La Ley 2/2023 de protección al informante y de lucha contra la corrupción. Novedades
El 21 de febrero de 2023 se publicó en el BOE la Ley 2/2023, de 20 de febrero, de protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción, que transpone la Directiva (EU)2019/1937 del Parlamento Europeo y del Consejo, de 23 de octubre de 2019,relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión, coloquialmente denominada “Directiva Whistleblowing”.
En un país como España donde históricamente denunciar a otras personas ha sido socialmente mal visto, esta ley trae cambios significativos que van más allá de aspectos estrictamente legales, ya que supone un cambio cultural por el que se apela a la colaboración ciudadana para la prevención de infracciones normativas a la vez que se da protección a las personas que denuncien dichas infracciones, a los que la ley denomina “informantes”, frente a cualquier tipo de represalias. Al mismo tiempo, se pretende reforzar la cultura de integridad y de información en las organizaciones.
ANTECEDENTES
La necesidad de establecer medidas de protección al informante se enmarca en la existencia de programas de Compliance para prevenir, detectar y resolver posibles infracciones normativas y proteger a las organizaciones y a sus empleados.
Las funciones de Compliance surgieron inicialmente en Estados Unidos como respuesta a escándalos protagonizados por diversas empresas, fundamentalmente en el ámbito de la corrupción y pagos indebidos a funcionarios y cargos públicos tanto en EEUU como en países extranjeros. En este contexto, en 1977,se publicó la Ley sobre Prácticas Corruptas en el Extranjero (Foreign CorruptPractices Act, conocida como FCPA) que exigió a las empresas establecer controles internos para prevenir estas prácticas delictivas. Posteriormente, en 1991, las US Federal Sentencing Guidelines establecieron directrices para las personas jurídicas que permitían atenuar su responsabilidad penal si demostraban contar con procedimientos eficaces para prevenir infracciones.
Desde entonces, la función de Compliance comenzó a tomar forma y establecerse a nivel internacional con la aprobación de normas y directrices a distintos niveles (ISO, ONU, OCDE, etc.). Además, determinados sectores, como el financiero, están sometidos a rigurosos programas de Compliance y supervisión establecidos por su normativa sectorial.
Siguiendo la tendencia de otros Estados miembros de la Unión Europea, en España la modificación del Código Penal de 2010 introdujo la responsabilidad penal de las personas jurídicas, así como la exención de responsabilidad en caso de contar con un modelo de organización y gestión adecuado para la prevención de delitos o para reducir deforma significativa el riesgo de su comisión. Este cambio legislativo llevó a numerosas empresas a establecer programas de Compliance internos y desde entonces la función de Compliance ha ido evolucionando y asentándose en las buenas prácticas empresariales y de gobernanza en las empresas españolas y también en el sector público, ya que algunas Comunidad Autónomas han abordado en los últimos años la cuestión de la protección de los denunciantes.
Sin embargo, hasta ahora, la normativa europea o española no preveía la puesta en marcha de canales de información que habilitaran la posibilidad de denunciar posibles infracciones de una manera segura. En este contexto, en 2019 se aprueba la Directiva EU 2019/1937 que establece unas normas mínimas comunes para la protección de los informantes en el territorio de la Unión Europea, que ahora se transpone a derecho español por medio de la Ley 2/2023 que ha entrado en vigor el pasado 13 de marzo.
Este artículo pretende resumir las principales novedades de la ley y a la vez analizar los cambios que suponen para las entidades obligadas, no sólo desde el punto de vista de proceso, sistemas y medios tecnológico sino también desde la perspectiva de cambios culturales en las organizaciones para fomentar una cultura ética y de integridad.
NOVEDADES
1 Ámbito de aplicación
La ley protege a los que informen sobre infracciones penales y administrativas graves o muy graves del ordenamiento jurídico español. La protección se extiende no sólo a los empleados de las entidades públicas o privadas que decidan informar sobre infracciones normativas, sino también a colaboradores autónomos, contratistas, proveedores, exempleados o trabajadores en prácticas. Familiares y amigos del informante también recibirán protección frente a posibles represalias.
2 Sistema interno de información
En el sector privado, todas las personas físicas o jurídicas que cuenten con más de 50 empleados, así como todas las entidades que integren el sector público deberán implantar, previa consulta con la representación de los trabajadores, un sistema interno para informar de infracciones normativas.
Con independencia del número de empleados, deberán contar con un sistema interno de información los partidos políticos, sindicatos, organizaciones empresariales, así como las fundaciones que dependan de ellos, siempre que reciban fondos públicos para su financiación
El plazo para implantar el sistema interno de información es de tres meses a partir de la entrada en vigor de la ley; las entidades jurídicas privadas que tengan entre 40 y 249 trabajadores y los municipios de menos de 10.000habitantes cuentan con un periodo adicional hasta el 1 de diciembre de 2023para la implantación de los sistemas internos de información.
Características del sistema interno de información:
- Estar diseñado de forma segura y protegiendo la identidad del informante.
- Permitir las comunicaciones por escrito o verbalmente, así como las comunicaciones anónimas.
- Contar con un responsable del sistema.
- Contar con una política o estrategia que enuncie los principios generales en materia de sistemas internos de información que sea debidamente publicitada en el seno de la entidad.
- Contar con un procedimiento de gestión de las informaciones recibidas.
- Establecer las garantías para la protección de los informantes.
- Estos sistemas pueden gestionarse internamente o a través de un tercero siempre que se garantice la confidencialidad, independencia, la protección de datos y el secreto de las comunicaciones.
- El tratamiento de los datos personales se llevará a cabo conforme a la legislación vigente y el acceso a los datos personales estará limitado por ley a las personas que desempeñen funciones determinadas en cada momento.
3 Responsable del sistema de información
El órgano de administración de la entidad deberá designar a la persona física responsable de la gestión del sistema, que también podrá ser un órgano colegiado y deberá desarrollar sus funciones de forma independiente y autónoma, no podrá recibir instrucciones y deberá contar con los medios personales y materiales necesarios.
En el sector privado, el responsable del sistema deberá ser un directivo que ejercerá sus funciones con independencia del órgano de administración de la entidad. Cuando por la naturaleza o dimensiones de la entidad no justifiquen o permitan la existencia de un directivo responsable del sistema, será posible el desempeño de las funciones del puesto o cargo que ostente a la vez que las de responsable del sistema tratando en todo caso de evitar situaciones de conflicto de interés.
Las entidades que ya cuenten con responsables de Compliance podrán dar continuidad a esta función asignándoles asimismo la función de responsable del sistema. También es posible que la función de compatibilice con otros cargos como el de responsable de los servicios jurídicos u otros cargos, como viene siendo habitual en las entidades de menor tamaño. En estos casos, se deberá analizar cuidadosamente las funciones y la relación con los órganos de dirección de la empresa para asegurar la autonomía e independencia que establece la ley.
Se establecen requisitos de comunicación a las autoridades ya que tanto el nombramiento como el cese de la persona física o de los integrantes del órgano colegiado designado como responsable del sistema deberán ser notificados a la Autoridad Independiente de Protección del Informante (“A.A.I.”)
4 Autoridad Independiente de Protección del Informante (“A.A.I.”) y canal externo de información
Se crea un canal externo de información gestionada por el organismo de nueva creación Autoridad Independiente de Protección del Informante (“A.A.I.”)vinculada al Ministerio de Justicia. Toda persona física podrá informar a la A.A.I. directamente o previa comunicación a través del correspondiente canal interno.
La Directiva 2019/1937 deja al criterio de los Estados miembros determinarlas autoridades competentes para recibir la información sobre infracciones normativas y gestionarlas. La ley ha considerado como mejor opción la creación de una autoridad bajo un régimen especial de autonomía y con un marcado carácter técnico y especializado en la materia para la llevanza y gestión del canal externo de comunicaciones.
Además, la A.A.I. adoptará las medidas de protección al informante, informará de los proyectos y anteproyectos de disposiciones generales en el ámbito de sus competencias, fomentará la promoción de la cultura de la información y tramitará los procedimientos sancionadores e imposición de sanciones.
A tal efecto, la ley prevé un riguroso régimen sancionador con multas de hasta un millón de euros para infracciones muy graves.
5 Protección al informante frente a represalias
Se establece un marco de protección al informante frente a represalias siempre que la persona tenga motivos razonables para pensar que la información, que debe estar dentro del ámbito de aplicación de la ley, es veraz en el momento de la comunicación, aunque no aporte pruebas concluyentes.
Se entiende por represalias, entre otras, la suspensión o extinción de la relación laboral, la imposición de medidas disciplinarias, las evaluaciones o referencias negativas sobre el desempeño profesional, la denegación deformación o la discriminación o trato desfavorable o injusto.
Del mismo modo, se prevén medidas de clemencia para aquellos informantes que hubiesen participado en la comisión de la infracción normativa y que hubiesen decidido colaborar con la investigación.
También se establecen medidas de protección para las personas afectadas, como el derecho a la presunción de inocencia, el derecho a la defensa y la misma protección prevista para los informantes preservándose su identidad y la confidencialidad de los hechos y datos del procedimiento.
SISTEMAS DE INFORMACIÓN COMO OPORTUNIDAD DE NEGOCIO
La mayoría de las entidades del sector público y privado están obligadas por ley a crear sistemas internos de información, además las organizaciones que ya cuenten con sistemas internos de información deberán ajustarse a los requisitos establecidos y en los plazos determinados por la nueva ley. Para ello, existen soluciones tecnológicas disponibles en el mercado que facilitan la creación del sistema interno de información y el diseño de políticas y procedimientos para cumplir con los requisitos establecidos en la ley.
Nuestra recomendación es que las entidades obligadas a establecer sistemas internos de información seguros y fiables tomen esta obligación como una oportunidad para generar confianza entre sus empleados y utilizar estos sistemas como medios de prevención de posibles infracciones normativas. No hay que olvidar que al mismo tiempo se crea un sistema externo de información al que puede acceder cualquier persona física que conllevará en ocasiones la publicidad sobre las posibles infracciones cometida en el seno en la organización.
También se puede ver como una amplia plataforma de comunicación interna para que los órganos de administración y equipos de dirección de las entidades den un giro a su estrategia empresarial y sitúen en el centro el fomento de la cultura ética, la integridad y la cultura de la información. En la mayoría delas organizaciones esto supone un cambio cultural que debe surgir y tener apoyo al más alto nivel jerárquico, lo que en el mundo anglosajón se ha denominado “tone at the top” que demuestre que la organización está comprometida no sólo con obtener legítimos beneficios resultados empresariales sino con hacer las cosas bien, repercutiendo en última instancia en un crecimiento sostenible a largo plazo.