Compliance

Anteproyecto Ley Whistleblower

16/03/22

Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

El presente artículo tiene por objeto comentar los principales aspectos del anteproyecto de Ley que transpone la Directiva (UE) 2019/1937, de 23 de octubre de 2019, y que regula la protección efectiva de los ciudadanos que informen sobre vulneraciones del ordenamiento jurídico.

 

1. Ámbito material de aplicación

 

La ley protege a las personas físicas que informen de:

  • Acciones u omisiones que puedan constituir infracciones del Derecho de la Unión Europea siempre que entren dentro del ámbito de aplicación de los actos de la Unión enumerados en el Anexo de la Directiva (UE) 2019/1937.
  • Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave que afecten o menoscaben directamente el interés general, y no cuenten con una regulación específica.

Esta protección no será de aplicación a las informaciones que afecten a información clasificada o las que resulten de las obligaciones del deber de confidencialidad de médicos, abogados y FFCCSE.

 

2. Ámbito personal de aplicación

 

Se aplicará a aquellos informantes que trabajen en el sector público o privado (empleados públicos, trabajadores por cuenta ajena, autónomos, accionistas, administradores, directivos, etc.) y que comuniquen o revelen información sobre infracciones, ya sea en el marco de una relación laboral o estatutaria, con independencia de que exista remuneración o no, o de que haya comenzado o acabado la relación laboral.

 

3. Entidades obligadas

 

(a) Sector privado:

  • Personas físicas o jurídicas con 50 o más trabajadores contratados [1].
  • Personas jurídicas que entren en el ámbito de aplicación de actos de la UE en materia de servicios, productos o mercados financieros, PBC/FT, seguridad del transporte y protección del medio ambiente.
  • Personas jurídicas sin domicilio social en España, pero que desarrollen actividades aquí mediante sucursales o agentes.
  • Partidos políticos, sindicatos, patronales y fundaciones creadas por unos y otros y que reciban o gestionen fondos públicos

(b) Sector público:

  • Administración Gral. Del Estado, CCAA y Administración Local [2].
  • Los Organismos y Entidades públicas vinculadas o dependientes de alguna Administración pública [3].
  • Las Autoridades Administrativas Independientes y las Entidades gestoras y Servicios comunes de la Seguridad Social.
  • Las Universidades públicas.
  • Las Corporaciones de Derecho público.
  • Las fundaciones del sector público.
  • Las sociedades mercantiles en cuyo capital social la participación, directa o indirecta, de entidades mencionadas anteriormente, sea superior al 50%.
  • La Casa de Su Majestad el Rey, los órganos constitucionales e instituciones autonómicas análogas creadas por los correspondientes Estatutos de Autonomía.

 

4. ¿Cómo debe ser un sistema interno de información?

 

Debe permitir a las personas (ámbito personal) comunicar las infracciones cometidas en el ámbito material anteriormente descrito, garantizando la confidencialidad del informante y de las actuaciones que se desarrollen.

El sistema debe permitir las comunicaciones por escrito (correo postal o medio electrónico) y/o verbalmente (vía telefónica o mensajería de voz); a petición del informante podrá presentarse mediante reunión presencial (grabada e informando del tratamiento de datos).

Los canales de comunicación (internos y externos) deben permitir la presentación y tramitación de comunicaciones anónimas.

El sistema debe ser independiente y estar diferenciado del resto de sistemas internos de información, así como contar con políticas de información y defensa del informante y un procedimiento de gestión de comunicaciones recibidas.

Debe existir un responsable del sistema que desarrollará sus funciones de forma independiente y autónoma del resto de órganos de la organización.

Es posible la externalización de la gestión del sistema en un tercero siempre que se garantice la independencia, confidencialidad, protección de datos y el secreto, teniendo el tercero externo, la consideración de encargado del tratamiento a efectos de LOPD.

 

5. Procedimiento de gestión de comunicaciones

 

  • Informante: Es necesario enviar acuse de recibo en el plazo de 7 días naturales siguientes a su recepción, informarle de las acciones u omisiones que se le atribuye, ser oído en cualquier momento, solicitarle información adicional
  • Personas investigadas: Presunción de inocencia, derecho al honor y a ser oído.
  • Duración: la investigación no podrá ser superior a 3 meses, salvo en casos de especial complejidad que podría llegar a los 6 meses.
  • Se debe informar de forma clara y de manera accesible sobre los canales externos de las autoridades competentes, así como las vías de recurso y procedimientos de protección frente a represalias y la disponibilidad de asesoramiento confidencial.
  • Los sujetos obligados deben contar con un libro registro de las comunicaciones e investigaciones realizadas.

 

6. Medidas de protección

 

Las medidas de apoyo serán prestadas por la Autoridad Independiente de Protección al Informante:

  • Prohibición de represalias, incluidas amenazas y tentativas de represalias, no considerándose que se haya infringido restricción de revelación de información.
  • Medidas de apoyo; información y asesoramiento integral accesible y gratuito, asistencia efectiva frente a represalias, apoyo financiero y psicológico (este último, tras valoración de la AIPI)
  • Medidas de protección de las personas investigadas; presunción de inocencia, derecho de defensa y acceso al expediente, preservación de identidad y confidencialidad de los hechos y datos del procedimiento.
  • Programas de clemencia, existe la posibilidad de eximir del cumplimiento de una sanción administrativa a la persona que informe de la existencia de una infracción administrativa, siempre que se den los siguientes requisitos:
    • Haber cesado la infracción en el momento de la comunicación
    • Haber cooperado plena, continua y diligentemente a lo largo de todo el procedimiento de investigación.
    • Haber facilitado información veraz y relevante, medios de prueba o datos significativos para la acreditación de los hechos investigados, sin que haya procedido a la destrucción de estos o a su ocultación, ni revelado a terceros.
    • Haber procedido a la reparación del daño causado que le sea imputable.

