El Congreso de los Diputados aprueba la ley que traspone la directiva whistleblowing

24-02-2023 — AR/2023/016

Tras una larga espera y la denuncia de Bruselas contra España ante el Tribunal de Justicia de la UE por el incumplimiento de su transposición en plazo, el Congreso de los Diputados aprobó la ley que protege al denunciante de infracciones normativas y lucha contra la corrupción.

El Congreso de los Diputados aprobó, el 16-2-2023, la Ley 2/2023,1 de protección del denunciante, que transpone la conocida como directiva whistleblowing.2

El retraso en la transposición de esta norma ha conllevado la denuncia de la Comisión Europea a España ante el Tribunal de Justicia de la Unión Europea (TJUE).

El texto publicado el 21-2-2023, en el Boletín Oficial del Estado, contiene escasas novedades  respecto al proyecto de ley aprobado el 23-9-2022.

Enumeramos primero las principales novedades del texto final promulgado y repasamos a continuación los aspectos principales de la norma.

Principales novedades

Son las siguientes:

En el ámbito de aplicación

  • El texto incluye dentro del ámbito de aplicación todas las infracciones penales o administrativas graves o muy graves que supongan un quebranto económico a la Hacienda Pública y a la Seguridad Social.

En los canales de denuncias y su procedimiento

  • El canal de denuncias se considera el cauce preferente para informar de infracciones, con las condiciones de que se pueda tratar de manera efectiva la infracción y de que el denunciante considere que no hay riesgo de represalia.
  • Para documentar las comunicaciones verbales mediante grabación o transcripción, se necesita el consentimiento del informante.
  • El responsable del canal de denuncias desarrollará su actividad sin que pueda recibir órdenes de ningún tipo y con los medios personales y materiales necesarios para ejercitarla.
  • Con respecto al procedimiento de gestión de las informaciones, el plazo máximo de respuesta se fijaba en 3 meses desde la entrada de la comunicación o, si no se remitió un acuse de recibo al informante, a los tres meses desde el vencimiento del plazo de siete días después de efectuarse la comunicación. En el nuevo texto se prevé que, en caso de excesiva complejidad, podrá ampliarse por otros tres meses adicionales.

Sobre competencias autonómicas del canal externo

  • La ley matiza que la autoridad facultada para proteger al denunciante podrá ser la Autoridad Independiente de Protección del Informante o las autoridades u órganos competentes de las comunidades autónomas en el ámbito de sus respectivas competencias.
  • También incluye una nueva previsión para las denuncias presentadas por el canal externo en el País Vasco, que deberán regirse por la norma autonómica.

Sobre protección de datos

  • Si la información puede ser constitutiva de delito por falta de veracidad de la información facilitada, se prohíbe eliminarla y se guardará el tiempo necesario durante el trámite del procedimiento judicial.
  • El texto final elimina la obligación de contar con un delegado de protección de datos a las entidades que tengan que contar con un canal de denuncias conforme a la ley.

Sobre estrategia contra la corrupción

  • Desde su entrada en vigor, la ley fija un plazo de 18 meses para que el Gobierno diseñe una estrategia contra la corrupción para paliar deficiencias encontradas en ese tiempo.

Plazo para implantar el canal de denuncias

  • Las entidades sujetas a esta ley tienen un plazo máximo de tres meses a partir de la entrada en vigor, día 13-3-2023, para implantar o adaptar su canal de denuncias interno, esto es, hasta el 13-6-2023.
  • Como excepción, las entidades del sector privado con menos de 250 trabajadores podrán implantarlo hasta el 1-12-2023.

Ámbito de aplicación

La ley protege a las personas físicas que informen, entre otras, sobre acciones u omisiones que:

  1. puedan constituir infracciones del Derecho de la UE sobre las siguientes materias:
    • contratación pública,
    • servicios, productos y mercados financieros,
    • prevención del blanqueo de capitales y de la financiación del terrorismo,
    • protección de los consumidores,
    • protección de la privacidad y de los datos personales,
    • seguridad de las redes y de los sistemas de información,
    • intereses financieros de la UE,
    • mercado interior, en lo relativo a competencia, ayudas estatales e impuesto de sociedades,
    • seguridad y salud en el trabajo; o
  2. «puedan ser constitutivas de infracción penal o administrativa grave o muy grave. En todo caso, se entenderán comprendidas todas aquellas infracciones penales o administrativas graves o muy graves que impliquen quebranto económico para la Hacienda Pública y para la Seguridad Social».

Ámbito de protección

Personas protegidas

La norma protege a los denunciantes que trabajen en los sectores privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional. En cualquier caso, abarca a:

  1. personas que trabajan por cuenta ajena, incluyendo a las que hayan finalizado la relación laboral o estatutaria, voluntarios, becarios, en períodos de formación, perciban o no una remuneración, y a las que no hayan iniciado la relación laboral si la información sobre infracciones la ha obtenido durante el proceso de selección o de negociación precontractual;
  2. funcionarios públicos;
  3. autónomos;
  4. accionistas, partícipes y miembros del órgano de administración, de la dirección o supervisión de una empresa, incluidos los no ejecutivos;
  5. cualquier persona que trabaje bajo la supervisión de contratistas, subcontratistas y proveedores.

