El 13 de febrero de este año ha entrado en vigor la ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
¿A qué necesidad responde esta normativa? ¿en que contexto se ha dado?
Bueno, por partes,
Debemos comenzar hablando de la ley 2/ 2020 de 20 de febrero, la cual incorpora al ordenamiento jurídico interno la Directiva europea 2019/1937 relativa a la protección WHISTLEBLOWING o, en castellano, “de la denuncia de irregularidades jajaja. Esta corriente es por tanto un impulso al establecimiento de unas normas mínimas comunes de protección de los informantes en toda la Unión Europea.
En cuanto a la pregunta del contexto y su necesidad, y sin querer extenderme demasiado, nos tendríamos que remitir al 2008… te diría que es a partir de este año, en el que se dio un contexto social marcado por la crisis financiera y el consecuente derrumbe de la burbuja inmobiliaria, cuando pudimos apreciar una percepción ciudadana en la que se consideraba que, tanto en la vida política… como en la económica, se promovía la corrupción… con delitos como el fraude fiscal, blanqueo de capitales, malversación de caudales públicos........ Todo... en una tormenta de medidas de recorte y ajustes que afectaban a la ciudadanía.
Ante la gravedad de estos hechos se apostó por introducir reformas en los Códigos Penales. Así la Ley Orgánica 5/2010 y posteriormente la Ley Orgánica 1/2015, en España, suponen un cambio de paradigma para las empresas... que, desde ese momento, pasan a ser PENALMENTE RESPONSABLES DE LOS ACTOS DE SUS DIRECTIVOS, EMPLEADOS O TERCEROS.
De esta forma, debido a la necesidad de proteger a las empresas de daños derivados de esta responsabilidad penal, de daños financieros, DAÑOS REPUTACIONALES e incluso disoluciones, se optó por la implantación de COMPLIANCES, que vienen a ser programas de cumplimiento para la prevención, detección y exoneración de la empresa ante cualquier actividad delictiva que la pusiese en peligro.
De este modo, se ha entendido que en estos programas de cumplimiento los trabajadores juegan una función fundamental de colaboración eficaz… no sólo con la empresa… sino también con la justicia.
Es por tanto, y aquí llegamos ya al quid de la cuestión… que, para favorecer la detección de estos posibles actos delictivos se regula la implantación de canales seguros de denuncia, para poder dar cuenta de estos hechos dentro de la empresa.
En este sentido, para proteger a estos informantes, se han ido aplicando, sobre todo a nivel Autonómico, diversas iniciativas, sin embargo, no es hasta la promulgación de esta ley 2/2023 a la que estamos haciendo referencia, cuando se establece un marco legal para proteger a esta figura del denunciante… homogenizando así en toda España el tratamiento y haciéndolo acorde al definido por la Unión Europea.
¿Entonces, su finalidad es proteger a estos informantes, no? ¿Cuándo entraría la ley en vigor?
Sí, en cuanto a su finalidad, como su propio nombre indica, la finalidad principal de la ley gira en torno a la protección total de los informantes de infracciones contra cualquier represalia que pudieran sufrir dichos informantes o denunciante (que suena un poco mejor), tras comunicar una infracción en la empresa que vaya en contra del ordenamiento jurídico (por ejemplo, la existencia de discriminación, acoso o despidos improcedentes). Para ello, esencialmente, se deberán establecer unos canales de denuncias seguros, anónimos, con medidas activas para evitar represalias contra los trabajadores y, si es posible, a cargo de empresas externas, para asegurar la imparcialidad en el tratamiento de las denuncias.
En cuanto a su aplicación; la Ley prevé… por una parte, una vacatio Legis de 20 días desde su publicación en el BOE el pasado 13 de febrero. Es decir… un periodo de 20 días, desde el 13 de febrero al 5 de marzo, hasta que se hace efectiva la entrada en vigor de la ley; y, por otra, un plazo máximo de 3 meses… desde esa entrada en vigor… para que las organizaciones obligadas a implantar los canales lo materialicen, que finalizaría el 5 de junio.
Por último, como excepción, para las entidades jurídicas del sector privado con 249 trabajadores o menos y municipios de menos de 10.000 habitantes, el plazo se extiende hasta el 1 de diciembre de 2023.
