Directiva Whistleblower y cambios de terminología: del denunciante al informante
La Directiva (UE) 2019/1937, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión es también conocida como Directiva Whistlebower. Se dictó con el ánimo de proteger a las personas que, conocedoras de infracciones de las organizaciones públicas o privadas para las que trabajan o prestan servicios o tienen conexión de alguno de los tipos que establece, puedan denunciarlas sin temor a represalias, puesto que estas personas suelen ser las primeras en tener conocimiento de amenazas o perjuicios para el interés público que surgen en ese contexto.
«Al informar sobre infracciones del Derecho de la Unión que son perjudiciales para el interés público, dichas personas actúan como denunciantes (en inglés conocidas coloquialmente por "whistleblowers") y por ello desempeñan un papel clave a la hora de descubrir y prevenir esas infracciones y de proteger el bienestar de la sociedad».
La Directiva vino a cubrir esa falta de homogeneidad estableciendo los ámbitos sectoriales de aplicación y marcando normas mínimas para los diferentes sistemas de información o "denuncia" (canales internos, externos o revelación pública), así como las personas protegidas y los mecanismos de protección que les serán aplicables: prohibición de represalias, medidas preventivas, indemnizaciones o reparación real y efectiva, de forma que sea proporcionada respecto del perjuicio sufrido, además de disuasoria, etc.
La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (en lo sucesivo, la Ley) consolida un cambio de terminología. Así, el texto se aparta de la utilizada por la Directiva, y no menciona en ningún momento el término «canal de denuncias», sustituyéndolo por los sistemas internos o internos de informaciones. También huye de la palabra «denunciante», pasando a utilizar el concepto de «informante». De hecho, en el texto normativo aprobado "se ha optado por emplear los términos «informaciones» y «comunicaciones» indistintamente para, de acuerdo con una redacción gramatical y sintáctica adecuada, evitar repeticiones".
Retraso en la transposición, vacatio legis y derecho transitorio
La Ley 2/2023 prevé:
• Una vacatio legis de 20 días desde su publicación en el BOE (DF 12ª),
• Un plazo máximo de 3 meses desde esa entrada en vigor para que las organizaciones obligadas a implantar los canales lo materialicen. Como excepción, para las entidades jurídicas del sector privado con 249 trabajadores o menos y municipios de menos de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023 (DT 2ª).
Se amplía el ámbito de aplicación de la Directiva
Ya desde el Anteproyecto, el texto incorpora los dos objetivos principales de la citada Directiva: proteger a los informantes y establecer las normas mínimas de los canales de comunicación. Pero recoge una ampliación en dos aspectos clave del ámbito de aplicación de la Directiva:
1. Objetivo: amplía el amparo y abre los sistemas de información a quienes adviertan de vulneraciones no solo del Derecho de la Unión, sino también del resto del ordenamiento jurídico que afecten directamente al interés general, entendiendo que este está comprometido en todo caso si la vulneración investigada afecta a la Hacienda Pública.
2. Subjetivo:
a) En la Directiva, los «canales de denuncia» internos son obligatorios para las entidades jurídicas del sector privado que empleen a más de 50 trabajadores y a las del sector público, permitiendo eximir a los municipios de menos de 10.000 habitantes o con menos de 50 trabajadores. La Ley lo extiende a todas las entidades que integran el sector público, incluidos todos los municipios la obligación de contar con un «sistema interno de información», recogiendo precisiones para facilitar su cumplimiento (art. 13). Incluye en esta obligación a los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.
b) También se incluye, dentro del sector privado, a los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos (art. 10).
En cuanto al ámbito material de aplicación (artículo 2), son interesantes las precisiones relativas a que la protección de la ley no será de aplicación a las informaciones que afecten a la información clasificada, ni afectará a las obligaciones que resultan del deber de confidencialidad de los médicos, abogados y de las Fuerzas y Cuerpos de Seguridad del Estado, del secreto de las deliberaciones establecido en leyes y reglamentos y del carácter reservado la información con trascendencia tributaria y de cualquier otra información cuando así lo establezca su normativa específica.
También se especifica que la protección que ofrezca la norma no excluirá la aplicación de las normas relativas al proceso penal, incluyendo las diligencias de investigación.
