¿Qué implica la nueva Ley de Protección del Informante?

El pasado 21 de febrero de 2023 se publicó en el Boletín Oficial del Estado la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (Ley 2/2023). Esta Ley se encarga de transponer la Directiva (UE) 2019/1937 (conocida como la Directiva «whistleblowing») relativa a la protección de las personas que informan sobre infracciones de Derecho de la Unión, y que abarca además las infracciones penales y administrativas graves y muy graves de nuestro ordenamiento jurídico. Entrará en vigor el próximo 13 de marzo. Y es momento oportuno para hacer un análisis de las novedades que representa esta norma y las obligaciones que puede implicar para las empresas.

¿Cuál es la finalidad de la Ley 2/2023?

El objeto de la norma es proteger frente a posibles represalias a cualquier persona que informe o alerte (artículo 3 de la Ley 2/2023) sobre alguna de las acciones u omisiones relativas al incumplimiento normativo o la corrupción de la empresa,  así como fortalecer la cultura de la información de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público (artículo 1 de la Ley 2/2023).

¿Qué obligaciones impone? 

Las empresas obligadas tienen que implementar un Sistema interno de información que deberá incluir un Canal de Información o Alertas para la recepción de la información que debe diseñar, establecer y gestionar el sistema de forma segura y con garantías de confidencialidad y protección a los informantes. Para ello, deberá designarse un Responsable del Sistema y documentar las políticas y los procedimientos respecto de la gestión de dicho Sistema interno de información. 

¿Qué empresas están obligadas a disponer de un Sistema interno de información?

Todas aquellas entidades del sector privado y sector público establecidas en los capítulos II y III de la Ley 2/2023 respectivamente.

  • Sector privado:
    • Personas físicas o jurídicas que tengan contratadas a 50 o más personas trabajadoras. A este respecto las personas jurídicas que tengan entre 50 y 249 trabajadores, y que así lo decidan, podrán compartir entre sí el Sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones.
    • Partidos políticos, sindicatos, organizaciones empresariales y las fundaciones creadas por unos y otros siempre que reciban o gestionen fondos públicos.
    • Personas jurídicas que ya tuvieran obligación de disponer de un Sistema interno de información conforme a la Directiva «whistleblowing». 

Así mismo, se prevé que las personas jurídicas que no estén obligadas conforme a la Ley 2/2023, puedan establecer de forma voluntaria un Sistema interno de información siempre que cumpla con los requisitos y garantías establecidos legalmente.

  • Sector público: por regla general, todas aquellas entidades que integran el sector público están obligadas a disponer de un Sistema interno de información. No obstante, se prevé que en determinados supuestos (los municipios con menos de 10.000 habitantes o las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales) puedan compartir el Sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones, siempre que se garantice la independencia entre ellos y no genere confusión a los ciudadanos.

¿En qué consiste la implementación y gestión del Sistema interno de información?

En cuanto a la implementación del Sistema interno de información, la responsabilidad corresponde al órgano de administración o gobierno de cada empresa o entidad, que se configurará como Responsable del tratamiento de datos personales que se deriven del Sistema interno de información. 

Respecto al Canal interno de Alertas de información que deberá integrarse en el Sistema interno de información, deberá permitir realizar comunicaciones de forma anónima o identificada, por escrito (correo postal o medio electrónico) o verbalmente (vía telefónica o sistema de mensajería de voz), o bien de las dos formas, siempre dejando constancia de dichas comunicaciones. Además, se prevé la posibilidad de realizar reuniones presenciales dentro del plazo máximo de 7 días. Así mismo, al hacer la comunicación, el informante podrá indicar un domicilio, correo electrónico o lugar seguro a efectos de recibir las notificaciones que se produzcan por la alerta o comunicación realizada. Respecto a las comunicaciones verbales, es importante que las mismas queden documentadas de alguna manera previo consentimiento del informante, por ejemplo, mediante una grabación o una transcripción completa. Así mismo, su diseño y gestión deben realizarse de forma segura de manera que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.

