Canales de denuncias, un nuevo quebradero de cabeza para las organizaciones

El pasado 21 de febrero  se publicó en el Boletín Oficial del Estado (BOE) la Ley 2/2023, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Este texto, que entró en vigor el 13 de marzo, será de obligado cumplimiento a partir de junio para las organizaciones con más de 250 trabajadores. Mientras que, por su parte, las medianas empresas, con plantillas entre los 50 y los 249 trabajadores, tendrán hasta el 1 de diciembre de 2023 para implementar el precitado canal de denuncias.

Esta norma, que, como ya comentábamos, trae causa de la Directiva de Whistleblowing, presenta grandes retos para los departamentos de Compliance y de Protección de Datos, quienes, con objeto de dar cumplimiento a la Ley 2/2023, deberán realizar una revisión y reformulación de los procedimientos internos.

Bajo mi punto de vista, considero que lo más relevante de esta ley, y donde las empresas deberán poner el foco para la correcta implementación de un canal de denuncias, es en el establecimiento de un órgano de administración o de gobierno, pues será el responsable directo de la correcta implantación del sistema y, a su vez, designará a un encargado del sistema de información interno. Esta segunda figura deberá ejercer su cargo de forma independiente y tratando en todo caso de evitar posibles situaciones de conflicto de interés. Cierto es que la norma habla también de autonomía de este responsable, pero no debemos olvidar que deberá rendir cuentas a la organización, mientras que, si fuese realmente independiente, no lo tendría que hacer.

Del mismo modo, las empresas deberán, ya sea de forma interna o externa, garantizar que el canal sea fácilmente accesible y que proporcione instrucciones claras sobre su uso. Además, deberán asegurar la confidencialidad de las comunicaciones emitidas a través de dicho canal; la preservación de la identidad del informante y de las personas afectadas; permitir la presentación de comunicaciones por escrito, de manera verbal, o por ambos medios, así como la presentación de comunicaciones anónimas en los casos que fuera necesario. En última instancia, deberán establecer también un sistema de gestión independiente que permita un trato diligente de la información en relación con los plazos y comunicaciones establecidas en la ley.

En lo que respecta a los plazos, las organizaciones deberán velar porque se cumpla un acuse de recibo de las comunicaciones en un plazo máximo de siete días. El plazo para finalizar las actuaciones de instrucción y dar respuesta al informante, en su caso, no podrá ser superior a tres meses desde la entrada en registro de la información.

Tampoco resulta certero que el legislador, cuando limita el periodo de instrucción a tres meses, o seis cuando existan, por ejemplo, razones de complejidad, no incluya la posibilidad de suspender u ampliar este periodo. En la práctica, ya sea por la necesidad de recabar pruebas, subsanar documentación enviada por el informante o por las dificultades de entrevistar al denunciante, estos procesos tienden a prolongarse, a veces, más de un año, como bien saben los departamentos de forensic encargados de investigaciones complejas.

Esto podría afectar a la investigación y a su propia validez. De hecho, voces autorizadas como la de Manuel Marchena, magistrado del Tribunal Supremo, han expuesto su preocupación por no establecerse en la norma un procedimiento o una regulación de las investigaciones internas. Se trata de algo de lo que, de momento, nuestro ordenamiento está huérfano.

Merece también especial mención el régimen específico en materia de protección de datos personales. La Ley 2/2023 modifica el artículo 24 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y, a partir de ahora, los tratamientos de datos personales en el contexto de los sistemas de información se regirán por lo establecido en la propia Ley de Protección del Informante y no por la Ley Orgánica 3/2018.

Por último, respecto al régimen sancionador, la ley autoriza la creación de la Autoridad Independiente de Protección del Informante que, junto al organismo homónimo en el ámbito autonómico, será la autoridad sancionadora que ostentará la potestad sancionadora. En este sentido, cabe destacar que la norma contiene un régimen sancionador preciso que, con objeto de proteger al informante y evitar represalias frente a éste, detalla pormenorizadamente las posibles infracciones en muy graves, graves y leves.

Así, según la infracción cometida, podrán imponerse sanciones que, en el caso de las personas jurídicas, oscilan entre los 100.000 y los 1.000.000 euros. En el caso de las físicas, van de los 1.001 euros a los 300.000. Razón por la que resulta fundamental contar con un sistema interno de información eficaz, que garantice la protección del informante y la gestión, tramitación y comunicaciones, según establece la referida Ley 2/2023. En definitiva, la norma establece un marco de protección para los informantes y su entorno, confiriéndoles un blindaje jurídico y estableciendo prohibiciones claras a las organizaciones de arremeter contra ellos.

Alba Rodríguez, abogada de Círculo Legal Madrid