Protección del informante y de la persona afectada
Informante: prohibición de represalias y medidas de apoyo
Se regula en los arts. 35 y ss. "La buena fe, la conciencia honesta de que se han producido o pueden producirse hechos graves y perjudiciales constituye un requisito indispensable para la protección del informante", indica la exposición de motivos de la norma.
La protección se ofrece, fundamentalmente, a través de la prohibición de represalias (art. 36), concepto que el texto define y del que ofrece un listado, que detalla como enunciativo, de ejemplos, entre los que se incluyen el despido o las referencias negativas en el ámbito laboral o profesional, la no renovación del contrato de trabajo, la no conversión de un contrato de trabajo temporal en uno indefinido en caso de que el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido, la denegación de formación y la discriminación o el trato desfavorable o injusto; entre otros.
Si se trata de actos administrativos que tengan por objeto impedir o dificultar la presentación de comunicaciones y revelaciones, así como los que constituyan represalia o causen discriminación tras la presentación de aquellas al amparo de la nueva ley, "serán nulos de pleno derecho y darán lugar, en su caso, a medidas correctoras disciplinarias o de responsabilidad, pudiendo incluir la correspondiente indemnización de daños y perjuicios al perjudicado".
Además, se recogen una serie de medidas de apoyo (art.37) para los informantes, que pueden consistir, desde información y asesoramiento integral, accesible y gratuito; hasta apoyo financiero y psicológico, de forma excepcional.
En concreto, entre las medidas específicas de protección frente a las represalias, se prevén las reglas de exención de responsabilidad al informante de buena fe. Cabe destacar la presunción iuris tantum en el ámbito laboral a favor del informante que sufra un perjuicio (art. 38.4)
Protección de la persona afectada y supuestos de exención y atenuación de la sanción
Se admite expresamente el derecho a la presunción de inocencia, al derecho de defensa y de acceso al expediente de las personas afectadas, para las que deja de usarse el término "investigado" que empleaba el Anteproyecto (art. 39).
Y se prevén unos "supuestos de exención y atenuación de la sanción" (similares a los "programas de clemencia" propios de la normativa de defensa de la competencia), cuando una persona que haya participado en la comisión de una infracción administrativa objeto de la información sea la que informe de la existencia de la misma (art. 40).
Sistemas y canales internos de información
La configuración de los sistemas internos deberá satisfacer ciertas exigencias, entre las que destacan las siguientes: su uso asequible, las garantías de confidencialidad, las prácticas correctas de seguimiento, investigación y protección del informante.
El responsable de su implantación es el órgano de administración u órgano de gobierno de cada entidad u organismo obligado, y se exige la previa consulta con la representación legal de las personas trabajadoras . La ley le atribuye, además, la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales (art. 5).
Las «comunicaciones» (equivalentes a las «denuncias» de la Directiva) se pueden efectuar por escrito o verbalmente, o de ambos modos.
Procedimiento de gestión de las informaciones
La Ley prevé como figura indispensable para la eficacia de los sistemas internos de información la designación de un responsable de su correcto funcionamiento (responsable del sistema), cuyo nombramiento debe ser comunicado a la Autoridad Independiente de Protección del Informante (art. 8), previéndose que en las entidades u organismos en las que ya existiera un responsable de cumplimiento normativo o de las políticas de integridad, podrá ser esta la persona designada. Asimismo, se especifican las previsiones del procedimiento de gestión, incluyendo, entre otras (art. 9) : a) el derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oída en cualquier momento; comunicación que tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación; y b) la remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito.
En el caso de grupos de sociedades, tanto el responsable del sistema, como el sistema interno de información, pueden ser uno para todo el grupo (art. 11).
Procedimiento de gestión de las comunicaciones
El texto exige contar con un procedimiento de gestión de las comunicaciones. Así:
- Se permite la gestión del sistema interno por un tercero externo (art. 6), que ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto, especificándose que «se considera gestión del sistema la recepción de informaciones». Este tercero «tendrá la consideración de encargado del tratamiento» a efectos del RGPD y LOPDGDD. El Proyecto alude expresamente a la corresponsabilidad y encargo del tratamiento de la normativa de protección de datos (arts. 26 y 28.3 RGPD, respectivamente).