Por otra parte, en cuanto a la gestión de las alertas o informaciones, las entidades obligadas deberán aprobar un procedimiento que establezca las previsiones necesarias establecidas por la Ley 2/2023. Entre el contenido mínimo y principios de dicho procedimiento, destaca el envío de acuse de recibo al informante en el plazo de 7 días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación; la determinación de un plazo máximo de 3 meses para dar respuesta a las actuaciones de investigación a contar desde la recepción de la comunicación. En casos especial complejidad el plazo puede ampliarse por hasta un máximo de otros 3 meses adicionales; el derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen y a ser oída en cualquier momento, así como el respecto a la presunción de inocencia y al honor de las personas afectadas.

El Sistema en todo momento deberá garantizar la confidencialidad y protección de los datos y para tal fin deberá contar con todas las medidas técnicas y organizativas aplicables a dicho tratamiento. Otros derechos que se deben garantizar son: la protección del informante, la prohibición de represalias y también deben facilitarse medidas de apoyo como el asesoramiento y la asistencia judicial en procesos penales, entre otros. 

Por último, en cuanto a la gestión del Sistema y la tramitación de las comunicaciones, las entidades deben designarun Responsable del Sistema, que deberá asegurar la gestión diligente del sistema y el poder ejercer sus funciones de forma independiente, para lo que debe disponer de los medios necesarios. 

¿Qué implicaciones tiene en materia de protección de datos?

En lo relativo al tratamiento de datos personales la Ley 2/2023 establece en su Título VI todos los aspectos que considera relevantes para la implantación del Sistema. Como bases legitimadoras tenemos, en primer lugar, el cumplimiento de una obligación legal en virtud del artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD) siempre que se trate de entidades obligadas por dicha ley. Por otra parte, se prevé la base legitimadora del artículo 6.1.e) del RGPD basando el tratamiento en un interés público cuando el tratamiento se de en los canales de comunicación externos. Finalmente, respecto a las categorías especiales de datos, el tratamiento de los mismos se encuentra legitimado en virtud del artículo 9.2.g) del RGPD, es decir, en el interés público esencial.

En cuanto al deber de información reforzado, se debe garantizar la reserva de la identidad del informante. En cuanto a la persona a la que se refiere los hechos, debe ser informada sobre los hechos siempre y cuando esta información no altere o dificulte la investigación, en estos casos no se podrá informar al denunciado. Los informantes podrán ejercitar los derechos reconocidos por la normativa en materia de protección de datos. Por otra parte, en cuanto a un posible ejercicio de derechos de oposición de la persona a la que se refieran los hechos, se presumirá salvo prueba en contrario, que existen motivos legítimos para el tratamiento de sus datos. 

En lo que respecta al plazo de conservación de los datos personales, solo podrán almacenarse en el Sistema durante el tiempo que resulte imprescindible para decidir sobre la procedencia de iniciar la investigación. Si se acredita que la información no es veraz, se debe proceder inmediatamente a su supresión, salvo que pueda constituir un ilícito penal. En todo caso, transcurridos 3 meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, se deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Las comunicaciones a las que no se haya dado curso solamente podrán constar de forma anonimizadasin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

Por último, la implementación del Sistema interno de información requiere de la creación de los correspondientes Registros de actividades de los tratamientos que se puedan producir con dichas comunicaciones, así como la adopción de todas aquellas medidas técnicas y organizativas de seguridad apropiadas al nivel de riesgo de la actividad. Igualmente es recomendable la realización de una Evaluación de Impacto debido a las posible situación de discriminación de las personas afectadas, perdida de confidencialidad, así como el posible contenido de datos especiales o sensibles respecto de las alertas o información comunicada.

¿Es obligatorio nombrar un Delegado de Protección de Datos?

