La Ley 2/2023, que transpone la Directiva (UE) 2019/1937 (más conocida como “Directiva Whistleblowing”), regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Esta normativa establece la obligación, de determinadas empresas privadas y organismos públicos, de implantar un Sistema Interno de Información dirigido a personas que tengan, o hayan tenido, alguna relación con la organización en el contexto laboral (candidatos de empleo, empleados, exempleados, contratistas, etc.). Además, hay que tener en cuenta que los Sistemas Internos de Información deben cumplir una serie de requisitos: nombramiento de un responsable del sistema, creación de un canal de denuncias, creación de una serie de políticas, formación, etc.

Debido a los riesgos a los que se exponen las personas que informan sobre posibles irregularidades a través de los canales de información corporativos, la Ley 2/2023 tiene como objetivo, además de prevenir y detectar irregularidades, proteger a los denunciantes de buena fe, evitando que puedan sufrir cualquier tipo de represalia en el contexto laboral.

¿Qué personas están protegidas por la Ley?

La ley protege a los informantes que trabajen en el sector público y privado, y que hayan obtenido información sobre infracciones del derecho de la Unión Europea, en un contexto laboral o profesional.

También están incluidos los informantes que hayan obtenido la información en el marco de una relación laboral ya finalizada, voluntarios, becarios, trabajadores en periodo de formación, así como a aquellos cuya relación laboral todavía no haya comenzado (en los casos en los que la información sobre infracciones haya sido obtenida durante el proceso de selección o negociación precontractual).

¿A quién aplica? ¿Tu empresa está obligada a cumplir con esta normativa?

En el sector privado, la normativa aplica a las personas físicas o jurídicas que tengan contratadas a 50 o más trabajadores. Las personas jurídicas con entre 50 y 249 trabajadores pueden compartir el sistema con otras entidades que cumplan con los requisitos establecidos por la ley.

También están obligados por la normativa los partidos políticos, sindicatos, organizaciones empresariales y fundaciones financiadas con fondos públicos, así como las personas jurídicas que ya estuvieran obligadas por la “Directiva Whistleblowing».

En el sector público, todas las entidades están obligadas a tener un Sistema Interno de Información (independientemente del número de integrantes). Sin embargo, en casos específicos, como los municipios con menos de 10.000 habitantes o las entidades vinculadas o dependientes de órganos de las administraciones territoriales, pueden compartir el sistema con otros organismos, siempre y cuando se garantice la independencia y no se genere confusión para los ciudadanos.

¿Cuáles serán sus obligaciones?

Principalmente, los sujetos obligados por la normativa tendrán que implantar un Sistema Interno de Información. A través de este sistema, debe ser posible la comunicación por diferentes vías sobre las infracciones previstas en el ámbito de aplicación de la Ley 2/2023, garantizando la confidencialidad de todos los datos e informaciones que consten en la comunicación.

El sistema de información deberá contar con un responsable y con un procedimiento de gestión de comunicaciones. Además, los sujetos obligados deberán informar y formar a los empleados sobre sus derechos y obligaciones al respecto. Aquí se incluyen las medidas de protección del denunciante establecidas en la organización, así como de los canales internos y externos de comunicación que tienen a su disposición.

¿Es obligatorio nombrar un DPO?

Aunque el anteproyecto de la Ley establecía esta obligación, en el texto actual de la Ley 2/2023, solo se obliga a la Autoridad Independiente de Protección del Informante (AAI) y a las autoridades independientes que se constituyan a nombrar un Delegado de Protección de Datos (DPO). En consecuencia, se ha eliminado la obligación de designar un DPO para aquellas entidades que deben contar con un Sistema Interno de Información, por el mero hecho de ser un sujeto obligado. Las organizaciones deberán analizar si tienen la obligación de designar un DPO teniendo en cuenta los criterios establecidos en RGPD y la LOPDgdd.

¿Quién debe gestionar el canal de comunicaciones?

La norma permite que la gestión de los Sistemas Internos de Información de forma interna o externa. Se puede externalizar la gestión del sistema de recepción de informaciones, siempre que la entidad en la que se externaliza garantice ser independiente, tratar la información de manera confidencial, y garantice el secreto de las comunicaciones y de los datos de carácter personal.

¿Existe la posibilidad de recibir una sanción por no cumplir con la Ley?

Se establecen diferentes categorías de infracciones: leves, graves y muy graves. El importe de la sanción varía, dependiendo de si la infracción ha sido cometida por una persona física o jurídica. En el caso de las personas físicas, las sanciones podrán llegar hasta los 300.000 euros, cuando se trata de infracciones muy graves. Si hablamos de personas jurídicas, pueden recibir multas de hasta 1.000.000 de euros, en el caso de infracciones muy graves. Para las infracciones más graves se prevén sanciones administrativas adicionales, que podrán consistir en la prohibición de obtener subvenciones o beneficios fiscales, o la prohibición de contratar con el sector público, entre otras.

¿Cuál es el plazo establecido para implementar o adaptar el Sistema interno de información?

Desde que entró en vigor, la Ley ha establecido un plazo máximo de 3 meses para que las entidades obligadas implementen el Sistema interno de información, lo que significa que deben hacerlo antes del 13 de junio de 2023. Sin embargo, se ha establecido una excepción que permite una ampliación del plazo para las entidades del sector privado con menos de 249 trabajadores y para los municipios con menos de 10.000 habitantes, que tienen hasta el 1 de diciembre de 2023 para cumplir con esta obligación.

¿Necesitas asesoramiento personalizado sobre este tema? ¿Quieres crear un sistema interno de información y no sabes cómo? En Secure&IT podemos ayudarte. ¡Contacta con nosotros!

Juan Manuel Valiente, Responsable del Área Jurídica de Secure&IT

by