Analizamos los aspectos más relevantes del Anteproyecto de Ley regulador de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, por la que se transpone la Directiva (UE) 2019/1937 del Parlamento Europeo y del Consejo, de 23 de Octubre de 2019, aprobado por el Consejo de Ministros el pasado 4 de marzo de 2022.
1. Finalidad de la norma
Proporcionar una protección adecuada a aquellas personas físicas que denuncien prácticas, fraudes o cualquier vulneración de leyes nacionales o europeas que hayan tenido conocimiento en un contexto laboral o profesional mediante el establecimiento de canales protegidos de comunicación y la prohibición de cualquier represalia contra ellos o sus allegados.
2. Ámbito material de aplicación
La protección legal se aplicará a las personas físicas que informen sobre:
a) Acciones u omisiones que (i) puedan constituir infracciones del Derecho de la Unión Europea (siempre que entren dentro del ámbito de aplicación de los actos de la Unión enumerados en el Anexo de la Directiva (UE) 2019/1937:
Los actos enumerados en el Anexo afectan a los siguientes ámbitos (i) contratación pública; (ii) servicios, productos y mercados financieros, y prevención del blanqueo de capitales y la financiación del terrorismo; (iii) seguridad de los productos y conformidad; (iv) seguridad del transporte; (v) protección del medio ambiente; (vi) protección frente a las radiaciones y seguridad nuclear; (vii) seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales; (viii) salud pública; (ix) protección de los consumidores; (x) protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información); (ii) afecten a los intereses financieros de la Unión, o (iii) incidan en el mercado interior (actos que infrinjan normas del impuesto de sociedades o prácticas cuya finalidad sea obtener una ventaja fiscal que desvirtúe el objeto o finalidad de este impuesto).
b) Acciones u omisiones que puedan ser constitutivas de infracción penal o administrativa grave o muy grave o cualquier vulneración del resto del ordenamiento jurídico, siempre que, en cualquiera de los casos, se afecte o menoscabe el interés general y no cuenten con una regulación específica. En todo caso, se entenderá afectado el interés general cuando la acción u omisión implique quebranto económico para la Hacienda Pública.
En cuanto al ámbito personal de aplicación, la protección legal se aplicará a los informantes que trabajen en el sector privado o público y que hayan obtenido información sobre infracciones en un contexto laboral o profesional.
Asimismo, se prevé que las medidas de protección contempladas en el Anteproyecto se extiendan a otros sujetos relacionados con el informante y que lo asistan en su labor, o que puedan sufrir represalias como consecuencia de la misma.
3. Sistemas internos de información
El Anteproyecto establece que los sistemas internos de información son el cauce preferente para comunicar cualquier tipo de irregularidad en el ámbito empresarial público o privado y fija los requisitos así como las entidades que estarán obligadas a implementarlos.
El órgano de administración u órgano de gobierno de cada entidad u organismo obligado será el responsable de la implantación del sistema interno, previa consulta con la representación de los trabajadores.
3.1 Entidades obligadas a disponer de un sistema interno de información
- Las personas físicas o jurídicas del sector privado que tengan contratadas 50 o más trabajadores. Si no superan la cifra de 250 trabajadores, puede compartir medios y recursos del sistema, quedando siempre clara la existencia de canales propios en cada empresa. En los grupos de empresa será la sociedad dominante la que decida la organización de los canales de información.
- Las personas jurídicas del sector privado, independientemente de su número de trabajadores, que entren en el ámbito de aplicación de los actos de la Unión en materia de servicios, productos y mercados financieros, prevención del blanqueo de capitales y financiación del terrorismo, seguridad del transporte o protección del medio ambiente, en lo no regulado por su normativa específica.
- Todas las entidades del sector público, así como los partido políticos, sindicatos, patronales y fundaciones creadas por ellos, siempre que reciban o gestionen fondos públicos.
3.2 Requisitos que deben cumplir las entidades obligadas
El Anteproyecto fija los requisitos y obligaciones que deberán cumplir los sistemas internos de las entidades obligadas, para lo que será necesario:
- Diseñar e implementar un canal interno de información que permita a los informantes comunicar infracciones comprendidas en el ámbito de aplicación material que se describe en el apartado 2, por escrito o verbalmente.
- Deberán permitir la presentación y posterior tramitación de comunicaciones anónimas.
- Proporcionar información clara y fácilmente accesible sobre el uso del canal interno de información implementado. En caso de contar con una página web, se debe incluir la información en la página de inicio, en una sección separada e identificable.
- Contar con una política que regule el funcionamiento de los canales internos de información y un procedimiento de gestión de las comunicaciones.
- Contar con un Responsable del Sistema nombrado por el órgano de administración o de gobierno, pudiendo ser un órgano unipersonal o colegiado. Asimismo, deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de órganos de la entidad. El Responsable del Sistema será un alto directivo de la entidad, que asumirá de forma exclusiva dichas funciones con algunas excepciones. Podrá ser uno para todo un grupo.