Si se cumple alguno de ellos únicamente podrá atenuarse la sanción.

 

7. Protección de datos personales

 

  • Información a los interesados y ejercicio de sus derechos: además de la información establecida en el RGPD; se les informará de forma expresa, de que su identidad será en todo caso reservada, informándoles a su vez sobre los canales externos de información ante las autoridades competentes y, en su caso, ante las instituciones, órganos u organismos de la Unión Europea.
  • Tratamiento de datos personales: únicamente tendrán acceso a los datos personales contenidos en los Sistemas internos de información, el responsable del Sistema y quien lo gestione directamente; el responsable de recursos humanos, cuando proceda la adopción de medidas disciplinarias contra un trabajador,  el responsable de los servicios jurídicos de la entidad u organismo, cuando proceda la adopción de medidas legales, los encargados del tratamiento de datos y en caso de existir, el Delegado de Protección de Datos.
  • Los datos podrán conservarse en el sistema durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados, en todo caso, transcurridos tres meses desde la recepción de la comunicación sin que se hubiesen iniciado actuaciones de investigación, deberá procederse a su supresión, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. En todo caso, no se pueden conservar por un período superior a 10 años.

 

8. Autoridad Independiente de Protección del Informante 

 

Es el órgano encargado de cumplir con la presenta Ley, se trata de una autoridad administrativa dependiente del Ministerio de Justicia, y que cuenta con un canal externo de comunicaciones, donde comunicar la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de la ley, ya sea directamente o previa comunicación a través del correspondiente canal interno.

Aunque está pendiente aún de aprobar su estructura, organización y funcionamiento interno, la AIPI se compone, de un Presidente de la Autoridad y una Comisión Consultiva. Funciones:

  • Gestión del canal externo de comunicaciones.
  • Adopción de las medidas de protección al informante.
  • Participar en el proceso de elaboración de normas que afecten a su ámbito de competencias.
  • Tramitación de los procedimientos sancionadores e imposición de sanciones.

 

9. Régimen Sancionador 

 

El ejercicio de la potestad sancionadora corresponde a la Autoridad Independiente de Protección del Informante cuando las infracciones o el incumplimiento informado afecte o produzca sus efectos en el ámbito territorial de más de una comunidad autónoma.

El ejercicio de la potestad sancionadora corresponde a los órganos competentes de las Comunidades Autónomas cuando las infracciones sean cometidas en el ámbito del sector público autonómico y local del territorio de la correspondiente comunidad autónoma.

El importe de las sanciones puede llegar alcanzar el millón de euros para las personas jurídicas y de 300 mil euros para las personas físicas correspondientes a las infracciones muy graves (represalias, vulneración del deber de secreto, limitación de dchos. y garantías…), además se podrá acordar la amonestación pública, prohibición de obtener subvenciones (plazo máx. 4 años) y prohibición de contratar con el sector público (plazo máx. 3 años).

 

10. Plazo máximo para el establecimiento de sistemas internos de información y adaptación de los ya existentes 

 

  • Las Administraciones, organismos, empresas y demás entidades obligadas a contar con un sistema interno de informaciones deberán implantarlo en el plazo máximo de tres meses a partir de la entrada en vigor de la Ley.
  • En el caso de las entidades jurídicas del sector privado con menos de 249 trabajadores, el plazo previsto será hasta el 1 de enero de 2023.
  • Los canales y procedimientos de información externa existentes deberán adaptarse a las disposiciones a la Ley en el plazo máximo de seis meses a partir de su entrada en vigor.

 

11. Conclusiones 

 

El anteproyecto de ley sigue la línea marcada por la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, destacando, debido al carácter específico de la materia, la creación de la Autoridad Independiente de Protección del Informante y su canal externo por medio del cual, cualquier persona física podrá informar de infracciones directamente o tras haber acudido al canal interno correspondiente. Esta autoridad también podrá tramitar las informaciones que se reciban a través de su canal interno que afecten al ámbito competencial de aquellas comunidades autónomas que así lo decidan y suscriban el correspondiente convenio, y aquellas otras que no prevean órganos propios para canalizar las informaciones externas.

 

[1] Las personas jurídicas del sector privado que tengan entre 50 y 249 trabajadores y que así lo decidan, podrán compartir entre sí el sistema interno de información y los recursos destinados a la gestión y tramitación de las comunicaciones, tanto si la gestión del sistema se lleva a cabo por la propia entidad como si se ha externalizado.

[2] Los municipios de menos de 10.000 habitantes, entre sí o con cualesquiera otras Administraciones públicas que se ubiquen dentro del territorio de la comunidad autónoma, podrán compartir el sistema interno de información.

[3] Las entidades pertenecientes al sector público con personalidad jurídica propia vinculadas o dependientes de órganos de las Administraciones territoriales, y que cuenten con menos de 50 trabajadores, podrán compartir con la Administración de adscripción, el sistema interno de información.