El 13 de marzo de 2023 entró en vigor la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Esta aprobación responde a la transposición de una directiva europea, concretamente la (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, también llamada la Directiva Whistleblowing. Esta directiva regula la necesidad de disponer de canales de información para dar a conocer infracciones normativas en el contexto laboral y qué requisitos tienen que tener para proteger correctamente al informante.
Por lo tanto, la principal finalidad de la Ley 2/2023 es proteger a las personas que informan sobre la vulneración del ordenamiento jurídico en el marco de una relación profesional.
Esta normativa tiene su origen en la colaboración ciudadana, en el derecho y deber que tiene una persona de poner en conocimiento la posible comisión de un delito o infracción y que se inicie una investigación al respeto. En el ordenamiento jurídico hay diferentes normativas que contienen esta previsión, como por ejemplo la Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales, sobre actuaciones contrarias a la normativa urbanística, o en relación a actividades que puedan perjudicar el medio ambiente o la conservación del patrimonio histórico y artístico, entre otros.
Aun así, es conocido que a menudo las personas que informan sobre estos hechos que pueden ser constitutivos de infracciones normativas, tienen que soportar graves consecuencias. Por este motivo, se considera fundamental regular un sistema de protección de estas personas informantes mediante el establecimiento de unos canales de información que les permita actuar con seguridad y confianza de no sufrir represalias, y esto es el que pretende esta ley.
A continuación haremos una compilación de las principales características de esta normativa.
¡Infórmate!
Te ayudamos a crear y gestionar tu canal de denuncias.
¿A qué obliga la normativa?
La normativa obliga todas las entidades de más de cincuenta personas trabajadoras a disponer de un sistema de información interno a través del cual la persona conocedora de una infracción pueda poner en conocimiento este hecho con la confianza de estar protegida ante futuras represalias. Por este motivo, la comunicación tiene que poder garantizar, entre otros, el anonimato de la persona informante.
Por otro lado, la ley también establece, además del sistema de información interno, un canal externo de información de la Autoridad Independiente de la Protección del Informante, el cual puede ser utilizado por todas las personas que quieran denunciar una vulneración de la ley y también tiene que garantizar su anonimato.
¿A quién protege?
La normativa contempla la protección de todas aquellas personas que tengan vínculos profesionales o laborales con entidades del sector público y privado. También incluye las personas que ya hayan finalizado su relación con la entidad, bien sean personas trabajadoras, voluntarias, en prácticas o en periodo de formación, y también se incluyen las que están inmersas en un proceso de selección.
Así mismo, la protección se extiende a otras personas físicas que hayan ayudado a la persona informante y a su entorno próximo, de forma que tampoco puedan sufrir represalias por esta denuncia.
¿Qué requisitos tiene que cumplir el sistema interno de información?
El órgano de gobierno de la entidad será el responsable de la implantación del sistema interno de información. Este tendrá que cumplir con unos requisitos mínimos, que son los siguientes:
- Permitir que todas las personas con relación profesional o laboral puedan comunicar información sobre las infracciones de las cuales sean conocedoras.
- Tiene que estar diseñado, establecido y gestionado de manera segura, para que garantice la confidencialidad y la identidad de la persona informante, así como de cualquier otra persona que se haya mencionado en la comunicación.
- Cumplir con la normativa de protección de datos respecto a todas las actuaciones que se puedan hacer, para evitar el acceso no autorizado a los datos personales.
- Permitir que las comunicaciones se puedan hacer de manera verbal o por escrito. También se podrá pedir una reunión presencial.
- Integrar los diferentes canales internos de información que pueda haber a la entidad (compliance, ético…, etc.).
- Garantizar que las comunicaciones presentadas se puedan tratar de manera efectiva dentro del órgano de gobierno o marco de la entidad.
- Mantener la independencia.
- Contar con una persona responsable del sistema.
- Disponer de una política o estrategia que contenga los principios generales en materia de sistemas internos de información y protección del informante, y que esta sea compartida dentro de la entidad a fin de que todo el mundo la conozca.
- Tener un procedimiento de gestión de las informaciones recibidas.
- Establecer garantías para la protección de las personas informantes.
¿Cómo se tiene que gestionar el canal?
El sistema de gestión interno se puede llevar a cabo dentro de la entidad o acudiendo a una organización tercera. La gestión externalizada requiere que se cumplan las garantías de independencia, confidencialidad, protección de datos y secreto de las comunicaciones.
Las entidades tienen que proporcionar la información para utilizar el canal de manera adecuada y accesible. Para lo cual, hay que informar de las cuestiones principales relativas a la gestión de las comunicaciones. Si esta información se incluye en el sitio web, este contenido tendrá que constar en la página de inicio, en una sección separada e identificable.
Una cuestión a tener en cuenta es que las entidades entre 50 y 249 personas trabajadoras, pueden compartir el sistema interno de información, así como los recursos destinados a la gestión y tramitación de las comunicaciones. Se permite que la gestión la lleve una de las entidades o bien externalizarla. En todo caso, el sistema tiene que garantizar el cumplimiento de la ley.
¿Qué entidades tienen que cumplir la normativa?
La ley es de obligatorio cumplimiento para todas las entidades con sede social en el Estado español con más de cincuenta personas trabajadoras y para las que, a pesar de no tener el domicilio social en el Estado español, desarrollen actividad, bien sea a través de una delegación o incluso sin establecimiento permanente.
¿Qué fechas se tienen que tener en cuenta?
Las entidades con más de 250 personas trabajadoras tienen que tener implementado el sistema interno de información en un plazo de tres meses desde la entrada en vigor de la ley. Por lo tanto, la fecha máxima es el día 13 de junio de 2023.
Las entidades que tienen entre 50 y 249 personas trabajadoras disponen de un plazo que finaliza el 1 de diciembre de 2023.
Suport Tercer Sector te ayuda
Desde Suport Tercer Sector estamos trabajando para ofreceros en breve una herramienta para implementar vuestro Canal de Denuncias o Sistema Interno de Información.
Además, estamos a vuestra disposición para cualquier duda o asesoramiento que necesitéis al respeto.
Fuente: Xarxanet (redactado por el equipo de Suport Tercer Sector)