desde nuestro punto de vista estos medios son alternativos, y no obligatorios para la entidad. Si bien es cierto que podría no resultar descabellada la opción de que todos los medios son obligatorios si la lectura del artículo 7.2 se hace desde la visión de un denunciante.
Tendrá que ser la autoridad de control, cuando se cree, la que haga salir de dudas a todos los sujetos obligados.
No hay, en la totalidad del texto legal, una referencia expresa a la eliminación de metadatos propiamente dichos.
Lo que la ley indica es que ( Artículo 32. Tratamiento de datos personales en el Sistema interno de información.)
3. Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados.
Si se acreditara que la información facilitada o parte de ella no es veraz, deberá procederse a su inmediata supresión desde el momento en que se tenga constancia de dicha circunstancia, salvo que dicha falta de veracidad pueda constituir un ilícito penal, en cuyo caso se guardará la información por el tiempo necesario durante el que se tramite el procedimiento judicial.
4. En todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre.
En el entendido que los metadatos constituyen información sobre los datos (es decir, son datos que definen y describen otros datos), y como consecuencia de que podrían constituir información sobre la denuncia, y en cumplimiento de las directrices de protección de datos en esta ley y en la propia Ley 3/2018 de Protección de Datos Personales y garantía de derechos digitales, nuestra interpretación a la pregunta es que se debe eliminar toda información que pueda afectar a esa denuncia, salvo que se mantenga anonimizada, incluidos los metadatos si con los mismos se consiguiera la obtención de información sobre la denuncia, sus características, sujetos vinculados, u otra información propia de la comunicación.
Alternativamente se podría trasladar la obligación al denunciante, de eliminar todos los metadatos de archivos que pudiera llegar a adjuntar, antes de hacerlo.
Sí, el responsable del sistema de interno de información y la entidad responsable del canal interno de información están legitimados para el tratamiento de los datos insertados en la denuncia, y la base jurídica será el cumplimiento de una obligación legal: la Ley 2/23.
La Agencia Española de Protección de Datos fue consultada en los trámites previos de la publicación del texto legislativo final y en su informe número 20/2022 ya indicó que “En este ámbito, adquieren especial relevancia las medidas de responsabilidad proactiva contenidas en el RGPD, y que deberán ser tenidas en cuenta en el diseño e implementación de los Sistemas de información, tanto internos como externos, incluido el análisis de riesgos el artículo 24, la necesidad de preservar la privacidad desde el diseño y por defecto del artículo 25, la realización de una Evaluación de impacto en la protección de datos del artículo 35 y las medidas de seguridad del artículo 32, todos ellos del RGPD.”
Tras el análisis de estas obligaciones, el informe concluye que “Por ello, con el fin de reforzar las garantías, debe incluirse, asimismo, la obligación de realizar una Evaluación de impacto, que el artículo 35 del RGPD prevé para los supuestos en los que “sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”.
De manera, que, efectivamente, en la adecuación a la normativa de protección de datos del tratamiento de información referido a un canal de denuncias, los sujetos obligados tendrán que realizar la correspondiente EIPD.
El artículo 9 Procedimiento de gestión de informaciones, referido a los canales de información del sector privado establece la necesidad de la “Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.”
Este requisito ha generado bastante confusión sobre el momento en que una entidad tiene que hacer esta comunicación.
Aunque el texto legal habla de “inmediatamente”, la mayor parte de los expertos que han tratado ya el asunto ponen por delante el derecho de la entidad a no autoinculparse y a culminar todo el procedimiento de la investigación y obtención de conclusiones veraces sobre la misma.
De acuerdo con el bloque de constitucionalidad, la mayor parte de la doctrina considera que la ley no puede ser interpretada sin acudir al resto de la normativa por lo que el hecho de que la ley obligue a notificar inmediatamente al Ministerio Fiscal, podría estar atentando al derecho de las personas jurídica a no autoinculparse.
En este sentido, otro matiz que se observa es que sea una norma con rango de ley ordinaria (y no con rango de ley orgánica), la que establezca este requisito. Dado que en España existe un bloque de constitucionalidad que impone la investigación de los órganos penales a órganos judiciales, y no administrativas (como es la AAI), no se entiende la exigencia legal.
