“La colaboración ciudadana resulta indispensable para la eficacia del Derecho, tal colaboración no sólo se manifiesta en el correcto cumplimiento personal de las obligaciones que a cada uno corresponden (…) sino que también se extiende al compromiso colectivo con el buen funcionamiento de las instituciones públicas y privadas.”
Así es como introduce su extenso Preámbulo la recién publicada en el BOE de 21 de febrero de 2023, Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que tras más de un año de retraso, viene a trasponer la Directiva Whisthleblower al ordenamiento jurídico español, para dar cumplimiento a la finalidad de otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones que puedan constituir infracciones del Derecho de la UE o que puedan ser constitutivas de infracción penal o administrativa grave o muy grave. La Ley entrará en vigor a los 20 días de su publicación en el BOE.
En entradas anteriores ya tuvimos la oportunidad de analizar los objetivos perseguidos por la Directiva europea de protección al informante o Directiva Whistleblower y que a grandes rasgos busca brindar protección a todas aquellas personas que informen sobre corrupción o fraudes y violaciones del Derecho de la Unión Europea y del ordenamiento jurídico interno, mediante el establecimiento de canales protegidos de información y la prohibición de cualquier represalia contra ellas. En la citada entrada, ya hicimos referencia acerca de la demora en la transposición a nuestro ordenamiento jurídico y de la obligatoriedad para las entidades tanto públicas como privadas, que reúnan los requisitos para ello, de contar con un canal de denuncias o canal ético adecuado. Si bien, a mediados del mes de septiembre, el Consejo de Ministros remitió a las Cortes Generales el proyecto de esta Ley, no ha sido hasta el pasado 9 de febrero de 2023 que el Senado ha dado luz verde a la misma, eso sí, con enmiendas que finalmente fueron aprobadas y como resultado tenemos la Ley 2/2023 de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Cabe recordar que hasta la fecha, en España, la única referencia a la obligación de informar acerca de posibles riesgos e incumplimientos, se hacía en el art 31.bis.5.4º del Código Penal que entre los requisitos que deben cumplir los Modelos de organización y gestión para la prevención de ilícitos penales en la empresa (Compliance penal), establece la necesidad de imponer la obligación de informar de posibles riesgos e incumplimientos al órgano de supervisión interno, mediante un canal ético o de denuncias interno de recepción de información útil para investigar internamente cualquier riesgo de perpetración de delitos susceptibles de ser cometidos por la persona jurídica. Hasta la fecha, por tanto, no tener un sistema interno de información no suponía incumplimiento normativo de ningún tipo, sino que ha sido un requisito esencial más para la eficacia de los modelos de Compliance penal, que, correctamente implantados en las organizaciones, posibilitan la exoneración de responsabilidad penal a una empresa o al menos atenuar la misma. Su uso ha de ser entendido como una vía u oportunidad para que, en caso de que se esté cometiendo una infracción grave o muy grave, desde dentro, la empresa pueda adoptar de inmediato medidas correctoras.
La Ley 2/2023, sin duda, viene a intensificar aun más la necesidad de contar con un sistema interno de recepción de información que no ha de ser entendido como la apertura de un canal o vía habilitado para los “soplones”, sino como una herramienta útil y verdaderamente necesaria para la detección de irregularidades de cara a la rápida adopción de medidas correctoras. Para evitar que por miedo a las represalias que puedan sufrir los informantes, la Ley viene a protegerles so pena de sanciones pecuniarias.
¿ A quién se protege?
La Directiva define al «denunciante» como toda aquella persona física que comunica o revela públicamente información sobre infracciones obtenidas en el contexto de sus actividades laborales, abarcando por tanto, a las actividades de trabajo presentes o pasadas del sector público o privado, y en las que estas personas pudieran sufrir represalias por haber comunicado dicha información. De modo que el ámbito subjetivo de aplicación de la Ley 2/2023 es amplio, ya que protege a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en el contexto laboral o profesional, en particular: 1) trabajadores por cuenta ajena y autónomos; 2) accionistas, partícipes y personas pertenecientes al órgano de administración dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; 3) cualquier persona que trabaje bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores. Se incluyen relaciones laborales que ya han finalizado y también a aquellas que todavía no han comenzado, como es el caso de información obtenida durante los procesos de selección o de negociación precontractual. Aplicará a voluntarios, becarios, trabajadores en período de formación perciban o no remuneración para ello, y también a los representantes legales de las personas trabajadoras en el ejercicio de sus funciones de asesoramiento y apoyo al informante, a personas físicas que estén relacionadas con el informante y que también puedan sufrir represalias, como lo son compañeros de trabajo o familiares.
Del sistema interno de información.
La Ley regula el sistema interno de información o canales internos de denuncia y establece que serán el cauce preferente para informar sobre las acciones u omisiones siempre que el denunciante considere que no hay riesgo de represalia. Responsabiliza al órgano de administración de cada entidad de la implantación del sistema interno, previa consulta con la representación legal de las personas trabajadoras, quien tendrá asimismo la condición de responsable del tratamiento de los datos personales de conformidad con la LOPDGDD.
