Contacta gratis

Consideraciones para las empresas en torno a la vigente Ley 2/2023, de 20 de febrero, que regula la protección de las personas que informan sobre infracciones normativas y de lucha contra la corrupción

¿QUÉ FINALIDAD TIENE ESTE LEY?

1º. Otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones a que se refiere el artículo 2, a través de los procedimientos previstos en la misma.

2º. Fortalecer la cultura de la información, las infraestructuras de integridad de las organizaciones y el fomento de la cultura de la información o comunicación como mecanismo para prevenir y detectar amenazas al interés público.

¿NO ES UN EUFEMISMO HABLAR DE INFORMACIONES CUANDO SE QUIERE DECIR DENUNCIAS?

La expresión «alertadores» ha sido acogida en algunos ordenamientos como el francés. En la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, se emplea el término «denunciantes», y en esta ley se ha optado por la denominación «informante».

Asimismo, se ha optado por emplear los términos «informaciones» y «comunicaciones» indistintamente para, de acuerdo con una redacción gramatical y sintáctica adecuada, evitar repeticiones, pero en puridad se trata de denuncias atendiendo al objeto de las informaciones (infracciones penales o administrativas graves o muy graves).

¿QUÉ ENTIDADES DEL SECTOR PRIVADO ESTÁN OBLIGADAS A IMPLEMENTAR UN SISTEMA  INTERNO DE INFORMACION.?

Estarán obligadas a disponer un Sistema interno de información en los términos previstos en esta ley:

  1. Las personas físicas o jurídicas del sector privado que tengan contratados cincuenta o más trabajadores.
  2. Las personas jurídicas del sector privado que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, deberán disponer de un Sistema interno de información que se regulará por su normativa específica con independencia del número de trabajadores con que cuenten. En estos casos, esta ley será de aplicación en lo no regulado por su normativa específica.
  3. Se considerarán incluidas en el párrafo anterior las personas jurídicas que, pese a no tener su domicilio en territorio nacional, desarrollen en España actividades a través de sucursales o agentes o mediante prestación de servicios sin establecimiento permanente
  4. Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.

Las personas jurídicas del sector privado que no estén vinculadas por la obligación impuesta en el apartado 1 podrán establecer su propio Sistema interno de información, que deberá cumplir, en todo caso, los requisitos previstos en esta ley.

¿A QUIEN CORRESPONDE LA RESPONSABILIDAD DE DOTAR A LAS ENTIDADES OBLIGADAS DE UN SISTEMA INTERNO DE INFORMACIÓN CON LOS REQUISITOS QUE ESTABLECE LA  LEY.?

El   órgano de administración u órgano de gobierno de cada entidad es el responsable de la implantación del Sistema interno de información, previa consulta con la representación legal de las personas trabajadoras, y quien tendrá la condición de responsable del tratamiento de los datos personales de conformidad con lo dispuesto en la normativa sobre protección de datos personales.

¿CUÁL ES EL OBJETO DE LA INFORMACIÓN  A QUE SE DEBE DESTINAR EL SISTEMA INTERNO DE INFORMACIÓN?

  1. Cualesquiera acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea en materias como la contratación pública, Servicios, productos y mercados financieros, y prevención del blanqueo de capitales y la financiación del terrorismo, seguridad y conformidad de los productos, seguridad del transporte, protección del medio ambiente, protección frente a radiaciones y seguridad nuclear, Seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales, salud pública, protección de los consumidores, Protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información; o afecten a intereses financieros de la Unión, o Incidan en el mercado interior, incluidas las infracciones de las normas de la Unión Europea en materia de competencia y ayudas otorgadas por los Estados, así como las infracciones relativas al mercado interior en relación con los actos que infrinjan las normas del impuesto sobre sociedades o con prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o la finalidad de la legislación aplicable al impuesto sobre sociedades.
  1. Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social.
  1. Cualesquiera otras informaciones como las relativas a incumplimientos de normas internas de la organización o al control de riesgos penales o de incumplimientos normativos.

¿A QUE PERSONAS SE DEBE PERMITIR EL ACCESO AL SISTEMA INTERNO DE INFORMACION?

  1. las personas que tengan la condición de empleados o trabajadores por cuenta ajena;
  • los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de la organización, incluidos los miembros no ejecutivos;
  •  cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
  •  También a quienes  comuniquen o revelen públicamente información sobre infracciones obtenida en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación con independencia de que perciban o no una remuneración, así como a aquellos cuya relación laboral todavía no haya comenzado, en los casos en que la información sobre infracciones haya sido obtenida durante el proceso de selección o de negociación precontractual.

¿Se trata de un concepto más restringido que el que veníamos manejando de los Stakeholders?

Si, porque el concepto de stakeholder incluye, desde clientes a la propia administración y hasta los ciudadanos de los lugares donde opera la entidad.

Y la ley solo obliga a aquellas personas que tienen una relación laboral o mercantil, o una relación al menos pre (candidatos a puestos de trabajo o a un contrato) o post contractual (ex trabajadores y ex contratistas de la entidad).

Sin embargo, nada obsta a que la entidad pueda abrir el abanico de denunciantes a otras personas que, eso sí, quedarían excluidas de las medidas expresas de amparo que otorga la ley a los denunciantes.

¿CUÁLES SON LOS ELEMENTOS QUE COMPRENDEN EL SISTEMA INTERNO DE INFORMACIÓN?

