Skip to content
SERVICIOS

Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción. A cargo de Daiana Lamela Scafarelli

Deja un comentario / AD+, ArtÍculos AD+, Otras ramas, Penal, Protección de datos / Por

AD+

Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y lucha contra la corrupción. 

En el artículo https://adefinitivas.com/ademas/sistema-interno-de-informacion-a-cargo-de-daiana-lamela-scafarelli/ hemos analizado el Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, pero tras el añadido de varias enmiendas, el pasado  20 de febrero se publicó en el BOE la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Su entrada en vigor será 20 días después de su publicación

El texto definitivo recoge las siguientes obligaciones:

Entidades obligadas a implementar un Sistema Interno de Información o canal de denuncias:

Sector privado: 

  • Empresas de 50 o más personas trabajadoras.
  • Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. 
  • Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.

Sector público:

  • Administraciones y entidades del sector público.

Ámbito material de aplicación:

  • La presente ley protege a las personas físicas que informen, a través de alguno de los procedimientos previstos en ella de: 

a) Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que:

1.º Entren dentro del ámbito de aplicación de los actos de la Unión Europea enumerados en el anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, con independencia de la calificación que de las mismas realice el ordenamiento jurídico interno;

2.º Afecten a los intereses financieros de la Unión Europea tal y como se contemplan en el artículo 325 del Tratado de Funcionamiento de la Unión Europea (TFUE); o

3.º Incidan en el mercado interior, tal y como se contempla en el artículo 26, apartado 2 del TFUE, incluidas las infracciones de las normas de la Unión Europea en materia de competencia y ayudas otorgadas por los Estados, así como las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades o con prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable al impuesto sobre sociedades.

b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social.

  • Esta protección no excluirá la aplicación de las normas relativas al proceso penal, incluyendo las diligencias de investigación.
  • La protección prevista en esta ley para las personas trabajadoras que informen sobre infracciones del Derecho laboral en materia de seguridad y salud en el trabajo, se entiende sin perjuicio de la establecida en su normativa específica.
  • La protección prevista en esta ley no será de aplicación a las informaciones que afecten a la información clasificada. Tampoco afectará a las obligaciones que resultan de la protección del secreto profesional de los profesionales de la medicina y de la abogacía, del deber de confidencialidad de las Fuerzas y Cuerpos de Seguridad en el ámbito de sus actuaciones, así como del secreto de las deliberaciones judiciales.
  • No se aplicarán las previsiones de esta ley a las informaciones relativas a infracciones en la tramitación de procedimientos de contratación que contengan información clasificada o que hayan sido declarados secretos o reservados, o aquellos cuya ejecución deba ir acompañada de medidas de seguridad especiales conforme a la legislación vigente, o en los que lo exija la protección de intereses esenciales para la seguridad del Estado.
  • En el supuesto de información o revelación pública de alguna de las infracciones a las que se refiere la parte II del anexo de la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, resultará de aplicación la normativa específica sobre comunicación de infracciones en dichas materias.      

Ámbito personal: 

  • La presente ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, comprendiendo en todo caso:

a) las personas que tengan la condición de empleados públicos y trabajadores por cuenta ajena;

b) los autónomos;

c) los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos;

d) cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.

  • La presente ley también se aplicará a los informantes que comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquéllos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
  • Las medidas de protección del informante previstas en el título VII de la ley también se aplicarán, en su caso, específicamente a los representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante.
  • Las medidas de protección del informante previstas en el título VII de la ley también se aplicarán, en su caso, a:

a) Personas físicas que, en el marco de la organización en la que preste servicios el informante asistan al mismo en el proceso.

b) Personas físicas que estén relacionadas con el informante y que puedan sufrir represalias, como compañeros de trabajo o familiares del informante, y 

c) Personas jurídicas, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa. A estos efectos, se entiende que la participación en el capital o en los derechos de voto correspondientes a acciones o participaciones es significativa cuando, por su proporción, permite a la persona que la posea tener capacidad de influencia en la persona jurídica participada. 