También se aplicarán las medidas de protección a facilitadores, terceros y entidades jurídicas relacionadas con el denunciante.

Medidas de protección

Las medidas de protección previstas en la ley incluyen:

  1. la prohibición de represalias: por ejemplo, suspensión del trabajo, despido, daños o pérdidas económicas, coacciones, acoso, evaluación negativa, inclusión en listas negras o anulación de licencia o permiso;
  2. medidas de apoyo: como información y asesoramiento integral sobre la protección y derechos del denunciante, asistencia efectiva en su protección y apoyo financiero y psicológico;
  3. medidas de protección frente a represalias;
  4. medidas de protección para las personas investigadas, y
  5. programas de clemencia: por ejemplo, eximir al denunciante (que haya participado en la comisión de la infracción) del cumplimiento de la sanción administrativa que le correspondiera en determinadas circunstancias.

Canales de denuncia

Sistemas internos de denuncias

La norma exige a las entidades con 50 trabajadores o más que dispongan de canales y procedimientos internos de denuncias y de su seguimiento.

Las entidades financieras que ya estuvieran obligadas a disponer de estos sistemas en su organización han de seguir rigiéndose por su regulación específica y, en lo no previsto, atender a lo que determina la nueva ley.

Los procedimientos de denuncia interna deben cumplir los siguientes requisitos:

  1. permitir a todas las personas facultadas por la ley a informar sobre infracciones;
  2. mantener la confidencialidad de la identidad del denunciante y de cualquier otro mencionado en la denuncia;
  3. permitir la presentación de comunicaciones verbales, escritas o ambas;
  4. integrar los canales internos de comunicación;
  5. asegurar que las comunicaciones presentadas puedan tratarse de manera efectiva;
  6. ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos;
  7. contar con un responsable del sistema, que podrá ser un órgano colegiado o la propia función de cumplimiento normativo;
  8. definir y publicitar una política que recoja los principios generales del sistema y de los  canales internos de información;
  9. contar con un procedimiento para tratar las comunicaciones recibidas, que debe recoger un plazo máximo de siete días para notificar la recepción de la denuncia, y
  10. determinar las garantías de protección de los denunciantes.

Los canales internos que se implanten han de abarcar la presentación y tratamiento de comunicaciones anónimas, y podrán gestionarlos la propia entidad o un tercero.

El órgano de administración o de gobierno de cada entidad (o el organismo encargado, en el sector público) será el responsable de implantarlos.

Por último, como se ha dicho, todas las entidades que integran el sector público están obligadas a disponer de un sistema interno de información.

Canal público externo de denuncias

La ley aborda también la creación de la Autoridad Independiente de Protección del Informante, que tendrá las siguientes funciones:

  1. llevar el canal externo de comunicaciones,
  2. decidir sobre las medidas de protección al denunciante previstas en la norma,
  3. elaborar normas que afecten a su ámbito de competencias,
  4. tramitar los procedimientos sancionadores e imponer sanciones, y
  5. fomentar y promover la cultura de la información.

«Toda persona física podrá informar ante la Autoridad Independiente de Protección del Informante o ante las autoridades u órganos autonómicos correspondientes, a través de su canal externo de comunicaciones, la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno».

Protección de datos

Cobertura de los tratamientos de datos

El texto prevé que los tratamientos en los que se basa el sistema de denuncias, cuando son legalmente obligatorios, están amparados por el artículo 6.1.c) del reglamento general de protección de datos (RGPD), como «cumplimiento de una obligación legal».

Cuando no sean obligatorios, serán lícitos, según el artículo 6.1.e), como «tratamientos realizados en cumplimiento de misión en interés público». Asimismo el tratamiento de las categorías especiales de datos se podrá realizar conforme a la excepción del artículo 9.2.g) del RGPD («por razones de un interés público esencial»).

Derechos de protección

A los informantes  y a quienes lleven a cabo una revelación pública se les debe informar expresamente de que su identidad será en todo caso reservada y no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.

La identidad del informante solo podrá ser comunicada a las autoridades competentes en el marco de una investigación penal, disciplinaria o sancionadora, informando previamente al interesado sobre dicha revelación, salvo si se puede ver comprometida la investigación o el procedimiento judicial.

La ley limita el ejercicio de los derechos de acceso y oposición por las personas a las que se refieren los hechos, dado que:

  • no podrán conocer la identidad de los informantes, y
  • salvo prueba en contrario, se presumirá que existen motivos legítimos imperiosos para tratar sus datos personales.

El acceso a los datos incluidos en el sistema de denuncias se debe restringir a determinadas categorías de usuarios como son:

  • el responsable del sistema y de su gestión,
  • el responsable de Recursos Humanos, en caso de las medidas disciplinarias,
  • el responsable de Servicios Jurídicos, en caso de las medidas legales,
  • los encargados de tratamiento designados, y
  • el delegado de protección de datos.
1 Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
2 Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información