La Ley 2/2023, de 20 de febrero, de protección al denunciante en la aplicación para las empresas privadas.
Con la llegada del 13 de junio de 2023, finaliza el plazo máximo otorgado por la Ley 2/2023 para la implementación de los sistemas internos de información, para aquellas empresas que tengan más de 250 trabajadores. El siguiente hito será el 13 de diciembre de 2023, fecha en la que deberán estar implementado para el resto de empresas, es decir, aquellas de mas de 50 trabajadores.
El ámbito objetivo de la norma aplica a todas las comunicaciones que versen sobre:
- infracciones del Derecho de la Unión Europea cuando (i) afecten a alguna de las materias señaladas en el Anexo I de la Directiva de Whistleblowing, (ii) afecten a los intereses financieros de la Unión o (iii) incidan en el mercado interior;
- infracciones administrativas graves o muy graves; o
- hechos delictivos.
Esta Ley protege a cualquier persona que en un contexto laboral o profesional haya obtenido información sobre presuntas infracciones, ya sea en el sector público o en el privado. La Ley 2/2023 incluye el siguiente listado no exhaustivo:
- empleados públicos;
- trabajadores por cuenta ajena;
- autónomos;
- accionistas, miembros del órgano de administración, dirección o supervisión de una entidad;
- voluntarios, becarios y trabajadores en períodos de formación; y
- cualquier persona que trabaje para contratistas, subcontratistas y proveedores.
Las comunicaciones pueden referirse a hechos conocidos en el ámbito de una relación laboral o profesional (i) todavía en vigor, (ii) ya finalizada o (iii) incluso no iniciada (por ejemplo, si se refiere a infracciones relativas a procesos de selección o de negociación precontractual).
Alcance de la protección
El alcance de la protección se extiende a las personas relacionadas con el informante (familiares, compañeros de trabajo, etc.). Asimismo, se extenderá a toda persona física que haya asistido al informante y, específicamente, a los representantes legales de los trabajadores en el ejercicio de sus funciones de asesoramiento y apoyo.
La obligación de disponer de un sistema interno de información se prevé tanto para las entidades públicas como para las privadas, pero en este artículo vamos ha hacer especial hincapié en aquellas del ámbito privado:
- Personas físicas o jurídicas que tengan contratados a 50 o más trabajadores.
- Personas jurídicas que entren en el ámbito de aplicación del Derecho comunitario en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte o protección del medio ambiente.
- Partidos políticos, sindicatos, así como las organizaciones empresariales y fundaciones creadas por ellos que reciban fondos públicos.
¿Quién debe implementarla?
Establece a Ley que en lo que se refiere a la implementación, la responsabilidad recae en el órgano de administración o de gobierno de cada entidad, que deberá seguir un trámite de consulta con los representantes legales de los trabajadores a tal efecto y tendrá la condición de responsable del tratamiento de los datos personales del sistema interno de información. En relación a la gestión del sistema y la tramitación de las comunicaciones, las entidades deberán contar con un responsable del sistema interno de información, que deberá cumplir los siguientes requisitos:
- Ser específicamente designado por el órgano de administración o de gobierno.
- En caso de tratarse de un órgano colegiado, este deberá delegar en uno de sus miembros la gestión del sistema y la tramitación de los expedientes de investigación.
- Deberá gozar de plena independencia y autonomía respecto del resto de los órganos de la entidad (incluyendo el órgano de administración).
- En el sector privado, deberá ser un directivo de la entidad que asumirá exclusivamente esas funciones (salvo que no estuviera justificado), si bien podrá coincidir en la persona responsable de la función de cumplimiento normativo.
- El nombramiento o el cese deberá ser notificado a la Autoridad Independiente de Protección del Informante en el plazo de los 10 días hábiles siguientes.
El sistema interno de información constituirá el canal preferente para la comunicación y tramitación de denuncias (frente al canal externo o la revelación pública). Los principios esenciales del sistema interno de información serán los siguientes:
- Garantía de confidencialidad de la identidad del informante y de cualquier tercero mencionado, así como del tratamiento de la información y su investigación.
- Garantías frente a la adopción de represalias.
- Respeto al principio de presunción de inocencia y derecho de defensa de las partes afectadas.
- Garantía de independencia, imparcialidad y ausencia de conflictos de interés.
- Tramitación efectiva de las comunicaciones.
Exigencias de la ley
Asimismo, la Ley 2/2023 exige a los sujetos obligados la integración de todos los canales internos operativos en la entidad para la denuncia de posibles infracciones (canales de prevención del acoso, de la prevención de delitos o infracciones del código ético, etc.).
Adicionalmente, las entidades estarán obligadas a disponer de:
- una política que enuncie los principios generales del sistema y
- un procedimiento de gestión de comunicaciones, que deberá ser aprobado por el órgano de administración o de gobierno y de cuya efectiva implementación responderá el responsable del sistema interno de información.
El procedimiento de gestión deberá contener, al menos, la siguiente información:
- Relación de los canales internos disponibles.
- b) Información clara y accesible sobre canales externos de información y ante las instituciones u organismos de la Unión Europea.
- Obligación de acusar recibo al informante y fijación de un plazo máximo para dar respuesta a las comunicaciones recibidas.
- Posibilidad de mantener una vía de comunicación con el informante y de solicitarle información adicional.
- Derechos de la persona denunciada (a que se le informe de las infracciones que se le atribuyen, a ser oída en cualquier momento, al honor, etc.).
- Extensión de la garantía de confidencialidad respecto de las comunicaciones que se cursen a través de canales o personas distintas de las previstas en el sistema, debiendo formarse expresamente al personal en esta materia.
- Exigencias derivadas del cumplimiento de la normativa sobre protección de datos personales.
- Obligación de remitir la información al Ministerio Fiscal cuando los hechos pudieran ser indiciariamente constitutivos de delito y a la Fiscalía Europea cuando afecten a los intereses financieros de la Unión.
El sistema de información deberá contar con un canal interno para la gestión de las comunicaciones, con la posibilidad de externalizarlo a través de un tercero, que deberá ofrecer garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones, y que tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales. En todo caso, la gestión por un tercero externo no podrá suponer un traslado de las obligaciones atribuidas al responsable del sistema en persona distinta
Aquellas empresas que cuenten con una página web deberán incluir en su página de inicio (normalmente, al pie, junto con el Aviso Legal) la información clara y accesible sobre el uso de todo canal interno de información implantado y sobre los principios esenciales del procedimiento de gestión. Asimismo deberán disponer de un libro-registro de las comunicaciones recibidas y las de investigaciones realizadas.
Un punto importante de esta Ley recae sobre la prohibición de represalias que incluye la propia tentativa o amenaza de represalia. Uno de los principales efectos de esta prohibición es que, en el marco de procedimientos ante un órgano jurisdiccional u otra autoridad relativos a los perjuicios sufridos por los informantes, se establece la presunción de que dichos perjuicios constituyen una represalia por haber comunicado la información. De este modo, aquel que haya adoptado la medida supuestamente perjudicial deberá probar que se basó en circunstancias ajenas a la comunicación y que estaba debidamente justificada.
Finalmente, hay que señalar en relación con la sanciones previstas por esta Ley, que si los infractores son personas físicas éstas pueden ir de 1001 euros hasta los 300.000 euros y, en el caso de infractores son personas jurídicas, la sanción puede llegar hasta un millón de euros.