- Los canales internos de información («canales de denuncias internos», en la terminología de la Directiva) forman parte del sistema interno de información. Las organizaciones pueden contar con uno o varios, y deben permitir efectuar comunicaciones de manera anónima, tanto en la «presentación y posterior tramitación» de las mismas (art 7).
- El procedimiento de gestión (art. 9) debe ser aprobado por el responsable del sistema, y debe contar con un contenido mínimo y principios. Entre ellos, se exige que identifique el canal o canales internos que se asocian al mismo, que en el plazo de 7 días naturales se acuse recibo de la comunicación al informante (salvo que ello pueda poner en peligro la confidencialidad de la comunicación), y debe prever la posibilidad de mantener la comunicación con el informante, así como el derecho del informante a que se le informe de las acciones u omisiones que se le atribuyen, y a ser oído en cualquier momento; entre otras cuestiones. En todo caso, la duración máxima de las actuaciones de investigación no puede ser superior a 3 meses.
Medios compartidos y modalidades de gestión indirecta
Se prevé que la gestión material del sistema interno de información se realice mediante modalidades de gestión indirecta, si bien la atribución por parte de las Administraciones territoriales a un tercero de la gestión de estos sistemas internos de información requerirá que acrediten la insuficiencia de medios propios para poder realizar la función.
— Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que así lo decidan, pueden compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión del sistema se lleva a cabo por la propia entidad como si se ha externalizado (art. 12)
— Del mismo modo, los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, pueden compartir el sistema interno de información y los recursos destinados a las investigaciones y las tramitaciones (art. 14)
Canal externo de comunicaciones. Autoridad Independiente de Protección del Informante (A.A.I.)
La Directiva exigía que los Estados miembros designen a las autoridades competentes para recibir las «denuncias» de los canales externos, darles respuesta y seguirlas, y dotarlas de recursos adecuados
En el ámbito estatal, la nueva Ley opta por una Autoridad de nueva creación, adscrita al Ministerio de Justicia: la Autoridad Independiente de Protección del Informante (A.A.I.).
Su canal es el «canal externo de comunicaciones» ante el cual toda persona física puede informar (o ante las autoridades u órganos autonómicos correspondientes) de la comisión de «cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno». (art. 16)
Los artículos 17 y ss. de la Ley regulan el procedimiento administrativo de recepción de las informaciones por dicho canal externo, con los datos que necesariamente debe contener su registro (fecha, código de identificación, actuaciones desarrolladas, medidas adoptadas y fecha de cierre), el trámite de admisión y las opciones posibles; la instrucción y la terminación y eventual publicación de las actuaciones, así como los derechos y garantías del informante ante la Autoridad Independiente indicada (o autoridades u órganos autonómicos correspondientes).
Las Comunidades Autónomas pueden crear también sus correspondientes canales externos y organismos responsables de los mismos o suscribir convenios para que sea la Autoridad Independiente de Protección del Informante quien actúe como canal externo de informaciones en sus territorios (DA 2ª).
La regulación de su estatuto queda pendiente de desarrollo reglamentario (DA 11ª).
Aspectos comunes para canales internos y externos: el registro de informaciones
Además de los requisitos generales de la información adecuada de forma clara y fácilmente accesible que deben proporcionar, destaca la regulación del registro de informaciones (art. 26), que se configura como un libro-registro de las comunicaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad. Llaman la atención las siguientes previsiones:
1. No será público y únicamente se podrá acceder a él a petición razonada de la Autoridad judicial competente (mediante Auto, en el marco de un procedimiento judicial).
2. Los datos personales que pueda contener sólo se conservarán durante el período que sea necesario y proporcionado, en ningún caso superior a 10 años.
Revelación pública
La revelación pública es el tercer «sistema de denuncia» que preveía la Directiva para proteger al "denunciante".
Los arts. 27 y 28 de la nueva Ley definen qué debe entenderse por tal y establecen las condiciones de protección de las personas que realicen revelaciones públicas. No obstante, se prevé expresamente que las condiciones para acogerse a esta protección de la revelación pública no serán exigibles cuando la persona haya revelado información directamente a la prensa con arreglo al ejercicio de la libertad de expresión y de información veraz previstas constitucionalmente y en su legislación de desarrollo.
