Los países de la Unión Europea tienen que trasponer en su ordenamiento jurídico la Directiva de whistleblowing (Directiva (UE) 2019/1937) relativa a la protección de las personas que denuncian infracciones del Derecho de la Unión. De ahí que recientemente, la Comisión Europea, el pasado 15 de febrero, decidiera llevar a España, junto con otros como República Checa, Estonia, Alemania, Hungría, Italia, Luxemburgo y Polonia, ante el Tribunal de Justicia por no haber incorporado y notificado las medidas nacionales de transposición de la Directiva. Pero España acaba de mover ficha y el Congreso de los Diputados ha aprobado la la ley que traspone la directiva, y que protege al denunciante de infracciones normativas y lucha contra la corrupción.
Según explica Ana Benítez Lanza, socia de finReg360, esta Directiva debería haber sido transpuesta a nuestro ordenamiento jurídico el 17 de diciembre de 2021. “Si bien en España se estaba trabajando desde enero del 2021 en un proyecto de Ley para transponer la Directiva, no ha sido hasta el pasado jueves 16 de febrero de 2023 cuando el Congreso de los Diputados ha aprobado la versión definitiva del Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción que transpone la directiva a nuestro país”, indica.
En concreto, esta nueva ley les será de aplicación a las entidades financieras, con independencia del número de trabajadores que tengan en todo lo que no se regule en su normativa específica.
Así, la experta de finReg360 explica, en cuanto al ámbito de aplicación, que el proyecto de ley obliga a las entidades privadas con más de 50 trabajadores a implantar canales y procedimientos internos de denuncia. Si bien, matiza, esta exención no debe aplicarse a las empresas privadas que estén obligadas a establecer canales de denuncias internos en virtud de su normativa sectorial de la UE, como es el caso de las entidades sujetas a la normativa de prevención de blanqueo de capitales y la financiación del terrorismo, MiFID II, UCITS, AIFMD, MAR, entidades de dinero electrónico, entidades de pagos, etc. De ahí que la norma afecte a todas las entidades financieras españolas.
Las claves del texto
El texto publicado el 21 de febrero de 2023 en el Boletín Oficial del Estado contiene escasas novedades respecto al proyecto de ley aprobado el pasado 23 de septiembre, analizan en finReg 360. Entre las novedades, destacan, en el ámbito de aplicación que el texto incluye dentro del ámbito de aplicación todas las infracciones penales o administrativas graves o muy graves que supongan un quebranto económico a la Hacienda Pública y a la Seguridad Social.
En los canales de denuncias y su procedimiento, el canal de denuncias se considera el cauce preferente para informar de infracciones, con las condiciones de que se pueda tratar de manera efectiva la infracción y de que el denunciante considere que no hay riesgo de represalia. Para documentar las comunicaciones verbales mediante grabación o transcripción, se necesita el consentimiento del informante. El responsable del canal de denuncias desarrollará su actividad sin que pueda recibir órdenes de ningún tipo y con los medios personales y materiales necesarios para ejercitarla. Con respecto al procedimiento de gestión de las informaciones, el plazo máximo de respuesta se fijaba en tres meses desde la entrada de la comunicación o, si no se remitió un acuse de recibo al informante, a los tres meses desde el vencimiento del plazo de siete días después de efectuarse la comunicación. En el nuevo texto se prevé que, en caso de excesiva complejidad, podrá ampliarse por otros tres meses adicionales.
Sobre competencias autonómicas del canal externo, la ley matiza que la autoridad facultada para proteger al denunciante podrá ser la Autoridad Independiente de Protección del Informante o las autoridades u órganos competentes de las comunidades autónomas en el ámbito de sus respectivas competencias. También incluye una nueva previsión para las denuncias presentadas por el canal externo en el País Vasco, que deberán regirse por la norma autonómica.
Sobre protección de datos, la ley destaca que, si la información puede ser constitutiva de delito por falta de veracidad de la información facilitada, se prohíbe eliminarla y se guardará el tiempo necesario durante el trámite del procedimiento judicial. El texto final elimina la obligación de contar con un delegado de protección de datos a las entidades que tengan que contar con un canal de denuncias conforme a la ley.
Sobre estrategia contra la corrupción, desde su entrada en vigor, la ley fija un plazo de 18 meses para que el Gobierno diseñe una estrategia contra la corrupción para paliar deficiencias encontradas en ese tiempo.
Las entidades sujetas a esta ley tienen un plazo máximo de tres meses a partir de la entrada en vigor, día de marzo, para implantar o adaptar su canal de denuncias interno, esto es, hasta el 13 de junio de este año. Como excepción, las entidades del sector privado con menos de 250 trabajadores podrán implantarlo hasta el 1 de diciembre de 2023.
Ámbito de aplicación
La ley protege a las personas físicas que informen, entre otras, sobre acciones u omisiones que puedan constituir infracciones del Derecho de la UE sobre las siguientes materias: contratación pública; servicios, productos y mercados financieros; prevención del blanqueo de capitales y de la financiación del terrorismo; protección de los consumidores; protección de la privacidad y de los datos personales; seguridad de las redes y de los sistemas de información; intereses financieros de la UE; mercado interior, en lo relativo a competencia, ayudas estatales e impuesto de sociedades; y seguridad y salud en el trabajo; o “puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social”.