De lo dispuesto en la ley se infiere que los elementos que debe integrar el sistema interno de información son:

1º Un canal a través del cual se transmita la información, independiente y diferenciado, diseñado, establecido y gestionado de forma segura, que permita la presentación de denuncias o comunicaciones anónimas y respecto de las que no lo sean garantice la confidencialidad del informante o denunciante y de cualquier tercero mencionado en la comunicación

2º.- Una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y establezca las garantías para la protección de los informantes en el ámbito de la propia entidad.

3º. Un procedimiento de gestión de las informaciones o denuncias recibidas que establezca las garantías que, en el procedimiento, ostentan el informante o denunciante, la persona a que afecte la información o denunciado y las terceras personas nombradas en la misma.

4º. Un responsable del sistema designado por el órgano de gobierno de cada entidad, que deberá de desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad u organismo, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.

5º. Un libro-registro de las informaciones recibidas y de las investigaciones internas a que haya dado lugar, que cumpla con las exigencias en materia de protección de datos personales. 

¿PUEDE GESTIONARSE POR UN TERCER EXTERNO EL SISTEMA INTERNO DE INFORMACIÓN?

Entendida la gestión del sistema por la propia Ley como la recepción de informaciones, la misma prevé que la gestión puede encomendarse a un tercero externo.

¿QUÉ VENTAJAS TIENE ENCOMENDAR A UN TERCERO EXTERNO LA GESTIÓN DEL SISTEMA DE INFORMACIÓN?

Precisamente la gestión por un tercero externo del sistema puede suponer una garantía añadida para el informante de que la recepción de la información ofrezca mayores garantías de independencia,  confidencialidad, protección de datos y secreto de las comunicaciones.

En principio salvo acuerdo expreso, para ser corresponsable del tratamiento de datos personales, conforme a lo dispuesto en la normativa aplicable en materia de protección de datos personales, el gestor externo del sistema tendrá la consideración de encargado del tratamiento.

¿LAS ENTIDADES OBLIGADAS POR LA LEY TIENEN UN DEBER ESPECÍFICO DE INFORMACION EN RELACION A LOS CANALES DE INFORMACIÓN?

Si. Deben proporcionar información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión.

Además, deberán informar sobre los canales externos habilitados por las Administraciones.

En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.

¿LAS INFRACCIONES A LAS PREVISIONES LEGALES SOBRE LOS SISTEMAS DE INFORMACIÓN QUE SANCIONES PUEDEN CONLLEVAR?

La comisión de infracciones previstas en la ley pueden conllevar multas de 1001 para las infracciones leves hasta 300.000 € para las infracciones graves en el caso de personas físicas y de 100.000 € para las infracciones leves hasta un millón de euros para infracciones graves, en el caso de personas jurídicas.

¿CuálES SON LAS VENTAJA COMPETITIVAS DEL CANAL DE DENUNCIAS W3?

  • Canal de información independiente y diferenciado para la organización.
  • Posibilidad de utilización de forma anónima.
  • Posibilidad de registrar denuncias o consultas.
  • Posibilidad de adjuntar documentos y archivos multimedia en apoyo de la denuncia.
  • Diseñado, establecido y gestionado con las más altas cotas de seguridad:
  • Comunicación cifrada (https) con la aplicación.
  • Base de datos cifrada en el servidor.
  • Copias de seguridad con cifrado adicional.
  • Los servicios de hosting, gestión de copias de seguridad cifradas y restauraciones a través de SERESCO, SA, empresa especializada en soluciones de software a medida y en ciberseguridad, y cuyos sistemas de información se ajustan al Esquema Nacional de Seguridad, según certificación emitida por ENAC 
  • Supresión de datos personales  a los tres meses del registro de la denuncia.
  • Trazabilidad de la denuncia y registro a disposición del responsable del sistema interno y de las autoridades en los términos legalmente previstos
  • Respuesta a consultas por parte de expertos en la materia.
  • Revisión de la información por expertos antes de trasladar al responsable de información de la entidad.

Además a través de nuestro partner DEFENSA & COMPLIANCE S.L.P. ayudamos a nuestros clientes a elaborar e implantar  en su organización el resto de los elementos que integran el sistema interno de información: La política o estrategia que enuncie los principios generales en materia de sistemas interno de información y defensa del informante; el  procedimiento de gestión de las informaciones recibidas, así como las  garantías que la organización establece para la protección de los informantes y la elaboración del estatuto del responsable del sistema interno de información.

Consulta nuestra web www.w3compliance.com

ÚLTIMAS NOTICIAS

CONTACTO

¿HABLAMOS?

Puedes contactar con nosotros por correo electrónico, por teléfono o completando el formulario siguiente:

Los datos personales que nos facilite aquí (o que se generen posteriormente como consecuencia de nuestra relación con Ud.) serán incorporados a ficheros de los que es responsable W3 PREVENCION Y COMPLIANCE S.L. con domicilio en C/Emile Robin 1, 1º a, 33402-AVILÉS. Sus datos serán tratados para gestionar la solicitud que nos dirija a través de la pagina web para el cumplimiento, control y mantenimiento de la relación que nos une con Ud. o el cumplimiento por parte de W3 PREVENCIÓN Y COMPLIANCE S.L. de sus obligaciones legales. Podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiendo comunicación por escrito, debidamente firmada y acompañada de fotocopia del DNI o pasaporte, al departamento legal en el domicilio de antes indicado

©W3 Prevención y Compliance, S.L.