- Contar con un libro-registro de las comunicaciones recibidas y de las investigaciones internas que hayan dado lugar, garantizando los requisitos de confidencialidad previstos en la ley.
4. Canal externo de informaciones
La norma también prevé la creación de un sistema público de comunicación al que el informante podrá acudir directamente o después de efectuar una comunicación a través del correspondiente canal interno.
Este canal externo estará gestionado por una autoridad pública denominada la Autoridad Independiente de Protección del Informante (en adelante, “AIPI”) quien verificará si la información recibida cumple con el ámbito objetivo de la norma y debe iniciarse una investigación al respecto o si, por el contrario, debe inadmitirse la comunicación, o remitirse a otra autoridad competente para su tramitación o si afecta a la Hacienda Pública.
En caso de que se inicie una investigación de los hechos, ésta no podrá superar los tres meses de duración.
5. Protección de datos personales
El Anteproyecto también establece obligaciones y exigencias específicas en materia de protección de datos. En concreto:
- Licitud de los tratamientos en base al articulo 6.1 c) RGPD derivado del cumplimiento de una obligación legal, o 6.1 e) RGPD cuando no sea obligatoria.
- Cuando se obtengan directamente de los interesados sus datos personales, se les facilitará la información exigida legalmente sobre el tratamiento de esos datos.
- A los informantes y a quienes lleven a cabo una revelación pública, se les indicará, además, de forma expresa, que su identidad será en todo caso reservada y que no se comunicará a las personas a las que se refieren los hechos relatados ni a terceros.
- Cuando se realice la comunicación de forma verbal o bien de manera presencial, se advertirá al informante de que la comunicación será grabada y se le informará del tratamiento de sus datos de acuerdo con lo establecido en el RGPD y la LOPDGDD.Los interesados podrán ejercer los derechos de los arts. 15 a 22 RGPD.
- El acceso a los datos personales contenidos en los sistemas internos de información quedará limitado (i) al Responsable del Sistema y a quien lo gestione directamente, (ii) al responsable de recursos humanos, si se aplican medidas disciplinarias (iii) al responsable de los servicios jurídicos de la entidad (si procediera adoptar medidas legales en relación con los hechos relatados), (iv) a los encargados del tratamiento que eventualmente se designen, y (v) al delegado de protección de datos.
- Los datos que sean objeto de tratamiento podrán conservarse en el sistema de informaciones únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos informados. En todo caso, se procederá a su supresión una vez transcurridos tres meses desde la recepción de la comunicación sin que se hayan iniciado actuaciones de investigación, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del sistema. Sin perjuicio, de las exigencias adicionales que regule la normativa en materia de protección de datos personales.
- La identidad del informante solo podrá ser comunicada a la autoridad judicial, al Ministerio Fiscal o a la autoridad administrativa competente en el marco de una investigación penal, disciplinaria o sancionadora.
- Las entidades obligadas a disponer de un sistema interno de comunicaciones, incluso aunque no tuvieran la obligación previa de designar a un delegado de protección de datos en virtud de la normativa específica sobre esta materia, deberán nombrar un delegado de protección de datos competente para todos los tratamientos llevados a cabo (incluido dicho sistema interno de comunicaciones)
6. Medidas de protección
El Anteproyecto recoge una serie de medidas de protección para amparar a aquellas personas que alerten sobre infracciones graves que dañan el interés general y que cumplan con los requisitos de la norma, pero también para salvaguardar el derecho a la presunción de inocencia de los potenciales sujetos investigados.
Es por ello que se prohíben aquellas conductas que puedan calificarse de represalias y que se adopten mientras dure el procedimiento de investigación o en los dos años siguientes a la finalización del mismo.
La persona que ostente la doble condición de informante e investigado podrá beneficiarse de un programa de clemencia y de posibles atenuantes.
Los potenciales sujetos investigados, por su parte, mantendrán todos sus derechos de tutela judicial y defensa, de acceso al expediente, de confidencialidad, reserva de identidad y la presunción de inocencia mientras dure la investigación.
7. Régimen sancionador
Las infracciones de la norma pueden cometerse tanto por personas físicas como jurídicas, y pueden clasificarse en muy graves, graves y leves y pueden comportar la imposición de multas coercitivas que pueden llegar a alcanzar los 300.000 euros en el caso de personas físicas, y de hasta 1.000.000 euros en el caso de personas jurídicas.
Además, se prevén otras sanciones potestativas (a discreción de la AIPI para el caso de infracciones muy graves: (i) la amonestación pública, (ii) la prohibición de obtener subvenciones u otros beneficios fiscales durante un plazo máximo de cuatro años, y (iii) la prohibición de contratar con el sector público durante un plazo máximo de tres años.
8. Medidas de protección
El plazo máximo para que las entidades del sector privado implementen un sistema interno de informaciones será: (i) para las entidades que cuenten con 250 o más trabajadores, de tres meses a partir de la entrada en vigor de la Ley, y (ii) para las entidades con menos de 249 trabajadores, hasta el 1 de enero de 2023.