Primer aniversario de la Ley de Protección a Informantes: cinco consejos para la implementación del Sistema Interno de Información

21 febrero, 2024 por Govertis Blog 0 comentarios

Primer aniversario de la Ley de Protección a Informantes: cinco consejos para la implementación del Sistema Interno de Información

Hoy, 21 de febrero, se cumple un año desde la publicación en el Boletín Oficial del Estado de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Antes de esta fecha, muchas grandes organizaciones tenían ya establecido sus canales de denuncias alineados con los modelos de organización y gestión. En este año, muchas empresas y organizaciones, que hasta ahora no estaban obligadas a establecer el Canal de Denuncias, han comenzado a establecer su Sistema Interno de Información (SII).

En este post, nos centramos en las cuestiones que consideramos que son un desafío para la implementación de los sistemas de gestión de Sistema Interno de Información en el tejido empresarial nacional y en el sector público:

En este artículo hablamos de: Ocultar
1 Conocimientos del Responsable del Sistema Interno de Información.
2 Definición de roles garantizando la independencia del responsable del sistema interno de información.
3 Nivel de madurez de compliance
4 Ausencia de una herramienta adecuada.
5 Ausencia de análisis en protección de datos.

  1. Conocimientos del Responsable del Sistema Interno de Información.

¿Han recibido formación específica las personas que han asumido las funciones de Responsable del Sistema Interno de Información? En muchas organizaciones, no se ha planteado una acción formativa integral para dotar de conocimientos necesarios a la persona u órgano que va a desempeñar el rol más indispensable previsto en la Ley 2/2023. Una acción formativa específica sobre cómo deben gestionarse las denuncias que se reciban es indispensable. Además, es recomendable que se reciba formación en materia de protección de datos personales.

  1. Definición de roles garantizando la independencia del responsable del sistema interno de información.

En muchos casos, no se ha previsto que se garantice la autonomía e independencia del Responsable del Sistema, asumiendo otras funciones que son totalmente incompatibles con este rol. Tampoco es usual encontrar organizaciones que hayan previsto un régimen de incompatibilidades u obligaciones de abstención para el Responsable del Sistema, por lo que es recomendable hacer una correcta definición de las funciones, deberes y obligaciones del responsable del sistema con el objetivo de identificar posibles incompatibilidades.

  1. Nivel de madurez de compliance

Tratar de establecer un Sistema Interno de Información sin haber planteado siquiera en una organización la necesidad de tener establecido un Código Ético o unos roles mínimos en compliance es un error. Los cimientos deben quedar bien establecidos desde el principio; para ello, debe articularse un modelo de organización y gestión integral que cumpla con todos los requisitos que permitirá a una empresa eximirse de responsabilidad penal conforme a lo dispuesto en el artículo 31 bis del Código Penal.

  1. Ausencia de una herramienta adecuada.

Muchas organizaciones han confiado en establecer una mera dirección de correo electrónico o una herramienta que no asegura una adecuada garantía de anonimato para el informante. La utilización de una herramienta que permita la comunicación de una denuncia garantizándose el anonimato es una tarea pendiente en muchas medianas empresas. Es recomendable que la herramienta permita garantizar una comunicación con el informante anónimo.

  1. Ausencia de análisis en protección de datos.

Antes de la implementación del SII, se requiere una Evaluación de Impacto de Protección de Datos (EIPD). La realidad es que muchas organizaciones NO tienen efectuada la EIPD.  Esta Evaluación de Impacto debe trazar un plan de acción que mitigue los posibles riesgos para los derechos y libertades de las personas físicas.

 

En resumen, consideramos que el Sistema Interno de Información medio del tejido empresarial español y del sector público, como cualquier sistema de gestión, debe ir mejorándose y madurando. Es prioritario que las organizaciones se anticipen a los distintos problemas que puede ocasionar tener establecido un canal de denuncias con una gestión deficiente, con perfiles poco especializados e inadecuados, con procedimientos poco trabajados y donde no se garanticen los criterios mínimos de protección de datos.

Las organizaciones deben incorporar medios adecuados para un buen diseño de su Sistema Interno de Información, con profesionales altamente cualificados y formados y con tecnologías que permitan cumplir con los requerimientos de la norma que transpone la conocida Directiva Whistleblowing.

 

Centro de Competencia de Compliance

Govertis, part of Telefónica Tech

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lecciones de salud para mejorar la calidad en tu empresa. Entendiendo la ISO 9001.Entrada anterior:
Conoce a las mujeres GovertisSiguiente entrada