12 Claves de la Trasposición de la Directiva de Whistleblowing
El Congreso de los Diputados ha aprobado la Ley que transpone la Directiva Whistleblowing. La Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, establece la obligatoriedad de crear un Sistema Interno de Información. Este Sistema es una herramienta imprescindible para garantizar los más estándares éticos en las organizaciones, públicas y privadas. Veamos los principales aspectos de la misma:
1.- Objetivo de la Ley: Proteger al informante.
Esta normativa tiene una clara orientación: proteger a la persona que denuncie o informe de un hecho ilícito en una entidad. Esta protección se traduce en la prohibición de represalias frente a estos.
2.- Protección del informante del sector público y privado.
Se articula la protección para los informantes que trabajen para el sector privado y para el público. Además, se establece una protección para autónomos, accionistas, partícipes y personas que componen un órgano de dirección o administración, o para los profesionales de las contratas. La protección se extiende a compañeros del trabajo o familiares del informante. También se otorga protección a aquellos que informen de un hecho y ya haya finalizado su relación laboral o estatutaria.
3.- Más allá del Canal Interno de Información
La ley establece la necesidad de establecer un Sistema Interno de Información, que se configura como un sistema de gestión, con la necesidad de desarrollar un modelo de gobernanza interno con políticas y procedimientos de gestión, bajo el cual debe integrar nuestros distintos canales internos de información, tanto escritos como verbales.
4.- No, no todas las organizaciones están obligadas a establecer el Sistema Interno de Información.
Las empresas privadas deben contar con un Sistema Interno de Información, con carácter general, cuando tengan contratados cincuenta o más empleados. No obstante, algunas entidades, deben contar el Sistema, atendiendo a la actividad que desempeñan, con independencia al número de empleados. Sí, los partidos políticos, sindicatos, organizaciones empresariales y las fundaciones que reciban o gestionen fondos públicos han de establecer el Sistema Interno de Información.
5.- Sí, el sector público sí tiene que contar con un Canal Interno de Información.
Todas las entidades que integran el sector público estarán obligadas a disponer de un Sistema Interno de Información, según recoge el texto aprobado. No obstante, la Ley recoge ciertas especialidades como la posibilidad de que municipios de menos de 10.000 habitantes puedan compartir el Canal Interno de Información y los recursos para la realización de investigaciones. La participación de terceros externos para determinadas Administraciones Públicas también se limita.
6.- Publicidad del Canal Interno de Información.
De forma clara y accesible, se debe informar sobre el uso de los canales internos de información que se hayan implantado, así como sobre los principios esenciales del procedimiento de gestión.
En la página web, deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
7.- Capacidades del Canal Interno de Información
Entre otras características, el Canal Interno de Información debe permitir la presentación de comunicaciones anónimas, así como subir evidencias y permitir una comunicación bilateral entre el informante y los gestores del caso. Ya no sirve un correo electrónico ni tampoco determinadas herramientas.
8.- La información recibida en el Canal Interno de Información no es pública.
El acceso a la información del Sistema Interno de Información se limita a una serie de perfiles y para una serie de finalidades. Por ejemplo, Recursos Humanos, solo accede cuando pudiera proceder la adopción de medidas disciplinarias contra un empleado.
9.- También se protege a quien revele públicamente una infracción
La protección también alcanza a aquella persona que ponga a disposición de la sociedad información sobre acciones u omisiones que supongan una infracción, en los términos establecidos en la Ley. No obstante, deben cumplirse unos requisitos, tales como que haya utilizado canales internos o externos o tenga motivos razonables par pensar que la infracción constituye un peligro para el interés público, para la integridad de una persona, o exista riesgo de represalias, entre otras.
10.- No se informará a la persona a la que se refieran lo hechos, de la identidad del informante.
La Ley quiere proteger a la persona frente a posibles represalias personales, por lo que, de ningún modo se informa a la persona a la que se refieran los hechos relatados de la identidad del informante.
11.- No, no es obligatorio contar con un Delegado de Protección de Datos.
Durante la tramitación parlamentaria se ha eliminado la necesidad de que las entidades obligadas deban contar con un Delegado de Protección de Datos. No obstante, es totalmente recomendable el nombramiento del mismo para que, en el ejercicio de sus funciones, supervise el tratamiento de datos en el ámbito del Sistema Interno de Información.
12.- Autoridad Independiente de Protección del Informante.
Existirá una Autoridad Independiente de Protección del Informante a nivel estatal, pero también se otorga la posibilidad de crear órganos autonómicos correspondientes. Esta Autoridad llevará un canal externo, como medio complementario al canal interno de la empresa u organización. La potestad sancionadora corresponde a estas Autoridades Independientes.
En resumen, Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, marca un antes y un después en cuanto a la protección de las personas que informen de ilícitos en las organizaciones. Si bien, el Código Penal, ya establecía, aunque no de forma tan clara, la necesidad de que las organizaciones contaran con estos Sistemas Internos de Información, y a pesar de la madurez que algunos de estos Sistemas están tomando, especialmente en las grandes empresas y conforme a los criterios de la norma UNE – ISO 37002 de Sistemas de gestión de la denuncia de irregularidades.
Santiago Cruz Roldan es Legal Advisor en Govertis – Telefónica Tech.
Abogado en ejercicio con certificación CESCOM e IFCA y habilitado por ASCOM como Perito Experto en Compliance.
Jordi Morera Torres es Lead Avidsor Compliance Penal en Govertis – Telefónica Tech.
Abogado en ejercicio con certificación CESCOM e IFCA.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