Por tanto, deberemos esperamos a ulteriores interpretaciones de la ley, pero en principio, la respuesta a la pregunta de si la persona jurídica debe notificar inmediatamente a la Fiscalía deber ser no, en aras del derecho de defensa, dado que se considera que la protección constitucional que es clarísima
La doctrina coincide también en que la obligación tendría sentido de cara a los canales externos (por ejemplo, de organismos como la AEAT, la Seguridad Social, etc) pero referida a los canales internos de entidades privadas, en tanto en cuanto se va contra un derecho fundamental.
Siendo más críticos aún, hay parte de doctrina que considera el requisito legal como una cuestión inconstitucional.
*ver análisis más concreto en el siguiente documento bajo el título “Derecho a no autoinculparse”
A continuación, se indican algunas de las cautelas que se han de tomar antes este nuevo tratamiento:
- Generar el nuevo registro de actividades del tratamiento en los casos legalmente requeridos por la normativa de protección de datos.
- Informar a los usuarios del canal interno de comunicación conforme a lo establecido en el Reglamento General de Protección de Datos de la existencia de un tratamiento de datos, la finalidad, la legitimidad del tratamientos, los derechos de protección de datos, los plazos de conservación, entre otros.
- Regular contractualmente la relación con los terceros externos intervinientes en el proceso, en calidad de encargados del tratamiento.
- Nunca dar a conocer la identidad del denunciante al denunciado.
- Los datos de quien formule la comunicación y de los empleados y terceros, deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
- Cuando la investigación finalice y no se hayan encontrado motivos fundados, como máximo en el plazo de 3 meses, se deberá de proceder a la cancelación de los datos, anonimizando los datos de denunciado y denunciante para poder conservarla, como prueba del buen funcionamiento del modelo implantado.
- Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la LOPD.
- Solo en caso de iniciarse medidas contra el denunciado, se podrán conservar los datos por un tiempo superior y de acuerdo con el procedimiento sancionador iniciado.
- Efectuar el correspondiente análisis de riesgos y evaluación de impacto de protección de datos, debido a la sensibilidad de los datos tratados, y conforme a lo establecido en el Reglamento General de Protección de Datos.
- Dotar al nuevo tratamiento de todas las medidas de seguridad correspondientes conforme al análisis anterior.
A los efectos de esta ley se entienden comprendidos en el sector público:
- La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local.
- Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.
- Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
- Las Universidades públicas.
- Las Corporaciones de Derecho público.
- Las fundaciones del sector público.
- Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades de las mencionadas en las letras a), b), c), d) y g) del presente apartado sea superior al 50 por 100, o en los casos en que, sin superar ese porcentaje, se encuentre respecto de las referidas entidades en el supuesto previsto en el artículo 5 del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
También deberán dotarse de un sistema interno de información, en los mismos términos requeridos para las entidades del sector público enunciados en el apartado anterior, los órganos constitucionales los de relevancia constitucional e instituciones autonómicas análogas a los anteriores.
En el artículo 14 de la ley permite que se compartan medios en el sector público en lo que se refiere a los sistemas internos de información y los recursos destinados a las investigaciones y tramitaciones para municipios de menos de 10.000 habitantes. También para entidades del sector público vinculadas o dependientes de órganos de las administraciones territoriales que cuenten con menos de 50 trabajadores.
GlobalSuite® Canal de denuncias
Descubre todas las claves para la implementación y cumplimiento.
¿Por dónde empezar?
Ya se ha cumplido el plazo de adecuación para ciertos sectores por ello es realmente importante contar con un canal interno que no sólo cumple con las normativas establecidas, sino que garantiza un proceso anónimo, altamente confidencial, de uso sencillo y con los más altos estándares de seguridad.
La implementación de un software de canal de denuncias como el que ofrece GlobalSuite Solutions, es la forma más efectiva de asegurar el cumplimiento de la ley 2/23 y demostrar el compromiso de la empresa con la transparencia hacia sus empleados, clientes y proveedores.