Ley Whistleblowing: Canal de Denuncias y Protección del Informante, lo que debes saber

El 13 de marzo de 2023, entró en vigor la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (de ahora en adelante la “Ley Whistleblowing”). Esta Ley se suele identificar usando los términos anglosajones whistleblowing -acto de usar el silbato para dar alerta- o whistleblower -persona que utiliza el silbato para dar alerta-, tal y como hacemos nosotros en el título de esta entrada.

Teniendo en cuenta que el próximo 1 de diciembre de 2023 vencerá el plazo para que determinadas entidades implanten un Sistema Interno de Información, en esta nueva entrada daremos respuesta a las siguientes preguntas: 

Esta ley tiene como finalidad principal fomentar la transparencia, ética y responsabilidad en las empresas y organismos públicos promoviendo una cultura de integridad y prevención de la corrupción. 

Para lograr este objetivo, esta ley establece un marco que, por un lado, obliga a determinadas entidades a implementar un Sistema Interno de Información que permita denunciar infracciones penales o administrativas y, por otro lado, protege a aquellas personas que se atrevan a denunciar dichas infracciones en un contexto laboral o profesional.

El término “Sistema Interno de Información” se refiere a un conjunto de elementos que permiten recibir comunicaciones o denuncias sobre posibles delitos o irregularidades administrativas. 

Todo Sistema Interno de Información consta de tres componentes esenciales:

• Canal Interno de Información: el buzón o cauce que permite la recepción de la información, comunicaciones o denuncias. También conocido como Canal de Denuncias; 

• Responsable del Sistema: la persona física encargada de gestionar el Sistema Interno de Información de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo. 

• Procedimiento de gestión de informaciones: el documento donde se establecen las reglas que rigen el funcionamiento del Sistema Interno de Información, respetando el contenido mínimo y principios que marca la Ley Whistleblowing. 

El Sistema Interno de Información debe reunir unos requisitos mínimos, entre otros, su uso debe ser asequible, debe garantizar la confidencialidad de las comunicaciones o denuncias y preservar la identidad del informante o denunciante y de cualquier tercero mencionado en la comunicación o denuncia, debe recoger las prácticas correctas de seguimiento, investigación y protección del informante y debe contar un Responsable del Sistema.

Adicionalmente, el Sistema Interno de Información debe contar con un Canal de Denuncias o Canal Interno que permita que se realicen comunicaciones o denuncias por escrito, verbalmente o de ambas formas. 

• Por escrito: correo electrónico, correo postal formulario web o cualquier otro medio electrónico habilitado para tal efecto;

• Verbalmente: mediante llamada, sistema de mensajería por voz o directamente ante el responsable del canal. 

En el sector público:

• Todas las Administraciones Públicas (sean territoriales o institucionales);

• Todos los órganos constitucionales y de relevancia constitucional, así como aquellos mencionados en los Estatutos de Autonomía;

• Las autoridades independientes u otros organismos que gestionen los servicios de la Seguridad Social;

• Las universidades, las sociedades y fundaciones pertenecientes al sector público; 

• Las corporaciones de Derecho Público.

• Acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que se cumplan los requisitos definidos en el artículo 2.1.a) de la Ley 2/2023; y

• Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. Por ejemplo: el incumplimiento de las normativas laborales y de seguridad social, la comisión de delitos fiscales o contra la Hacienda Pública, la comisión de delitos de corrupción, como la malversación de fondos públicos o el cohecho y la vulneración de los derechos humanos y libertades fundamentales en el ámbito laboral.

• Las personas que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. Por ejemplo: funcionarios; trabajadores por cuenta ajena; voluntarios; practicantes; becarios; autónomos; accionistas; partícipes; los miembros del órgano de administración, dirección o supervisión de una empresa y cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas o proveedores.

• Las personas que hayan obtenido información sobre infracciones en el marco de una relación laboral o estatutaria ya finalizada o que todavía no haya comenzado, siempre y cuando la información haya sido obtenida durante el proceso de selección o de negociación precontractual. 

Antes del 13 de junio de 2023:

• Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un Sistema Interno de Información tenían un plazo de 3 meses a contar desde la Entrada en vigor de la Ley Whistleblowing.

Antes del 1 de diciembre de 2023:

• Aquellas entidades del sector privado con 249 trabajadores o menos y los municipios de menos de 10.000 habitantes gozan de un plazo máximo extendido que finalizará el próximo 1 de diciembre de 2023. 

La Ley Whistleblowing y la normativa de protección de datos, como el RGPD (Reglamento General de Protección de Datos) o la LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales), van de la mano y se complementan de la siguiente manera:

Confidencialidad y Protección de la Identidad: la Ley Whistleblowing establece que la recepción y gestión de denuncias deben mantener la confidencialidad en todo momento, tanto antes como después de su recepción. Además, se enfoca en proteger la identidad de los informantes o denunciantes, así como la de aquellos terceros que aparezcan en la comunicación o denuncia.

Consentimiento expreso: la recopilación y el tratamiento de datos personales de los informantes o denunciantes solo pueden llevarse a cabo con su consentimiento explícito. Es decir, antes de recopilar cualquier dato personal, se debe obtener el permiso de la persona que realiza la denuncia. Además, estos datos solo pueden utilizarse con fines específicos relacionados con la investigación y seguimiento de la denuncia.

Información sobre derechos: la normativa exige que se informe a los denunciantes sobre sus derechos en relación con el tratamiento de sus datos personales y sobre cómo pueden ejercer estos derechos.

Si nos fijamos en el preámbulo de la Ley Whisthleblowing veremos que se menciona que aquellas entidades obligadas a implantar un Sistema Interno de Información también quedan obligadas a contar con un DPD. Sin embargo, si consultamos el artículo 34 de la misma ley veremos que la obligación de contar con un DPD no afecta a todas las entidades que están obligadas a implantar un Sistema Interno de Información. En consecuencia, pereciera que se trata de un error y que lo más adecuado hubiera sido suprimir la obligación general de nombrar un DPD contenida en el preámbulo de esta ley. 

En cualquier caso, la designación de un DPD en empresas del sector privado sigue siendo obligatoria cuando estas empresas se hallen en alguno de los supuestos definidos en el artículo 34 de la LOPDGG o en el artículo 37.1 del RGPD.

Si todavía tienes dudas, visita nuestro sitio web o contacta con nosotros, podemos ayudarte a:

• Habilitar un Sistema Interno de Información y los canales que lo componen.

• Elaborar el Procedimiento de Gestión de Informaciones.

• Comunicar a la Autoridad competente el nombramiento, cese o destitución del Responsable del Sistema Interno de información. 

• Gestionar tu Sistema Interno de Información.

Si esta entrada te ha resultado útil, nos dejes de seguir nuestro blog en los próximos días publicaremos una nueva entrada en la que explicaremos: