Directiva Whistleblowing y la Ley para proteger a las personas que informen sobre infracciones normativas y de lucha contra la corrupción.

Lide Ibarra Gutiérrez
Abogada Área Legal – Seguridad de la información

¿Qué es la Directiva Whistleblowing?

La Directiva europea Whistleblowing -Directiva (UE) 2019/1937- supone un avance más para la prevención, dentro de las empresas, de comportamientos contrarios al Derecho de la Unión y de infracciones administrativas y penales graves y muy graves, que trae consigo cambios importantes y obligaciones para las empresas con más de 50 trabajadores, para los partidos políticos, sindicatos, organizaciones empresariales que reciban fondos públicos y para todas las entidades públicas –incluyendo las Administraciones públicas territoriales o institucionales, las autoridades de la Seguridad Social, las universidades, las sociedades y fundaciones pertenecientes al sector público, las corporaciones de Derecho Público, la Casa Real, los órganos constitucionales y las instituciones autonómicas análogas-.

El fin principal de la Directiva es proteger y facilitar la tarea de los/las denunciantes (también llamados alertadores o whistleblowers), para sacar a la luz comportamientos ilícitos, pero, sobre todo, para prevenirlos antes de que ocurran o puedan causar mayores daños en el seno de la organización.

¿Cuándo entrará en vigor?

La Directiva Whistleblowing no tiene efectos directos y necesita de una norma nacional que la trasponga. Para su trasposición, el pasado 13 de septiembre, el Consejo de Ministros aprobó el Proyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta norma, que ya ha sido remitida al Congreso, es probable que sea aprobada en el último trimestre de este año y entre en vigor a principios de 2023. Una vez se promulgue esta Ley, la misma concederá a los sujetos obligados un plazo razonable de implementación de las nuevas obligaciones que impone.

¿A qué obligan la Directiva (UE) 2019/1937 y la Ley de protección del informante?

  • A implantar un sistema interno de información y un canal interno de denuncias/ de información, independiente, rodeado de garantías que protejan a los/las denunciantes frente a posibles represalias por denunciar conductas irregulares por parte de la organización.
  • A nombrar un Delegado de Protección de Datos para garantizar la protección de los datos tratados en el sistema interno, la confidencialidad, la seguridad de la información, el secreto de las comunicaciones y la presunción de inocencia del denunciado/a.
  • A nombrar un Responsable del sistema interno de información, que sea responsable de la gestión y de la tramitación de las denuncias/informaciones en los términos, plazos, condiciones y con las garantías marcadas por la ley.
  • A aprobar un procedimiento de gestión de informaciones.
  • A contar con un libro-registro de las comunicaciones, denuncias y de las investigaciones internas que se lleven a cabo.
  • A informar de la existencia, en la entidad, de un canal interno de denuncias/ de información a todos/as los trabajadores/as o cualesquiera otros relacionados/as con la entidad.
  • A informar de la existencia, para toda persona física, de un canal externo de denuncias a cargo de la Administración Pública – Autoridad Independiente de Protección del Informante- para denunciar comportamientos ilícitos bien, directamente, o bien, tras haberlo comunicado en el canal interno de la empresa u organización.

¿Quiénes están obligados a implantar un sistema interno de información y a nombrar un Delegado de Protección de Datos?

En el sector privado: (i) las empresas que tengan contratados 50 o más empleados/as, (ii) las empresas, independientemente de su número de empleados, que les sean aplicables los actos de la Unión Europea en materia de servicios, productos y mercados financieros, prevención de blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y del medio ambiente y (iii) los partidos políticos, sindicatos, patronales y fundaciones.

Grupos de sociedades: El Responsable del sistema y el canal interno de denuncias/de información podrá ser uno para todo el grupo.

En el sector público: (iv) todas las entidades que integran el sector público.

¿Qué infracciones se podrán denunciar?

Podrán denunciarse infracciones cometidas en el seno de una empresa o de una entidad en las siguientes áreas:

  • Contratación pública
  • Seguridad de la información, privacidad y protección de datos
  • Servicios financieros y prevención de blanqueo de capitales
  • Seguridad de los productos, de los alimentos y del transporte
  • Protección del medioambiente
  • Sanidad y bienestar animal
  • Seguridad nuclear
  • Salud pública
  • Protección de los consumidores
  • Competencia
  • Mercado interior o intereses financieros de la Unión
  • Infracciones penales o administrativas graves o muy graves que atenten contra el interés general, en particular, infracciones contra la Hacienda Pública.

¿Quién podrá denunciar/informar?

Podrán denunciar o informar las personas que tengan la condición de (i) empleados públicos o trabajadores por cuenta ajena de la entidad; (ii) los autónomos; (iii) los accionistas, partícipes y personas pertenecientes al órgano de administración, dirección o supervisión de una empresa, incluidos los miembros no ejecutivos; (iv) cualquier persona que trabaje para o bajo la supervisión y la dirección de contratistas, subcontratistas y proveedores, (v) aquellas que ya han finalizado su relación profesional, (vi) voluntarios, trabajadores en prácticas o en período de formación, (vii) personas que participen en procesos de selección.

¿Qué sanciones podría conllevar el incumplimiento de la Directiva (UE) 2019/1937 y de la Ley de protección del informante?

Carecer de Delegado de Protección de Datos, la falta de implantación por parte de las empresas del canal interno de denuncias o su implantación sin las garantías previstas en la normativa aplicable podrían constituir infracciones calificadas como leves, graves o muy graves. Se tipifica como muy grave cualquier represalia al informante o la vulneración de las garantías de confidencialidad u otras que son propias del procedimiento.

La comisión de infracciones conllevará la imposición de sanciones que pueden llegar a cuantificarse en 1.000.000 € para las personas jurídicas y en 300.000 € para las personas físicas, así como la prohibición de obtener ayudas o subvenciones públicas y de contratar con el sector público, entre otras.

Cumplimiento normativo

Ante la repercusión que esta norma tendrá en la actividad de las empresas en el ámbito penal, laboral, de protección de datos y defensa de la competencia, desde SAYMA seguiremos el proceso de tramitación de la Ley de protección del informante con la máxima atención e informaremos de su aprobación definitiva.

En cualquier caso, dado que entrará en vigor en breve, es recomendable que las empresas con más de 50 personas trabajadoras comiencen a implementar un sistema interno de información. El Corporate Compliance juega un papel fundamental para cumplir con las obligaciones con la mayor antelación posible y evitar sanciones.

Podemos ayudarle en todo lo relativo a la Directiva Whistleblowing y a la Ley del informante. Nuestros expertos en Corporate Compliance y en Seguridad de la información le guiarán en todo lo necesario para la implantación de un sistema interno de información con todas las garantías y para el nombramiento de un Delegado de Protección de Datos.