Skip to content
SERVICIOS

Los Informantes Ya No Lloran, Los Informantes Denuncian. A cargo de Iciar López-Vidriero Tejedor

Deja un comentario / Árbol del derecho, Protección de datos, Revista seriada / Por

AD 9/2023

LOS INFORMANTES YA NO LLORAN, LOS INFORMANTES DENUNCIAN

RESUMEN

A través del presente artículo ofrezco unas pinceladas de la reciente publicación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que no entrará en vigor hasta el 14 de marzo , donde se exponen de manera resumida las obligaciones y novedades que nos ofrece esta nueva Ley que obliga a todas las empresas con más de 50 trabajadores y a todas las entidades que integran el sector público, sin excepción, a la implantación de un canal de denuncias interno. Además se creará el Sistema externo de denuncias. 

 

SUMMARY 

In this article I offer a brief outline of the recent publication of Law 2/2023, of 20 February, regulating the protection of persons, which will not come into force until 14 March, summarising the obligations and novelties offered by this new Law, which obliges all companies with more than 50 employees and all public sector entities, without exception, to implement an internal complaints channel. In addition, an external complaints system will be created.

PALABRAS CLAVE: 

Informante – oposición – acceso- canal de denuncias – sistema interno – sistema externo – chivato – confidencialidad – anónimo – delegado de protección de datos – 

KEY WORDS

whistleblower – opposition – access – whistleblower channel – internal system – external system – whistleblower – confidentiality – anonymous – data protection officer – data protection officer

Con fecha 20 de febrero, se ha publicado en el BOE la esperada Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas para dar cumplimiento, aunque con retraso, a la Directiva europea DIRECTIVA (UE) 2019/1937 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión que afecta a los denominados modelos de compliance (responsabilidad penal de las personas jurídicas) y a las líneas de defensa y, especialmente, como control preventivo o detectivo a los riesgos.  

¿Informante o denunciante?

A través de esta Ley se busca regular aspectos mínimos que han de satisfacer los distintos cauces de información a través de los cuales una persona física que sea conocedora en un contexto laboral de una infracción del Derecho de la Unión Europea, pueda dar a conocer la existencia de la misma. Llamando la atención que en España se ha elegido utilizar el término  “informante” para las personas que informen sobre las infracciones, en vez del término “denunciante. Considero que se ha usado esta expresión para evitar la asimilación con el “chivato”, término ya usado en el mundo anglosajón “whistleblowers”, intentando tender así una mano nuestro legislador a la necesidad de colaboración ciudadana para la comunicación de irregularidades, ensalzando así su utilidad pública contra la corrupción.

¿La admisión de la denuncia anónima es una novedad? 

Con respecto a los canales de denuncias y la admisión de las denuncias anónimas, está claro que no es algo novedoso, puesto que formaba parte de algunas regulaciones sectoriales, sobre todo en el ámbito financiero y de defensa de la competencia ya tenían incorporados instrumentos específicos para la comunicación de actuaciones irregulares y/o ilegales, en este sentido cabe destacar la Convención de las Naciones Unidad (2003), la Decisión de 25 de septiembre de 2008 del Consejo de la Unión Europea, ambas contra la corrupción, así como el Dictamen 1/2006 del Grupo de Trabajo del artículo 29 (GT29) que establecía la posibilidad de recibir y tramitar denuncias anónimas en determinadas circunstancias. En España tampoco nos ha pillado de sorpresa la posibilidad de la denuncia anónima puesto que ya estaba contemplada en nuestra Ley 10/2010 de prevención de blanqueo de capitales y financiación del terrorismo, así como en nuestra Ley 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Objetivos de la Ley

Esta Ley busca dos claros objetivos:

  1. Proteger a los informantes. En este sentido se busca proteger a las personas que en un contexto laboral o profesional (tanto ámbito privado, como público incluyéndose a autónomos, accionistas y cualquier persona que trabaje bajo la supervisión de un contratista, subcontratista y/o proveedor) que detecten infracciones penales o administrativas graves o muy graves y/o infracciones del derecho de la Unión Europea y que afecten a los intereses financieros. 
  2. Establecer normas mínimas de los canales de información.

Sistemas de denuncias y quienes están obligados a implantarlos.

Se prevén dos sistemas de información de denuncias para dar mayor protección al informante, siendo el sistema externo complementario al interno y, por tanto pudiéndose usar ambos procedimientos. Por tanto, se puede decir que el Sistema externo nace de la necesidad de evitar represalias contra el informante, ofreciendo así garantías de independencia y autonomía.

