Guía práctica para adaptar la nueva normativa whistleblowing a las empresas

Tribuna de Ana Ramos, abogada de ECIJA, para Economist & Jurist

Tiempo después del vencimiento del plazo para incorporar al Derecho español la Directiva (UE) 2019/1937, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, por fin se ha publicado en España la esperada y popular Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, conocida comúnmente como Ley de Protección al Informante o de Whistleblowing. Esta Ley tiene como finalidad otorgar una protección adecuada frente a las represalias que puedan sufrir las personas físicas que informen sobre alguna de las acciones u omisiones relacionadas con su ámbito material de aplicación. Para ello, exige a determinadas entidades la dotación de canales de denuncias internos que cumplan con una serie de requisitos y garantías de protección específicos.

Están obligadas por la Ley a establecer un sistema interno de información aquellas personas físicas o jurídicas del sector privado con 50 trabajadores o más; los partidos políticos, sindicatos, patronales y sus fundaciones, si reciben o gestionan fondos públicos; así como todas las entidades que la ley entiende comprendidas en el sector público.

Sobre los informantes y terceros relacionados, las empresas deben garantizar la confidencialidad de su identidad y la protección de sus datos, así como la prohibición de represalias, incluso en su vertiente de amenaza o tentativa.

El incumplimiento de cualquiera de las obligaciones analizadas y previstas en la Ley implica la comisión de infracciones que pueden revestir carácter leve, grave o muy grave.

Para facilitar a las organizaciones la aplicación de esta nueva Ley, mediante esta Guía se da respuesta a las preguntas más frecuentes planteadas por las entidades:

¿Estoy obligado a implementar un canal de denuncias?

Sin embargo, se establece la posibilidad de que determinadas empresas compartan el sistema interno de información y los recursos destinados a la gestión y tramitación de comunicaciones.

Además, en el caso de grupos de empresas, las entidades podrán dotarse de un único sistema interno de información para el grupo, o bien de sistemas individuales, según las necesidades concretas.

¿Qué infracciones son susceptibles de comunicarse a través de estos canales de denuncias?

La Ley prevé la protección de las personas que informen sobre las infracciones ya reguladas en la Directiva objeto de transposición, esto es, infracciones del Derecho de la Unión Europea relativas, entre otros, a los siguientes ámbitos: contratación pública, sector financiero, prevención del blanqueo de capitales o financiación del terrorismo, seguridad de los productos y conformidad, seguridad del transporte, protección del medio ambiente, protección frente a las radiaciones y seguridad nuclear, seguridad de los alimentos y los piensos, sanidad animal y bienestar de los animales, salud pública, protección de los consumidores, protección de la privacidad y de los datos personales, y seguridad de las redes y los sistemas de información, intereses financieros de la Unión y mercado interior.

Adicionalmente, en España, esta Ley amplía el alcance de la protección sobre aquellas infracciones penales o administrativas graves o muy graves.

¿Qué personas son objeto de protección y qué medidas de protección debo implementar?

La protección ofrecida por la Ley abarca al concepto de informante, que comprende, no solo a los empleados públicos o trabajadores por cuenta ajena, sino también a todos aquellos trabajadores autónomos, los accionistas, partícipes y miembros del órgano de administración, dirección o supervisión de la empresa, las personas que trabajen para o bajo la supervisión de socios de negocio, voluntarios, becarios y trabajadores en periodo de formación, así como las personas cuya relación laboral o estatutaria esté finalizada o no haya comenzado.

Adicionalmente, las medidas de protección podrán aplicarse a terceros relacionados, esto es, aquellas personas de la organización que asistan al informante en el proceso, así como a las personas relacionadas que puedan sufrir represalias, tales como compañeros de trabajo o familiares.

La Ley prevé una serie de medidas de protección que las entidades obligadas deben otorgar tanto a los informantes y terceros relacionados como a las personas investigadas.

Sobre los primeros (informantes y terceros relacionados), las empresas deben garantizar la confidencialidad de su identidad y la protección de sus datos, así como la prohibición de represalias, incluso en su vertiente de amenaza o tentativa.

