Llei Whistleblowing: Canal de Denúncies i Protecció de l’Informant, el que has de saber

El 13 de març de 2023 va entrar en vigor la Llei 2/2023, del 20 de febrer, reguladora de la protecció de les persones que informen sobre infraccions normatives i de lluita contra la corrupció (d’ara endavant la “Llei Whistleblowing”). Aquesta Llei sol sovint identificar-se utilitzant els termes anglosaxons whistleblowing -acte d’usar el xiulet per donar alerta- o whistleblower -persona que utilitza el xiulet per donar alerta-, tal com fem nosaltres en el títol d’aquesta entrada.

Tenint en compte que el próxim 1 de desembre de 2023 vencerà el termini perquè determinades entitats implantin un Sistema Intern d’Informació, en aquesta nova entrada donarem resposta a les següents preguntes:

Aquesta llei té com a finalitat principal fomentar la transparència, ètica i responsabilitat a les empreses i organismes públics, promoure una cultura d’integritat i prevenció de la corrupció. 

Per aconseguir aquest objectiu, aquesta llei estableix un marc que, d’una banda, obliga a determinades entitats a implementar un Sistema Intern d’Informació que permeti denunciar infraccions penals o administratives i, d’altra banda, protegeix aquelles persones que es decideixin a denunciar aquestes infraccions en un context laboral o professional.

El terme “Sistema Intern d’Informació” es refereix a un conjunt d’elements que permeten rebre comunicacions o denúncies sobre possibles delictes o irregularitats administratives. 

Tot Sistema Intern d’Informació consta de tres components essencials:

• Canal Intern d’Informació: la bústia o via que permet la recepció de la informació, comunicacions o denúncies. També conegut com a Canal de Denúncies;

• Responsable del Sistema: la persona física encarregada de gestionar el Sistema Intern d’Informació de manera independent i autònoma respecte de la resta dels òrgans de l’entitat o organisme.

• Procediment de gestió de informacions: el document on s’estableixen les regles que regeixen el funcionament del Sistema Intern d’Informació, respectant el contingut mínim i principis que marca la Llei Whistleblowing.

El Sistema Intern d’Informació ha de complir uns requisits mínims, entre d’altres, el seu ús ha de ser assequible, ha de garantir la confidencialitat de les comunicacions o denúncies i preservar la identitat de l’informant o denunciant i de qualsevol tercer esmentat en la comunicació o denúncia, ha de recollir les pràctiques correctes de seguiment, investigació i protecció de l’informant i ha de comptar amb un Responsable del Sistema.

Addicionalment, el Sistema Intern d’Informació ha de disposar d’un Canal de Denúncies o Canal Intern que permeti que es facin comunicacions o denúncies per escrit, verbalment o de totes dues formes.

• Per escrit: correu electrònic, correu postal, formulari web o qualsevol altre mitjà electrònic habilitat per a aquest efecte;

• Verbalment: mitjançant trucada, sistema de missatgeria de veu o directament davant del responsable del canal.

En el sector privat:

• Totes aquelles empreses que tinguin més de 50 empleats.

• Els partits polítics, els sindicats, les organitzacions empresarials i les fundacions creades per uns i altres, sempre que rebin o gestioni fons públics.

En el sector públic:

• Totes les administracions públiques (siguin territorials o institucionals);

• Tots els òrgans constitucionals i de rellevància constitucional, així com aquells esmentats als Estatuts d’Autonomia;

• Les autoritats independents o altres organismes que gestionin els serveis de la Seguretat Social;

• Les universitats, les societats i fundacions pertanyents al sector públic; i

• Les corporacions de Dret Públic.

• Accions o omissions que puguin constituir infraccions del Dret de la Unió Europea sempre que es compleixin els requisits definits a l’article 2.1.a) de la Llei 2/2023; i

• Accions o omissions que puguin ser constitutives d’infracció penal o administrativa greu o molt greu. Per exemple: l’incompliment de les normatives laborals i de seguretat social, la comissió de delictes fiscals o contra la Hisenda Pública, la comissió de delictes de corrupció, com la malversació de fons públics o els suborns, i la vulneració dels drets humans i llibertats fonamentals en l’àmbit laboral.