Requisitos del Sistema Interno de Información, entre otros:

  • Se deberá de consultar a la RLPT de la empresa de su implantación.
  • Permitir comunicar información sobre infracciones.
  • Estar diseñados, establecidos y gestionados de forma segura (confidencialidad).
  • Contar con un Responsable del Sistema en los términos previstos en el artículo 10 de la ley. 
  • Elaborar una Política o estrategia que enuncie los principios generales y sea debidamente publicitada en el seno de la entidad u organismo.
  • Elaborar un procedimiento de gestión de comunicaciones recibidas. 
  • Los canales internos deberán permitir la presentación y posterior tramitación de comunicaciones anónimas. 
  • En el procedimiento se deberá de incluir la necesidad de acuse de recibo (en el caso de que se identifique) para contabilizar el plazo de 7 días naturales desde su recepción, posibilidad de mantener comunicación con el informante, derechos del informante, duración de la instrucción (máximo tres meses, salvo algunos casos), etc. 
  • Libro registro de denuncias realizadas.

Gestión del sistema por tercero externo:

  • La gestión de los sistemas internos de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo.
  • La gestión del sistema por un tercero externo exigirá en todo caso que éste ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto.
  • La gestión del sistema interno de información por un tercero no podrá suponer un menoscabo de las garantías y requisitos que para dicho sistema establece la presente ley ni una atribución de la responsabilidad sobre el mismo en persona distinta del Responsable del Sistema.
  • El tercero externo que gestione el canal tendrá la consideración de encargado del tratamiento a efectos de la legislación sobre protección de datos personales.

*NOTAS: Entidades públicas con algunos requerimientos adicionales. 

Plazo máximo para el establecimiento de sistemas internos de información y adaptación de los ya existentes:

  • Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un sistema interno de informaciones deberán implantarlo en el plazo máximo de tres meses a partir de su entrada en vigor. 
  • Como excepción, en el caso de las entidades jurídicas del sector privado con menos de 249 trabajadores, el plazo previsto en el párrafo anterior se extenderá hasta el 1 de diciembre de 2023.

Régimen sancionador:

  • Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de hasta 10.000 euros por la comisión de infracciones leves; de 5.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
  • Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 euros en caso de infracciones muy graves
  • Adicionalmente, en el caso de infracciones muy graves, la Autoridad Independiente de Protección del Informante podrá acordar:

a) La amonestación pública.

b) La prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años.

c) La prohibición de contratar con el sector público durante un plazo máximo de tres años de conformidad con lo previsto en la Ley 9/2017 de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

  • Las sanciones por infracciones muy graves de cuantía igual o superior a 600.001 euros impuestas a entidades jurídicas podrán ser publicadas en el «Boletín Oficial del Estado», tras la firmeza de la resolución en vía administrativa. La publicación deberá contener, al menos, información sobre el tipo y naturaleza de la infracción y, en su caso, la identidad de las personas responsables de las mismas de acuerdo con la normativa en materia de protección de datos.

Como conclusión, para iniciar el proceso de implementación de un Sistema Interno de Denuncias, se deberán analizar las diferentes vías de comunicación que cumplan con los requisitos de seguridad y confidencialidad dispuestos por la ley. Si bien es cierto, que se ha eliminado la obligación de contar con un Delegado de Protección de Datos para todas las entidades obligadas a implementar un Sistema Interno de Información, se deberá de realizar el análisis de necesidad en materia de protección de datos para determinar su nombramiento dado el tratamiento de datos de carácter personal que podrá suponer dicho sistema. 

Asimismo, se deberá de facilitar la información a los informantes sobre el tratamiento de sus datos personales para cumplir con el deber de informar, llevar el registro de actividades actualizado, realizar análisis de riesgo y determinar las medidas tanto técnicas como organizativas necesarias. De ser gestionado por un externo, se deberá de tramitar el correspondiente contrato entre el Responsable y Encargado del Tratamiento. Es crucial realizar un análisis previo para elaborar una estrategia o política adecuada, así como un procedimiento seguro incluido los causes derivados de las infracciones informadas. 

Daiana Lamela Scafarelli 

27 de febrero de 2023

Fuentes: 

  • Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
  • REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Daiana Lamela Scafarelli

Socia en I+D Abogados

Nuevas Tecnologías/Privacidad/DPO

Miembro de la Asociación Profesional Española de Privacidad – APEP

dlamela@imasdabogados.es

https://www.imasdabogados.es/

 

 

 

Deja un comentario

A %d blogueros les gusta esto: