La Directiva Whistleblowing ya se aplica en España

Tiempo de lectura: 7 min
Última actualización: 23 feb, 2023

Whistleblowing-in-the-Workplace-take-2

Los datos personales relativos a las informaciones recibidas solo se conservarán durante el período que sea necesario En ningún caso podrán conservarse los datos por un período superior a diez años.

Atendiendo a su definición literal en inglés, whistleblowing significa silbato (whistle) y soplar (blow), por lo que alude al sonido que hace un silbato cuando es soplado. Se trata de una metáfora respecto de una llamada de atención o de una queja dentro de una organización. En España como consecuencia de la Directiva, se ha publicado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

La Directiva Whistleblowing surgió, como normativa de la Unión Europea, 2019/1937 del 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. En ella se establece un marco jurídico común y armonizado como una forma de unificar las diferentes  legislaciones y normas internas (de las organizaciones) existentes, estableciendo la obligatoriedad de la incorporación de los canales de denuncia de los incumplimientos por parte de los trabajadores de una empresa, tanto públicas como privadas, que tengan más de 50 trabajadores, protegiendo de este modo la figura del denunciante, tanto si estos se detectan en la propia organización como en terceros vinculados a la misma. La ley no solamente se centra en proteger a trabajadores, sino que abarca también a accionistas, inversores, miembros de órgano de administración, trabajadores en prácticas, personal subcontratado, proveedores. Y, al mismo tiempo, protege a terceros relacionados con el informante en cuestión, con independencia del número de empleados, se obliga a contar con un Sistema Interno de Información a todos los partidos políticos, sindicatos, organizaciones empresariales, así como a las fundaciones que de los mismos dependan, siempre que reciban fondos públicos para su financiación.

Hay que recordar que España ya empezó a regular estos canales a través de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. El artículo 24 de la LOPDGDD vino por vez primera a confirmar la posibilidad de que las empresas privadas pudieran crear y mantener canales de denuncia. La ISO 37002 sobre Sistemas de Gestión de las Denuncias de Irregularidades, es la herramienta que permite a cualquier empresa implantar un canal de denuncias efectivo.

La información se podrá realizar por escrito, a través de correo postal o a través de cualquier medio electrónico habilitado al efecto dirigido al canal externo de informaciones de la Autoridad Independiente de Protección del Informante, A.A.I., o verbalmente, por vía telefónica o a través de sistema de mensajería de voz. A solicitud del informante, también podrá presentarse mediante una reunión presencial, dentro del plazo máximo de siete días.

La finalidad de la norma es la de proteger a las personas que en un contexto laboral o profesional detecten infracciones penales o administrativas graves o muy graves y las comuniquen mediante los mecanismos regulados en la misma.

Por lo que se refiere a su ámbito de aplicación, además de proteger a quienes informen sobre las infracciones del Derecho de la Unión previstas en la Directiva del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, esta ley abarca también las infracciones penales y administrativas graves y muy graves de nuestro ordenamiento jurídico.

Se ha considerado necesario, por tanto, ampliar el ámbito material de la Directiva a las infracciones del ordenamiento nacional, pero limitado a las penales y a las administrativas graves o muy graves para permitir que tanto los canales internos de información como los externos puedan concentrar su actividad investigadora en las vulneraciones que se considera que afectan con mayor impacto al conjunto de la sociedad.

Registro de Informaciones

Todos los sujetos obligados, de acuerdo con lo dispuesto en esta ley, a disponer de un canal interno de informaciones, con independencia de que formen parte del sector público o del sector privado, deberán contar con un libro-registro de las informaciones recibidas y de las investigaciones internas a que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en esta ley.

Este registro no será público y únicamente a petición razonada de la Autoridad judicial competente, mediante auto, y en el marco de un procedimiento judicial y bajo la tutela de aquella, podrá accederse total o parcialmente al contenido del referido registro.

Los datos personales relativos a las informaciones recibidas y a las investigaciones internas a que se refiere el apartado anterior solo se conservarán durante el período que sea necesario y proporcionado a efectos de cumplir con esta ley. En particular, se tendrá en cuenta lo previsto en los apartados 3 y 4 del artículo 32. En ningún caso podrán conservarse los datos por un período superior a diez años.

¿Quiénes están obligado?

 La presente ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional.

 Empresas privadas:

a) Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.

b) Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.

c) Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.

d) Las personas jurídicas del sector privado que no estén vinculadas por la obligación impuesta en el apartado 1 podrán establecer su propio Sistema Interno de Información, que deberá cumplir, en todo caso, los requisitos previstos en esta ley.

 Sector público:

a) La Administración General del Estado, las Administraciones de las comunidades autónomas, ciudades con Estatuto de Autonomía y las entidades que integran la Administración Local.

b) Los organismos y entidades públicas vinculadas o dependientes de alguna Administración pública, así como aquellas otras asociaciones y corporaciones en las que participen Administraciones y organismos públicos.

c) Las autoridades administrativas independientes, el Banco de España y las entidades gestoras y servicios comunes de la Seguridad Social.

d) Las universidades públicas.

e) Las corporaciones de Derecho público.

f) Las fundaciones del sector público.

 La comisión de infracciones previstas en esta ley llevará aparejada la imposición de las siguientes multas:

a) Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.

b) Si son personas jurídicas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves.

Para más información, visite www.deletetechnology.com para conocer sobre nuestros productos y servicios.

Autor,

Rafael Chust Calero | Director Delete Technology España y Portugal