El sistema interno de información, que deberá estar integrado en la organización y ser de fácil acceso y uso, así como publicado para su eficacia, deberá garantizar la confidencialidad de la identidad del informante y de cualquier tercero que se mencione en la comunicación y la protección de datos, impidiendo el acceso de personal no autorizado a la información confidencial que contiene. En caso de contar con una web, la información deberá constar en la página de inicio, en una sección separada y fácilmente identificable. Debe permitir la presentación de comunicaciones por escrito (correo postal o cualquier medio electrónico habilitado al efecto) o verbalmente (vía telefónica, previa advertencia de la grabación de la llamada, o mensajería de voz), o de ambos modos. También se permite la presentación y posterior tramitación de comunicaciones anónimas. Debe de contar con un protocolo o política que recoja los principios generales del sistema interno y defensa del informante y contar con un procedimiento de gestión de las informaciones que puedan recibirse.
¿Qué entidades están obligadas a implantarlo y desde cuándo?
En el sector privado es obligatorio para las empresas que tengan contratadas a 50 o más personas trabajadoras y también para aquellas pertenecientes a sectores que entren dentro del ámbito de aplicación de los actos de la UE en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente. Para el caso de grupos de sociedades conforme al art. 42 del Código de Comercio, la sociedad dominante deberá aprobar una política general y asegurará que sus principios se apliquen a todas las demás sociedades que los integren. El plazo máximo para el establecimiento de Sistemas internos de información y la adaptación de los existentes, se fija en TRES MESES desde la entrada en vigor de la Ley, salvo para aquellas empresas con 249 trabajadores o menos, para las que el plazo se extiende hasta el 1 de diciembre de 2023.
Igualmente, estarán obligados a contar con un sistema interno de información todos los partidos políticos, sindicatos, organizaciones empresariales, así como las fundaciones que dependan de estos, siempre que gestionen fondos públicos. En el sector público, los municipios de menos de 10.000 habitantes podrán compartir con otros Ayuntamientos también de menor población, los medios para la recepción de denuncias o con entidades supramunicipales si sus actividades se circunscriben al ámbito de la misma Comunidad Autónoma, aunque cada corporación local tenga un responsable de su sistema interno de información.
¿Qué condiciones han de cumplir los denunciantes para recibir protección?
El denunciante ha de tener motivos razonables para pensar que está comunicando información veraz acerca de una irregularidad aun cuando no aporte pruebas concluyentes, y que la citada información entre dentro del ámbito de aplicación de la ley. En caso de denuncias formuladas a sabiendas de su falsedad o cuyo móvil no sea otro que la venganza o creación de rumores infundados, no solo no podrá beneficiarse de la protección, sino que podrá ser sancionado con multas que como hemos dicho, pueden alcanzar los 300.000 euros.
¿Qué protección se garantiza?
La Directiva y ahora la Ley 2/2023 de 20 de febrero, prohíben todas las formas de represalias contra los informantes, incluidas las amenazas de represalias y las tentativas de represalias.
¿Qué se entiende por represalia?
Toda acción u omisión, que de forma directa o indirecta, suponga un trato desfavorable que sitúe a las personas que la sufren en desventaja con respecto a otra en el contexto laboral o profesional, solo por su condición de informantes, o por haber realizado una revelación pública. El listado (no cerrado) de posibles represalias estaría integrado por: suspensión, despido, destitución o medidas equivalentes; degradación o denegaciones de ascensos, acoso, discriminación o trato desfavorable o injusto, no renovación o terminación anticipada de un contrato de trabajo temporal, entre otras.
¿Qué medidas de protección se prevén?
Entre las medidas de protección a quienes informen al amparo de la Ley, se les brinda inmunidad por la obtención y revelación de la información y la inversión de la carga de la prueba en los procedimientos acerca de los perjuicios sufridos por los denunciantes; protección específica en procesos no laborales tales como difamación, violación de los derechos de autor, protección específica frente al secreto empresarial, consistente en que se entenderá que la revelación pública sea considerada lítica siempre que dicha adquisición o acceso no constituya un delito.
¿Cuál es el régimen sancionador para las personas físicas o jurídicas que incumplan la norma y también para quienes denuncien de manera malintencionada?
La Ley dispone que el ejercicio de la potestad sancionadora corresponderá a la Autoridad Independiente de Protección del Informante, A.A.I, y los órganos competentes de las comunidades autónomas, sin perjuicio de las facultades disciplinarias de cada empresa y define las competencias objetivas y territoriales de cada ámbito. Establece las distintas infracciones muy graves, graves y leves, prescribiendo las muy graves a los 3 años, las graves a los 2 años y las leves a los 6 meses, desde el día de su comisión.
Son infracciones muy graves, incumplir la obligación de disponer de un sistema interno de información; las actuaciones que impidan o intenten impedir las denuncias; las que adopten medidas de represalias contra el informante; aquellas que promuevan procedimientos abusivos contra el informante y las que incumplan el deber de confidencialidad y de secreto de su identidad. Pero también son constitutivas de infracción muy grave, las comunicaciones o revelaciones públicas de información a sabiendas de su falsedad.
La ley distingue de si el infractor es una persona física o jurídica.
- Sanciones para personas físicas: multa de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 hasta 300.000 euros por la comisión de infracciones muy graves.
- Sanciones para personas jurídicas: multa con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves. Pudiendo ser publicadas en el BOE en caso de multas superiores a 600.000 una vez que la resolución haya adquirido firmeza en la vía administrativa.
Además, para el caso de infracciones muy graves, se podrá acordar por la A.A.I. a) la amonestación pública; b) la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de 4 años o c) la prohibición de contratar con el sector público durante un plazo máximo de 3 años.
