El Congreso de los Diputados aprueba el proyecto de ley que protege a los denunciantes de infracciones normativas

14-11-2022 — AR/2022/134

El texto aprobado contiene algunas diferencias respecto al anteproyecto, aunque no modifica en lo sustancial el contenido.

El Congreso de los Diputados aprobó, el 23-9-2022, el proyecto de ley que regula la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, tras la remisión del anteproyecto enviado por el Gobierno el 4-3-2022.

El proyecto aprobado no presenta cambios sustantivos respecto al anteproyecto y ha de superar ahora la ratificación por el Senado.

No obstante, señalamos los aspectos más relevantes del texto aprobado.

Aspectos generales

Resaltamos los siguientes:

La definición de las acciones y omisiones denunciables se reducen solo a las que puedan ser constitutivas de infracción penal o administrativa grave o muy grave.
El plazo máximo para la reunión presencial, si el informante solicita realizar así la comunicación, se fija en siete días.
El plazo máximo para definir el sistema de información y la adaptación de los existentes pasa del 1-01-2023 al 1-12-2023 para las entidades de «menos de 249 trabajadores».

Protección de datos

En este apartado resaltamos los siguientes puntos:

Asigna la condición de responsable del tratamiento de datos personales al órgano de administración u órgano de gobierno de cada entidad responsable de la implantación de sistema interno de información.
- Si hubiera corresponsables del tratamiento de datos personales por la gestión del sistema por un tercero externo, se requiere la previa suscripción del acuerdo de corresponsabilidad regulado en el artículo 26 del RGPD.¹

Prohíbe la recopilación de datos personales que no sean claramente pertinentes para tratar una información específica.
- Si se recopilaran por accidente, se deben eliminar sin dilación.
Limita el tratamiento de datos personales basados en el artículo 6.1.c) del RGPD a los sistemas de comunicación internos.
Permite el tratamiento de las categorías especiales de datos personales por razones de un interés público esencial, de acuerdo con el artículo 9.2.g) del RGPD.
Elimina la obligación de informar a quienes realicen la comunicación a través de canales internos sobre los canales externos de información ante las autoridades competentes y, en su caso, órganos de la Unión Europea.
No podrá ser objeto de tratamiento los datos personales que no sean necesarios para el conocimiento e investigación de las acciones u omisiones denunciables, y se deberán suprimir de inmediato.
- Si, además, la información contuviera datos personales incluidos en las categorías especiales, se han de suprimir sin registrarlos ni tratarlos.
También instruye la inmediata supresión de la información que no sea veraz desde el momento en que se tenga constancia de esa circunstancia.
Obliga a avisar al informante antes de revelar su identidad a la autoridad competente en el marco de una investigación, salvo que dicha información pudiera comprometer la investigación o el procedimiento judicial.

Represalias contra los denunciantes

En cuanto a la posibilidad de denunciar las represalias tomadas con el informante, se elimina el requisito anterior previsto que exigía que las represalias se hubieran tomado mientras duraba el procedimiento de investigación, o en los dos años siguientes a su final o fecha en la que tuvo lugar la revelación pública.

Se añaden los siguientes supuestos como forma de represalia:

la no conversión de un contrato de trabajo temporal en uno indefinido, si el trabajador tuviera expectativas legítimas de que se le ofrecería un trabajo indefinido;
la denegación de formación, y
la discriminación, o trato desfavorable o injusto.

El plazo para solicitar protección de la autoridad competente se amplía de uno a dos años.

Infracciones y sanciones

En este apartado:

exige para las infracciones muy graves que las acciones u omisiones sean de carácter doloso, e
incluye, como supuesto de infracción muy grave, el incumplimiento de la obligación de disponer de un sistema interno de información.

En lo referente a las sanciones, impone:

un mínimo de 1.000 euros de multa para las personas físicas responsables de las infracciones leves y modifica el mínimo de la multa para los responsables de infracciones graves a 10.000 euros, y
la posibilidad de dar publicidad en el BOE de las sanciones superiores a 600.000 euros a entidades jurídicas tras la firmeza de la resolución en vía administrativa.

¹ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Iniciativas relacionadas

Protección del denunciante

Alertas Relacionadas

Los denunciantes de infracciones del Derecho de la UE (whistleblowers) cuentan con la protección de una nueva directiva

26-11-2019—AR/2019/066
Se aprueba el anteproyecto de ley que protege a los denunciantes de infracciones por canales de denuncias

14-03-2022—AR/2022/032