Noticias JurídicasOrigen https://noticias.juridicas.com

Actualidad Noticias
26/09/2022 16:13:08 REDACCIÓN COMPLIANCE 17 minutos

No contar con un canal de denuncias será sancionado con multa de 600.001 a 1.000.000 de euros

La nueva normativa considera una infracción "muy grave" la carencia del canal de denuncias o de un sistema de información

No contar con un canal de denuncias será sancionado con multa de 600.001 a 1.000.000 de euros

Nuria Méler.- La Directiva (UE) 2019/1937, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión es también conocida como Directiva Whistlebowing. Se dictó con el ánimo de proteger a las personas que, conocedoras de infracciones de las organizaciones públicas o privadas para las que trabajan o prestan servicios o tienen conexión de alguno de los tipos que establece, puedan denunciarlas sin temor a represalias, puesto que estas personas suelen ser las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto.

«Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés conocidas coloquialmente por whistleblowers) y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad».

La Directiva viene a cubrir esa falta de homogeneidad estableciendo los ámbitos sectoriales de aplicación y marcando normas mínimas para los diferentes sistemas de denuncia (canales internos, externos o revelación pública), así como las personas protegidas y los mecanismos de protección que les serán aplicables: prohibición de represalias, medidas preventivas, indemnizaciones o reparación real y efectiva, de forma que sea proporcionada respecto del perjuicio sufrido, además de disuasoria, etc.

Uno de los aspectos más relevantes del Anteproyecto, que se consolida en el Proyecto, es el cambio de terminología. Así, el texto se aparta de la utilizada por la Directiva, y no menciona en ningún momento el término «canal de denuncias», sustituyéndolo por los sistemas internos o internos de informaciones. También huye de la palabra «denunciante», pasando a utilizar el concepto de «informante». De hecho, en el Proyecto "se ha optado por emplear los términos «informaciones» y «comunicaciones» indistintamente para, de acuerdo con una redacción gramatical y sintáctica adecuada, evitar repeticiones".

Retraso en la transposición, vacatio legis y derecho transitorio

El Anteproyecto fue presentado por el Consejo de Ministros el 4 de marzo, meses después del plazo con el que contaban los Estados de la Unión Europea para transponer la Directiva (UE) 2019/1937, que finalizó el 17 de diciembre de 2021. Por su parte, el Proyecto ha sido publicado en el Boletín del Congreso de los Diputados del pasado 23 de septiembre.

El texto que pasa ahora a ser tramitado en el Parlamento, prevé:

- Una vacatio legis de 20 días desde su publicación en el BOE (DF 8ª)

- Un plazo máximo de 3 meses desde esa entrada en vigor para que las organizaciones obligadas a implantar los canales lo materialicen. Como excepción, para las entidades jurídicas del sector privado con menos de 249 trabajadores y municipios de menos de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023

Se amplía el ámbito de aplicación de la Directiva

Ya desde el Anteproyecto, el texto incorporaba los dos objetivos principales de la citada Directiva: proteger a los informantes y establecer las normas mínimas de los canales de comunicación. Pero recoge una ampliación en dos aspectos clave del ámbito de aplicación de la Directiva:

1. Objetivo: amplía el amparo y abre los sistemas de información a quienes adviertan de vulneraciones no solo del Derecho de la Unión, sino también del resto del ordenamiento jurídico que afecten directamente al interés general, entendiendo que este está comprometido en todo caso si la vulneración investigada afecta a la Hacienda Pública.

2. Subjetivo:

a) En la Directiva, los «canales de denuncia» internos son obligatorios para las entidades jurídicas del sector privado que empleen a más de 50 trabajadores y a las del sector público, permitiendo eximir a los municipios de menos de 10.000 habitantes o con menos de 50 trabajadores. Como novedad, el Anteproyecto lo extendió a todas las entidades que integran el sector público, incluidos todos los municipios la obligación de contar con un «sistema interno de informaciones», recogiendo precisiones para facilitar su cumplimiento (art. 13). Incluyó en esta obligación a la Casa de Su Majestad el Rey (a la que también dedicaba reglas especiales en la DA 1ª, que curiosamente desaparece en el Proyecto); y los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.

b) También se incluye, dentro del sector privado, a los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos (art. 10).