Por tanto, el foco de esta ley se centra en la necesidad de una cierta colaboración ciudadana comprometida en facilitar información sobre conductas delictivas y su protección mediante canales de denuncia seguros, no? Pero, ¿sobre quienes se pone el foco de esta legislación? ¿todas las empresas tienen la obligación de implantar estos canales de denuncia? ¿o cuales tienen realmente la obligación legal?
No, ciertamente no son todas, pero en la práctica son muchas las que tendrán que establecer estos canales.
Para empezar, EN EL SECTOR PRIVADO, están sujetas:
todas aquellas personas físicas o jurídicas que cuentan con más de 50 trabadores en plantilla. Todas ellas deberán implantar por tanto un sistema interno de comunicación, conforme a esta ley.
También todas aquellas que entren en el ámbito de aplicación de los actos de la UE en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente CON INDEPENDENCIA DEL NÚMERO DE TRABAJADORES.
También, por su parte, los partidos políticos, sindicatos, organizaciones empresariales y las fundaciones creadas por unos y otros… siempre que reciban o gestionen fondos públicos.
Por otra parte, también afecta al sector público. En este caso hablaremos de
La Administración General del Estado, las Administraciones de las comunidades autónomas y Ciudades con Estado de Autonomía y las Entidades que integran la administración local.
Las Universidades Públicas.
Las corporaciones de Derecho Público.
Las fundaciones del sector público.
Las sociedades mercantiles, en cuyo capital social, la participación de entidades públicas, directa o indirecta, sea superior al 50%.
Así como TODOS LOS MUNICIPIOS, que deberán implementar un sistema de comunicación, INDEPENDIENTEMENTE DEL NÚMERO DE HABITANTES. Si bien, los que tengan menos de 10.000 habitantes podrán compartir los sistemas de comunicación entre sí o con otras Administraciones públicas dentro de su comunidad autónoma.
Realmente son muchas las entidades públicas y privadas que están sujetas a la obligación de implantar un sistema interno de información… y ¿qué características y requisitos deben tener estos canales?
Si, y es muy importante que valoremos la importancia de proteger al informante mediante sistemas de denuncia seguros.
Por tanto, estos sistemas deben estar diseñados, implementados y gestionados bajo los principios de seguridad, confidencialidad y anonimato.
Es decir, se debe asegurar que la identidad del informante o de terceros que puedan estar mencionados en la comunicación, así como en el proceso de gestión y tramitación, esté protegido. En este sentido se deberá proteger especialmente lo previsto en la regulación en materia de protección de datos.
Por consiguiente, algunas de las características del sistema deben ser:
Que se permita la comunicación por escrito o verbalmente… o de ambos modos.
Es obligatorio además la designación de un responsable del sistema.
También es obligatorio contar con una política o estrategia que anuncie los principios generales en materia de sistemas internos de información y defensa del informante y que sea debidamente publicitada en el seno de la organización.
Se deberá contar a su vez con un procedimiento de GESTIÓN de las comunicaciones recibidas... es decir, protocolo de qué hacer una vez se recibe una denuncia. Gestión que como te decía antes podrá ser llevada a cabo por un tercero siempre que ofrezca garantías de independencia, confidencialidad y protección de datos.
Y, por último, en todo caso, será esencial la protección, seguridad jurídica, confidencialidad y anonimato, que son los requisitos esenciales.
Viendo esto, parece que se ha detallado bastante el contenido de estos canales, no obstante, para la aplicación has nombrado a un “responsables del sistema” e incluso la figura de una consultara externa para la gestión del canal ¿puedes precisar un poco estas figuras?
Si, efectivamente, es necesario el nombramiento de un responsable del Sistema, que también podrá colaborar en su caso con la consultora externa en la gestión.
Será el órgano de administración o de gobierno de cada entidad u organismo quien esté obligado a designar un responsable. Es decir, una persona física que gestione el sistema o un órgano colegiado que delegará, en este caso, a uno de sus miembros, las facultades de gestión, de información y de tramitación de expedientes de denuncia.
Estos nombramientos, deberán ser notificados a la Autoridad Independiente de Protección del informante en el plazo de los diez días hábiles siguientes al nombramiento o, en su caso, al cese del responsable de forma motivada.
