El pasado 21 de febrero se publicó en el BOE la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de luchas contra la corrupción. Esta norma entra en vigor el 13 de marzo de 2023 y otorga a las empresas un plazo de tres meses para adaptarse. El plazo se alargará unos meses para empresas con menos de 250 trabajadores, concretamente hasta el 1 de diciembre de 2023.

¿Qué finalidad tiene la Ley?

La Ley otorga una protección frente a las represalias a las personas físicas que informen sobre acciones u omisiones que puedan se constitutivas de infracción penal o administrativa grave o muy grave y que sucedan dentro de la empresa (pública o privada) donde prestan servicios.

La principal finalidad de trasponer la Directiva Europea 2019/1937, conocida como Directiva Whistleblowing, que obliga a los estados miembros a establecer canales para potenciar la colaboración ciudadana en la detención de infracciones normativas y luchas contra la corrupción.

¿A quien protege?

La protección se extiende a empleados, autónomos, participes, contratistas y subcontratistas, proveedores, becarios y asimilados, siempre que sean informantes de información sobre infracciones en un contexto laboral o profesional. Se extiende la protección a las personas que asistan al informante en el proceso y puedan sufrir represalias por ello.

¿A quién obliga?

1. Personas físicas o jurídicas del sector privado que tengan en plantilla más de 50 trabajadores.
2. Empresas relacionadas con servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
3. Cualquier organización que reciba fondos públicos por su actividad.
4. Grupos de sociedades que en conjunto cumplan con los requisitos anteriores.
5. Todas las entidades que integran el sector público.

¿Cuáles son las obligaciones?

1. Establecer un canal de denuncias:

La principal medida que deben implantar las empresas obligadas es la de establecer un canal interno de denuncias, que debe cumplir con los requisitos establecidos ampliamente en los artículos 4 y siguientes de la Ley.

Las características más destacables de este canal son, entre otras, las siguientes:

1. Debe permitir a todas las personas protegidas por la Ley denunciar eficazmente acciones u omisiones que pueden ser constitutivas de infracción penal o administrativa grave o muy grave y que estén relacionadas con la empresa.
2. Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de esta, así como la protección de datos, impidiendo el acceso de personal no autorizado.
3. Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
4. Permitir el anonimato y establecer todas las garantías de protección al informante.

Debe nombrarse un responsable del Sistema que deberá ser notificado a la Autoridad Independiente de Protección del Informante (A.A.I.). El responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.

  2. Diseñar y publicar un protocolo público de gestión de informaciones:

La empresa obligada proporcionará la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.

El protocolo establecerá las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en la ley.

Este documento a disposición de todos los interesados deberá identificar el sistema que el informante tiene a su disposición para establecer una denuncia, así como describir perfectamente su funcionamiento para que el denunciante tenga a salvo todos sus derechos y garantías.

   3. Nombrar un Delegado de Protección de Datos 

Se exige que las entidades obligadas a disponer de un Sistema interno de información cuenten con un delegado de protección de datos.

Cabe decir que existe cierta confusión en este punto, ya que la Ley no establece esta obligación de forma específica en el artículo 34 (cuando se establece la obligación de nombrar DPD a las A.A.I.). Sin embargo, el preámbulo de la Ley sí establece la existencia de esta obligación de forma expresa. Al parecer la obligación de nombrar DPD podría derivar de la regulación establecida en el título VI de la Ley, en cuanto a las medidas relativas a la protección de datos que debe implantar la empresa que tiene un canal de denuncias ( con todo lo que ello implica), y esto sería consecuencia directa de la aplicación del RGPD y la LOPDGDD al canal de denuncias. Veremos si es así o bien se trata de un error que puede ser corregido en los próximos meses.

    4. Prohibición de represalias

Se prohíben expresamente los actos constitutivos de represalias, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación conforme a lo previsto en la ley. Se incluye como represalia la suspensión del contrato, despido, daños reputacionales, coacciones, intimidación, evaluaciones negativas, listas negras, denegación de licencias y/o permisos, denegación de formación, discriminación en general o trato desfavorable o injusto.

¿Qué es la A.A.I?

Además de los canales internos a los que hemos hecho referencia, la Ley regula la creación de un organismo externo para gestión de denuncias, que es la Autoridad Independiente de Protección de Informante (A.A.I.).

¿Qué sanciones prevé la Ley frente al incumplimiento?

La Autoridad Independiente de Protección del Informante, A.A.I., ejercerá la potestad sancionadora por la comisión de infracciones.

La ley prevé el siguiente régimen sancionador:

1. Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 a hasta 300.000 euros por la comisión de infracciones muy graves.
2. Si son empresas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves

A modo de ejemplo, el no disponer del canal de denuncias se considerar una infracción muy grave, por lo que la sanción sería de entre 600.001 y 1.000.000 euros.

En caso de considerar o tener dudas de si le afecta la Ley, puede contactar con nosotros por los medios habituales. Actualmente contamos con los medios suficientes para ayudarles a implantar el canal de denuncias, diseñar el protocolo público o ser sus Delegados de Protección de Datos.