  1. Sistema interno.  Sistema interno de información debería utilizarse de manera preferente para canalizar la información si bien el informante puede elegir el cauce a seguir, interno o externo, según las circunstancias y los riesgos de represalias que considere. ¿Quiénes están obligados?  
    • Todas las empresas con más de 50 trabajadores. Deberán implantar un Sistema interno de denuncias.
    • Las empresas que tengan entre 50 y 250 trabajadores. Podrán compartir medios y recursos para la gestión de informaciones que reciban, quedando siempre clara la existencia de canales propios de cada empresa.
    • Los grupos de sociedades, la sociedad dominante aprobará una política general relativa al Sistema interno de información.
    • Todos los partidos políticos, sindicatos, organizaciones empresariales, así como fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación.
    • Todas las Administraciones públicas, ya sean territoriales o institucionales, las autoridades independientes u otros organismos que gestionan los servicios de la Seguridad Social, las universidades, las sociedades y fundaciones pertenecientes al sector público, así como las corporaciones de Derecho Público.
    • Los órganos constitucionales y de relevancia constitucional, así como los mencionados en los Estatutos de Autonomía.
    • Municipios con menos de 10.000 habitantes. Al igual que sucede con el sector privado que se le ofrece la posibilidad de compartir medios y recursos, igual sucede con los Municipios de menos de 10.000 habitantes que podrán compartir medios para la recepción de informaciones con otras Administraciones que ejerzan sus competencias en la misma comunidad autónoma.  
  2. Sistema externo. Con la finalidad de dotar de independencia y autonomía e la recepción y tratamiento de la información sobre infracciones, se impone la creación de establecer un sistema de comunicación externa adecuado y, por tanto garantizar así la exhaustividad, integridad y confidencialidad de la información, impidiendo el acceso no autorizado de personal. La llevanza de este canal corresponderá a la Autoridad Independiente de Protección del Informante –A.A.I-, estando previsto que en el plazo máximo de un año (11 de marzo de 2024) el Consejo de Ministros apruebe mediante real decreto, el Estatuto de la Autoridad Independiente de Protección del Informante, A.A.I., en el que se establecerán las disposiciones oportunas sobre organización, estructura, funcionamiento, así como todos los aspectos que sean necesarios para el cumplimiento de las funciones asignadas. Este Sistema externo no resulta tampoco una herramienta novedosa, si tenemos en cuenta que ya que Cataluña, Valenciana, Islas Baleares, Navarra, Principado de Asturias y Andalucía ya habían abordado la protección de los denunciantes, si bien a través de una regulación parcial y centrada fundamentalmente en prevenir e investigar usos fraudulentos de fondos públicos principalmente.

Tanto el Sistema interno como el externo deberán ser accesibles y en el caso que el sujeto obligado cuente con página web tendrá que incluirlo en la página de  inicio, en una sección separada y fácilmente identificable. En el caso de canales internos de administraciones públicas deberán ser accesibles a través de su sede electrónica, incluyendo los datos de contacto de la Autoridad Independiente de Protección del Informante, A.A.I. o de la autoridad u organismo competente de que se trate.

Procedimiento para el canal de denuncias

El Sistema de denuncias podrá ser:

  • Escrito, ya sea vía postal, mail o cualquier otro medio electrónico habilitado al efecto.
  • Verbal, por vía telefónica o a través de sistema de mensajería de voz. Las comunicaciones verbales serán grabadas y deberá informarse previamente.
  • Reunión presencial. En el caso del Sistema externo se podrá realizar solicitando una reunión presencial ante el AAI. 

El procedimiento en el caso del Sistema interno será el siguiente:

  • Se presenta la denuncia. 
  • Envío de acuse de recibo de la comunicación al informante, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación.
  • Se decide sobre su admisión a trámite.
  • Si se inadmite debe argumentarse.
  • Si se admite a trámite comienza la fase de instrucción que culmina con la emisión de un informe, pudiéndose acordar el archivo o el inicio del procedimiento sancionador. La fase de instrucción tendrá un plazo de 3 meses pudiéndose ampliar a otros 3 más en casos excepcionales. 

Plazos para la creación de los Sistemas de denuncias.

  • Sistemas de denuncias internos.
      • El 14 de junio será el plazo máximo para que entidades privadas (de más de 50 trabajadores) y públicas tengan implantado su Sistema interno de denuncias.
      • El 1 de diciembre de 2023 será el plazo máximo. En el caso de empresas que tengan entre 50 y 249 empleados, así como Municipios de menos de 10.000 habitantes, se les ofrece un plazo superior para la implantación del Sistema interno de denuncias.
  • Sistemas de denuncias externos.
      • El 14 de septiembre será el plazo máximo para la adaptación de los canales y procedimientos de información externa que se regirán por su normativa específica resultando de aplicación las disposiciones de esta ley en aquellos aspectos en los que no se adecúen a la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019. 

Figuras de cumplimiento

Bueno, pues aquí volvemos con mi ya recurrido camarote de los hermanos Marx porque seguimos añadiendo figuras de cumplimiento a través de esta Ley.

