Se aprueba el anteproyecto de ley que protege a los denunciantes de infracciones por canales de denuncias

El Gobierno ha aprobado, el 4-3-2022, el anteproyecto de ley¹ que protege a las personas que denuncien infracciones, para trasponer la Directiva (UE) 2019/1937.²

Este anteproyecto intenta aportar protección a todas las personas que informen sobre corrupción, fraudes o violaciones del Derecho de la UE o el ordenamiento jurídico interno, y definir las normas mínimas de los canales de comunicación.

La futura ley recoge la obligación para determinadas entidades de implantar canales de denuncias internos y externos, sin perjuicio de la aplicación de normas específicas sobre la denuncia de infracciones, como la ley de prevención del blanqueo de capitales o la del mercado de valores, que ya obligan a contar con estos mecanismos.

Este anteproyecto de ley llega con cierto retraso, pues los Estados miembros de la Unión Europea (UE) tenían hasta el 17-12-2021 para la transposición de la mencionada directiva.

Ámbito de aplicación

La futura ley protege a las personas físicas que informen, entre otras, sobre acciones u omisiones que:

1.  puedan constituir infracciones del Derecho de la UE sobre las siguientes materias:
   • contratación pública,
   • servicios, productos y mercados financieros,
   • prevención del blanqueo de capitales y de la financiación del terrorismo,
   • protección de los consumidores,
   • protección de la privacidad y de los datos personales,
   • seguridad de las redes y de los sistemas de información,
   • intereses financieros de la UE,
   • mercado interior, en lo relativo a competencia, ayudas estatales e impuesto de sociedades,
   • seguridad y salud en el trabajo; o
2. «puedan ser constitutivas de infracción penal o administrativa grave o muy grave, o cualquier vulneración del resto del ordenamiento jurídico siempre que, en cualquiera de los casos, afecten o menoscaben directamente el interés general, y no cuenten con una regulación específica».

Ámbito de protección

Personas protegidas

La norma protegerá a los denunciantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional, abarcando en todo caso a:

1. las personas que trabajan por cuenta ajena, incluyendo los voluntarios y los trabajadores en prácticas e incluso a las que hayan finalizado su relación laboral o que aún no la hayan comenzado;
2. funcionarios públicos;
3. accionistas y miembros del órgano de administración, de la dirección o supervisión de una empresa, incluidos los no ejecutivos;
4. cualquier persona que trabaje bajo la supervisión de contratistas, subcontratistas y proveedores.

También se aplicarán las medidas de protección a facilitadores, terceros y entidades jurídicas relacionadas con el denunciante.

Medidas de protección

Las medidas de protección previstas en el anteproyecto de ley incluyen:

1. la prohibición de represalias: por ejemplo, suspensión del trabajo, despido, daños o pérdidas económicas, coacciones, acoso, evaluación negativa, inclusión en listas negras o anulación de licencia o permiso;
2. medidas de apoyo: como información y asesoramiento integral sobre la protección y derechos del denunciante, asistencia efectiva en su protección y apoyo financiero y psicológico;
3. medidas de protección frente a represalias;
4. medidas de protección para las personas investigadas, y
5. programas de clemencia: por ejemplo, eximir al denunciante (que haya participado en la comisión de la infracción) del cumplimiento de la sanción administrativa que le correspondiera en determinadas circunstancias.

Canales de denuncia

Sistemas internos de denuncias

La norma exigirá a las entidades con 50 trabajadores o más que dispongan de canales y procedimientos internos de denuncias y de su seguimiento.

Las entidades financieras que ya estuvieran obligadas a disponer de estos sistemas en su organización han de seguir rigiéndose por su regulación específica  y, en lo no previsto, atender a lo que determine esta futura ley.

Los procedimientos de denuncia interna deben cumplir los siguientes requisitos:

1. mantener la confidencialidad de la identidad del denunciante y de cualquier tercero mencionado en la denuncia,
2. permitir la presentación de comunicaciones verbales, por escrito o ambas,
3. integrar los distintos canales internos de comunicación,
4. asegurar que las comunicaciones presentadas puedan tratarse de manera efectiva,
5. ser independientes y aparecer diferenciados respecto de los sistemas internos de información de otras entidades u organismos,
6. contar con un responsable del sistema, que podrá ser un órgano colegiado o la propia función de cumplimiento normativo,
7. definir y publicitar una política que recoja los principios generales del sistema y de los  canales internos de información,
8. contar con un procedimiento para tratar las comunicaciones recibidas, que debe recoger un plazo máximo de siete días para notificar la recepción de la denuncia, y
9. determinar las garantías de protección de los denunciantes.

Los canales internos que se implanten han de abarcar la presentación y tratamiento de comunicaciones anónimas, y podrán gestionarlos la propia entidad o un tercero.

El órgano de administración o de gobierno de cada entidad (o el organismo encargado, en el sector público) será el el responsable de implantarlos.

Por último, como se ha dicho, todas las entidades que integran el sector público estarán obligadas a disponer de un sistema interno de información.

Canal público externo de denuncias

El proyecto aborda también la creación de la Autoridad Independiente de Protección al Denunciante, que tendrá las siguientes funciones:

1. llevanza del canal externo de comunicaciones,
2. decisión sobre las medidas de protección al denunciante previstas en la norma,
3. elaboración de normas que afecten a su ámbito de competencias,
4. trámite de los procedimientos sancionadores e imposición de sanciones, y
5. elaboración de recomendaciones y directrices.

«Toda persona física podrá informar ante la Autoridad Independiente de Protección del Informante (…), a través de su canal externo de comunicaciones, la comisión de cualesquiera acciones u omisiones incluidas en el ámbito de aplicación de esta ley, ya sea directamente o previa comunicación a través del correspondiente canal interno».

Protección de datos

El texto prevé que los tratamientos en los que se basa el sistema de denuncias, cuando son  legalmente obligatorios, están amparados en el artículo 6.1.c) del Reglamento General de Protección de Datos (RGPD), como ‘cumplimiento de una obligación legal’. Cuando no sean obligatorios, serán lícitos según el artículo 6.1.e), como ‘tratamientos realizados en cumplimiento de misión en interés público’.

Por otra parte, como novedad, obliga a nombrar un delegado de protección de datos que revise los tratamientos, incluido el sistema interno de comunicaciones, en todas las entidades que han de tener el canal de denuncias por imposición legal.

Sin embargo, el anteproyecto de ley no regula algunos aspectos básicos sobre protección de datos que deben atender los canales de denuncias para ajustarse a las reglas básicas del RGPD.

Esto ya lo puso de manifiesto la Agencia Española de Protección de Datos en un informe del año 2007, como es la forma y momento de cumplir el principio de transparencia informando al denunciado sobre el tratamiento de datos iniciado al recibir la denuncia y las particularidades del ejercicio de los derechos de acceso (excepto conocer la identidad del denunciante), rectificación, oposición o supresión de los datos.