Por el departamento de Derecho Mercantil y Societario del Despacho
LEY 2/2023, DE 20 DE FEBRERO, REGULADORA DE LA PROTECCIÓN DE LAS PERSONAS QUE INFORMEN SOBRE INFRACCIONES NORMATIVAS Y DE LUCHA CONTRA LA CORRUPCIÓN
Con la entrada en vigor el pasado 13 de marzo de 2023 de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, el legislador español cumple con la obligación de transponer la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (“Directiva de Whistleblowing”).
En un marco normativo en el que se pretende el fortalecimiento de la cultura de la información, la integridad de las organizaciones y la prevención y detección de conductas ilegales, la Ley 2/2023 tiene por finalidad proteger a las personas físicas que informen sobre alguna de las acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea y aquellas que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.
1. Personas favorecidas por la protección
Las personas protegidas, son los denominados informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. Así quedan incluidos, de forma enunciativa pero no limitativa:
a) empleados públicos o trabajadores por cuenta ajena;
b) autónomos;
c) accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos;
d) cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
e) personas que faciliten información obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquellos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.
f) representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante.
g) personas físicas que, en el marco de la organización en la que preste servicios el informante, asistan al mismo en el proceso.
h) personas físicas que estén relacionadas con el informante y que puedan sufrir represalias, como compañeros de trabajo o familiares del informante.
i) personas jurídicas, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa. A estos efectos, se entiende que la participación en el capital o en los derechos de voto correspondientes a acciones o participaciones es significativa cuando, por su proporción, permite a la persona que la posea tener capacidad de influencia en la persona jurídica participada.
2. Sistema interno de información. Creación, implantación y gestión
El pilar sobre el que recae la Ley 2/2023 es el sistema interno de información, que se configura como el cauce preferente para comunicar las acciones u omisiones, siempre que se pueda tratar de manera efectiva la infracción y si el denunciante considera que no hay riesgo de represalia.
La gestión del sistema interno de información se podrá llevar a cabo por la propia entidad u organismo o acudiendo a un tercero externo
En este nuevo sistema, destaca la figura del responsable del sistema interno de información, que será designado por el órgano de administración u órgano de gobierno de la entidad, que también tendrá que aprobar el procedimiento de gestión de informaciones.
La obligación de disponer de un sistema interno de información queda limitado a las personas físicas o jurídicas que tengan contratados cincuenta o más trabajadores o aquellas que desarrollen determinadas actividades, así como los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
Por otro lado, todas las entidades que integran el sector público estarán obligadas a disponer de un Sistema interno de información.
3. Autoridad Independiente de Protección del Informante, A.A.I. Canal externo de información
Asimismo, se autoriza la creación de la Autoridad Independiente de Protección del Informante, autoridad administrativa independiente, con personalidad jurídica propia y plena autonomía e independencia orgánica y funcional.
Se determinan una serie de funciones para tal entidad, con el objetivo de cumplir sus fines:
a) Gestión del canal externo de comunicaciones.
b) Adopción de las medidas de protección al informante.
c) Informar preceptivamente los anteproyectos y proyectos de disposiciones generales que afecten a su ámbito de competencias y a las funciones que desarrolla.
d) Tramitación de los procedimientos sancionadores e imposición de sanciones por las infracciones.
e) Fomento y promoción de la cultura de la información.
Gracias a ella, toda persona física podrá informar ante la misma de forma anónima, si así quisiese, de la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de Ley 2/2023, ya sea directamente o previa comunicación a través del correspondiente canal interno.
4. Publicidad de la información y registro de informaciones
Los obligados a disponer de un canal interno de informaciones deberán informar sobre dichos canales de forma clara y accesible, y deberán contar con un libro-registro, que no será público, de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando en todo caso la confidencialidad.
Prevé igualmente la ley, un supuesto diferente consistente en la revelación pública de información sobre acciones u omisiones, previsto para las personas que hagan una revelación pública de las acciones u omisiones les será aplicable el régimen de protección siempre que se cumplan determinadas condiciones.
5. Protección de datos personales
Resulta evidente que los datos que se traten con motivo del funcionamiento de los sistemas puestos en marcha con esta ley, se regirán por el actual régimen jurídico del tratamiento de datos personales, es decir, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, y en el presente título.
En relación con el tratamiento de datos personales en el Sistema interno de información, cabe destacar que el acceso a los datos personales contenidos en el Sistema interno de información quedará limitado, dentro del ámbito de sus competencias y funciones, exclusivamente a:
a) El Responsable del Sistema y a quien lo gestione directamente.
b) El responsable de recursos humanos o el órgano competente debidamente designado, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador. En el caso de los empleados públicos, el órgano competente para la tramitación del mismo.
c) El responsable de los servicios jurídicos de la entidad u organismo, si procediera la adopción de medidas legales en relación con los hechos relatados en la comunicación.
d) Los encargados del tratamiento que eventualmente se designen.
e) El delegado de protección de datos.
Cuando resulte necesario para la adopción de medidas correctoras en la entidad o la tramitación de los procedimientos sancionadores o penales que, en su caso, procedan, será lícito el tratamiento de los datos por otras personas, o incluso su comunicación a terceros
Adquiere especial relevancia por la materia a la que nos enfrentamos, la preservación de la identidad del informante y de las personas afectadas.
Por ello, quien presente una comunicación o lleve a cabo una revelación pública tiene derecho a que su identidad no sea revelada a terceras personas.
Los sistemas internos de información, los canales externos y quienes reciban revelaciones públicas no obtendrán datos que permitan la identificación del informante y deberán contar con medidas técnicas y organizativas adecuadas para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas y a cualquier tercero que se mencione en la información suministrada, especialmente la identidad del informante en caso de que se hubiera identificado.
Asimismo y de acuerdo con lo que dispone el artículo 37.1.a) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Autoridad Independiente de Protección del Informante, A.A.I., y las autoridades independientes que en su caso se constituyan, se establece la obligación de nombrar a un delegado de protección de datos.
6. Medidas de protección y apoyo. Prohibición de represalias
Tras desarrollar el sistema de información e identificar claramente la figura del informante, resultaba imprescindible dotar a este ultimo de la protección necesaria, motivo por el que la Ley 2/2023 establece que a las personas que comuniquen o revelen infracciones, tendrán derecho a protección siempre que concurran ciertas circunstancias, pudiendo acceder a medidas de apoyo y de protección frente a represalias.
Se promueve la filtración de infracciones hasta tal punto que se regulan incluso supuestos de exención y atenuación de la sanción para las personas que hubieran participado en la comisión de la infracción administrativa e informen de su existencia.
Para reforzar fundamental del sistema de informantes, se establece la prohibición de represalias, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación conforme a lo previsto en esta ley.
7. Régimen sancionador
El ejercicio de la potestad sancionadora prevista en esta ley corresponde a la Autoridad Independiente de Protección del Informante, A.A.I., y a los órganos competentes de las comunidades autónomas, sin perjuicio de las facultades disciplinarias que en el ámbito interno de cada organización pudieran tener los órganos competentes.
Como es habitual, las infracciones se clasifican en muy graves, que prescribirán a los tres años, las graves, a los dos años y las leves, a los seis meses.
En materia de sanciones, la comisión de infracciones previstas en esta ley llevará aparejada la imposición de multas, diferenciando si los responsables son personas físicas o jurídicas.
Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 300.000 euros por la comisión de infracciones muy graves.
Si son personas jurídicas serán multadas con una cuantía hasta 1.000.000 de euros en caso de infracciones muy graves.
Adicionalmente, en el caso de infracciones muy graves, la Autoridad Independiente de Protección del Informante, A.A.I., podrá acordar sanciones complementarias.
RECOMENDACIONES
Dada la nueva normativa aplicable a diversas personas físicas y jurídicas, resulta en primer lugar imprescindible, conocer las condiciones por las que quedan sometidas o no a las obligaciones que la Ley desarrolla.
Si se encuentra en alguno de los supuestos previstos, un análisis de la implantación de los sistemas de información deviene fundamental, no solo por el positivo impacto reputacional que implica para las empresas sino también por el obligado cumplimiento de la Ley 2/2023 y la protección frente a las cuantiosas sanciones aplicables.
La puesta en práctica de esta normativa en el seno de la empresa, en coordinación con la implantación de una correcta política de protección de datos y programas de compliance, donde ya se preveía un canal de denuncias, dotará a la empresa de una mayor seguridad jurídica, si bien es cierto que la asistencia de un profesional facilitará tareas que, sin duda, supondrán una carga.
GVA Gómez-Villares & Atencia ofrece el asesoramiento jurídico para la implantación de Sistemas internos de información y acompañamiento al órgano de administración en la toma de decisiones al respecto, a través de un equipo de profesionales experimentados y especializados en todas las ramas del Derecho implicadas en este tipo de asesoramiento jurídico a empresas.