  • Por un lado tenemos al Responsable del Sistema interno de información que debe ser independiente y deberá notificarse su nombramiento a la Autoridad Independiente de Protección del Informante, A.A.I., o, en su caso, a las autoridades u órganos competentes de las comunidades autónomas, en el ámbito de sus respectivas competencias. Será el órgano de administración u órgano de gobierno de cada entidad el competente para la designación de la persona física u órgano colegiado responsable de la gestión del Sistema interno. El Responsable del Sistema podrá ser:
    • En el caso del sector privado, entidad en quien el órgano colegiado responsable haya delegado sus funciones, será un directivo de la entidad, que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma. 
    • Cuando la naturaleza o la dimensión de las actividades de la entidad no justifiquen o permitan la existencia de un directivo Responsable del Sistema, será posible el desempeño ordinario de las funciones del puesto o cargo con las de Responsable del Sistema, tratando en todo caso de evitar posibles situaciones de conflicto de interés. 
    • En las entidades u organismos en que ya existiera una persona responsable de cumplimiento normativo o de políticas de integridad, cualquiera que fuese su denominación, podrá ser esta la persona designada como Responsable del Sistema.
  • Por otro lado viene la imposición de Designación del Delegado de Protección de Datos , si bien aquí no es muy claro el texto normativo, ya que si bien en el preámbulo indica que la obligación de designación de la figura del Delegado de Protección de Datos es para todas las empresas que estén obligadas a implantar un Sistema de denuncias, a posteriori en el Título VI dedicado a Protección de Datos sólo menciona la obligación de designación de DPO a las AAI así como a las autoridades independientes que en su caso se constituyan. Por tanto, aquí nos encontramos con un dilema interesante, metemos a todos en el saco?? Sólo a los que se indican en el Título VI? To be or not to be, that´s the question

Por tanto, si atendemos al Tribunal Constitucional no deberíamos hacer caso al contenido del preámbulo porque los preámbulos no tienen valor normativo y no pueden ser objeto de inconstitucionalidad y, llegados a este punto, a qué juega el legislador, al despiste? No podían haberse hecho mejor las cosas y omitir la frase del preámbulo y así simplificarnos a todos el trabajo?

LA FRASE DE MARRAS

“Por otra parte, se exige que las entidades obligadas a disponer de un Sistema interno de información, los terceros externos que en su caso lo gestionen y la Autoridad Independiente de Protección de Datos, A.A.I. así como las que en su caso se constituyan, cuenten con un delegado de protección de datos”

Afectación en materia de protección de datos

Esta Ley tiene un título propio en materia de protección de datos personales, el Título VI que a continuación resumo en breves líneas:

    • Licitud para el tratamiento de los datos: Sólo podrán usarse como bases de legitimación:
      • Obligación legal cuando el sistema de denuncia sea obligatorio.
      • En base a un interés público o en el ejercicio de poderes públicos  cuando el sistema de denuncia no sea obligatorio o el tratamiento se lleve a cabo en el ámbito de la revelación pública.
  • Deber de información. Se debe cumplir con el deber de información cuando los datos se obtengan directamente de los interesados. Los empleados y terceros deberán ser informados acerca del tratamiento de datos personales en el marco de Sistemas de información.
  • Categorías de datos especiales. Se podrán tratar en base a un interés público esencial.
  • Derecho de oposición. En el caso que la persona investigada ejerza su derecho de oposición se entiende que existen motivos legítimos imperiosos que legitiman continuar con el tratamiento en base al art. 21.1 RGPD.
  • Derecho de acceso. El dato de identidad del informante nunca será objeto del derecho de acceso a datos personales y se limita la posibilidad de comunicación de dicha identidad sólo a la autoridad judicial, Ministerio Fiscal o la autoridad administrativa competente exigiendo que en todo caso se impida el acceso a terceros a la misma.
  • Sólo podrán tener acceso a los datos personales contenidos en el Sistema interno:
    • Responsable del Sistema
    • Responsable de RRHH
    • Responsable de servicios jurídicos
    • Encargados de tratamiento eventualmente designados.
    • Delegado de Protección de Datos.
  • Supresión a los 3 meses. Desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación deberá procederse a su supresión en un plazo máximo de 3 meses, salvo que la finalidad de la conservación sea la de dejar evidencia del funcionamiento del sistema.
  • Anonimización de comunicaciones. Aquellas comunicaciones que no se den curso sólo podrán conservarse de forma anónima, sin que sea de aplicación la obligación de bloqueo.
  • Delegado de Protección de Datos. Es en el artículo 34 de la Ley 2/2023 donde la designación del Delegado de Protección de Datos será obligatoria para a la Autoridad Independiente de Protección del Informante -A.A.I-, y las autoridades independientes que en su caso se constituyan. 
  • Preservación. Los sistemas internos deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos de las personas afectadas. Los datos del informante sólo podrá comunicarse a la Autoridad judicial, Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
  • Modificación de la Ley 3/2018. Se modifica el artículo 24 de LO 3/2018, siendo su nuevo texto el siguiente:

«Artículo 24. Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas. Serán lícitos los tratamientos de datos personales necesarios para garantizar la protección de las personas que informen sobre infracciones normativas. Dichos tratamientos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, en esta ley orgánica y en la Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.»

Iciar López-Vidriero Tejedor

23 de febrero de 2023

BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

Deja un comentario

A %d blogueros les gusta esto: