Este lunes 21 de febrero se ha publicado en el Boletín Oficial del Estado la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
¿Qué es la ley sobre el canal de denuncias?
La Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión (denominada comúnmente como Directiva Whistleblowing o Whistleblower) fue la que introdujo en el ordenamiento europeo la obligación de las empresas y organizaciones públicas de establecer un sistema que permitiese a los trabajadores comunicar cualquier incumplimiento con una serie de garantías. La nueva Ley no es otra cosa que la transposición de dicha Directiva a nuestro ordenamiento jurídico, lo cual debió hacerse antes del mes de diciembre de 2021.
Lo cierto es que, en España, los canales de denuncias se encuentran funcionando activamente desde el año 2015 en el que se modificó el Código Penal para introducir la figura del compliance penal como elemento para exonerar o atenuar la responsabilidad penal de la persona jurídica. En el artículo 31.bis.5 se recoge que dichos modelos de prevención han de contar, entre otros, con el siguiente requisito: “4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”. Pero hasta ahora no había ninguna norma específica para regular tanto su contenido como la protección específica que ha de recibir la persona denunciante.
¿Qué organizaciones están obligadas a tener un canal de denuncias?
Está obligada a contar con un Sistema interno de información (término utilizado en la norma para referirse al canal de denuncias) toda persona física o jurídica del sector privado que cuente con 50 trabajadores o más; aquella que entre en el ámbito de aplicación de los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente y, en tercer lugar, los partidos políticos, los sindicatos, las organizaciones empresariales y las fundaciones creadas por unos y otros, siempre que reciban o gestionen fondos públicos (art. 10 de la Ley). Además, las personas jurídicas que no se encuentren en ninguna de estas circunstancias, si bien no están obligadas, podrán establecer su propio canal que deberán cumplir con lo establecido en la norma. En cuanto al sector público, el artículo 13 de la Ley obliga a disponer de un sistema interno de información a todas aquellas entidades que lo integran.
La Directiva establecía la posibilidad de que los Estados miembros, en su norma de transposición, pudieran eximir de la obligación de disponer de este sistema de información a los municipios de menos de 10.000 habitantes o las entidades con menos de 50 trabajadores. Sin embargo, la Ley opta por la posibilidad de que, en estos supuestos, las administraciones públicas que se ubiquen dentro del territorio de una comunidad autónoma puedan compartir el sistema interno de información y los recursos destinados a las investigaciones y tramitaciones (art. 14 de la Ley).
Requisitos mínimos que debe cumplir el canal de denuncias.
Los artículos 5 y 7 de la Ley recogen los aspectos mínimos que debe contemplar el canal de denuncias:
- Estar diseñado para garantizar la confidencialidad del denunciante y de terceros mencionados y de las actuaciones que se desarrollen en la gestión de la denuncia.
- Permitir hacer denuncias por escrito y verbales (que deberán documentarse), incluso anónimamente.
- Contar con un responsable independiente y autónomo del resto de los órganos de la entidad para realizar el seguimiento e investigación de las denuncias.
- Contar con una política con los principios generales y defensa del informante y un procedimiento de gestión de las informaciones recibidas.
La normativa permite que el Sistema interno de información sea gestionado por un tercero externo en lugar de por la propia entidad u organismo (artículo 6). En el ámbito de la Administración del Estado, las Administraciones autonómicas y ciudades con Estatuto de Autonomía y las Entidades que integran la Administración Local sólo podrá acordarse en aquellos casos en que se acredite una insuficiencia de medios propios (artículo 15).
Procedimiento de gestión de informaciones.
Pese a lo que cabría esperar, la norma no establece el proceso a seguir por la entidad una vez reciba una denuncia mediante el canal. Sí recoge (en su artículo 9) la necesidad de enviar al denunciante un acuse de recibo en el plazo de siete días naturales, la obligación de fijar un plazo máximo para resolver (que no podrá superar los tres meses) o la posibilidad de mantener la comunicación con el denunciante. Corresponde, por tanto, a la organización o entidad determinar cuál va a ser el procedimiento a seguir tras recibir la denuncia, debiendo aprobarlo su órgano de administración u órgano de gobierno.
Para el Canal externo de información de la Autoridad Independiente de Protección del Informante sí que prevé la norma un procedimiento específico (artículos 16 a 20) constituido por la recepción de informaciones, el trámite de admisión, la instrucción y la terminación de las actuaciones. El mismo puede ser tomado como base para la elaboración del procedimiento de gestión de informaciones recibidas por el canal interno, teniendo en cuenta los requisitos impuestos por el artículo 9 de la Ley.
Régimen sancionador.
El ejercicio de la potestad sancionadora corresponde a la Autoridad Independiente de Protección del Informante.
La norma prevé infracciones leves, graves y muy graves. Entre las muy graves destacan: no contar con un Sistema interno de información, adoptar represalias contra los informantes o vulnerar el deber de mantener secreto sobre cualquier aspecto relacionado sobre la información. Las sanciones a imponer dependen de la gravedad de la infracción y van de los 1.001 hasta los 300.000 euros para personas físicas, y de 100.000 a 1 millón de euros para las personas jurídicas. Además, en el caso de las infracciones muy graves, la A.A.I. podrá acordar la amonestación pública, la prohibición de obtener subvenciones u otros beneficios fiscales durante cuatro años o la prohibición de contratar con el sector público durante tres años.
Entrada en vigor de la ley sobre el canal de denuncias.
La Ley entrará en vigor a los 20 días de su publicación, es decir, el próximo 13 de marzo. Pese a ello, el plazo máximo para tener implementado el canal de denuncias (de acuerdo con la Disposición Transitoria Segunda) es de tres meses desde la entrada en vigor, disponiendo, por tanto, hasta el día 13 de junio de 2023 para hacerlo (tanto las organizaciones privadas como las entidades públicas); con dos excepciones: las entidades jurídicas del sector privado con doscientos cuarenta y nueve trabajadores o menos y los municipios de menos de diez mil habitantes verán extendido este plazo hasta el 1 de diciembre de 2023. De estos mismos plazos dispondrán para adaptar sus canales aquellas organizaciones o entidades que ya contasen con uno antes de la publicación de la Ley.
Desde Rich & asociados llevamos años implementando canales de denuncias en nuestros Sistemas de Cumplimiento Normativo (Compliance) por lo que nuestros clientes gozan de un medio adaptado a la vigente normativa.
Si quiere consultarnos cualquier duda sobre el particular o pedir que los acompañemos en el proceso de implantación y gestión del canal de denuncias puede acceder al formulario de consulta de esta misma página.
Resuelve tus dudas en una sesión de claridad de 20 minutos
Jose Rafael Rich Ruiz
Es especialista en derecho corporativo, cumplimiento normativo, mediación y negociaciones complejas.
Abogado y socio-presidente de Rich & asociados.
Es especialista en derecho corporativo y cumplimiento normativo (compliance). Miembro de Cumplen y a la World Compliance Association, asociaciones profesionales de referencia en el cumplimiento normativo en el ámbito nacional e internacional.
Profesor de Derecho Constitucional de la Universidad Loyola.
Ha elaborado el Programa de Compliance de la Conferencia Episcopal Española y de numerosas administraciones públicas y entidades privadas.
