Canales de denuncia: necesidad real y no sólo imposición legal

Revolucionar y también evolucionar. Un aspecto no conlleva necesariamente el otro. La Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, vigente desde el pasado 13 de marzo, traspone en nuestro ordenamiento jurídico la Directiva 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre, relativa a la protección de las personas que informen sobre infracciones del derecho de la Unión, y obliga a las empresas a contar con canales internos de información.

Ya es obligatorio para empresas de más de 250 empleados y ayuntamientos de más de 10.000 empleados desde el pasado 13 de junio. El próximo 1 de diciembre llega el siguiente tramo: empresas de más de 50 empleados y ayuntamientos de menos de 10.000 habitantes. Muchas exigencias legales y pocos recursos materiales para ello. No será fácil, pero sí muy necesario.

No podemos obviar que la Ley 2/2023, de 20 de febrero, es de aplicación a todos los informantes que trabajen en el sector privado o público y que hayan obtenido información veraz sobre posibles infracciones dentro del contexto laboral o profesional, en un sentido muy amplio. De este modo, su entrada en vigor ha supuesto un hito importante en la rama social del derecho y esperamos que un cambio de cultura en el seno de las organizaciones empresariales.

Esta Ley contiene un amplio y detallado régimen sancionador que contempla multas que oscilan entre los 1.001 y los 300.000 euros para las personas físicas y entre los 100.000 y un millón euros, para las personas jurídicas, en caso de infracciones muy graves. Además en el caso de las infracciones muy graves al autoridad, podrá acordar, y nos parece importante señalarlo, la amonestación pública, la prohibición de obtener subvenciones u otros beneficios fiscales durante un periodo de hasta cuatro años así como la prohibición de contratar con el sector público durante un plazo máximo de tres años.

Si lo relacionamos con el hecho de que las personas jurídicas del sector privado que tengan contratados más de 250 trabajadores ya están obligadas a disponer de un sistema interno de información, tenemos el contexto perfecto para que el compliance laboral despliegue sus extensos efectos y, de esta manera, el riesgo reputacional en el seno de las empresas sea una realidad que se deba prevenir.

Para gestionar estos riesgos existen tres sistemas claves: líneas de defensa (ISO 37301), sistemas integrados de gestión, y el estado de información no financiera (se incluye aquí el control general de tecnologías de la información conforme a la Ley Seguridad Servicios de la Información y el reglamento europeo 881 de 17 de abril de 2019).

No podemos esperar al riesgo. No hay tiempo. Seamos valerosos, vayamos a él, afrontemos problemas sin confrontar personas. Para ello, todo ataque conlleva una táctica y una estrategia. Lo resumo en las tres "p": personas, proyectos y procedimientos. En otras palabras: talento, hábito y método. Ello conlleva un realizar un objetivo análisis DAFO (debilidades, amenazas, fortalezas y oportunidades).

Por lo general, los principales riesgos corporativos que viene afrontando nuestro tejido empresarial pueden resumirse, con los respectivos matices que cada sector y empresa siempre requieren, en los siguientes: compliance penal, mercantil y laboral; ciberseguridad (mapeo actualizado de riesgos digitales diarios que puedan conllevar en una posible brecha de seguridad en caso de ciberataque); sostenibilidad y criterios ESG; responsabilidad social corporativa; protección de datos, gestión de personas y promociones internas, así como riesgos financieros inherentes a compras y ventas (formas de pago, tipo de moneda, y gestión de transparencia de la cadena de todos los proveedores).

Eso sí, lo más importante es que sean, realmente, sistemas integrados e integradores dentro de la organización. En definitiva, empresas con un mismo comportamiento sin compartimentos. Todo un reto, personal y empresarial. Una vez realizado dicho análisis, procede una objetiva evaluación de impacto, principalmente en tres áreas: gobernanza, auditoría y cumplimiento normativo.

La finalidad, por lo tanto, de esta norma es otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones, cometidas en el seno de las empresas, a través de los procedimientos previstos en la misma. A su vez, tiene como finalidad el necesario fortalecimiento de la cultura de la información, de las infraestructuras de integridad de las organizaciones como mecanismo para prevenir y detectar amenazas al interés público.

En definitiva, nos toca hacer de la adversidad una gran oportunidad. Un pasado de Historia. Forjemos un futuro de gloria. Revolucionar para evolucionar.

Concepción Morales Vállez, magistrada suplente del Tribunal Superior de Justicia de Madrid (Sala de lo Social) y Pedro Fdez-Villamea Alemán, responsable de legal & compliance del Grupo Gees Spain.