Los puntos clave para entender la nueva Ley de Protección del Informante</strong>

El nombre completo de la norma que procedemos a analizar es la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Se trata de la norma que traspone la Directiva 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.

La norma española es también conocida como Ley del Canal de denuncias, o Ley Whistlebowing.

Ambas normas tiene como objetivo principal, como establece el primer artículo de la ley española, “otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones” que puedan constituir infracciones del Derecho de la Unión Europea, con algunas excepciones, o que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.

Contexto de la aprobación de la norma en España

Hay que tener en cuenta el contexto de la aprobación de esta Ley, ya que al tratarse de una norma que traspone una Directiva europea, existía un plazo dentro del que España estaba obligada a desarrollarla en el ámbito nacional. La Directiva establecía que la norma debía estar traspuesta, como tarde, en diciembre de 2021. Por lo tanto, España ha incumplido el plazo establecido, por lo que se ha visto envuelto en un proceso ante el Tribunal de Justicia de la Unión Europea, como consecuencia de la denuncia del incumplimiento del plazo interpuesta por la Comisión Europea. El hecho de que, cuando todavía no ha habido un pronunciamiento por parte del TJUE sobre este asunto, España ya haya traspuesto la Directiva, puede salvarle de una multa por parte del Tribunal europeo.

¿Qué empresas quedan obligadas por la nueva Ley Whistleblowing?

Además de una gran parte de las entidades del sector público, las empresas del sector privado que forman parte del ámbito de aplicación de la norma son:

  1. Aquellas empresas que cuentan con 50 trabajadores o más.
  2. Independientemente de su número de empleados, aquellas empresas que se encuentran obligadas por la normativa comunitaria en materia de:
  3. Servicios, productos y mercados financieros
  4. Prevención del blanqueo de capitales o de la financiación del terrorismo
  5. Seguridad del transporte
  6. Protección del medio ambiente
  7. Empresas que desarrollen en España actividades a través de sucursales o agentes, o mediante prestación de servicios sin establecimiento permanente.
  8. Partidos políticos, sindicatos, organizaciones empresariales y fundaciones creadas por ellos siempre que reciban o gestionen fondos públicos.

Pero, ¿qué es exactamente un sistema interno de información o canal de denuncias?

Es un medio puesto a disposición de los miembros de las entidades obligadas, para que puedan denunciar infracciones tanto del Derecho de la Unión Europea como infracciones penales o administrativas, graves o muy graves, de las leyes nacionales. Todo ello, contando con la protección necesaria para no sufrir represalia alguna. 

¿Quién puede hacer uso de un canal de denuncias, según la ley?

  1. Informantes empleados tanto en el sector público como en el sector privado.
  2. Autónomos.
  3. Accionistas, partícipes y pertenecientes al órgano de administración, dirección o supervisión de una empresa.
  4. Cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores.
  5. Empleados, voluntarios, becarios, trabajadores en periodos de formación, tanto si su relación con la empresa ya ha terminado o todavía no ha comenzado.

¿Qué características exige la ley que tenga un canal de denuncias?

Las condiciones mínimas que debe cumplir el canal de denuncias para ajustarse a lo establecido en la ley son:

  1. Debe estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en su gestión.
  2. Permitir la presentación de comunicaciones verbalmente o por escrito.
  3. Ser independiente respecto de los sistemas internos de información de otras entidades u organismos.
  4. Contar la figura del Responsable del sistema.
  5. Contar con una política que establezca los principios generales del funcionamiento del sistema, públicamente accesible a todos los miembros de la empresa.
  6. Garantizar la protección de los datos personales de los implicados en una comunicación, como veremos a continuación.

Canal de denuncias interno o externo, y la problemática de asegurar su independencia

  • Es un canal de denuncias externo aquel que se lleve a cabo a través de un tercero externo a la empresa, garantizando en todo caso la independencia, confidencialidad, protección de datos y secreto de las comunicaciones. Desde el punto de vista de protección de datos, este tercero externo tendrá la condición de encargado del tratamiento.
  • Es un canal de denuncias interno aquel que integra todos los medios que los miembros de una empresa tienen para comunicar irregularidades, y que están gestionados por la propia empresa. En estos casos puede haber un mayor peligro de que no se garantice una independencia, confidencialidad o respeto por el derecho del informante a no ser objeto de represalias, que en el caso del canal de denuncias externo. Por este motivo, la ley establece unos requisitos más exigentes a cumplir por la empresa.

Canal de denuncias y protección de datos personales

No cabe duda de que la Ley del Canal de denuncias va, y debe ir, de la mano de la normativa que regula la protección de los datos personales de todos aquellos intervengan, cualquiera que sea su papel, en una comunicación en este sistema de comunicación de incidentes. Así lo establece expresamente la Ley Whistleblowing, que dedica un Título de su texto a la protección de datos personales.

Partiendo de la base de que el tratamiento de los datos que implique la gestión de un canal de denuncias se encuentra justificado por el cumplimiento de las obligaciones interpuestas por esta misma ley.

Además de lo anterior, la norma se encarga de hacer cumplir el principio de minimización de los datos, estableciendo que solo tendrá acceso a la información el Responsable del Sistema y aquellos que necesariamente tengan que tenerlo para llevar a cabo su adecuada gestión, así como el DPO de la entidad.

La norma es bastante extensa y concreta a la hora de establecer cuáles son las obligaciones para proteger la información personal que se vea implicada en un canal de denuncias, así como para su supresión no más allá del plazo estrictamente necesario.

¿Qué derechos de confidencialidad tiene el informante y las personas afectadas por una comunicación?

  1. Derecho a que su identidad no sea revelada a terceras personas.
  2. Derecho a que se apliquen las medidas técnicas y organizativas adecuadas para que su identidad se vea preservada y para que se garantice la confidencialidad de los datos de cualquier persona afectada y de cualquier tercero que se mencione en la comunicación.
  3. La identidad del informante solo podrá ser comunicada a la Autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.

¿Es necesario tener un DPO si se tiene un canal de denuncias?

A pesar de que en la redacción inicial de la Ley del Canal de denuncias sí se establecía como obligación para todas las empresas que contaran con un canal de denuncias el nombramiento de un Delegado de Protección de Datos (DPO), tras la tramitación de la norma en el Senado, se eliminó dicha obligación. En consecuencia, actualmente únicamente establece la norma la obligación de nombrar a un DPO en el caso de la Autoridad Independiente de Protección del Informante (A.A.I.), autoridad creada por esta propia norma que analizamos en este artículo, y las autoridades independientes que en su caso se constituyan.

Ahora bien, teniendo en cuenta las categorías de los datos personales tratados en un canal de denuncia, que en gran probabilidad pueden incluir datos especialmente protegidos, o datos de antecedentes penales, es muy recomendable el nombramiento de un DPO en todas las entidades obligadas por la Ley del Canal de denuncias y aquellas que, aun no estándolo, hayan decidido implantar este canal.

Sara Hervías Costa, Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias