El pasado 21 de febrero de 2023 se publicó la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, mediante la que se transpone la Directiva (UE) 2019/1937, de 23 de octubre de 2019, conocida como Whistleblowing, con entrada en vigor el próximo 13 de marzo.

Como es conocido, su objeto es la protección efectiva de aquellas personas que, en un contexto laboral o  administrativo, detecten y comuniquen infracciones. Es decir, trata de amparar a toda persona que informe sobre una irregularidad para evitar consecuencias negativas, como el despido, el traslado, la degradación o la intimidación.

 

Para ello, las empresas deben implantar un sistema de comunicación seguro, legal y fácil de usar que garantice la confidencialidad e incluso el anonimato tanto del informante como de la información suministrada, entre otros extremos. Pueden consistir en sistemas digitales, buzones o incluso líneas de información telefónica.

 

Se trata de una norma que afecta directamente a los Programas de Prevención de Delitos implantados en nuestras empresas, pues se exige un nivel de seguridad elevado respecto a la información que circule por nuestros canales de denuncia/comunicación.

 

No obstante ello, las obligaciones contenidas en la ley que nos ocupa no resultan de aplicación para cualquier entidad. En el ámbito del sector privado, la norma obliga a las empresas que cuenten con 50 o más empleados a establecer este canal.

En este sentido resulta especialmente relevante que, independientemente de que la empresa supere los 50 empleados, debe cumplir con las obligaciones establecidas por la norma si resulta sujeto obligado mediante la Ley 10/2010, de 28 de abril, de prevención de blanqueo de capitales y financiación del terrorismo.

En lo que a la gestión del canal de comunicaciones respecta, la Ley marca ciertos parámetros que han de cumplirse, de entre los que destacamos:

 

– El órgano de administración de la empresa es el responsable de la implantación del mismo. Adicionalmente, obliga a las entidades obligadas a dar información y publicidad sobre el uso del canal interno, indicando que, en caso de disponer de página web, el canal deberá aparecer al inicio, en sección separada y fácilmente identificable.

 

– El sistema deberá contar un responsable. En este sentido manifestar que se permite la gestión del sistema interno por un tercero externo que ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad y la protección de datos, especificando que se considera gestión del sistema “la recepción de informaciones”. Este tercero tendrá la consideración de “encargado del tratamiento” a efectos del RGPD y LOPD. En Axium Consulting contamos con una herramienta informática que garantiza el estricto cumplimiento de los requisitos legales aplicables a esta materia.

– Obligación de crear un libro/registro de comunicaciones recibidas y de las investigaciones internas a las que hayan dado lugar garantizando, en todo caso, los requisitos de confidencialidad.

 

– Prohibición total de represalias hacia los denunciantes, familiares o allegados—> Durante dos años, el informante estará protegido frente a las mismas. En consecuencia, los actos constitutivos de represalia serán nulos y podrán dar lugar a una indemnización por daños y perjuicios.

 

– Descarta la idea de que todas aquellas empresas obligadas a disponer de un canal de comunicación interno debían contar con un Delegado de Protección de Datos (DPD), que sí constaba en su Anteproyecto de Ley.

 

– Adicionalmente, la Ley 2/2023 ha creado la Autoridad Independiente de Protección al Informante (AA I ) como canal externo complementario; órgano público estatal independiente con capacidad jurídica propia en aras a combatir la desconfianza de los potenciales informantes sobre los canales internos de denuncia.

 

– Establece un detallado régimen sancionador para aquellas empresas que no cumplan con las medidas impuestas. Las sanciones a personas jurídicas pueden llegar hasta el millón de euros en caso de infracciones muy graves.

La ley establece un plazo de tres meses para que las entidades obligadas implanten o ajusten sus sistema de denuncias en caso de que no cumplan con las exigencias legales. No obstante ello, el plazo se extiende hasta el 13 de diciembre para las empresas privadas con número inferior a 249 trabajadores y para los municipios de menos de 10.000 habitantes.

 

Dado el entramado de normas nacionales a las que la ley afecta y las elevadas sanciones previstas en caso de incumplimiento, resulta imprescindible implantar y delimitar con rigor el canal de denuncias del que disponen.

En Axium Consulting contamos con un equipo con gran experiencia en este ámbito desde donde podemos ayudar en cualquier cuestión que las empresas consideren necesaria, así como para la correcta implantación de las obligaciones impuestas por las novedades legislativas que se han producido en esta materia.

 

 

 

Rocío Martínez – Valera García

Responsable del área de Prevención

de Blanqueo de Capitales

Axium Consulting SL