El pasado 21 de febrero fue publicada en el BOE, la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Según su primer artículo, la misma tiene por finalidad otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones allí reguladas, y el fortalecimiento de la cultura de la información.
En este blog, además de destacar los artículos generales, nos centraremos en las obligaciones de las entidades pertenecientes al sector privado y en su sistema interno de información, aunque también se regula en dicha Ley un canal externo de información de la Autoridad Independiente de Protección del Informante, A.A.I.
¿A quién protege esta Ley?
La Ley se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, refiriéndose no solo a los actuales trabajadores de las empresas o entidades, sino también a antiguos trabajadores e incluso personas que hayan tenido constancia de la infracción en el proceso de selección. De esta manera, se encuentran incluidos en todo caso:
- Los empleados públicos.
- Los trabajadores por cuenta ajena.
- Los trabajadores autónomos.
- Los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos.
- Cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
- Extrabajadores o exfuncionarios.
- Voluntarios, becarios o personas en tiempo de formación, con independencia de que perciban o no retribución.
- Personas participantes en procesos de selección, cuando se haya tenido conocimiento de las infracciones durante dicho proceso o en la negociación precontractual.
Además, también se encuentran protegidos por esta Ley, en caso de que proceda: (i) los representantes de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante; (ii) personas físicas que, en el marco de la organización en la que preste servicios el informante, le asistan en el proceso; (iii) personas físicas que estén relacionadas con el informante y que puedan sufrir represalias, como compañeros de trabajo o familiares del informante, y (iv) personas jurídicas, para las que trabaje o con las que mantenga cualquier otro tipo de relación en un contexto laboral o en las que ostente una participación significativa.
¿A que tipo de infracciones hace referencia?
La Ley, en su artículo 2, hace referencia al ámbito de aplicación de la Ley, y establece que protege a las personas físicas que informen sobre:
- Cualesquiera acciones u omisión que puedan constituir infracción del Derecho de la UE, siempre que: (i) entren dentro del ámbito de aplicación de los actos de la UE enumerados en el anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, (ii) afecten a los intereses financieros de la UE, o (iii) incidan en el mercado interior.
- Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave, entendiéndose, en todo caso, comprendidas, todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebrando económico para la Hacienda Pública y para la Seguridad Social.
¿Quiénes son lo sujetos obligados por esta Ley?
En el sector público, todas las entidades están obligadas a disponer de un sistema interno de información. Sin embargo, los municipios de menos de 10.000 habitantes pueden compartir dicho sistema y los recursos siempre que se encuentren dentro de una misma Comunidad Autónoma.
En el sector privado, están obligados a disponer del sistema interno de información que veremos más adelante:
- Los autónomos o sociedades del sector privado que tengan contratados 50 trabajadores o más.
- Las sociedades que entren en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente a que se refieren las partes I.B y II del anexo de la Directiva (UE) 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019.
- Los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos.
En casos de grupos de empresas se podrá aplicar una política general para todas ellas, y las empresas que tengan entre 50 y 249 trabajadores podrán compartir entre sí el sistema de información y los recursos destinados al mismo.
Sistema interno de información
Los órganos de administración, u órgano de gobierno de los sujetos obligados por esta Ley serán los responsables de la implantación de un Sistema Interno de Información, previa consulta con los representantes legales de los trabajadores.
Los requisitos de ese sistema son los siguiente:
- a) Permitir a todas las personas que pueden ser informantes comunicar información sobre las infracciones que detecten.
- b) Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de la misma, así como la protección de datos, impidiendo el acceso de personal no autorizado.
- c) Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
- d) Integrar los distintos canales internos de información que pudieran establecerse dentro de la entidad.
- e) Garantizar que las comunicaciones presentadas puedan tratarse de manera efectiva dentro de la correspondiente entidad u organismo con el objetivo de que el primero en conocer la posible irregularidad sea la propia entidad u organismo.
- f) Ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos.
- g) Contar con un responsable del sistema.
- h) Contar con una política o estrategia que enuncie los principios generales en materia de Sistemas interno de información y defensa del informante y que sea debidamente publicitada en el seno de la entidad u organismo.
- i) Contar con un procedimiento de gestión de las informaciones recibidas.
- j) Establecer las garantías para la protección de los informantes en el ámbito de la propia entidad u organismo.
La gestión del Sistema interno de información se podrá llevar a cabo dentro de la propia entidad u organismo o acudiendo a un tercero externo, que deberá ofrecer garantía adecuadas respecto a su independencia, confidencialidad, protección de datos y secreto de las comunicaciones.
Dentro de dicho Sistema, deberán estar regulados canales de información, esto es, vías para que las personas puedan comunicar de manera segura las infracciones. Los requisitos del canal de información vienen regulados en el artículo 7 de la Ley, y deberá permitir realizar comunicaciones por escrito o verbalmente, o de las dos formas.
También será necesario designar a una persona física que será la responsable de la gestión del sistema. Se puede optar por un órgano colegiado, pero, en este caso, deberá delegar en uno de sus miembros las facultades de gestión del sistema interno de información y de tramitación de expedientes. El citado nombramiento se deberá notificar a la Autoridad Independiente de Protección del Informante (A.A.I) o autoridades u órganos competentes de las CCAA, así como su cese (indicando razones), en el plazo de 10 días hábiles siguientes.
Existe una obligación de proporcionar la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.
En cuanto a la protección de los datos obtenidos directamente los interesados se les facilitará la información a que se refiere el Reglamento General de Protección de Datos, pero regula en el Título VI un régimen específico.
¿Qué plazo hay para implantar el Sistema Interno?
Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un Sistema interno de información deberán implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de esta ley, antes el 13 de junio 2023.
Sin embargo, las entidades jurídicas del sector privado con doscientos cuarenta y nueve trabajadores o menos, así como de los municipios de menos de diez mil habitantes, el plazo previsto en el párrafo anterior se extenderá hasta el 1 de diciembre de 2023.
Medidas de Protección
Las personas que comuniquen o releven infracciones, si cumplen los requisitos establecidos en el artículo 35 de la Ley, tendrán derecho a unas medidas de protección prestadas directamente por la Autoridad Independiente de Protección del Informante, A.A.I., cuando se trate de infracciones cometidas en el ámbito del sector privado y en el sector público estatal, y, en su caso, por los órganos competentes de las comunidades autónomas, respecto de las infracciones en el ámbito del sector público autonómico y local.
Dichas medidas comprenden las siguientes:
- Prohibición de represalias (art. 36).
- Medidas de apoyo (art. 37).
- Medidas de protección frente a represalias (ar. 38).
También se establecen medidas de protección para las personas afectadas por la comunicación, y es que, durante la tramitación del expediente tendrán derecho a la presunción de inocencia, al derecho de defensa y al derecho de acceso al expediente en los términos regulados en esta ley, así como a la misma protección establecida para los informantes, preservándose su identidad y garantizándose la confidencialidad de los hechos y datos del procedimiento.
Régimen Sancionador
Regulado en los artículos 60 a 68 establece que el ejercicio de la potestad sancionadora corresponde a la Autoridad Independiente de Protección del Informante, A.A.I., y a los órganos competentes de las comunidades autónomas
Las infracciones se clasifican en leves, graves y muy graves, sancionándose con multas entre 1.001 y 300.000 euros en el caso de las personas físicas y entre 100.000 y 1.000.000 de euros, si se trata de personas jurídicas, las que cometen la infracción. En determinados casos pueden atenuables estableciéndose incluso exenciones.
Si tienes dudas sobre si tu empresa se ve afectada por esta Ley o si no sabes como implementarla, en Surco Legal podemos ayudarte.