Con fecha 21 de febrero de 2023 se ha publicado en el BOE la Ley 2/2023, de 20 de febrero,  reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que establece la obligación para las empresas que cuenten con más de 50 trabajadores de contar con un Sistema interno de información para informar de todas aquellas infracciones que puedan cometerse ya sean penales, administrativas graves y muy graves, fiscales, vulneradoras de las reglas de la competencia etc..

En el presente artículo ofrecemos un resumen sobre los aspectos fundamentales de la Norma, a qué empresas afecta, principales obligaciones y posibles sanciones.

Antecedentes.

Esta Norma incorpora a nuestro ordenamiento jurídico la Directiva Comunitaria 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones de Derecho de la Unión, también conocida como “Directiva Whistleblower, cuyo objetivo es establecer un marco regulatorio que faculte la colaboración ciudadana en la lucha contra la corrupción que pueda producirse en el ámbito público y privado, establezca las medidas de protección de las personas que informen de las irregularidades y establecer los requisitos y obligaciones que deben contener los Sistemas internos de información, incluidos los aspectos relativos a la protección de los datos personales.

¿Qué son los Sistemas Internos de Información?

Son los canales de comunicación a través de los cuales los ciudadanos, trabajadores ect.. pueden informar sobre las irregularidades que se cometan en las diferentes organizaciones tanto del sector público como privado.

En definitiva estos sistemas internos de información vienen a sustituir a los diferentes canales de denuncia hasta hora existentes en la compañía, creados en cumplimiento de diferentes legislaciones, penales, laborales, de prevención de blanqueo de capitales etc.. ya que a través de los mismos se puede informar no solo de las infracciones penales sino de otro tipo de irregularidades que se cometan en las diferentes  organizaciones.

¿Qué irregularidades pueden informarse a través de los Sistemas Internos de Información?

  • Infracciones del Derecho de la Unión
  • Afecten a los intereses financieros
  • Infracciones que afecten al derecho de la competencia y ayudas otorgadas por los Estados
  • Infracciones que afecten al impuesto de sociedades
  • Penales
  • Infracciones Administrativas graves y muy graves

¿Cuáles son los sujetos obligados?

  • Las empresas que cuenten con más de 50 trabajadores.
  • Los partidos políticos,
  • las organizaciones empresariales
  • las fundaciones que reciban fondos públicos
  • todo el Sector Público, Universidades, sociedades, servicios de la seguridad social
  • corporaciones de Derecho Público (Colegios profesionales)

¿Cuáles son las principales obligaciones?

  1. Establecimiento de medidas de protección de las personas que informen para evitar represalias.
  2. Mantener el anonimato de las personas informantes durante todo el proceso y garantizar la confidencialidad.
  3. Contar con un procedimiento para gestionar los canales de información sobre la base de los siguientes requisitos:
  • Independiente y autónomo.
  • Eficaz
  • Garantice la integridad y confidencialidad de la información con objeto de impedir el acceso a la misma por el personal no autorizado y permitir un almacenamiento duradero de la misma.
  • Establecer una política con los principios que deben regir el Sistema de Información.
  • Garantice los derechos de defensa de las personas afectadas,
  1. Contar con un responsable del sistema, que puede ser un órgano colegiado siempre que se designe a una persona como responsable o también una persona física, en cuyo caso debe ostentar un cargo directivo en la empresa.
  2. Los procedimientos deben ser aprobados por el Órgano de Gobierno de la compañía.

¿Qué obligaciones se establecen en materia de protección de datos?

Se establece la obligación de cumplir con la normativa de protección de datos personales establecida en el RGPD y en la Ley Orgánica3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, entre las que se encuentran:

  1. Los datos personales deben tratarse sobre una base legitimadora.
  2. Cumplimiento del deber de información sobre el tratamiento de los datos personales que afecte no solo a las personas que informan sino a todos los afectados.
  3. Regular el ejercicio de los derechos de los interesados. ¿Que sucede si una persona ejerce el derecho de oposición al tratamiento de sus datos personales? o ¿ejercicio de derecho de acceso? O el de cancelación.
  4. Garantizar en todo momento que se mantiene el anonimato de los datos del informante y de las personas afectadas por la investigación.
  5. Los que se dediquen a la gestión externa deberán contar con un Delegado de Protección de Datos y suscribir un contrato de Responsable encargado de tratamiento.
  6. Establecimiento de un plazo de conservación de la información.

¿Cuál es el ámbito subjetivo de la norma?

La norma va dirigida a proteger a las personas que informan de las infracciones penales o administrativas graves o muy graves que se puedan cometer en las empresas, frente a posibles represalias y alcanza a todas aquellas personas que tengan vínculos profesionales o laborales con entidades tanto del sector público como privado y respecto de aquellas que ya han finalizado su relación profesional, voluntarios, trabajadores en prácticas o en periodo de formación así como aquellos que participan en procesos de selección y la información hubiese sido conocida durante el proceso de negociación o relación precontractual.

Asimismo, alcanza a los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos

Cualquier persona que trabaje para o bajo la supervisión y dirección de contratistas, subcontratistas y proveedores.

A las personas que de alguna manera estén asesorando al informante: representantes legales de los trabajadores.

¿La gestión del canal puede ser externa?

La gestión del canal puede ser interna o externa, en cuyo caso, como Responsables del canal deberemos seleccionar a un proveedor que ofrezca garantías adecuadas de respeto, independencia, confidencialidad, protección de datos y secreto de las comunicaciones.

¿Cuál es el plazo para cumplir con estas obligaciones?

La norma entra en vigor a los veinte días de su publicación y a partir de ahí las empresas cuentan con

  • TRES MESES para las empresas que cuenten con más de 50 trabajadores.
  • El 1 de diciembre de 2023 las empresas que cuenten con más de 250 trabajadores

¿Qué consecuencias tiene no cumplir con la normativa?

  1. Se prevé y regula la creación de una Autoridad Independiente de Protección del Informante, como autoridad administrativa independiente, que, entre otras facultades tendrá la de establecer las sanciones derivadas del incumplimiento de las obligaciones establecidas en la Ley.
  2. Las multas oscilan: para las infracciones leves, hasta 1000€; para las infracciones graves, entre 100.001€ y 600.000€ y para las infracciones muy graves, entre 600.001 y 1.000.000€ .

María Suárez Pliego, Abogada-Socia Andersen, miembro Grupo de Regulación AUTELSI