Con fecha 21 de febrero de 2023, se publica la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
La citada Ley pretende otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europa en supuestos concretos, o ser constitutivas de infracción penal o administrativa grave o muy grave. Asimismo, pretende el fortalecimiento de la cultura de la información, de las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público.
¿A quién va dirigido?
Sin perjuicio de otras entidades y organismos, todas las empresas que tengan contratados 50 o más trabajadores están obligadas a disponer de un sistema interno de información implantado antes del día 1 de diciembre de 2023. Si la empresa tiene un número de trabajadores superior a 249, el plazo anteriormente señalado se reduce a hasta los tres meses desde la entrada en vigor de la ley, que se producirá a los veinte días de su publicación en el Boletín Oficial del Estado.
¿Qué es el sistema interno de información y cómo se gestiona?
El sistema interno de información es un cauce para informar sobre las cuestiones anteriormente referidas, siendo el responsable de su implantación, previa consulta con la RLT, el órgano de administración de cada empresa, el cual, además, será el responsable del tratamiento de los datos personales.
La gestión del sistema interno de información se podrá llevar a cabo dentro de la propia empresa o acudiendo a un tercero externo siempre que este ofrezca garantías adecuadas de respeto de la independencia, la confidencialidad, la protección de datos y el secreto de las comunicaciones. En todo caso, el sistema interno de información deberá:
a) Permitir a las personas comunicar información correspondiente.
b) Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.
c) Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
d) Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad.
e) Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo.
f) Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos.
g) Contar con un responsable del Sistema.
h) Contar con una política o estrategia que enuncie los principios generales en materia del sistema interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.
i) Contar con un procedimiento de gestión de las informaciones recibidas.
j) Establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo.
Establecimiento y contenido del procedimiento de gestión de informaciones
El órgano de administración debe aprobar el procedimiento de gestión de informaciones, que deberá contener como mínimo:
a) Identificación del canal o canales internos de información a los que se asocian.
b) Inclusión de información clara y accesible sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.
c) Envío de acuse de recibo de la comunicación al informante, en el plazo de siete días naturales siguientes a su recepción, salvo que ello pueda poner en peligro la confidencialidad de la comunicación.
d) Determinación del plazo máximo para dar respuesta a las actuaciones de investigación, que no podrá ser superior a tres meses a contar desde la recepción de la comunicación o, si no se remitió un acuse de recibo al informante, a tres meses a partir del vencimiento del plazo de sietedías después de efectuarse la comunicación, salvo casos de especial complejidad que requieran una ampliación del plazo, en cuyo caso, este podrá extenderse hasta un máximo de otros tres meses adicionales.
e) Previsión de la posibilidad de mantener la comunicación con el informante y, si se considera necesario, de solicitar a la persona informante información adicional.
f) Establecimiento del derecho de la persona afectada a que se le informe de las acciones u omisiones que se le atribuyen y a ser oída en cualquier momento. Dicha comunicación tendrá lugar en el tiempo y forma que se considere adecuado para garantizar el buen fin de la investigación.
g) Garantía de la confidencialidad cuando la comunicación sea remitida por canales de denuncia que no sean los establecidos o a miembros del personal no responsable de su tratamiento, al que se habrá formado en esta materia y advertido de la tipificación como infracción muy grave de su quebranto y, asimismo, el establecimiento de la obligación del receptor de la comunicación de remitirla inmediatamente al responsable del Sistema.
h) Exigencia del respeto a la presunción de inocencia y al honor de las personas afectadas.
i) Respeto de las disposiciones sobre protección de datos.
j) Remisión de la información al Ministerio Fiscal con carácter inmediato cuando los hechos pudieran ser indiciariamente constitutivos de delito. En el caso de que los hechos afecten a los intereses financieros de la Unión Europea, se remitirá a la Fiscalía Europea.
Publicidad del canal de información y registro de actuaciones
Además, las empresas deberán proporcionar la información adecuada de forma clara y fácilmente accesible sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
También se deberá contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad y al que sólo se accederá por acordarlo mediante Auto, una autoridad judicial competente.
Por último, indicar que todo informante no podrá ser represaliado por serlo, ostentando diversas garantías para ello, y suponiendo cualquier tipo de represalia o intento de adoptarla una infracción castigada con sanciones de hasta 300.000 € en el caso de personas físicas y de 1.000.000 € el caso de personas jurídicas, además de la imposibilidad de obtener subvenciones o beneficios fiscales y la prohibición de contratar con las administraciones.
Jesús Moreno García-Moreno
Abogado socio
