PREGUNTAS Y RESPUESTAS PARA TENER EN CUENTA PARA LOS CANALES DE DENUNCIAS DEL SECTOR PRIVADO
El pasado 4 de marzo, el Gobierno de España aprobó el Anteproyecto de Ley para proteger a las personas que informen sobre corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (Directiva WhistleBlowers).
Si bien es cierto que el texto debe superar toda la tramitación parlamentaria y probablemente sea objeto de modificaciones, en este post vamos a analizar qué novedades presenta este Anteproyecto de Ley para el tejido empresarial español.
¿Qué empresas privadas tienen la obligación de establecer un canal de alertadores o canal de denuncias?
Las personas físicas o jurídicas que tengan contratados 50 o más empleados.
Personas jurídicas, independientemente de su tamaño, que estén en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o financiación del terrorismo, seguridad del transporte y protección del medio ambiente en los términos expuestos por la Directiva WhistleBlowers en su apartado I.B y II.
No obstante, la normativa prevé que las entidades no obligadas, puedan establecer su sistema interno de informaciones que, en caso de establecerse, deberá cumplir con las obligaciones establecidas en el Anteproyecto de Ley.
Este ámbito de aplicación debemos considerarlo a la luz de otros cuerpos normativos que ya preveían la existencia de canales alerta de irregularidades, como, por ejemplo, en materia de blanqueo de capitales. A mayor abundamiento, debemos recordar también que la implementación de un sistema de compliance eficaz, aplicable a toda organización, independientemente de su tamaño, requiere también de un canal interno para el reporte de irregularidades e incumplimientos en el marco del sistema de gestión.
¿Quién tiene que establecer el canal de denuncias dentro de la empresa?
Será el órgano de administración u órgano de gobierno quien se responsabilice de la implantación del sistema interno de información, previa consulta con la representación legal de los trabajadores.
¿Se permiten las denuncias anónimas?
Sí. Deben permitirse la presentación y tramitación de comunicaciones anónimas. Además, el sistema interno de denuncias debe asegurar la confidencialidad informante y de cualquier tercero mencionado en la comunicación si efectivamente son identificados.
¿Pueden ser gestionados por un tercero?
Sí, pueden ser gestionados por un tercero externo siempre que se ofrezcan garantías adecuadas de respeto a la independencia, confidencialidad, protección de datos y secreto.
¿Deben permitir comunicaciones de forma verbal?
Sí, la información, en el canal de denuncias se puede realizar por escrito, a través de correo postal, email, verbalmente, o convocando una reunión presencial. La información de carácter verbal puede darse por vía telefónica o a través de un sistema de mensajería de voz
¿Cuánto tiempo deben durar las actuaciones de investigación en la empresa?
La investigación no podrá ser superior a tres meses a contar desde la recepción de la comunicación. No obstante, en casos de mayor complejidad pueden ampliarse el plazo por otros tres meses adicionales.
¿A qué personas se protegen como informantes? ¿Qué materias pueden ser objeto de denuncia?
A cualquier persona físicas que informen de:
- Acciones u omisiones que puedan ser constitutivas de infracciones de la normativa europea en los términos de la Directiva WhistleBlowers.
- Acciones u omisiones que puedan ser constitutivas de delito o sanción administrativa grave o muy grave.
A cualquier trabajador que informen sobre infracciones de derecho laboral en materia de seguridad y salud en el trabajo.
La protección se extiende no sólo a los trabajadores, sino también a autónomos; accionistas, partícipes y personas del órgano de administración, dirección o supervisión de una empresa; y empleados de contratistas, subcontratistas y proveedores. También se trata de proteger a voluntarios, becarios, trabajadores con contratos formativos, antiguos empleados e incluso a interesados cuya relación laboral no haya comenzado.
¿Exige la implicación de alguna persona responsable del sistema de denuncias?
Debe nombrarse a una persona física o un órgano colegiado responsable de la gestión del sistema de denuncias. El Responsable del Sistema designado será un alto directivo de la entidad, con asunción de las funciones evitando, en lo posible, situaciones de conflicto de interés. Cuando haya un compliance officer, se puede designar al mismo como Responsable del sistema.
¿Los grupos de sociedades pueden establecer un único sistema interno de información?
La sociedad dominante del grupo de empresas debe aprobar una política general del sistema interno de información y deberá asegurarse de la aplicación a todas las entidades del grupo. El Responsable del Sistema puede ser único para todo el grupo.
¿Pueden compartirse medios por distintas entidades del sector privado?
Sí. Las empresas de entre 50 y 249 empleados pueden compartir el sistema interno de información y los recursos para la gestión y tramitación de las informaciones.
¿Qué es la Autoridad Independiente de Protección del Informante?
El Anteproyecto prevé la creación de una Autoridad administrativa, de carácter independiente, personalidad jurídica propia, que se adscribe al Ministerio de Justicia. Se prevé la creación de autoridades autonómicas de protección del informante. La Autoridad Independiente tendrá asignadas funciones de carácter sancionador y consultivas.
¿Qué otras novedades presenta la normativa?
Sin ánimo de exhaustividad, la normativa también establece otras novedades importantes, tales como:
- Las entidades obligadas por esta normativa están en la obligación de nombrar a un Delegado de Protección de Datos aunque no estuvieren obligadas por razón del RGPD. Si interpretamos esta obligación conjuntamente con el ámbito de aplicación del Anteproyecto, puede suponer que cualquier empresa de más de 50 empleados está en la obligación de nombrar un Delegado de Protección de datos.
- Se establece una protección para las personas que comuniquen o revelen informaciones que supone la prohibición expresa de represalias tales como la suspensión del contrato de trabajo, despido o extinción de la relación laboral o estatutaria; evaluación o referencias negativas respecto al desempeño profesional; inclusión de listas negras; anulación de una licencia o permiso; etc.
En conclusión, sin perjuicio de que los cambios que puedan operarse durante la sustanciación de la tramitación parlamentaria, la mediana y gran empresa española, para cumplir con la normativa, deberá establecer un canal de denuncias o canal de alertadores. Lo recomendable es que se apoye en tecnología que garantice la anonimidad del informante, denunciante o alertador, la seguridad y confidencialidad de las informaciones recibidas en el canal y que su tramitación sea gestionada o supervisada por expertos con formación jurídica y técnica debido al amplio abanico de materias que pueden ser objeto de tramitación por dicho canal.
Santiago Cruz Roldan es Legal Advisor en Govertis – Telefónica Tech.
Abogado en ejercicio con certificación CESCOM e IFCA y habilitado por ASCOM como Perito Experto en Compliance.
Jordi Morera Torres es Lead Avidsor Compliance Penal en Govertis – Telefónica Tech.
Abogado en ejercicio con certificación CESCOM e IFCA.
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