Protección de datos personales
Una correcta protección de los informantes en sistemas internos, públicos o privados, o en canales externos o revelaciones públicas, exige una adecuada protección de sus datos personales. A tal fin, los arts. 29 y ss. de la Ley regulan:
- El régimen jurídico del tratamiento de los datos personales en todos esos casos, precisándose los términos de la licitud de dichos tratamientos, conforme a las reglas de RGPD y LOPDGDD para cada uno de ellos.
- La información a proporcionar a los interesados y las posibilidades de ejercicio de sus derechos. Por ejemplo, en el caso concreto de los sistemas internos de información, transcurridos 3 meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones de investigación, debe procederse a su supresión (art. 32.4). La Ley también añade que "no se recopilarán datos personales cuya pertinencia no resulte manifiesta para tratar una información específica o, si se recopilan por accidente, se eliminarán sin dilación indebida".
- La preservación de la identidad del informante y de las personas investigadas, que solo puede ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora (art. 33).
- La necesidad de contar con Delegado de Protección de Datos competente para todos los tratamientos en los sistemas internos de comunicaciones (art. 34).
Régimen sancionador
Se regula en los arts. 60 y ss., que remite a las reglas aplicables del procedimiento administrativo sancionador.
La potestad sancionadora se atribuye a Autoridad Independiente de Protección del Informante y a los órganos competentes de las Comunidades Autónomas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización puedan tener los órganos competentes.
El sistema de infracciones se cataloga con la tradicional división entre infracciones muy graves, graves o leves; y la consiguiente graduación de sanciones muy graves, graves o leves, respectivamente. Las infracciones, en todo caso, se refieren a las obligaciones del texto normativo (vulneraciones de confidencialidad en los canales de información, adopciones de represalias, etc.). Se contemplan asimismo los correspondientes plazos de prescripción para unas y otras y los criterios habituales para su graduación, típicos del procedimiento administrativo sancionador (reincidencia, intencionalidad, etc.).
Llama la atención la inclusión, como infracción muy grave, del "incumplimiento de la obligación de disponer de un Sistema interno de información en los términos exigidos en esta ley".
En todo caso, las sanciones consisten siempre en multas, con cuantías que varían según se trate de personas físicas o jurídicas, especialmente sustanciosas en los casos de personas jurídicas.
a) Personas físicas: de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
b) Personas jurídicas: hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves.
Estrategia contra la corrupción
La DA 5ª de la Ley 2/2023 prevé que el Gobierno, en el plazo máximo de 18 meses a contar desde la entrada en vigor de la ley, y en colaboración con las Comunidades Autónomas, "deberá aprobar una Estrategia contra la corrupción que al menos deberá incluir una evaluación del cumplimiento de los objetivos establecidos en la presente ley así como las medidas que se consideren necesarias para paliar las deficiencias que se hayan encontrado en ese periodo de tiempo".
Normas modificadas
La Ley 2/2023 modifica, además, las siguientes normas:
Ley 1/1996, de 10 de enero, de asistencia jurídica gratuita: añade una nueva letra k) al artículo 2
Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa: . Se modifica la letra m) y se añade una nueva letra n) en el apartado 1 del artículo 10.1, m) y n); disposición adicional cuarta.5
Ley 15/2007, de 3 de julio, de Defensa de la Competencia: introduce una nueva disposición adicional duodécima
Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo: artículo 65.5
Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito: artículo 122.3
Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público: artículo 71.1 b)
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: artículo 24
TE PUEDE INTERESAR |
¡Evita cuantiosas sanciones económicas y reputacionales! Te ayudamos a cumplir con esta normativa que debe implantarse en el plazo máximo de tres meses a partir de la entrada en vigor de esta Ley. Conoce Complylaw CANAL ÉTICO. El canal de denuncias seguro y fácil de usar. Más información en este enlace. Apúntate a nuestro programa formativo Todo sobre el Canal Ético y el Compliance Officer. Programa, docentes y más información en este enlace. |