En el sector privado, este responsable deberá ser un directivo de la entidad, el cual asumirá las funciones, CON INDEPENDENCIA del órgano de administración. Muy importante esto último.
En cuanto a lo que me preguntabas sobre la posibilidad de gestión externalizada,
Vemos como, a través de la Directiva 2019/1937, vamos, la Directiva europea Whistleblowing con la que comenzábamos la entrevista… y también por la circular 1/2016 de la Fiscalía General del Estado, se permite que el canal de denuncias de cualquier entidad pueda ser gestionado por un tercero externo, que asumirá las funciones propias del responsable.
En este caso, lo habitual es que los canales de denuncia de gestión externa suelan ser llevados despachos de abogados, como hacemos nosotros mismos desde Safety Iuris, por lo que la denuncia la estudiará un abogado independiente de la entidad.
Los beneficios de externalizar el canal de denuncias se pueden resumir básicamente en;
La profesionalización de la gestión y estudio de la denuncia por un profesional del derecho.
Evitamos también destinar recursos internos a esta tarea.
Garantizamos la confidencialidad y la independencia
Mitiga el temor a posibles represalias al no tratarse de un directivo de la propia empresa quien recibe la denuncia.
Y, desde mi punto de vista, lo más importante… que, esta externalización, conforme a los criterios jurisprudenciales, resulta más creíble como prueba de la diligencia debida de la mercantil en materia de responsabilidad penal.
Por su parte, añadir que, en el ámbito de la administración pública, esta podrá nombrar, de forma instrumental, un gestor externo del sistema de información SIEMPRE QUE ACREDITE LA INSUFICIENCIA DE MEDIOS PROPIOS conforma a lo dispuesto en la Ley 9/2017 de Contratos del sector público. Y comprenderá únicamente el procedimiento para la recepción de las informaciones sobre infracciones, teniendo en todo caso, como he dicho, carácter instrumental únicamente.
Otro tema importante… las infracciones y las sanciones aparejadas. ¿Qué tiene prevista la ley en este sentido?
Si, sé que este siempre es un tema que interesa a la gente. Bueno… por no ser muy tedioso haciendo una enumeración larga de infracciones, podemos resumir que, como resulta habitual, las INFRACCIONES por incumplimiento de la Ley se clasifican en LEVES, GRAVES Y MUY GRAVES, todas ellas van relacionadas con el incumplimiento bien por no implementar el sistema interno de información, no aplicar las medidas pertinentes o no hacerlo de la manera debida.
Y en cuanto a LAS SANCIONES, deberemos distinguir entre
PERSONAS FÍSICAS, a las cuales se los podrán aplicar sanciones que pueden llegar hasta los 300.000€ las más graves. Y las
PERSONAS JURÍDICAS, quienes podrán llegar al millón de euros.
¿Alguna concusión final al respecto?
Bueno, a modo de conclusión, por intentar sintetizar, lo más importante a tener en cuenta es
Que estas nuevas medidas han devenido en la obligación de implementar un sistema de información interno, el canal de denuncias, que deberá contemplar las notas de confidencialidad, anonimato y seguridad de los datos, protegiendo eficazmente a toda persona que notifique una irregularidad en su empresa.
Que las empresas sujetos obligados en España, deberán adoptar estas medidas de forma proactiva, garantizando el cumplimiento eficaz de la ley así como la prevención de riesgos de incumplimiento de esta.
Que, si no se establecen estos canales de denuncia, o no se hace de forma adecuada, tanto el órgano inspector competente como los informantes podrán ponerse en contacto con las autoridades competentes para denunciar este hecho que está considerado como una INFRACCIÓN MUY GRAVE, CON SANCIONES DE HASTA 1 MILLÓN DE EUROS.
Y, por último, que estos SISTEMAS se pueden externalizar con despachos profesionales que, como nosotros en el despacho de abogados Safety Iuris, te permiten garantizar la PROFESIONALIDAD, CONFIDENCIALIDAD, ANONIMATO Y EFICACIA EN SU GESTIÓN, incorporando sistemas digitalizados que automatizan los procesos, permitiendo ahorrar tiempo y recursos a la empresa… y por supuesto, evitando las correspondientes sanciones o penas de un intento de cumplimiento por parte de la empresa que no se ajuste correctamente a la normativa.