Ámbito de protección
Sobre las personas protegidas, la norma protege a los denunciantes que trabajen en los sectores privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. En cualquier caso, abarca a personas que trabajan por cuenta ajena, incluyendo a las que hayan finalizado la relación laboral o estatutaria, voluntarios, becarios, en períodos de formación, perciban o no una remuneración, y a las que no hayan iniciado la relación laboral si la información sobre infracciones la ha obtenido durante el proceso de selección o de negociación precontractual; funcionarios públicos; autónomos; accionistas, partícipes y miembros del órgano de administración, de la dirección o supervisión de una empresa, incluidos los no ejecutivos; cualquier persona que trabaje bajo la supervisión de contratistas, subcontratistas y proveedores.
También se aplicarán las medidas de protección a facilitadores, terceros y entidades jurídicas relacionadas con el denunciante.
Medidas de protección
Las medidas de protección previstas en la ley incluyen la prohibición de represalias -por ejemplo, suspensión del trabajo, despido, daños o pérdidas económicas, coacciones, acoso, evaluación negativa, inclusión en listas negras o anulación de licencia o permiso-; medidas de apoyo, como información y asesoramiento integral sobre la protección y derechos del denunciante, asistencia efectiva en su protección y apoyo financiero y psicológico; medidas de protección frente a represalias; medidas de protección para las personas investigadas, y programas de clemencia -por ejemplo, eximir al denunciante (que haya participado en la comisión de la infracción) del cumplimiento de la sanción administrativa que le correspondiera en determinadas circunstancias-.
Canales de denuncia
Sobre sistemas internos de denuncias, la norma exige a las entidades con 50 trabajadores o más que dispongan de canales y procedimientos internos de denuncias y de su seguimiento. Las entidades financieras que ya estuvieran obligadas a disponer de estos sistemas en su organización han de seguir rigiéndose por su regulación específica y, en lo no previsto, atender a lo que determina la nueva ley.
Los procedimientos de denuncia interna deben cumplir los siguientes requisitos: permitir a todas las personas facultadas por la ley a informar sobre infracciones; mantener la confidencialidad de la identidad del denunciante y de cualquier otro mencionado en la denuncia; permitir la presentación de comunicaciones verbales, escritas o ambas; integrar los canales internos de comunicación; asegurar que las comunicaciones presentadas puedan tratarse de manera efectiva; ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos; contar con un responsable del sistema, que podrá ser un órgano colegiado o la propia función de cumplimiento normativo; definir y publicitar una política que recoja los principios generales del sistema y de los canales internos de información; contar con un procedimiento para tratar las comunicaciones recibidas, que debe recoger un plazo máximo de siete días para notificar la recepción de la denuncia, y determinar las garantías de protección de los denunciantes.
Los canales internos que se implanten han de abarcar la presentación y tratamiento de comunicaciones anónimas, y podrán gestionarlos la propia entidad o un tercero. El órgano de administración o de gobierno de cada entidad (o el organismo encargado, en el sector público) será el responsable de implantarlos. Por último, como se ha dicho, todas las entidades que integran el sector público están obligadas a disponer de un sistema interno de información.
Sobre el canal público externo de denuncias, la ley aborda también la creación de la Autoridad Independiente de Protección del Informante, que tendrá las siguientes funciones: llevar el canal externo de comunicaciones, decidir sobre las medidas de protección al denunciante previstas en la norma, elaborar normas que afecten a su ámbito de competencias, tramitar los procedimientos sancionadores e imponer sanciones, y fomentar y promover la cultura de la información.
“Toda persona física podrá informar ante la Autoridad Independiente de Protección del Informante o ante las autoridades u órganos autonómicos correspondientes, a través de su canal externo de comunicaciones, la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno”, destacan en finReg360.
Protección de datos
Sobre cobertura de los tratamientos de datos, el texto prevé que los tratamientos en los que se basa el sistema de denuncias, cuando son legalmente obligatorios, están amparados por el artículo 6.1.c) del reglamento general de protección de datos (RGPD), como “cumplimiento de una obligación legal”. Cuando no sean obligatorios, serán lícitos, según el artículo 6.1.e), como “tratamientos realizados en cumplimiento de misión en interés público”. Asimismo el tratamiento de las categorías especiales de datos se podrá realizar conforme a la excepción del artículo 9.2.g) del RGPD (“por razones de un interés público esencial”).
Sobre derechos de protección, a los informantes y a quienes lleven a cabo una revelación pública se les debe informar expresamente de que su identidad será en todo caso reservada y no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros. La identidad del informante solo podrá ser comunicada a las autoridades competentes en el marco de una investigación penal, disciplinaria o sancionadora, informando previamente al interesado sobre dicha revelación, salvo si se puede ver comprometida la investigación o el procedimiento judicial.
La ley limita el ejercicio de los derechos de acceso y oposición por las personas a las que se refieren los hechos, dado que no podrán conocer la identidad de los informantes, y salvo prueba en contrario, se presumirá que existen motivos legítimos imperiosos para tratar sus datos personales.
El acceso a los datos incluidos en el sistema de denuncias se debe restringir a determinadas categorías de usuarios como son el responsable del sistema y de su gestión, el responsable de Recursos Humanos, en caso de las medidas disciplinarias, el responsable de Servicios Jurídicos, en caso de las medidas legales, los encargados de tratamiento designados, y el delegado de protección de datos.