Canal de denuncias: el paso más firme en la protección del denunciante
La ley, que entrará en vigor durante la primera quincena de marzo, pretende reforzar la cultura de la integridad en las organizaciones
El pasado jueves 16 de febrero el Congreso de los Diputados aprobó la ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone definitivamente la directiva de la Unión Europea sobre Whistleblowing.
La ley, que entrará en vigor durante la primera quincena de marzo, tiene un doble objetivo. Por un lado, proteger a las personas que comuniquen incidencias que pudieran constituir una infracción penal o administrativa grave o muy grave o que afecten a los intereses de la Unión Europea. Por otro lado, pretende reforzar la cultura de la integridad en las organizaciones, dando garantías para las comunicaciones e informaciones en su contra.
Durante su desarrollo genera en los órganos de administración o gobierno la obligación de implantar un sistema interno de información cuando haya contratados más de 50 trabajadores en el sector privado y, de manera más general, en el sector público. Este sistema, que podrá ser gestionado interna o externamente, deberá permitir de manera segura las comunicaciones verbales, por escrito e, incluso, presenciales. Para su gestión, el texto recoge la necesidad de contar con un responsable del sistema, una política o estrategia debidamente comunicada o un procedimiento de gestión de las informaciones recibidas.
Para el nombramiento del responsable del sistema, la propia ley parece señalar a los actuales responsables de cumplimiento e integridad de las organizaciones cuando cita los requisitos de autonomía, independencia y disposición de un rol directivo en la organización. Además, matiza que, aunque sea un órgano colegiado, igualmente deberá identificarse a una sola persona para la gestión del sistema interno y la tramitación del expediente de investigación. El alta o cese de alguna de estas personas deberá ser notificada a la autoridad independiente de protección del informante.
Para su gestión, enuncia los principios sobre cómo han de ser los canales internos de información desde el punto de vista de la accesibilidad, garantías y plazos. Además, en el caso de haber varios canales distintos, deberán integrarse y, en todo caso, deberán recoger la información de otros cauces externos oficiales para la comunicación de la incidencia. El procedimiento de gestión de informaciones requerido contendrá la identificación de canales internos y externos, los plazos de gestión, la garantía de confidencialidad y el respeto a la presunción de inocencia, así como la protección de datos personales, hasta el punto de la necesidad de un delegado de protección de datos para la gestión de este riesgo, aunque la organización no requiriera de esta figura fuera de este entorno.
Desde el Ministerio de Justicia se crea la autoridad independiente de protección del informante, organismo al que las distintas organizaciones reportarán la actividad de su sistema interno de información y que, a su vez, dispondrá de un canal externo donde toda persona podrá informar directamente bajo un procedimiento público de gestión con derechos y garantías concretas donde se recogen los trámites de admisión, instrucción y terminación de las actuaciones. La suma de estos tiempos no podrá exceder los tres meses desde su registro.
Todos los sujetos obligados por esta ley deberán informar de forma clara y fácilmente accesible del uso del canal y procedimiento de gestión en su página web, en caso de tenerla, en una sección separada de su página de inicio e, igualmente, deberán contar con un libro-registro que recoja las comunicaciones y actuaciones, garantizando siempre los requisitos de confidencialidad y que únicamente la autoridad judicial pueda acceder total o parcialmente a su contenido. Su archivo no podrá exceder los diez años.
La autoridad independiente de protección del informante tendrá potestad sancionadora y las multas podrán llegar hasta los 300.000 euros en el caso de personas físicas y al millón de euros en el caso de las personas jurídicas. Además hay otras sanciones, como la prohibición de contratar con el sector público hasta tres años o la prohibición de recibir subvenciones o beneficios fiscales.
Nos encontramos, por lo tanto, con un 2023 en el que las organizaciones tendrán que trabajar en adecuarse a estos requerimientos. Para las organizaciones de menos de 250 trabajadores, el plazo se extenderá hasta finales de año. Desde el Ministerio de Justicia se tendrá que crear toda la estructura para la autoridad independiente de protección al informante y desde el Gobierno se han dado un plazo de 18 meses para hacer partícipes a las comunidades autónomas que quieran tomar parte en estas funciones delegadas.
Eduardo Navarro, consejero ejecutivo de Becompliance y vicepresidente de la Asociación de Profesionales de Cumplimiento Normativo (CUMPLEN)