Actualmente existen discusiones relevantes frente a la obligación de nombrar un Delegado de Protección de Datos (DPD) por parte de las entidades obligadas a disponer de un Sistema interno de información. Las dudas se plantean debido a que, si bien el Preámbulo de la Ley hace referencia a que las entidades obligadas deberán nombrar un DPD, esta obligación no se ha incluido en el articulado vigente de la Ley 2/2023.

Antes de la aprobación del texto vigente actualmente, el Proyecto de ley incluía, en su artículo 34, una referencia expresa a la obligación por parte de las entidades de nombrar un DPD, lo que implicaba que todas aquellas entidades privadas de más de 50 personas trabajadoras tuvieran que disponer de un DPD. No obstante, el articulado finalmente aprobado de la ley obliga únicamente a la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan a nombrar un DPD, lo cual resulta contradictorio con lo dispuesto en el Preámbulo. Sin embargo, al no incluir de forma expresa esta obligación en el articulado vigente de la Ley 2/2023 que finalmente se ha aprobado, se interpreta que se ha eliminado la obligación de designar un delegado de protección de datos para aquellas entidades que deban disponer de un Sistema interno de información.

¿Es posible ser sancionado por el incumplimiento de la Ley?

Respecto al régimen sancionador, se prevén infracciones calificadas como leves, graves y muy graves, y el importe de la sanción varía dependiendo si la infracción es cometida por una persona física o jurídica. En este sentido, se prevén multas para personas físicas de 1.001 euros hasta 300.000 euros para infracciones muy graves, y para personas jurídicas multas de 100.001 euros hasta 1.000.000 de euros en caso de infracciones muy graves.

¿Qué plazo existe para la implantación o adaptación de los Sistemas de Alertas o Información?

Desde su entrada en vigor, la Ley otorga un plazo máximo de 3 meses a las entidades obligadas para implantar el Sistema interno de información, es decir, hasta el 13 de junio de 2023

No obstante, se establece como excepción una ampliación del plazo para aquellas entidades del sector privado con 249 personas trabajadoras o menos, así como a aquellos municipios con menos de 10.000 municipios, pudiéndose extender el  mismo hasta el 1 de diciembre de 2023.

Si bien es cierto, que el Sistema de Alertas o Información no es una actividad nueva en el ecosistema empresarial español, ya que el mismo se venía implantando internamente por aquellas empresas que implantaban Políticas de Responsabilidad Penal Corporativa o por el sector empresarial obligado al cumplimiento de la normativa sobre Prevención de Blanqueo de Capitales y Financiación del Terrorismo, sí es cierto, que con la entrada en vigor supone un cambio importante en la gestión interna de las empresas afectadas por la ley, ya que la implantación del sistema es obligatorio para todas ellas, pudiendo ser sancionadas por la falta de implantación del mismo. 

En este sentido, consideramos acertada la implantación de la norma en el ecosistema empresarial español, carente actualmente de una cultura de comunicación de incumplimientos o actos de corrupción, por el miedo a las posibles represalias en el entorno laboral. Las garantías del anonimato, así como la prohibición de represalias hacia el informante, convertirán al sistema de alertas o información poco a poco en una herramienta empresarial indispensable para el fomento de la cultura del cumplimiento normativo, que evite actos de corrupción o incumplimientos normativos en ecosistema empresarial español.

Firmado
Elkin Sanabria
Alina Nastasache

Comments are closed.

A partir del 01-01-2024 DATA PRIVACY OUTSOURCING & INFORMATION TECHNOLOGY LAW S.L. (DPO&IT LAW) se ha integrado en el despacho de abogados de Club Legal Asesores Internacionales, S.L. (CLUB LEGAL) con el propósito de fortalecer nuestras capacidades actuales y ofrecerles nuevos servicios relacionados con cualquiera de las áreas de práctica legal y jurídica que pueden ver en https://www.clublegal.es/

X