• Les persones que treballin en el sector privat o públic i que hagin obtingut informació sobre infraccions en un context laboral o professional. Per exemple: funcionaris; treballadors per compte d’altri; voluntaris; practicants; becaris; autònoms; accionistes; partícips; els membres de l’òrgan d’administració, direcció o supervisió d’una empresa i qualsevol persona que treballi per a o sota la supervisió i direcció de contractistes, subcontractistes o proveïdors.

• Les persones que hagin obtingut informació sobre infraccions en el marc d’una relació laboral o estatutària ja finalitzada o que encara no hagi començat, sempre que la informació hagi estat obtinguda durant el procés de selecció o de negociació precontractual.

Abans del 13 de juny de 2023:

• Les Administracions, organismes, empreses i altres entitats obligades a comptar amb un Sistema Intern d’Informació tenien un termini de 3 mesos a comptar des de l’entrada en vigor de la Llei Whistleblowing.

Abans  del 1 de desembre de 2023:

• Aquelles entitats del sector privat amb 249 treballadors o menys i els municipis de menys de 10.000 habitants gaudeixen d’un termini màxim estès que finalitzarà el pròxim 1 de desembre de 2023.

La Llei Whistleblowing i la normativa de protecció de dades, com el RGPD (Reglament General de Protecció de Dades) o la LOPDGDD (Llei Orgànica de Protecció de Dades Personals i Garantia dels Drets Digitals), es complementen de la següent manera:

• Confidencialitat i Protecció de la Identitat: la  Llei Whistleblowing estableix que la recepció i gestió de denúncies han de mantenir la confidencialitat en tot moment, tant abans com després de la seva recepció. A més, se centra a protegir la identitat dels informants o denunciants i d’aquells tercers que apareguin en la comunicació o denúncia.

• Consentiment exprés: la recopilació i el tractament de dades personals dels informants o denunciants només es poden dur a terme amb el seu consentiment explícit. És a dir, abans de recopilar qualsevol dada personal, s’ha d’obtenir el permís de la persona que fa la denúncia. A més, aquestes dades només es poden utilitzar amb finalitats específiques relacionades amb la investigació i seguiment de la denúncia.

• Informació sobre drets:  la normativa exigeix que s’informi els denunciants sobre els seus drets en relació amb el tractament de les seves dades personals i sobre com poden exercir aquests drets.

Si ens fixem en el preàmbul de la Llei Whistleblowing, veurem que es menciona que aquelles entitats obligades a implantar un Sistema Intern d’Informació també queden obligades a comptar amb un DPD. No obstant això, si consultem l’article 34 de la mateixa llei veurem que l’obligació de tenir un DPD no afecta totes les entitats que estan obligades a implantar un Sistema Intern d’Informació. En conseqüència, sembla que es tracta d’un error i que el més adequat hauria estat suprimir l’obligació general de nomenar un DPD continguda en el preàmbul d’aquesta llei.

En qualsevol cas, la designació d’un DPD en empreses del sector privat continua sent obligatòria quan aquestes empreses es trobin en algun dels supòsits definits a l’article 34 de la LOPDGG o a l’article 37.1 del RGPD.

Si després d’haver llegit aquesta entrada encara tens dubtes, visita el nostre web  o contacta amb nosaltres, podem ajudar-te a: 

• Habilitar un Sistema Intern d’Informació i els canals que el componen.

• Elaborar el Procediment de Gestió d’Informacions.

• Comunicar a l’Autoritat competent el nomenament, cessament o destitució del Responsable del Sistema Intern d’informació.

• Gestionar el teu Sistema Intern d’Informació.

Si aquesta entrada t’ha resultat útil, no deixis de seguir el nostre blog, en els pròxims dies publicarem una nova entrada en què explicarem:

• La diferència entre un Canal de Denúncies intern i extern.

• Com implementar i gestionar un Canal de Denúncies internes.

• Com nomenar un Responsable del Sistema Intern d’Informació.

• Com, quan i a qui s’ha de comunicar el nomenament o cessament del Responsable del Sistema.

• Com elaborar un procediment de gestió d’informacions.