Afecta a empresas con más de 50 trabajadores, así como a las organizaciones empresariales y fundaciones creadas por ellos que reciban fondos públicos.
Las empresas con más de 50 trabajadores y las organizaciones empresariales que reciban fondos públicos tienen desde este 13 de marzo de 2023 entre 3 y 9 meses para crear un buzón de denuncias anónimo que permita informar sobre infracciones graves desde el anonimato y con confidencialidad.
Así lo establece la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que busca facilitar que las personas que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones de Derecho de la UE o de carácter penal o administrativo grave en un contexto laboral o profesional puedan informar.
La norma obliga a establecer un sistema interno de información, que debe incluir, entre otras cuestiones, un canal interno de información y la implantación de una serie de políticas de gestión y responsabilidad.
Establece la creación de la Autoridad Independiente de Protección al Informante, con potestades sancionadoras en esta materia y con responsabilidades de gestión del canal externo de denuncias que también crea la ley, así como de las medidas de apoyo a los informantes, entre otras funciones.
¿Quiénes están obligados a disponer del Sistema Interno de Información?
En el ámbito privado:
- Personas físicas o jurídicas que tengan contratados 50 o más trabajadores.
- Personas jurídicas que entren en el ámbito de aplicación del Derecho comunitario en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte o protección del medio ambiente.
- Partidos políticos, sindicatos, así como las organizaciones empresariales y fundaciones creadas por ellos que reciban fondos públicos.
En el sector público:
- Administraciones estatales, autonómicas y locales, así como sus organismos o entidades dependientes.
- Autoridades administrativas independientes, el Banco de España, y las entidades gestoras y servicios comunes de la Seguridad Social.
- Universidades públicas.
- Corporaciones de Derecho Público.
- Fundaciones del sector público.
- Sociedades mercantiles participadas mayoritariamente por alguna de las entidades enumeradas anteriormente.
- Órganos constitucionales, los de relevancia constitucional e instituciones autonómicas análogas a los anteriores.
Plazos
La implementación del sistema debe ser completada antes del 13 de junio de 2023, sin embargo, la fecha se amplía hasta el 1 de diciembre de 2023 para las empresas privadas con menos de 250 empleados y los municipios con menos de 10.000 habitantes.
Gestión del sistema
El Sistema de Información debe asegurar la privacidad y la seguridad de la identidad del denunciante y de otras personas implicadas.
Respecto a la implantación del Sistema interno de información, la responsabilidad recae en el órgano de administración o de gobierno de cada entidad, que deberá seguir un trámite de consulta con la representación legal de las personas trabajadoras y tendrá la condición de responsable del tratamiento de los datos personales.
Para la gestión del sistema, las entidades tendrán que contar con un responsable del sistema interno de información, que deberá cumplir los siguientes requisitos:
- Ser específicamente designado por el órgano de administración o de gobierno.
- En caso de optarse por que el responsable del sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros la gestión del sistema y la tramitación de los expedientes de investigación.
- Deberá gozar de plena independencia y autonomía respecto del resto de los órganos de la entidad.
En el sector privado, deberá ser un directivo de la entidad que ejercerá su cargo con independencia del órgano de administración o de gobierno de la misma, si bien podrá coincidir en la persona responsable de la función de cumplimiento normativo.
Canal interno de información
Debe permitir la presentación de información por escrito (por correo postal o vía electrónica), verbalmente (por teléfono o mensajería de voz) o de las dos formas.
A solicitud del informante, también podrá presentarse mediante reunión presencial dentro del plazo de 7 días.
Las comunicaciones verbales deben documentarse, previo consentimiento del informante: a través de una grabación o transcripción completa. De igual manera, se debe permitir la presentación y posterior tramitación de comunicaciones anónimas.
Las entidades que cuenten con una página web deberán incluir en su página de inicio, en una sección separada y fácilmente identificable, información clara y accesible sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión.
De igual manera, los sujetos obligados deberán disponer de un libro-registro de las comunicaciones recibidas y las de investigaciones realizadas. Dicho registro no será público y únicamente podrán acceder a él los jueces y tribunales en el marco de un procedimiento judicial.
Los datos personales relacionados con las comunicaciones e investigaciones únicamente se conservarán durante el período que fuese necesario, que en ningún caso podrá superar los diez años.
Se prohíben expresamente los actos constitutivos de represalias, incluidas las amenazas.
Se prevé la adopción de medidas de apoyo a los informadores, como la ayuda de las autoridades pertinentes, ayuda legal en procesos penales y civiles transfronterizos y, en situaciones excepcionales, asistencia económica y soporte psicológico. El derecho a la asistencia legal gratuita para quien informe sobre infracciones y la lucha contra la corrupción se respetará si el informante tiene ingresos menores a 4 veces el IPREM.
Autoridad Independiente de Protección del Informante
Los detalles sobre las conductas y omisiones se pueden remitir a través del canal externo de notificación de la Autoridad Independiente de Protección del Informante, ya sea de forma directa o después de pasar por el canal interno. Esta tendrá que dar una respuesta en un plazo de tres meses con cualquiera de los siguientes pasos: archivar el caso; enviarlo al Ministerio Fiscal; transferir lo actuado a la autoridad apropiada o iniciar un procedimiento sancionador.
Además, su función es otorgar medidas de seguridad al informante y gestionar los procesos sancionadores. Las decisiones de la Autoridad de Protección de Informantes concluyen el proceso administrativo y sólo pueden ser recurridas ante la jurisdicción judicial.
Sanciones y multas
En caso de incumplimiento o implementación deficiente de los sistemas de información, las entidades podrían enfrentarse a sanciones:
- Las infracciones se clasifican en leves, graves y muy graves, pudiendo ser sancionadas con multas que van desde los 1.000 hasta los 300.000 euros, en caso de ser cometidas por personas físicas, o hasta 1.000.000 euros, si se cometen por personas jurídicas.
- En caso de infracciones muy graves se puede acordar una amonestación pública; la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de 4 años o la prohibición de contratar con el sector público durante un plazo máximo de 3 años.
Además, las sanciones de cuantía igual o superior a 600.001 € podrán ser publicadas en el BOE.