La nueva Directiva de la UE sobre protección de denunciantes: la perspectiva española
Las entidades jurídicas privadas con 50 o más empleados deberán establecer canales de alertas seguros
Hasta el 16 de diciembre de 2021, los Estados miembros de la UE tendrán que cumplir con las normas mínimas previstas en la Directiva sobre la protección de las personas que informan sobre infracciones de la legislación de la Unión (Directiva). Este artículo ofrece una perspectiva española sobre la nueva Directiva.
¿De qué trata la Directiva?
La Directiva tiene como objetivo proteger a los whistleblowers en toda la UE que informan sobre una serie de conductas indebidas de las que toman conciencia en su lugar de trabajo. La Directiva establece requisitos específicos en relación con los canales de whistleblowing. Crea normas relativas a la confidencialidad de la identidad del whistleblowers, los tiempos de respuesta de los destinatarios de las alertas, el seguimiento, la comunicación, el cumplimiento de la normativa sobre protección de datos y el mantenimiento de registros.
Uso problemático del término denunciante
Este artículo utiliza el término whistleblower, en lugar de denunciante, por una razón. El término denunciante está definido en disposiciones legales, como el Real Decreto de 14 de septiembre de 1882, aprobatorio de la Ley de Enjuiciamiento Criminal y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. El uso del término legal denunciante limita la aplicación de la Directiva de protección de whistleblowers a nivel nacional, contradiciendo su principal intención de proteger a los whistleblowers independientemente de la infracción de la que estén informando, por ejemplo, permitiéndoles permanecer en el anonimato. Alertador podría ser un término español más adecuado.
Denuncia anónima
Históricamente, las alertas anónimas no fueron bien vistas por las autoridades. La Agencia Española de Protección de Datos (AEPD) solía afirmar explícitamente que "para garantizar la exactitud de la información deberían establecerse mecanismos que garanticen únicamente la aceptación de las denuncias en que el denunciante aparezca claramente identificado, no siendo adecuado establecer sistemas de denuncias anónimas". También la AEPD afirmó que: "debería partirse del establecimiento de procedimientos que garanticen el tratamiento confidencial de las denuncias presentadas a través de los sistemas de whistleblowing, de forma que se evite la existencia de denuncias anónimas ".
Normas mínimas para la protección de los 'whistleblowers'
La Directiva establece normas mínimas para garantizar una protección eficaz de los whistleblowers. En lo que respecta a la alerta de irregularidades y al seguimiento interno, la Directiva establece que se deben incluir los siguientes elementos:
- Canales para la recepción de los informes, que se diseñan, establecen y operan de forma segura, que garanticen la confidencialidad de la identidad del whistleblowers y de cualquier tercero mencionado en el informe, y que impidan el acceso a los miembros del personal no autorizados. Dichos canales deben permitir por escrito u oralmente, o ambos. La alerta oral será posible por teléfono o a través de otros sistemas de mensajería de voz y, a petición del whistleblowers, mediante una reunión física dentro de un plazo razonable;
- Un acuse de recibo del informe al whistleblowers en un plazo no superior a siete días a partir de su recepción;
- La designación de una persona o departamento imparcial competente para el seguimiento de los informes que mantendrá la comunicación con el whistleblower y, cuando sea necesario, solicitará más información y le proporcionará retroalimentación;
- El seguimiento diligente del informe por parte de la persona o departamento designado;
- Seguimiento diligente de la alerta anónima cuando así lo disponga la legislación nacional;
- Un plazo razonable para proporcionar retroalimentación, no superior a tres meses a partir del acuse de recibo o, si no se envió un acuse de recibo a la persona que presenta el informe, tres meses a partir de la expiración del período de siete días después de que se haya presentado el informe;
- Suministro de información clara y de fácil acceso sobre los procedimientos para reportar externamente a las autoridades competentes.
¿Cuales organizaciones están cubiertas?
La Directiva establece que todas las entidades jurídicas privadas con 50 o más empleados deberán establecer canales de alertas seguros. Además, las empresas que operan en áreas específicas como servicios, productos y mercados financieros y las empresas que son vulnerables al blanqueo de capitales o a la financiación del terrorismo también tendrán que cumplir, independientemente del número de personas que empleen. Lo mismo se aplica a todas las entidades jurídicas públicas, con algunas posibles excepciones para los municipios más pequeños y las entidades públicas.
Jan Tadeusz Stappers, asesor legal de WhistleB.