En cuanto al ámbito material de aplicación (artículo 2), son interesantes las precisiones relativas a que la protección de la futura ley no será de aplicación a las informaciones que afecten a la información clasificada, ni afectará a las obligaciones que resultan del deber de confidencialidad de los médicos, abogados y de las Fuerzas y Cuerpos de Seguridad del Estado, del secreto de las deliberaciones establecido en leyes y reglamentos y del carácter reservado la información con trascendencia tributaria y de cualquier otra información cuando así lo establezca su normativa específica. También se especifica que la protección que ofrezca la norma no excluirá la aplicación de las normas relativas al proceso penal, incluyendo las diligencias de investigación.

Protección del informante y de la persona afectada

Informante: prohibición de represalias y medidas de apoyo

Se regula en los arts. 35 y ss. La buena fe, la conciencia honesta de que se han producido o pueden producirse hechos graves y perjudiciales constituye un requisito indispensable para la protección del informante.

La protección se ofrece, fundamentalmente, a través de la prohibición de represalias, concepto que el texto define y del que ofrece un listado, que detalla como enunciativo, de ejemplos, entre los que se incluyen el despido o las referencias negativas en el ámbito laboral o profesional. El Proyecto amplía el listado de supuestos que preveía el Anteproyectos, incluyendo también entre ellos la no renovación del contrato de trabajo, la no conversión de un contrato de trabajo temporal en uno indefinido, en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido, la denegación de formación y la discriminación o trato desfavorable o injusto. Todos estos actos la norma los considerará nulos de pleno derecho, y «darán lugar, en su caso, a medidas correctoras disciplinarias o de responsabilidad, pudiendo incluir la correspondiente indemnización de daños y perjuicios al perjudicado.»

Además, se recogen una serie de medidas de apoyo para los informantes, que pueden consistir, desde información y asesoramiento integral, accesible y gratuito; hasta apoyo financiero y psicológico, de forma excepcional.

En concreto, entre las medidas específicas de protección frente a las represalias, se prevén las reglas de exención de responsabilidad al informante de buena fe. Cabe destacar la presunción iuris tantum en el ámbito laboral a favor del informante que sufra un perjuicio (art. 38.4)

Protección de la persona afectada y supuestos de exención y atenuación de la sanción

Se admite expresamente el derecho a la presunción de inocencia, al derecho de defensa y de acceso al expediente de las personas afectadas, para las que deja de usarse el término "investigado" que empleaba el Anteproyecto (art. 39)

Y se prevén unos "supuestos de exención y atenuación de la sanción", que en la versión anterior se denominaban "programas de clemencia", similares al previsto en la normativa de defensa de la competencia, cuando una persona que haya participado en la comisión de una infracción administrativa objeto de la información sea la que informe de la existencia de la misma (art. 40).

Sistemas y canales internos de información

La configuración de estos sistemas internos de deberá satisfacer ciertas exigencias, entre las que destacan las siguientes: su uso asequible, las garantías de confidencialidad, las prácticas correctas de seguimiento, investigación y protección del informante.

El responsable de su implantación es el órgano de administración u órgano de gobierno de cada entidad u organismo obligado, y se exige la previa consulta con la representación legal de las personas trabajadoras . El Proyecto le atribuye, además, la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales (art. 5).

Las «comunicaciones» (equivalentes a las «denuncias» de la Directiva) se pueden efectuar por escrito o verbalmente, o de ambos modos.

