Diez preguntas claves sobre cómo adaptar los canales de denuncias al Anteproyecto de Ley del Gobierno

Acaba de ser publicado el Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, elaborado por el Gobierno.

En este artículo  vamos a definir los elementos claves que definen los canales de denuncia en el mencionado anteproyecto

1.- ¿NUEVOS TÉRMINOS?

El anteproyecto recoge una nueva nomenclatura para el conocido “Canal de denuncias” que adquiere la denominación de Sistema Interno de Información y el “denunciante” pasa a ser “informante”.

2.- ¿CUÁLES SON LAS ENTIDADES PRIVADAS OBLIGADAS A IMPLEMENTAR EL SISTEMA INTERNO DE INFORMACIÓN?

El texto normativo habla de empresas de 50 o más trabajadores: se incluyen entidades que no tengan su domicilio en territorio nacional pero desarrollen en España actividades a través de sucursales, agentes o mediante prestación de servicios sin establecimiento permanente.

También están obligadas los Partidos políticos y sindicatos, así como patronales y fundaciones creadas por los anteriores siempre que reciban o gestionen fondos públicos.

Junto a ellas empresas de menos de 50 trabajadores que implementen o tengan implementados canales éticos o de denuncias (por ejemplo, sujetos obligados en materia de prevención del blanqueo de capitales, empresas que tengan implementado un modelo de prevención de delitos, etcétera).

3.- ¿CÓMO FUNCIONA EN LOS GRUPOS DE EMPRESAS?

La sociedad dominante deberá aprobar una política general relativa al Sistema Interno de Información y se asegurará de que sea aplicado en todas las entidades que la integren, sin perjuicio de la autonomía de cada sociedad en relación con el respectivo sistema de gobierno corporativo y de las adaptaciones a la ley aplicable en cada caso.

Al mismo tiempo, el responsable del Sistema Interno de Información puede ser uno para todo el grupo o bien uno para cada sociedad integrante del mismo.

Es admisible el intercambio de información entre Responsables del Sistema de un mismo grupo de empresas.

4.- ¿QUÉ DEBE HACER LA EMPRESA PARA CUMPLIR CON SU OBLIGACIÓN?

Se trata de implementar un Sistema Interno de Información que permita tramitar las comunicaciones que realicen los Informantes, previa consulta con la representación legal de las personas trabajadoras.

Al mismo tiempo, hay que nombrar al responsable del Sistema Interno de Información por parte del órgano de Administración. Si fuera nombrado un órgano colegiado, éste deberá delegar en uno de sus miembros las facultades de gestión del Sistema.

El siguiente paso es comunicar a la Autoridad Independiente de Protección del Informante (entidad pública que no existe por el momento) el nombramiento (y el cese cuando se dé) del responsable interno de Información.

Hay que decidir si la gestión del sistema se llevará internamente por el responsable del Sistema Interno de Información o bien se contratará a un gestor externo.

Es importante desarrollar un protocolo que regule el funcionamiento del Sistema Inferno de Información conforme a la legalidad vigente.

Hay además que comunicar y formar a los trabajadores sobre el Sistema Interno de Información

Comunicar externamente el Sistema Interno de Información. En caso de contar la empresa con página web debe publicarse en la página de inicio, en una sección separada y fácilmente identificable.

Es necesario contar con un libro-registro de las comunicaciones recibidas y de las investigaciones internas a que hayan dado lugar.

También es importante nombrar a un delegado de protección de datos (DPO) en caso de no disponer de uno. O incluir el tratamiento llevado a cabo en el Sistema Interno de Información dentro de las competencias del DPO existente en la entidad.

5.- ¿QUIÉN DEBE SER EL RESPONSABLE DEL SISTEMA INTERNO DE INFORMACIÓN?

Debe ser un alto directivo de la entidad que asuma exclusivamente dichas funciones y que ejerza su cargo con independencia del órgano de administración.

Cuando la naturaleza o dimensión de la entidad no justifique lo anterior, podrá ser desempeñado el cargo por persona que tenga otro cargo y funciones en la entidad.

En las entidades en que exista un responsable de Cumplimiento Normativo, entre los que se encuentra el «Compliance Officer», podrá ser ésta la persona designada.

6.- ¿QUIÉN PUEDE INFORMAR?

Informantes que trabajen en el sector privado y que hayan obtenido información sobre infracciones en un contexto laboral o profesional (trabajadores por cuenta ajena, autónomos, accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de la empresa, incluidos los miembros no ejecutivos).

Informantes que comuniquen información sobre infracciones obtenidas en el marco de una relación laboral o estatutaria ya finalizada, voluntarios, becarios, trabajadores en periodos de formación, así como aquellos cuya relación laboral todavía no haya comenzado.

7.- ¿CÓMO DEBE SER EL SISTEMA INTERNO DE INFORMACIÓN?

Debe permitir la presentación de comunicaciones por escrito (correo postal, medio electrónico habilitado) y/o verbalmente (teléfono o sistema de mensajería de voz) y mediante reunión presencial. Las comunicaciones verbales deberán documentarse mediante grabación con consentimiento o transcripción escrita y firmada.

Al mismo tiempo debe permitir la presentación de comunicaciones anónimas e integrar los distintos canales internos de comunicación que existan en la empresa

Otra cuestión que debe es garantizar la confidencialidad de la identidad del informante, de las personas mencionadas en la comunicación y de las actuaciones que se desarrollen en la gestión y tramitación.

Al mismo tiempo debe cumplir con todas las previsiones en materia de Protección de Datos.

8.- ¿CUÁLES SON LOS PLAZOS ESTABLECIDOS?

En primer lugar, debe enviarse un acuse de recibo de la comunicación al informante en el plazo máximo de 7 días desde la recepción de la denuncia.

La investigación interna tiene un plazo máximo de tres meses desde la recepción de la comunicación,  prorrogable otros tres meses en casos de especial complejidad.

Los datos personales relacionados con las comunicaciones y las investigaciones podrán conservarse un plazo máximo de 10 años.

9.- ¿QUÉ SUCEDE SI MI EMPRESA NO CUMPLE CON ESTA OBLIGACIÓN?

A la Autoridad Independiente de Protección del Informante se le atribuye potestad sancionadora. El Anteproyecto no establece la sanción aplicable al incumplimiento de la obligación de tener un canal de denuncias siendo sujeto obligado, pero sí regula sanciones a imponer a las empresas en caso de incumplir con las obligaciones que establece el anteproyecto para la gestión y tramitación de las denuncias.

Las sanciones previstas son:

Eso significa poder sufrir multas de hasta 1.000.000 euros en caso de infracciones muy graves.

Adicionalmente puede imponerse amonestación pública, prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de 4 años y la prohibición de contratar con el sector público durante un plazo máximo de tres años.

Publicación de las sanciones superiores a 600.000 euros en el Boletín Oficial del Estado.

10.- ¿QUÉ PLAZO TENGO PARA ADAPTARME A LA NORMATIVA?

Cuando se publique el texto legal definitivo las empresas dispondrán del plazo de 3 meses desde su entrada en vigor.

Para las empresas de menos de 249 trabajadores el plazo se extenderá hasta el 1 de enero de 2023.