Aunque con algo de retraso, nuestro país cuenta ya con una ley destinada a proteger a las personas que informen sobre la comisión de infracciones tanto administrativas como penales: la ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, conocida como ley de protección al informante.
Y decimos que llega con retraso porque se trata de la transposición al derecho español de la directiva europea conocida como Whistleblowing, aprobada en 2019 y para cuya adaptación disponíamos de un periodo de dos años que nuestro país y otros Estados miembro han incumplido.
El texto europeo insta a las autoridades de cada país a proporcionar a sus ciudadanos canales internos y externos que sirvan como medio de comunicación con los organismos especializados que se requieran en cada caso. Y así es como se ha materializado esta obligación en nuestro marco jurídico:
La filosofía de la norma 2/2023, nuestra adaptación de la Directiva Whistleblowing
El objetivo de esta nueva ley no es otro que otorgar protección a quienes decidan informar a las autoridades competentes de la comisión de alguna infracción de la que han sido o son víctimas o testigos.
Muchas veces, estas denuncias no se llevan a cabo por miedo a las posibles represalias y esta norma busca evitarlas y asegurar la integridad de estas personas físicas que decidan dar el paso. Por su parte, para la Entidad tener conocimiento de estas irregularidades puede ayudarle a evitar costosos litigios y daños irreparables en su reputación.
¿Qué hechos se pueden denunciar?
La ley no es muy explícita a la hora de acotar qué hechos pueden denunciarse a través de estos canales de información. Sin embargo, podemos concluir que se contempla la comunicación de los siguientes tipos de acciones delictivas:
- Infracciones del Derecho de la UE.
- Conductas que afecten a los intereses financieros de la UE.
- Infracciones en materia de competencia y subvenciones europeas.
- Infracciones penales o administrativas que sean graves o muy graves.
- Incumplimientos relacionados con el Derecho Laboral.
- Todas aquellas actuaciones ilícitas que afecten a la Hacienda Pública.
¿Qué entidades deberán asegurarse de cumplir con lo establecido en esta nueva ley?
No todas las Entidades están obligadas con la aprobación de esta ley a establecer un canal interno de información. Las que sí lo están son las siguientes:
- Entidades privadas de 50 o más trabajadores.
- Entidades privadas que, aunque tengan menos de 50 empleados, trabajen en el ámbito de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
- Los partidos políticos, sindicatos, organizaciones de empresas y fundaciones que gestionen fondos públicos.
- Todas las entidades públicas.
En el caso de que se disponga ya de un canal interno de información, habrá que asegurarse de que este cumple con la normativa y, si no es así, introducir los cambios que sean necesarios.
¿Cuánto tiempo tienen las entidades obligadas para adaptarse?
Según el texto de la ley, las entidades sujetas a esta nueva ley dispondrán de tres meses para garantizar su cumplimiento, a contar desde el día de la entrada en vigor de la norma, que será el próximo 13 de marzo.
Pero hay una excepción: tendrán de plazo hasta el 1 de diciembre las empresas de menos de 250 trabajadores y los municipios con menos de 10.000 habitantes.
¿Cómo debe ser el sistema interno de información? Los requisitos
En líneas generales, estas son las características básicas que deben definir a todos los sistemas internos de información que busquen cumplir lo requerido en esta norma:
- El sistema debe estar diseñado y gestionado de forma segura, de modo que la confidencialidad tanto de la identidad de los informantes como de las actuaciones que decidan efectuarse esté protegida.
- El responsable de la implementación del sistema (que, además, será el responsable del tratamiento de los datos) ha de ser el órgano de administración o gobierno de cada entidad.
- El responsable del sistema debe ser una persona designada a tal efecto.
- Se permite que la gestión del sistema se lleve a cabo de manera interna o externa, recurriendo a un tercero.
- Todas los responsables se notificarán a la autoridad competente de protección al informante.
- El sistema ha de posibilitar la comunicación tanto escrita como verbal, en cuyo caso se establecerá una cita presencial en menos de 7 días.
La protección de los datos personales, un elemento clave de la ley 2/2023
La necesidad de contar con sistemas de denuncias internos en las Entidades no es algo nuevo. Al contrario, la LOPDGDD 3/2018 ya recogía esta cuestión en su artículo 24, un contenido que ahora también se incluye en la nueva ley de protección al informante.
En resumen, podemos decir que estos son los puntos de la ley que más directamente afectan a lo que aquí nos atañe, la protección de los datos personales:
- La legitimación del tratamiento se establece por la obligación legal y el interés público que define a dicho tratamiento, incluso en el caso de las categorías especiales de datos.
- La identidad de los informantes será siempre reservada y este hecho se les comunicará de forma expresa a los interesados.
- El derecho de oposición por parte de la persona a la que se refieran las informaciones queda en este caso limitado, por entenderse que existen motivos imperiosos que legitiman el tratamiento.
- Únicamente tendrán acceso al sistema su responsable, los encargados del tratamiento designados y el delegado de protección de datos. Adicionalmente, si procede, podrán acceder también el responsable de recursos humanos y el responsable legal de la Entidad.
- En cuanto a la conservación de los datos, estos deberán suprimirse una vez que transcurran 3 meses sin que se decida iniciar ninguna acción, o en cuanto se demuestre que no se trata de una información veraz.
Una ley útil y muy necesaria
Incluso aunque tu Entidad no esté obligada a llevarla a cabo, la implementación de un sistema de este tipo es altamente recomendable para construir una imagen de marca comprometida con la ética y con la transparencia. Algo que, sin duda, repercutirá de forma muy positiva en la mente de tus empleados, clientes y proveedores.
Si necesitas más datos acerca de los requisitos técnicos y funcionales del canal de comunicación que prevé la ley de protección al informante o quieres ampliar más información acerca del contenido íntegro de la ley, puedes consultar esta guía que hemos preparado para ti desde APDTIC.