Procedimiento de gestión de las informaciones

El Proyecto prevé como figura indispensable para la eficacia de los sistemas internos de información la designación de un responsable de su correcto funcionamiento (responsable del sistema), cuyo nombramiento debe ser comunicado a la Autoridad Independiente de Protección del Informante (art. 9), previéndose que en las entidades u organismos en las que ya existiera un responsable de cumplimiento normativo, podrá ser éste la persona designada. Como novedad, el Proyecto recoge expresamente dos cuestiones que estaban implícitas en el Anteproyecto: a) el derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento; comunicación que tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación; y b) la remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito.

En el caso de grupos de sociedades, tanto el responsable del sistema, como el sistema interno de información, pueden ser uno para todo el grupo (art. 11).

Procedimiento de gestión de las comunicaciones

El texto exige contar con un procedimiento de gestión de las comunicaciones. Así:

- Se permite la gestión del sistema por un tercero externo (art. 6), que ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto, especificándose que «se considera gestión del sistema la recepción de informaciones». Este tercero «tendrá la consideración de encargado del tratamiento» a efectos del RGPD y LOPDGDD. El Proyecto alude expresamente a la corresponsabilidad y encargo del tratamiento de la normativa de protección de datos (arts. 26 y 28 RGPD, respectivamente).

- Los canales internos de información («canales de denuncias internos», en la terminología de la Directiva) forman parte del sistema interno de información. Las organizaciones pueden contar con uno o varios, y deben permitir efectuar comunicaciones de manera anónima, tanto en la «presentación y posterior tramitación» de las mismas (art 7).

- El procedimiento de gestión debe ser aprobado por el responsable del sistema, y debe contar con un contenido mínimo y principios. Entre ellos, se exige que identifique el canal o canales internos que se asocian al mismo, que en el plazo de 7 días naturales se acuse recibo de la comunicación al informante (si se identifica), y debe prever la posibilidad de mantener la comunicación con el informante, así como el derecho del informante a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oído en cualquier momento; entre otras cuestiones. En todo caso, la duración máxima de las actuaciones de investigación no puede ser superior a 3 meses.

Medios compartidos y modalidades de gestión indirecta

Se prevé que la gestión material del sistema interno de información se realice mediante modalidades de gestión indirecta, si bien la atribución por parte de las Administraciones territoriales a un tercero de la gestión de estos sistemas internos de información requerirá que acrediten la insuficiencia de medios propios para poder realizar la función.

— Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que así lo decidan, pueden compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión del sistema se lleva a cabo por la propia entidad como si se ha externalizado (art. 12)

— Del mismo modo, los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, pueden compartir el sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones (art. 14)

Canal externo de comunicaciones. Autoridad Independiente de Protección del Informante (A.A.I.)

La Directiva prevé que los Estados miembros designen a las autoridades competentes para recibir las «denuncias» de los canales externos, darles respuesta y seguirlas, y deben dotaras de recursos adecuados

En el ámbito estatal, el Anteproyecto opta por una Autoridad de nueva creación, adscrita al Ministerio de Justicia: la Autoridad Independiente de Protección del Informante (A.A.I.).

Su canal es el «canal externo de comunicaciones» ante el cual toda persona física puede informar de la comisión de «cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno». (art. 16)

Los artículos 17 y ss. del Anteproyecto regulan el procedimiento administrativo de recepción de las comunicaciones por dicho canal externo, con los datos que necesariamente debe contener su registro (fecha, código de identificación, actuaciones desarrolladas, medidas adoptadas y fecha de cierre), el trámite de admisión y las opciones posibles; la instrucción y la terminación y eventual publicación de las actuaciones, así como los derechos y garantías del informante ante la Autoridad Independiente indicada.

Las Comunidades Autónomas pueden crear también sus correspondientes canales externos y organismos responsables de los mismos. Si no lo hacen, será la Autoridad Independiente de Protección del Informante quien actúe actuar como canal externo de informaciones (DA 2ª).

Aspectos comunes para canales internos y externos: el registro de informaciones

Además de los requisitos generales de la información adecuada de forma clara y fácilmente accesible que deben proporcionar, destaca la regulación del registro de informaciones (art. 26), que se configura como un libro-registro de las comunicaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad. Llaman la atención las siguientes previsiones:

1. No será público y únicamente se podrá acceder a él a petición razonada de la Autoridad judicial competente (mediante Auto, en el marco de un procedimiento judicial).