Se entiende por represalia cualquier acto u omisión que estén prohibidos por la ley, o que, de forma directa o indirecta, supongan un trato desfavorable que sitúe a las personas que las sufren en desventaja particular con respecto a otra en el contexto laboral o profesional.

Algunos ejemplos son:

Las relacionadas con el contrato de trabajo, las disciplinarias y las que afecten a la carrera profesional.
Los daños económicos o reputacionales, coacciones, acosos u ostracismo.
La evaluación o las referencias negativas sobre el desempeño laboral o profesional.
La inclusión en listas negras o la información negativa para dificultar el empleo.
La denegación o anulación de licencias o permisos.
La denegación o formación.
La discriminación o trato desfavorable o injusto.

Por otro lado, las empresas deben garantizar, asimismo, una serie de medidas y derechos para la protección de las personas afectadas por la comunicación (denunciados). En este contexto, durante la tramitación del expediente, estas personas tendrán derecho a la presunción de inocencia, al derecho de defensa y de acceso al expediente, así como a la preservación de su identidad y a la garantía de confidencialidad sobre los hechos y datos.

¿De qué requisitos o elementos principales debe constar mi canal de denuncias?

Las entidades obligadas deben configurar sus sistemas internos de información como cauce preferente para informar sobre las acciones u omisiones concretas, recayendo la responsabilidad de su implantación en el órgano de administración u órgano de gobierno de cada entidad, previa consulta con la representación legal de las personas trabajadoras.

Estos sistemas internos habrán de constituirse sobre la base de una serie de elementos o requisitos principales:

Los canales de denuncias deben permitir la presentación de comunicaciones tanto de manera escrita como verbal, además de aceptar la presentación de denuncias tanto nominativas como anónimas.
Las entidades deben nombrar un Responsable del Sistema, designado por el órgano de administración o de gobierno y notificado a la Autoridad Independiente de Protección al Informante (AIPI). Si se optase por que el Responsable del Sistema fuese un órgano colegiado, este deberá delegar en uno de sus miembros las facultades de gestión y de tramitación de expedientes de investigación.
Por su parte, la gestión del sistema se podrá llevar a cabo dentro de la propia entidad o bien acudiendo a un tercero externo, al que, en todo caso, se le exigirá el respeto, garantías y protección previstas en la Ley.
El sistema debe contar con una política o estrategia que enuncie sus principios generales de información y defensa al informante, y que sea debidamente publicitada.
Del mismo modo, se debe establecer un procedimiento de gestión de las informaciones recibidas. Este procedimiento, a su vez, habrá de garantizar una serie de requisitos: acuse de recibo en el plazo de siete días naturales, plazo máximo de tres meses para dar respuesta a las actuaciones de investigación, cumplimiento de la normativa de protección de datos personales, etc.
Los sistemas internos de información deben contar con un libro-registro de las informaciones recibidas y de las investigaciones internas que hayan dado lugar, garantizando, en todo caso, los requisitos de confidencialidad previstos en la Ley.
En general, los sistemas internos de información deben cumplir y estar alineados en todo momento con la normativa de protección de datos personales.

¿Qué ocurre si incumplo algunas de las obligaciones que impone la Ley?

El incumplimiento de cualquiera de las obligaciones analizadas y previstas en la Ley implica la comisión de infracciones que pueden revestir carácter leve, grave o muy grave.