2. Los datos personales que pueda contener sólo se conservarán durante el período que sea necesario y proporcionado, en ningún caso superior a 10 años.

Revelación pública

La revelación pública es el tercer «sistema de denuncia» que preveía la Directiva para proteger al "denunciante".

El Proyecto, en sus arts. 27 y 28 define qué debe entenderse por tal y establece las condiciones de protección de las personas que realicen revelaciones públicas. Con respecto al Anteproyecto, se establece que las condiciones para acogerse a esta protección de la revelación pública no serán exigibles cuando la persona haya revelado información directamente a la prensa con arreglo al ejercicio de la libertad de expresión y de información veraz previstas constitucionalmente y en su legislación de desarrollo.

Protección de datos personales

Una correcta protección de los informantes en sistemas internos, públicos o privados, o en canales externos o revelaciones públicas, exige una adecuada protección de sus datos personales. A tal fin, los arts. 29 y ss del Proyecto regulan:

— El régimen jurídico del tratamiento de los datos personales en todos esos casos, precisándose los términos de la licitud de dichos conforme a las reglas de RGPD y LOPDGDD para cada uno de ellos.

— La información a proporcionar a los interesados y las posibilidades de ejercicio de sus derechos. Por ejemplo, en el caso concreto de los sistemas internos de información, transcurridos 3 meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones de investigación, debe procederse a su supresión. El Proyecto también añade que "no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida".

— La preservación de la identidad del informante y de las personas investigadas, que solo puede ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

— La necesidad de contar con Delegado de Protección de Datos competente para todos los tratamientos en los sistemas internos de comunicaciones (art. 34).

Régimen sancionador

Se regula en los arts. 60 y ss., que remite a las reglas aplicables del procedimiento administrativo sancionador.

La potestad sancionadora se atribuye a Autoridad Independiente de Protección del Informante y a los órganos competentes de las Comunidades Autónomas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización puedan tener los órganos competentes.

El sistema de infracciones se cataloga con la tradicional división entre infracciones muy graves, graves o leves; y la consiguiente graduación de sanciones muy graves, graves o leves, respectivamente. Las infracciones, en todo caso, se refieren a las obligaciones del texto normativo (vulneraciones de confidencialidad en los canales de información, adopciones de represalias, etc.). Se contemplan asimismo los correspondientes plazos de prescripción para unas y otras y los criterios habituales para su graduación, típicos del procedimiento administrativo sancionador (reincidencia, intencionalidad, etc.). Como novedad del Proyecto, llama la atención la inclusión, como infracción muy grave, del "Incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley". Lo cierto es que en el Anteproyecto sorprendía que no se sancionase su falta en las organizaciones obligadas a implantarlo.

En todo caso, las sanciones consisten siempre en multas, con cuantías que varían según se trate de personas físicas o jurídicas, especialmente sustanciosas en los casos de personas jurídicas.

a) Personas físicas: se amplían las cuantías con respecto a lo que preveía el Anteprouyecto, que fijaba hasta 10.000 euros por la comisión de infracciones leves; de 5.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves. Con el Proyecto se amplían las multas por infracciones graves, que pasan a ser de 10.001 hasta 30 000 euros.

b) Personas jurídicas: hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.
Curiosamente, no se recoge expresamente como infracción el no contar con un canal interno de comunicación, estando obligado a ello, por lo que podría considerarse infracción leve, según lo previsto en el art. 63.3.c), según el cual lo es cualquier « incumplimiento de las obligaciones previstas en esta ley que no esté tipificado como infracción muy grave o grave».

¿Estás listo para comprobar lo fácil que es implementar un canal de denuncias seguro en tu entidad? Conoce Complylaw Canal Ético con enlace a https://complylaw.wolterskluwer.es/landing/canal-etico

Te recomendamos