Sigue leyendo.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-necessary	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-performance	11 months	Esta cookie se establece por el plugin de Consentimiento de Cookies RGPD. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
PHPSESSID		Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar el ID de sesión único de un usuario con el propósito de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se borra cuando todas las ventanas del navegador se cierran.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin de Consentimiento de la Cookie de RGPD y es usada para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
__stid	0	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	0	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_ls	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_cb_svref	0	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	0	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_ga	0	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y para hacer un seguimiento del uso del sitio para el informe analítico del mismo. Las cookies almacenan información de forma anónima y asignan un número generado al azar para identificar a los visitantes únicos.
_gat	0	1 minute	Estas cookies son instaladas por Google Universal Analytics para reducir la tasa de solicitudes y limitar la recolección de datos en sitios de alto tráfico.
_gid	0	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información de cómo los visitantes utilizan un sitio web y ayuda en la creación de un informe analítico de cómo el sitio web está funcionando. Los datos recogidos incluyen el número de visitantes, la fuente de donde vienen y las páginas visitadas de forma anónima.
ad-id	1	6 months	Proporcionado por amazon-adsystem.com para el seguimiento de las acciones de los usuarios en otros sitios web para proporcionar contenido específico
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	0
audience	0	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
demdex	0	5 months	Esta cookie se establece bajo el dominio demdex.net y es utilizada por Adobe Audience Manager para ayudar a identificar un visitante único a través de los dominios.
dextp	0	5 months	Cookie establecida por el gerente de audiencias de Adobe. Las cookies almacenan un nombre o ID de proveedor de datos y una marca de tiempo UTC de UNIX. El propósito de la cookie es registrar la última vez que hizo una llamada de sincronización de datos.
GPS	0	30 minutes	Esta cookie es establecida por Youtube y registra una identificación única para rastrear a los usuarios en base a su ubicación geográfica
idsync-qs	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts	0		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-uuid	0
lsdStats	0	3 months
pbw	0	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	0	1 year	Cookie para recoger información con fines publicitarios
pid	0	1 year	Ayuda a los usuarios a identificarles y les permite utilizar funciones relacionadas con Twitter de la página web que están visitando.
pxcelPage_c010	0	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_cc	0		Esta cookie es establecida por Adobe Analytics. El propósito de la cookie es determinar si las cookies están habilitadas o no en un navegador.
s_fid	0	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	0	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	0	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_nr	0	4 weeks	Esta cookie es establecida por Adobe Analytics con el propósito de almacenar las fechas en que los usuarios visitan el sitio web y si el usuario es un visitante nuevo o recurrente.
s_vnum	0	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	0	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookie	0		Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	0	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	0	2 months
UIDR	0	1 year	Esta cookie se establece bu scorecardresearch.com. La cookie se utiliza para rastrear la actividad de los usuarios a través de Internet en el navegador, como la marca de tiempo de la visita, la dirección IP y las páginas web visitadas más recientemente. y puede que los datos se envíen a terceros para su análisis e informe, con el fin de ayudar a sus clientes a comprender mejor las preferencias de los usuarios.
YSC	1		Estas cookies son establecidas por Youtube y se usan para rastrear las vistas de los videos incrustados.
zc	0	9 years

Cookie	Duración	Descripción
__stid	1 year	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
__unam	8 months	Cookie de ShareThis. La cookie se utiliza para el análisis del sitio para determinar las páginas visitadas, la cantidad de tiempo dedicado, etc.
_cb_svref	30 minutes	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
_chartbeat2	1 year	Cookie de Charbeat utilizada con fines analíticos sobre la navegación de este sitio.
AMCV_09DCC8AD54D410FF0A4C98A6%40AdobeOrg	2 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
AMCVS_09DCC8AD54D410FF0A4C98A6%40AdobeOrg
audience	11 months	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-qs		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
idsync-ts		Cookie de Triton Digital para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
lsdStats	3 months
pbw	1 year	Cookie para realizar mediciones analítica del tráfico por la página web
pdomid	1 year	Cookie para recoger información con fines publicitarios
pxcelPage_c010	1 week	Cookie de ShareThis para compartir fácilmente en los sitios sociales.
s_fid	5 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_invisit	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv	3 years	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_lv_s	30 minutes	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
s_vnum	4 weeks	Cookie de Adobe Experience Cloud para asignar identificadores a los usuarios y poder realizar una analítica de la navegación por el sitio web.
test_cookie	11 months	Cookie usada por Google Doubleclick para ofrecer publicidad al usuario en función de su actividad en el sitio web.
TestIfCookieP	1 year	Cookie de Smart adserver para monitorizar y poder personalizar información de interés del usuario.
u	2 months
zc	9 years

Sala de Prensa

Guía práctica para adaptar la nueva normativa whistleblowing a las empresas